Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령

Transcription

1 Cisco ASA 시리즈명령참조, ASASM 에대한 T~Z 명령및 IOS 명령 업데이트날짜 : 2014 년 11 월 11 일 Cisco Systems, Inc. Cisco 는전세계에 200 개가넘는지사를운영하고있습니다. 주소, 전화번호및팩스번호는 Cisco 웹사이트 에서확인하십시오. 텍스트파트번호 : 해당사항없음, 온라인전용

2 이설명서의제품사양및정보는예고없이변경될수있습니다. 이설명서의모든설명, 정보및권장사항은정확한것으로간주되지만이에대해명시적이든묵시적이든어떠한보증도없이제공됩니다. 모든제품의애플리케이션사용에대한책임은전적으로사용자에게있습니다. 동봉된제품의소프트웨어라이센스및제한보증은제품과함께제공되는정보패킷에설명되어있으며본참조문서에통합되어있습니다. 소프트웨어라이센스또는제한보증을찾을수없는경우 CISCO 담당자에게사본을요청하십시오. Cisco 의 TCP 헤더압축은 UNIX 운영체제의 UCB 공개도메인버전의일부로서 University of California, Berkeley(UCB) 에서개발된프로그램을적용하여구현합니다. All rights reserved. Copyright 1981, Regents of the University of California. 여기에언급된기타모든보증에도불구하고이러한공급자의모든문서및소프트웨어는모든결함이포함된 " 있는그대로 " 제공됩니다. CISCO 및위에언급된모든공급업체는상품성, 특정목적에의적합성, 타인의권리비침해또는처리, 사용, 거래행위로발생하는문제에대한묵시적보증을포함하여 ( 단, 이에한하지않음 ) 묵시적이든명시적이든모든종류의보증을부인합니다. Cisco 또는해당공급업체는피해의가능성에대해언급한경우라도이설명서의사용또는사용불능으로인해발생하는이익손실, 데이터손실또는손상을포함하여 ( 단, 이에한하지않음 ) 간접, 특별, 중대또는부수적손해에대해어떠한경우라도책임을지지않습니다. Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental Cisco Systems, Inc. All rights reserved.

3 파트 1 T~Z 명령

4

5 1 장 table-map through title 명령 1-1

6 table-map 1 장 table-map through title 명령 table-map IP 라우팅테이블이 BGP 에서학습한경로로업데이트될때메트릭및태그값을수정하려면주소패밀리컨피그레이션모드에서 table-map 명령을사용합니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. table-map map_name no table-map map_name 구문설명 map_name route-map 명령에서맵이름을라우팅합니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 주소패밀리컨피그레이션 예 예 예 릴리스 수정사항 9.2(1) 이명령이도입되었습니다. 사용지침 이명령은 route-map 명령으로정의된경로맵이름을 IP 라우팅테이블에추가합니다. 이명령은재배포를구현하기위해태그이름및경로메트릭을설정하는데사용됩니다. 경로맵의 match 절을 table-map 명령에서사용할수있습니다. IP 액세스목록, 자동시스템경로및다음홉일치절이지원됩니다. 예 다음주소패밀리컨피그레이션모드예에서는 ASA 소프트웨어가 BGP 에서학습한경로에대한태그값을자동으로계산하고 IP 라우팅테이블을업데이트하도록구성됩니다. ciscoasa(config)# route-map tag ciscoasa(config-route-map)# match as path 10 ciscoasa(config-route-map)# set automatic-tag ciscoasa(config)# router bg 100 ciscoasa(config-routerp)# address-family ipv4 unicast ciscoasa(config-router-af)# table-map tag 1-2

7 1 장 table-map through title 명령 table-map 관련명령 명령 설명 address-family address-family 컨피그레이션모드를시작합니다. route-map 라우팅프로토콜간에경로를재배포하는조건을정의합니다. 1-3

8 tcp-map 1 장 table-map through title 명령 tcp-map TCP 정규화작업집합을정의하려면전역컨피그레이션모드에서 tcp-map 명령을사용합니다. TCP 정규화기능을사용하면감지된경우 ASA 에서삭제하는비정상패킷을식별하는조건을지정할수있습니다. TCP 맵을제거하려면이명령의 no 형식을사용합니다. tcp-map map_name no tcp-map map_name 구문설명 map_name TCP 맵이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 7.2(4)/8.0(4) invalid-ack, seq-past-window 및 synack-data 하위명령이추가되었습 니다. 사용지침 이기능은 Modular Policy Framework 를사용합니다. 먼저 tcp-map 명령을사용하여수행할 TCP 정규화작업을정의합니다. tcp map 명령은 TCP 정규화작업을정의하는하나이상의명령을입력할수있는 tcp-map 컨피그레이션모드를시작합니다. 그런다음 class-map 명령을사용하여 TCP 맵을적용할트래픽을정의합니다. 그런다음 policy-map 명령을입력하여정책을정의하고, class 명령을입력하여클래스맵을참조합니다. 클래스컨피그레이션모드에서는 set connection advanced-options 명령을입력하여 TCP 맵을참조합니다. 마지막으로 service-policy 명령을사용하여정책맵을인터페이스에적용합니다. Modular Policy Framework 의작동방식에대한자세한내용은 CLI 컨피그레이션가이드를참고하십시오. 1-4

9 1 장 table-map through title 명령 tcp-map tcp-map 컨피그레이션모드에서사용할수있는명령은다음과같습니다. check-retransmission 재전송데이터검사를활성화및비활성화합니다. checksum-verification 체크섬확인을활성화및비활성화합니다. exceed-mss 피어에서설정한 MSS를초과하는패킷을허용하거나삭제합니다. invalid-ack 잘못된 ACK가있는패킷에대한동작을설정합니다. queue-limit TCP 연결을대기할수있는비순차적패킷의최대개수를구성합니다. 이명령은 ASA 5500 시리즈적응형 ASA에서만사용할수있습니다. PIX 500 시리즈 ASA에서는대기열제한이 3이며, 변경할수없습니다. reserved-bits ASA에서예약된플래그정책을설정합니다. seq-past-window past-window 시퀀스번호가있는패킷, 즉받은 TCP 패킷의시퀀스번호 가 TCP 수신윈도우의오른쪽경계를초과하는패킷에대한동작을설 정합니다. synack-data 데이터가포함된 TCP SYNACK 패킷에대한동작을설정합니다. syn-data 데이터가포함된 SYN 패킷을허용하거나삭제합니다. tcp-options selective-ack, timestamps 또는 window-scale TCP 옵션을허용하거나지 웁니다. ttl-evasion-protection ASA에서제공하는 TTL 회피방지를활성화하거나비활성화합니다. urgent-flag ASA를통해 URG 포인터를허용하거나지웁니다. window-variation 해당윈도우크기를예상치않게변경하는연결을삭제합니다. 예 예를들어잘알려진 FTP 데이터포트와텔넷포트간의 TCP 포트범위로전송된모든트래픽에대해긴급플래그및긴급오프셋패킷을허용하려면다음명령을입력합니다. ciscoasa(config)# tcp-map tmap ciscoasa(config-tcp-map)# urgent-flag allow ciscoasa(config-tcp-map)# class-map urg-class ciscoasa(config-cmap)# match port tcp range ftp-data telnet ciscoasa(config-cmap)# policy-map pmap ciscoasa(config-pmap)# class urg-class ciscoasa(config-pmap-c)# set connection advanced-options tmap ciscoasa(config-pmap-c)# service-policy pmap global 관련명령 명령 설명 class (policy-map) 트래픽분류에사용할클래스맵을지정합니다. clear configure TCP 맵컨피그레이션을지웁니다. tcp-map policy-map 정책, 즉트래픽클래스와하나이상의작업연계를구성합니다. show running-config TCP 맵컨피그레이션에대한정보를표시합니다. tcp-map tcp-options selective-ack, timestamps 또는 window-scale TCP 옵션을허용하거나지 웁니다. 1-5

10 tcp-options 1 장 table-map through title 명령 tcp-options ASA 를통해 TCP 옵션을허용하거나제거하려면 tcp-map 컨피그레이션모드에서 tcp-options 명령을사용합니다. 이사양을제거하려면이명령의 no 형식을사용합니다. tcp-options {selective-ack timestamp window-scale} {allow clear} no tcp-options {selective-ack timestamp window-scale} {allow clear} tcp-options range lower upper {allow clear drop} no tcp-options range lower upper {allow clear drop} 구문설명 allow TCP 노멀라이저를통해 TCP 옵션을허용합니다. clear TCP 노멀라이저를통해 TCP 옵션을지우고패킷을허용합니다. drop 패킷을삭제합니다. lower 하한범위 (6-7) 및 (9-255) 입니다. selective-ack SACK(Selective Acknowledgement Mechanism) 옵션을설정합니다. 기 본값은 SACK 옵션을허용하는것입니다. timestamp timestamp 옵션을설정합니다. timestamp 옵션을지우면 PAWS 및 RTT 가비활성화됩니다. 기본값은 timestamp 옵션을허용하는것입니다. upper 상한범위 (6-7) 및 (9-255) 입니다. window-scale 창배율메커니즘옵션을설정합니다. 기본값은창배율메커니즘옵션 을허용하는것입니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 tcp-map 컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 1-6

11 1 장 table-map through title 명령 tcp-options 사용지침 tcp map 명령은 MPF(Modular Policy Framework) 인프라와함께사용됩니다. class-map 명령을사용하여트래픽의클래스를정의하고, tcp-map 명령을사용하여 TCP 검사를사용자지정합니다. 새 TCP 맵은 policy-map 명령을사용하여적용합니다. TCP 검사는 service-policy 명령을사용하여활성화합니다. tcp-map 명령을사용하여 tcp-map 컨피그레이션모드를시작할수있습니다. tcp-map 컨피그레이션모드에서 tcp-options 명령을사용하여 selective-acknowledgement, window-scale 및 timestamp TCP 옵션을지울수있습니다. 또한잘정의되지않은옵션이있는패킷을지우거나삭제할수있습니다. 예다음예에서는 6-7 및 범위의 TCP 옵션이있는모든패킷을삭제하는방법을보여줍니다. ciscoasa(config)# access-list TCP extended permit tcp any any ciscoasa(config)# tcp-map tmap ciscoasa(config-tcp-map)# tcp-options range 6 7 drop ciscoasa(config-tcp-map)# tcp-options range drop ciscoasa(config)# class-map cmap ciscoasa(config-cmap)# match access-list TCP ciscoasa(config)# policy-map pmap ciscoasa(config-pmap)# class cmap ciscoasa(config-pmap)# set connection advanced-options tmap ciscoasa(config)# service-policy pmap global 관련명령 명령 설명 class 트래픽분류에사용할클래스맵을지정합니다. policy-map 정책, 즉트래픽클래스와하나이상의작업연계를구성합니다. set connection 연결값을구성합니다. tcp-map TCP 맵을만들고 tcp-map 컨피그레이션모드에대한액세스를허용합니다. 1-7

12 telnet 1 장 table-map through title 명령 telnet 텔넷을통해인터페이스에액세스할수있도록허용하려면전역컨피그레이션모드에서 telnet 명령을사용합니다. 텔넷액세스를제거하려면이명령의 no 형식을사용합니다. telnet {ipv4_address mask ipv6_address/prefix} interface_name no telnet {ipv4_address mask ipv6_address/prefix} interface_name 구문설명 interface_name 텔넷을허용할인터페이스의이름을지정합니다. VPN 터널에서텔넷을사용하지않는한보안수준이가장낮은인터페이스에서는텔넷을활성화할수없습니다. ipv4_address mask ASA로텔넷할권한이있는호스트또는네트워크의 IPv4 주소및서브넷마스크를지정합니다. ipv6_address/prefix ASA로텔넷할권한이있는 IPv6 주소 / 접두사를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 9.0(2), 9.1(2) 기본비밀번호인 "cisco" 가제거되었습니다. password 명령을사용하여 로그인비밀번호를직접설정해야합니다. 사용지침 telnet 명령을사용하면텔넷을통해 ASA CLI에액세스할수있는호스트를지정할수있습니다. 모든인터페이스에서 ASA로의텔넷을활성화할수있습니다. 그러나 VPN 터널내에서텔넷을사용하지않는한보안수준이가장낮은인터페이스에는텔넷을사용할수없습니다. password 명령을사용하여텔넷을통해콘솔에액세스하기위한비밀번호를설정할수있습니다. who 명령을사용하여현재 ASA 콘솔에액세스중인 IP 주소를볼수있습니다. kill 명령을사용하여활성텔넷콘솔세션을종료할수있습니다. aaa authentication telnet console 명령을사용하는경우텔넷콘솔에서인증서버에인증해야합니다. 1-8

13 1 장 table-map through title 명령 telnet 예 다음예에서는호스트 및 에서텔넷을통해 ASA CLI 에액세스하도록허용하는방법을보여줍니다. 또한 네트워크의모든호스트에액세스권한이부여됩니다. ciscoasa(config)# telnet inside ciscoasa(config)# telnet inside ciscoasa(config)# telnet inside ciscoasa(config)# show running-config telnet inside inside inside 다음예에서는텔넷콘솔로그인세션을보여줍니다 ( 비밀번호는입력시표시되지않음 ). ciscoasa# passwd: cisco Welcome to the XXX Type help or? for a list of available commands. ciscoasa> no telnet 명령을사용하여개별항목을제거하거나, clear configure telnet 명령을사용하여모든텔넷명령문을제거할수있습니다. ciscoasa(config)# no telnet inside ciscoasa(config)# show running-config telnet inside inside ciscoasa(config)# clear configure telnet 관련명령 명령 설명 clear configure telnet 컨피그레이션에서텔넷연결을제거합니다. kill Telnet 세션을종료합니다. show running-config 텔넷을사용하여 ASA에연결할수있는현재 IP 주소목록을표시합니다. telnet telnet timeout 텔넷시간제한을설정합니다. who ASA의활성텔넷관리세션을표시합니다. 1-9

14 telnet timeout 1 장 table-map through title 명령 telnet timeout 텔넷유휴시간제한을설정하려면전역컨피그레이션모드에서 telnet timeout 명령을사용합니다. 기본시간제한을복원하려면이명령의 no 형식을사용합니다. telnet timeout minutes no telnet timeout minutes 구문설명 minutes ASA 에서닫기전에텔넷세션이유휴상태로있을수있는기간 ( 분 ) 입니다. 유효한값은 1~1440 분입니다. 기본값은 5 분입니다. 기본값기본적으로텔넷세션은 5 분동안유휴상태로유지된후 ASA 에의해닫힙니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 telnet timeout 명령을사용하여 ASA 에서로그오프하기전에콘솔텔넷세션을유휴상태로유지할수있는최대시간을설정할수있습니다. 예다음예에서는최대세션유휴기간을변경하는방법을보여줍니다. ciscoasa(config)# telnet timeout 10 ciscoasa(config)# show running-config telnet timeout telnet timeout 10 minutes 관련명령 명령 설명 clear configure telnet 컨피그레이션에서텔넷연결을제거합니다. kill Telnet 세션을종료합니다. show running-config 텔넷을사용하여 ASA에연결할수있는현재 IP 주소목록을표시합니다. telnet telnet 텔넷을통해 ASA에액세스할수있도록합니다. who ASA의활성텔넷관리세션을표시합니다. 1-10

15 1 장 table-map through title 명령 terminal terminal 시스템로그메시지가현재텔넷세션에표시되도록허용하려면특권 EXEC 모드에서 terminal monitor 명령을사용합니다. 시스템로그메시지를비활성화하려면이명령의 no 형식을사용합니다. terminal {monitor no monitor} 구문설명 monitor 현재텔넷세션에서시스템로그메시지표시를활성화합니다. no monitor 현재텔넷세션에서시스템로그메시지표시를비활성화합니다. 기본값시스템로그메시지는기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예다음예에서는현재세션에서시스템로그메시지를표시및비활성화하는방법을보여줍니다. ciscoasa# terminal monitor ciscoasa# terminal no monitor 관련명령 명령 설명 clear configure terminal 터미널표시너비설정을지웁니다. pager ---more--- 프롬프트가표시되기전에텔넷세션에표시할줄수 를설정합니다. 이명령은컨피그레이션에저장됩니다. show running-config terminal 현재터미널설정을표시합니다. terminal pager ---more--- 프롬프트가표시되기전에텔넷세션에표시할줄수 를설정합니다. 이명령은컨피그레이션에저장되지않습니다. terminal width 전역컨피그레이션모드에서터미널표시너비를설정합니다. 1-11

16 terminal pager 1 장 table-map through title 명령 terminal pager 텔넷세션에대해 ---More--- 프롬프트가표시되기전까지의페이지의줄수를설정하려면특권 EXEC 모드에서 terminal pager 명령을사용합니다. terminal pager [lines] lines 구문설명 [lines] lines ---More--- 프롬프트가표시되기전까지의페이지의줄수를설정합니다. 기본값은 24 줄입니다. 0 은페이지제한이없음을의미합니다. 범위는 0~ 줄입니다. lines 키워드는선택사항이며, 이명령은이키워드의사용여부에상관없이동일합니다. 기본값기본값은 24 줄입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 이명령은현재텔넷세션에서만페이저줄설정을변경합니다. 새기본페이저설정을컨피그레이션에저장하려면다음을수행합니다. 1. login 명령을입력하여사용자 EXEC 모드에액세스하거나, enable 명령을입력하여특권 EXEC 모드에액세스합니다. 2. pager 명령을입력합니다. 텔넷을사용하여관리상황에액세스한경우다른상황으로변경하면페이저줄설정이사용자세션을따릅니다. 이는지정된상황의 pager 명령에다른설정이있는경우에도마찬가지입니다. 현재페이저설정을변경하려면새설정으로 terminal pager 명령을입력하거나현재상황에서 pager 명령을입력합니다. 새페이저설정을상황컨피그레이션에저장하는것외에 pager 명령은새설정을현재텔넷세션에적용합니다. 예다음예에서는표시되는줄수를 20 으로변경합니다. ciscoasa# terminal pager

17 1 장 table-map through title 명령 terminal pager 관련명령 명령 설명 clear configure terminal 터미널표시너비설정을지웁니다. pager ---More--- 프롬프트가표시되기전에텔넷세션에표시할줄수를설정합니다. 이명령은컨피그레이션에저장됩니다. show running-config terminal 현재터미널설정을표시합니다. terminal 시스템로그메시지가텔넷세션에표시되도록허용합니다. terminal width 전역컨피그레이션모드에서터미널표시너비를설정합니다. 1-13

18 terminal width 1 장 table-map through title 명령 terminal width 콘솔세션중에정보를표시할너비를설정하려면전역컨피그레이션모드에서 terminal width 명령을사용합니다. 비활성화하려면이명령의 no 형식을사용합니다. terminal width columns no terminal width columns 구문설명 columns 터미널너비 ( 열수 ) 를지정합니다. 기본값은 80 입니다. 범위는 40~511 입니다. 기본값기본표시너비는 80 열입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예다음예에서는터미널표시너비를 100 열로설정하는방법을보여줍니다. ciscoasa# terminal width 100 관련명령 명령 설명 clear configure terminal 터미널표시너비설정을지웁니다. show running-config terminal 현재터미널설정을표시합니다. terminal 특권 EXEC 모드에서터미널줄매개변수를설정합니다. 1-14

19 1 장 table-map through title 명령 test aaa-server test aaa-server ASA 에서특정 AAA 서버에사용자를인증하거나권한을부여할수있는지확인하려면특권 EXEC 모드에서 test aaa-server 명령을사용합니다. AAA 서버에연결하지못한경우이는 ASA 의컨피그레이션이잘못되었거나, 네트워크컨피그레이션제한또는서버다운타임과같은다른이유로 AAA 서버에연결할수없기때문일수있습니다. test aaa-server {authentication server_tag [host ip_address] [username username] [password password] authorization server_tag [host ip_address] [username username][ad-agent]} 구문설명 ad-agent AAA AD 에이전트서버에대한연결을테스트합니다. authentication AAA 서버의인증기능을테스트합니다. authorization AAA 서버의레거시 VPN 권한부여기능을테스트합니다. host ip_address 서버 IP 주소를지정합니다. 명령에서 IP 주소를지정하지않으면 IP 주소를묻는프롬프트가표시됩니다. password password 사용자비밀번호를지정합니다. 명령에서비밀번호를지정하지않으면비밀번호를묻는프롬프트가표시됩니다. server_tag aaa-server 명령에서설정된대로 AAA 서버태그를지정합니다. username username AAA 서버설정을테스트하는데사용된계정의사용자이름을지정합니다. 사용자이름이 AAA 서버에존재해야합니다. 그렇지않으면테스트에실패합니다. 명령에서사용자이름을지정하지않으면사용자이름을묻는프롬프트가표시됩니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 릴리스 수정사항 7.0(4) 이명령이도입되었습니다. 8.4(2) ad-agent 키워드가추가되었습니다. 사용지침 test aaa-server 명령을사용하여 ASA 가특정 AAA 서버에사용자를인증할수있는지확인하고, 사용자에게권한을부여할수있는경우레거시 VPN 권한부여를확인할수있습니다. 이명령을사용하면인증또는권한부여를시도하는실제사용자없이도 AAA 서버를테스트할수있습니다. 또한 AAA 실패원인을 AAA 서버매개변수의잘못된구성, AAA 서버의연결문제또는 ASA 의기타컨피그레이션오류로분리할수있습니다. 1-15

20 test aaa-server 1 장 table-map through title 명령 예 다음예에서는호스트 에서 srvgrp1 이라는 RADIUS AAA 서버를구성하고, 시간제한을 9 초로설정하고, 재시도간격을 7 초로설정하고, 인증포트를 1650 으로구성합니다. AAA 서버매개변수설정뒤의 test aaa-server 명령은인증테스트시서버에연결하지못했음을나타냅니다. ciscoasa(config)# aaa-server svrgrp1 protocol radius ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host ciscoasa(config-aaa-server-host)# timeout 9 ciscoasa(config-aaa-server-host)# retry-interval 7 ciscoasa(config-aaa-server-host)# authentication-port 1650 ciscoasa(config-aaa-server-host)# exit ciscoasa(config)# test aaa-server authentication svrgrp1 Server IP Address or name: Username: bogus Password: mypassword INFO: Attempting Authentication test to IP address < > (timeout: 10 seconds) ERROR: Authentication Rejected: Unspecified 다음은성공한 test aaa-server 명령의샘플출력입니다. ciscoasa# test aaa-server authentication svrgrp1 host username bogus password mypassword INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful 관련명령 명령 설명 aaa authentication console 관리트래픽에대한인증을구성합니다. aaa authentication match 통과트래픽에대한인증을구성합니다. aaa-server AAA 서버그룹을생성합니다. aaa-server host 서버그룹에 AAA 서버를추가합니다. 1-16

21 1 장 table-map through title 명령 test aaa-server ad-agent test aaa-server ad-agent Active Directory 에이전트컨피그레이션을구성한후테스트하려면 AAA 서버그룹컨피그레이션모드에서 test aaa-server ad-agent 명령을사용합니다. test aaa-server ad-agent 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 aaa 서버그룹컨피그레이션 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ID 방화벽에대해 Active Directory 에이전트를구성하려면 aaa-server 명령의하위모드인 ad-agent-mode 명령을입력해야합니다. ad-agent-mode 명령을입력하면 AAA 서버그룹컨피그레이션모드가시작됩니다. Active Directory 에이전트를구성한후 test aaa-server ad-agent 명령을입력하여 ASA가 Active Directory 에이전트에연결되어있는지확인합니다. AD 에이전트는주기적으로또는온디맨드로 WMI를통해 Active Directory 서버보안이벤트로그파일을모니터링하여사용자로그인및로그오프이벤트를확인합니다. AD 에이전트는사용자 ID 및 IP 주소매핑에대한캐시를유지관리하고변경사항을 ASA에알려줍니다. AD 에이전트서버그룹에대한기본및보조 AD 에이전트를구성합니다. ASA에서기본 AD 에이전트가응답하지않는것을감지한경우보조에이전트가지정되어있으면 ASA는보조 AD 에이전트로전환합니다. AD 에이전트의 Active Directory 서버는 RADIUS를통신프로토콜로사용합니다. 따라서 ASA와 AD 에이전트간의공유암호에대한키특성을지정해야합니다. 예 다음예에서는 ID 방화벽에대해 Active Directory 에이전트를구성하는동안 ad-agent-mode 를활성화한다음연결을테스트하는방법을보여줍니다. hostname(config)# aaa-server adagent protocol radius hostname(config)# ad-agent-mode hostname(config-aaa-server-group)# aaa-server adagent (inside) host hostname(config-aaa-server-host)# key mysecret hostname(config-aaa-server-hostkey)# user-identity ad-agent aaa-server adagent hostname(config-aaa-server-host)# test aaa-server ad-agent 1-17

22 test aaa-server ad-agent 1 장 table-map through title 명령 관련명령 명령 설명 aaa-server AAA 서버그룹을만들고그룹별및모든그룹호스트에공통적인 AAA 서버매개변수를구성합니다. clear configure user-identity ID 방화벽기능에대한컨피그레이션을지웁니다. 1-18

23 1 장 table-map through title 명령 test dynamic-access-policy attributes test dynamic-access-policy attributes dap attributes 모드를시작하려면특권 EXEC 모드에서 test dynamic-access-policy attributes 명령을입력합니다. 이렇게하면사용자및엔드포인트특성값쌍을지정할수있습니다. dynamic-access-policy attributes 기본값기본값또는동작은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 일반적으로 ASA는 AAA 서버에서사용자권한부여특성을검색하고, Cisco Secure Desktop, Host Scan, CNA 또는 NAC에서엔드포인트특성을검색합니다. 테스트명령의경우이특성모드에서사용자권한부여및엔드포인트특성을지정합니다. ASA는 DAP 레코드에대한 AAA 선택특성및엔드포인트선택특성을평가할때 DAP 하위시스템에서참조하는특성데이터베이스에이러한특성을기록합니다. 이기능을사용하여 DAP 레코드생성을실험할수있습니다. 예다음예에서는 attributes 명령을사용하는방법을보여줍니다. ciscoasa # test dynamic-access-policy attributes ciscoasa(config-dap-test-attr)# 관련명령 명령 설명 dynamic-access-policy-record DAP 레코드를만듭니다. attributes 사용자특성값쌍을지정할수있는특성모드를시작합니다. display 현재특성목록을표시합니다. 1-19

24 test dynamic-access-policy execute 1 장 table-map through title 명령 test dynamic-access-policy execute 이미구성된 DAP 레코드를테스트하려면특권 EXEC 모드에서 test dynamic-access-policy execute 명령을사용합니다. test dynamic-access-policy execute 구문설명 AAA attribute value endpoint attribute value 장치의 DAP 하위시스템에서는각레코드에대한 AAA 및엔드포인트선택특성을평가할때이러한값을참조합니다. AAA Attribute - AAA 특성을식별합니다. Operation Value - 지정된값과 =/!=( 같음 / 같지않음 ) 로특성을식별합니다. 엔드포인트특성을식별합니다. Endpoint ID - 엔드포인트특성 ID 를제공합니다. Name/Operation/Value 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 릴리스 수정사항 8.4(4) 이명령이도입되었습니다. 사용지침 이명령을사용하면권한부여특성값쌍을지정하여장치에구성된 DAP 레코드집합검색을테스트할수있습니다. 1-20

25 1 장 table-map through title 명령 test regex test regex 정규식을테스트하려면특권 EXEC 모드에서 test regex 명령을사용합니다. test regex input_text regular_expression 구문설명 input_text 정규식과일치시킬텍스트를지정합니다. regular_expression 100자이내로정규식을지정합니다. 정규식에서사용할수있는메타문 자목록은 regex 명령을참고하십시오. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 test regex 명령은정규식을테스트하여일치여부를확인합니다. 정규식이입력텍스트와일치하는경우다음메시지가표시됩니다. INFO: Regular expression match succeeded. 정규식이입력텍스트와일치하지않는경우다음메시지가표시됩니다. INFO: Regular expression match failed. 예다음예에서는정규식에대해입력텍스트를테스트합니다. ciscoasa# test regex farscape scape INFO: Regular expression match succeeded. ciscoasa# test regex farscape scaper INFO: Regular expression match failed. 1-21

26 test regex 1 장 table-map through title 명령 관련명령 명령 설명 class-map type inspect 애플리케이션에특정한트래픽과일치시킬검사클래스맵을만듭니다. policy-map 트래픽클래스를하나이상의작업과연결하여정책맵을생성합니다. policy-map type inspect 애플리케이션검사를위한특정작업을정의합니다. class-map type regex 정규식클래스맵을만듭니다. regex 정규식을만듭니다. 1-22

27 1 장 table-map through title 명령 test sso-server test sso-server 평가판인증요청으로 SSO 서버를테스트하려면특권 EXEC 모드에서 test sso-server 명령을사용합니다. test sso-server server-name username user-name 구문설명 server-name 테스트할 SSO 서버이름을지정합니다. user-name 테스트할 SSO 서버의사용자이름을지정합니다. 기본값기본값또는동작은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 config-webvpn 예 예 config-webvpn-sso-saml 예 예 config-webvpn-sso-siteminder 예 예 전역컨피그레이션모드 예 예 특권 EXEC 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 사용지침 SSO(WebVPN에만제공 ) 지원을통해사용자가사용자이름및비밀번호를단한번만입력하여여러서버에서다양한보안서비스에액세스할수있습니다. test sso-server 명령은 SSO 서버가인식되고인증요청에응답하는지테스트합니다. server-name 인수로지정된 SSO 서버를찾을수없는경우다음오류가표시됩니다. ERROR: sso-server server-name does not exist SSO 서버를찾았지만 user-name 인수로지정된사용자를찾을수없는경우에는인증이거부됩니다. 인증에서 ASA는 SSO 서버의 WebVPN 사용자를위한프록시역할을합니다. ASA는현재 SiteMinder SSO 서버 ( 이전의 Netegrity SiteMinder) 및 SAML POST 유형 SSO 서버를지원합니다. 이명령은두유형의 SSO 서버모두에적용됩니다. 1-23

28 test sso-server 1 장 table-map through title 명령 예 특권 EXEC 모드에서입력된다음예에서는 Anyuser 라는사용자이름을사용하여 my-sso-server 라는 SSO 서버를성공적으로테스트합니다. ciscoasa# test sso-server my-sso-server username Anyuser INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser INFO: STATUS: Success ciscoasa# 다음예에서는동일한서버를테스트하지만 Anotheruser 라는사용자가인식되지않아인증에실패한결과를보여줍니다. ciscoasa# test sso-server my-sso-server username Anotheruser INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser INFO: STATUS: Failed ciscoasa# 관련명령 명령 설명 max-retry-attempts ASA에서 SSO 인증을재시도할수있는횟수를구성합니다. policy-server-secret SiteMinder SSO 서버에대한인증요청을암호화하는데사용되는비밀키를생성합니다. request-timeout 시간초과로인해 SSO 인증시도가실패하는시간 ( 초 ) 을지정합니다. show webvpn sso-server 보안장치에구성된모든 SSO 서버에대한운영통계를표시합니다. sso-server SSO(Single Sign On) 서버를만듭니다. web-agent-url ASA에서 SiteMinder SSO 인증요청을작성하는 SSO 서버 URL을지정합니다. 1-24

29 1 장 table-map through title 명령 text-color text-color 로그인, 홈페이지및파일액세스페이지의 WebVPN 제목표시줄에표시되는텍스트의색상을설정하려면 webvpn 모드에서 text-color 명령을사용합니다. 컨피그레이션에서텍스트색상을제거하고기본값을다시설정하려면이명령의 no 형식을사용합니다. text-color [black white auto] no text-color 구문설명 auto secondary-color 명령에대한설정에따라검은색또는흰색을선택합니 다. 즉, 보조색상이검은색인경우이값은 white입니다. black 제목표시줄의기본텍스트색상은흰색입니다. white 색상을검은색으로변경할수있습니다. 기본값제목표시줄의기본텍스트색상은흰색입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 config-webvpn 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예다음예에서는제목표시줄의텍스트색상을검은색으로설정하는방법을보여줍니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# text-color black 관련명령 명령 secondary-text-color 설명 WebVPN 로그인, 홈페이지및파일액세스페이지의보조텍스트색상을설정합니다. 1-25

30 tftp-server 1 장 table-map through title 명령 tftp-server configure net 또는 write net 명령에서사용할기본 TFTP 서버및경로와파일이름을지정하려면전역컨피그레이션모드에서 tftp-server 명령을사용합니다. 서버컨피그레이션을제거하려면이명령의 no 형식을사용합니다. 이명령은 IPv4 및 IPv6 주소를지원합니다. tftp-server interface_name server filename no tftp-server [interface_name server filename] 구문설명 filename 경로및파일이름을지정합니다. interface_name 게이트웨이인터페이스이름을지정합니다. 보안수준이가장높은인터페이스이외의인터페이스를지정한경우인터페이스가안전하지않음을알리는경고메시지가표시됩니다. server TFTP 서버 IP 주소또는이름을설정합니다. IPv4 또는 IPv6 주소를입력할수있습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 예 릴리스 수정사항 7.0(1) 이제게이트웨이인터페이스가필수입니다. 사용지침 tftp-server 명령은 configure net 및 write net 명령의입력을간소화합니다. configure net 또는 write net 명령을입력할때 tftp-server 명령에서지정된 TFTP 서버를상속하거나고유한값을제공할수있습니다. 또한 tftp-server 명령의경로를있는그대로상속하거나, tftp-server 명령값끝에경로및파일이름을추가하거나, tftp-server 명령값을재정의할수있습니다. ASA는하나의 tftp-server 명령만지원합니다. 예 다음예에서는 TFTP 서버를지정한다음 /temp/config/test_config 디렉토리에서컨피그레이션을읽는방법을보여줍니다. ciscoasa(config)# tftp-server inside /temp/config/test_config ciscoasa(config)# configure net 1-26

31 1 장 table-map through title 명령 tftp-server 관련명령 명령 설명 configure net 지정한 TFTP 서버및경로에서컨피그레이션을로드합니다. show running-config tftp-server 컨피그레이션파일의기본 TFTP 서버주소및디렉토리를표시합니다. 1-27

32 tftp-server address 1 장 table-map through title 명령 tftp-server address 클러스터의 TFTP 서버를지정하려면 phone-proxy 컨피그레이션모드에서 tftp-server address 명령을사용합니다. Phone Proxy 컨피그레이션에서 TFTP 서버를제거하려면이명령의 no 형식을사용합니다. tftp-server address ip_address [port] interface interface no tftp-server address ip_address [port] interface interface 구문설명 ip_address TFTP 서버의주소를지정합니다. interface interface TFTP 서버가상주하는인터페이스를지정합니다. 이는 TFTP 서버의실제주소여야합니다. port ( 선택사항 ) 이는 TFTP 서버가 TFTP 요청을수신대기하는포트입니다. 기본 TFTP 포트 69가아닌경우구성해야합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 phone-proxy 컨피그레이션 예 예 릴리스 수정사항 8.0(4) 이명령이도입되었습니다. 사용지침 Phone Proxy에는하나이상의 CUCM TFTP 서버가구성되어있어야합니다. Phone Proxy당최대 5 개의 TFTP 서버를구성할수있습니다. TFTP 서버는신뢰할수있는네트워크의방화벽뒤에있는것으로가정합니다. 따라서 Phone Proxy 는 IP 전화기와 TFTP 서버간의요청을가로챕니다. TFTP 서버는 CUCM과동일한인터페이스에있어야합니다. 내부 IP 주소를사용하여 TFTP 서버를만들고 TFTP 서버가상주하는인터페이스를지정합니다. IP 전화기에서 TFTP 서버의 IP 주소를다음과같이구성해야합니다. NAT 가 TFTP 서버에대해구성된경우 TFTP 서버의전역 IP 주소를사용합니다. NAT 가 TFTP 서버에대해구성되지않은경우 TFTP 서버의내부 IP 주소를사용합니다. 1-28

33 1 장 table-map through title 명령 tftp-server address service-policy가전역적으로적용되는경우 TFTP 서버가상주하는인터페이스를제외하고모든이그레스인터페이스에서 TFTP 서버에연결하는모든 TFTP 트래픽을전달하기위한분류규칙이생성됩니다. service-policy가특정인터페이스에서적용되는경우해당인터페이스에서 TFTP 서버에연결하는모든 TFTP 트래픽을 phone-proxy 모듈로전달하기위한분류규칙이생성됩니다. TFTP 서버에대해 NAT 규칙을구성할경우분류규칙을설치할때 TFTP 서버의전역주소가사용되도록 service-policy를적용하기전에구성해야합니다. 예 다음예에서는 tftp-server address 명령을사용하여 Phone Proxy 에대해두개의 TFTP 서버를구성하는방법을보여줍니다. ciscoasa(config)# phone-proxy asa_phone_proxy ciscoasa(config-phone-proxy)# tftp-server address in interface outside ciscoasa(config-phone-proxy)# tftp-server address in interface outside ciscoasa(config-phone-proxy)# media-termination address interface inside ciscoasa(config-phone-proxy)# media-termination address interface outside ciscoasa(config-phone-proxy)# tls-proxy asa_tlsp ciscoasa(config-phone-proxy)# ctl-file asactl ciscoasa(config-phone-proxy)# cluster-mode nonsecure 관련명령 명령 설명 phone-proxy Phone Proxy 인스턴스를구성합니다. 1-29

34 threat-detection basic-threat 1 장 table-map through title 명령 threat-detection basic-threat 기본위협감지를활성화하려면전역컨피그레이션모드에서 threat-detection basic-threat 명령을사용합니다. 기본위협감지를비활성화하려면이명령의 no 형식을사용합니다. threat-detection basic-threat no threat-detection basic-threat 구문설명이명령에는인수또는키워드가없습니다. 기본값기본위협감지는기본적으로활성화되어있습니다. 다음기본속도제한이사용됩니다. 표 1-1 기본위협감지기본설정 패킷삭제사유 DoS 공격감지 잘못된패킷형식 연결제한초과 의심스러운 ICMP 패킷감지 트리거설정평균속도 지난 600초동안 100개 / 초삭제지난 3600초동안 80개 / 초삭제 버스트속도 지난 20 초동안 400 개 / 초삭제 지난 120 초동안 320 개 / 초삭제 스캔공격감지 지난 600초동안 5개 / 초삭제 지난 20초동안 10개 / 초삭제 지난 3600초동안 4개 / 초삭제 지난 120초동안 8개 / 초삭제 TCP SYN 공격감지또는데이터 지난 600초동안 100개 / 초삭제 지난 20초동안 200개 / 초삭제 없는 UDP 세션공격감지 ( 통합 ) 와같은완료되지않은세션감지 지난 3600초동안 80개 / 초삭제 지난 120초동안 160개 / 초삭제 액세스목록에의한거부 지난 600초동안 400개 / 초삭제 지난 20초동안 800개 / 초삭제 지난 3600초동안 320개 / 초삭제 지난 120초동안 640개 / 초삭제 기본방화벽확인실패 지난 600 초동안 400 개 / 초삭제 지난 20 초동안 1600 개 / 초삭제 패킷에서애플리케이션검사실패 지난 3600초동안 320개 / 초삭제 지난 120초동안 1280개 / 초삭제 인터페이스오버로드 지난 600초동안 2000개 / 초삭제 지난 20초동안 8000개 / 초삭제 지난 3600초동안 1600개 / 초삭제지난 120초동안 6400개 / 초삭제 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 1-30

35 1 장 table-map through title 명령 threat-detection basic-threat 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 8.2(1) 버스트속도간격이평균속도의 1/60에서 1/30로변경되었습니다. 사용지침 기본위협감지를활성화한경우 ASA 는다음과같은사유로인해삭제된패킷의속도및보안이벤트를모니터링합니다. 액세스목록에의한거부 잘못된패킷형식 ( 예 : invalid-ip-header 또는 invalid-tcp-hdr-length) 연결제한초과 ( 시스템전체리소스제한및컨피그레이션에설정된제한모두 ) DoS 공격감지 ( 예 : 잘못된 SPI, 상태저장방화벽확인실패 ) 기본방화벽검사실패 ( 이옵션은이글머리기호목록의모든방화벽관련패킷삭제를포함하는통합된속도입니다. 인터페이스오버로드, 애플리케이션검사에실패한패킷, 스캔공격감지등방화벽과관련이없는삭제는포함되지않습니다.) 의심스러운 ICMP 패킷감지 패킷에서애플리케이션검사실패 인터페이스오버로드 스캔공격감지 ( 이옵션은스캔공격을모니터링합니다. 예를들어첫번째 TCP 패킷이 SYN 패킷이아닌경우또는 3 방향핸드셰이크에실패한 TCP 연결을모니터링합니다. 전체스캔위협감지 (threat-detection scanning-threat 명령참고 ) 에서는이스캔공격속도정보를가져와호스트를공격자로분류하고이를자동으로차단하는등의방식으로조치를취합니다.) TCP SYN 공격감지또는데이터없는 UDP 세션공격감지와같은완료되지않은세션감지 ASA는위협을감지한경우즉시시스템로그메시지 (733100) 를보내 ASDM에알립니다. 기본위협감지는삭제또는잠재적위협이있는경우에만성능에영향을줍니다. 이경우에도성능저하는미미합니다. 기본값 섹션의표 1-1에기본설정이나와있습니다. show running-config all threat-detection 명령을사용하여이모든기본설정을볼수있습니다. threat-detection rate 명령을사용하여각이벤트유형에대한기본설정을재정의할수있습니다. 이벤트속도를초과하는경우 ASA는시스템메시지를보냅니다. ASA는두가지유형의속도, 즉간격동안의평균이벤트속도와보다짧은버스간격동안의버스트이벤트속도를추적합니다. 버스트이벤트속도는평균속도간격의 1/30 또는 10초입니다 ( 둘중높은값 ). 수신된각이벤트에대해 ASA는평균및버스트속도제한을확인합니다. 두속도모두초과하는경우 ASA는두개의개별시스템메시지를보냅니다 ( 버스트기간별각속도유형에대한최대하나의메시지포함 ). 예다음예에서는기본위협감지를활성화하고 DoS 공격에대한트리거를변경합니다. ciscoasa(config)# threat-detection basic-threat ciscoasa(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate

36 threat-detection basic-threat 1 장 table-map through title 명령 관련명령 명령 설명 clear threat-detection rate 기본위협감지통계를지웁니다. show running-config all threat-detection 개별적으로구성하지않은기본속도설정을포함하여위협감지컨피그레이션을표시합니다. show threat-detection rate 기본위협감지통계를표시합니다. threat-detection rate 이벤트유형별위협감지속도제한을설정합니다. threat-detection scanning-threat 스캔위협감지를활성화합니다. 1-32

37 1 장 table-map through title 명령 threat-detection rate threat-detection rate threat-detection basic-threat 명령을사용하여기본위협감지를활성화한경우전역컨피그레이션모드에서 threat-detection rate 명령을사용하여각이벤트유형에대한기본속도제한을변경할수있습니다. threat-detection scanning-threat 명령을사용하여스캔위협감지를활성화한경우 scanning-threat 키워드가포함된이명령은호스트가공격자또는대상으로간주되는경우를설정합니다. 그렇지않으면기본및스캔위협감지모두에기본 scanning-threat 값이사용됩니다. 기본설정을복원하려면이명령의 no 형식을사용합니다. threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate no threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate 구문설명 acl-drop 액세스목록거부로인해삭제된패킷의속도제한을설정합니다. average-rate av_rate 0~ 의평균속도제한 ( 삭제수 / 초 ) 을설정합니다. bad-packet-drop 잘못된패킷형식 ( 예 : invalid-ip-header 또는 invalid-tcp-hdr-length) 거부로인해삭제된패킷의속도제한을설정합니다. burst-rate burst_rate 0~ 의버스트속도제한 ( 삭제수 / 초 ) 을설정합니다. 버스트속도는 N초단위의평균속도로계산됩니다 ( 여기서 N은버스트속도간격 ). 버스트속도간격은 rate-interval rate_interval 값의 1/30 또는 10초입니다 ( 둘중높은값 ). conn-limit-drop 연결제한 ( 시스템수준리소스제한및컨피그레이션에설정된제한 ) 초과로인해삭제된패킷의속도제한을설정합니다. dos-drop 감지된 DoS 공격 ( 예 : 잘못된 SPI, 상태저장방화벽확인실패 ) 으로인해삭제된패킷의속도제한을설정합니다. fw-drop 기본방화벽확인실패로인해삭제된패킷의속도제한을설정합니다. 이옵션은이명령의모든방화벽관련패킷삭제를포함하는통합속도입니다. 방화벽과관련되지않은삭제 ( 예 : interface-drop, inspect-drop 및 scanning-threat) 는포함하지않습니다. icmp-drop 의심스러운 ICMP 패킷감지거부로인해삭제된패킷의속도제한을설정합니다. inspect-drop 애플리케이션검사에실패한패킷으로인해삭제된패킷의속도제한을설정합니다. interface-drop 인터페이스오버로드로인해삭제된패킷의속도제한을설정합니다. rate-interval rate_interval 600초에서 초 (30일) 사이의평균속도간격을설정합니다. 속도간격은삭제평균을구할기간을결정하는데사용됩니다. 또한버스트임계값속도간격을결정합니다. scanning-threat syn-attack 감지된스캔공격으로인해삭제된패킷의속도제한을설정합니다. 이옵션은스캔공격을모니터링합니다. 예를들어첫번째 TCP 패킷이 SYN 패킷이아닌경우또는 3방향핸드셰이크에실패한 TCP 연결을모니터링합니다. 전체스캔위협감지 (threat-detection scanning-threat 명령참고 ) 에서는이스캔공격속도정보를가져와호스트를공격자로분류하고이를자동으로차단하는등의방식으로조치를취합니다. 불완전한세션 ( 예 : TCP SYN 공격또는데이터없는 UDP 세션공격 ) 으로인해삭제된패킷의속도제한을설정합니다. 1-33

38 threat-detection rate 1 장 table-map through title 명령 기본값 threat-detection basic-threat 명령을사용하여기본위협감지를활성화한경우다음기본속도제한이사용됩니다. 표 1-2 기본위협감지기본설정 패킷삭제사유 트리거설정평균속도 버스트속도 dos-drop 지난 600초동안 100개 / 초삭제 지난 20초동안 400개 / 초삭제 bad-packet-drop 지난 3600초동안 100개 / 초삭제 지난 120초동안 400개 / 초삭제 conn-limit-drop icmp-drop scanning-threat 지난 600초동안 5개 / 초삭제 지난 20초동안 10개 / 초삭제 지난 3600초동안 5개 / 초삭제 지난 120초동안 10개 / 초삭제 syn-attack 지난 600초동안 100개 / 초삭제 지난 20초동안 200개 / 초삭제 지난 3600초동안 100개 / 초삭제 지난 120초동안 200개 / 초삭제 acl-drop 지난 600초동안 400개 / 초삭제 지난 20초동안 800개 / 초삭제 지난 3600초동안 400개 / 초삭제 지난 120초동안 800개 / 초삭제 fw-drop 지난 600초동안 400개 / 초삭제 지난 20초동안 1600개 / 초삭제 inspect-drop 지난 3600초동안 400개 / 초삭제 지난 120초동안 1600개 / 초삭제 interface-drop 지난 600초동안 2000개 / 초삭제 지난 20초동안 8000개 / 초삭제 지난 3600초동안 2000개 / 초삭제 지난 120초동안 8000개 / 초삭제 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 8.2(1) 버스트속도간격이평균속도의 1/60에서 1/30로변경되었습니다. 1-34

39 1 장 table-map through title 명령 threat-detection rate 사용지침각이벤트유형에대해최대 3개의속도간격을구성할수있습니다. 기본위협감지를활성화한경우 ASA는 구문설명 표에설명된이벤트유형으로인해삭제된패킷의속도및보안이벤트를모니터링합니다. ASA는위협을감지한경우즉시시스템로그메시지 (733100) 를보내 ASDM에알립니다. 기본위협감지는삭제또는잠재적위협이있는경우에만성능에영향을줍니다. 이경우에도성능저하는미미합니다. 기본값 섹션의표 1-1에기본설정이나와있습니다. show running-config all threat-detection 명령을사용하여이모든기본설정을볼수있습니다. 이벤트속도를초과하는경우 ASA는시스템메시지를보냅니다. ASA는두가지유형의속도, 즉간격동안의평균이벤트속도와보다짧은버스간격동안의버스트이벤트속도를추적합니다. 수신된각이벤트에대해 ASA는평균및버스트속도제한을확인합니다. 두속도모두초과하는경우 ASA는두개의개별시스템메시지를보냅니다 ( 버스트기간별각속도유형에대한최대하나의메시지포함 ). 예다음예에서는기본위협감지를활성화하고 DoS 공격에대한트리거를변경합니다. ciscoasa(config)# threat-detection basic-threat ciscoasa(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 관련명령 명령 설명 clear threat-detection rate 기본위협감지통계를지웁니다. show running-config all threat-detection 개별적으로구성하지않은기본속도설정을포함하여위협감지컨피그레이션을표시합니다. show threat-detection rate 기본위협감지통계를표시합니다. threat-detection basic-threat 기본위협감지를활성화합니다. threat-detection scanning-threat 스캔위협감지를활성화합니다. 1-35

40 threat-detection scanning-threat 1 장 table-map through title 명령 threat-detection scanning-threat 스캔위협감지를활성화하려면전역컨피그레이션모드에서 threat-detection scanning-threat 명령을사용합니다. 스캔위협감지를비활성화하려면이명령의 no 형식을사용합니다. threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] no threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] 구문설명 duration seconds 10초에서 초사이의공격호스트에대한차단기간을설정합니다. 기본길이는 3600초 (1시간) 입니다. except IP 주소를차단에서제외합니다. 이명령을여러번입력하여차단에서제외할여러 IP 주소또는네트워크개체그룹을식별할수있습니다. ip-address ip_address mask 차단에서제외할 IP 주소를지정합니다. object-group 차단에서제외할네트워크개체그룹을지정합니다. 객체그룹을만 network_object_group_id 드는방법은 object-group network 명령을참고하십시오. shun ASA 에서호스트를공격자로식별한경우시스템로그메시지 을보내는것외에, 호스트연결을자동으로종료합니다. 기본값기본차단기간은 3600초 (1시간) 입니다. 다음기본속도제한은스캔공격이벤트에사용됩니다. 표 1-3 스캔위협감지에대한기본속도제한 평균속도지난 600초동안 5개 / 초삭제지난 3600초동안 5개 / 초삭제 버스트속도 지난 20 초동안 10 개 / 초삭제 지난 120 초동안 10 개 / 초삭제 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 1-36

41 1 장 table-map through title 명령 threat-detection scanning-threat 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 8.0(4) duration 키워드가추가되었습니다. 사용지침 일반적인스캔공격은서브넷의모든 IP 주소에대한액세스가능성을테스트하는호스트로구성됩니다 ( 서브넷의여러호스트를통해스캔하거나호스트또는서브넷의여러포트를통해삭제 ). 스캔위협감지기능은호스트에서스캔을수행하는시점을결정합니다. 트래픽서명을기반으로하는 IPS 스캔감지와달리, ASA 스캔위협감지기능은스캔활동에대해분석할수있는호스트통계가포함된광범위한데이터베이스를유지합니다. 호스트데이터베이스는반환활동이없는연결, 닫힌서비스포트액세스, 취약한 TCP 동작 ( 예 : 비임의 IPID), 기타여러동작등의심스러운활동을추적합니다. 주의 스캔위협감지기능은호스트및서브넷기반데이터구조및정보를만들고수집하는동안 ASA 성능및메모리에상당한영향을줄수있습니다. 공격자에대한시스템로그메시지를보내도록 ASA를구성하거나호스트를자동으로차단할수있습니다. 호스트가공격자로식별되면기본적으로시스템로그메시지 이생성됩니다. ASA는스캔위협이벤트속도가초과된경우공격자및대상을식별합니다. ASA는두가지유형의속도, 즉간격동안의평균이벤트속도와보다짧은버스간격동안의버스트이벤트속도를추적합니다. 스캔공격의일부로간주되는감지된각이벤트에대해 ASA는평균및버스트속도제한을확인합니다. 호스트에서전송된트래픽이두속도중하나를초과하는경우해당호스트는공격자로간주됩니다. 호스트에서수신한트래픽이두속도중하나를초과하는경우해당호스트는대상으로간주됩니다. threat-detection rate scanning-threat 명령을사용하여스캔위협이벤트에대한속도제한을변경할수있습니다. 공격자또는대상으로분류된호스트를보려면 show threat-detection scanning-threat 명령을사용합니다. 차단된호스트를보려면 show threat-detection shun 명령을사용합니다. 호스트의차단을해제하려면 clear threat-detection shun 명령을사용합니다. 예 다음예에서는스캔위협감지를활성화하고공격자로분류된호스트 ( 네트워크의호스트제외 ) 를자동으로차단합니다. 스캔위협감지에대한기본속도제한도변경됩니다. ciscoasa(config)# threat-detection scanning-threat shun except ip-address ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20 ciscoasa(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate

42 threat-detection scanning-threat 1 장 table-map through title 명령 관련명령 명령 설명 clear threat-detection shun 호스트를차단에서해제합니다. show threat-detection 공격자및대상으로분류된호스트를표시합니다. scanning-threat show threat-detection shun 현재차단된호스트를표시합니다. threat-detection basic-threat 기본위협감지를활성화합니다. threat-detection rate 이벤트유형별위협감지속도제한을설정합니다. 1-38

43 1 장 table-map through title 명령 threat-detection statistics threat-detection statistics 고급위협감지통계를활성화하려면전역컨피그레이션모드에서 threat-detection statistics 명령을사용합니다. 고급위협감지통계를비활성화하려면이명령의 no 형식을사용합니다. 주의통계를활성화하면활성화된통계유형에따라 ASA 성능이영향을받을수있습니다. threat-detection statistics host 명령은성능에상당한영향을줍니다. 트래픽부하가큰경우이유형의통계를일시적으로활성화하는것이좋을수있습니다. 그러나 threat-detection statistics port 명령은적당한영향을줍니다. threat-detection statistics [access-list [host port protocol [number-of-rate {1 2 3}] tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] no threat-detection statistics [access-list host port protocol tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] 구문설명 access-list ( 선택사항 ) 액세스목록거부에대한통계를활성화합니다. 액세스 목록통계는 show threat-detection top access-list 명령을통해서만 표시됩니다. average-rate attacks_per_sec ( 선택사항 ) TCP 가로채기에대해시스템로그메시지생성평균속도임계값 (25~ ) 을설정합니다. 기본값은 200/ 초입니다. 평균속도가초과되면시스템로그메시지 가생성됩니다. burst-rate attacks_per_sec ( 선택사항 ) TCP 가로채기에대해시스템로그메시지생성임계값 (25~ ) 을설정합니다. 기본값은 400/ 초입니다. 버스트속도가초과되면시스템로그메시지 가생성됩니다. host ( 선택사항 ) 호스트통계를활성화합니다. 호스트통계는호스트가활성화되어있는동안스캔위협호스트데이터베이스에서누적됩니다. 비활성상태가 10분간지속된후에는데이터베이스에서호스트가삭제되고통계가지워집니다. number-of-rate {1 2 3} ( 선택사항 ) 호스트, 포트또는프로토콜통계에대해유지되는속도간격수를설정합니다. 기본속도간격수는 1입니다. 이는메모리사용량을낮게유지합니다. 추가속도간격을보려면값을 2 또는 3 으로설정합니다. 예를들어값을 3으로설정하면지난 1시간, 8시간및 24시간동안의데이터를볼수있습니다. 이키워드를 1( 기본값 ) 로설정하면가장짧은속도간격통계가유지됩니다. 이값을 2로설정하면두개의가장짧은간격이유지됩니다. port ( 선택사항 ) 포트통계를활성화합니다. protocol ( 선택사항 ) 프로토콜통계를활성화합니다. rate-interval minutes tcp-intercept ( 선택사항 ) TCP 가로채기에대해기록모니터링윈도우크기 (1~1440분) 를설정합니다. 기본값은 30분입니다. 이간격동안 ASA 는 30회의공격을샘플링합니다. ( 선택사항 ) TCP 가로채기에의해가로채기된공격에대한통계를활성화합니다. TCP 가로채기를활성화하려면 set connection embryonic-conn-max command 또는 nat 또는 static 명령을참고하십시오. 1-39

44 threat-detection statistics 1 장 table-map through title 명령 기본값 액세스목록통계는기본적으로활성화되어있습니다. 이명령에서옵션을지정하지않으면모든옵션이활성화됩니다. 기본 tcp-intercept rate-interval은 30분입니다. 기본 burst-rate은 400/ 초입니다. 기본 average-rate 은 200/ 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 8.0(4)/8.1(2) tcp-intercept 키워드가추가되었습니다. 8.1(2) number-of-rates 키워드가호스트통계에대해추가되고, 기본속도수가 3에서 1로변경되었습니다. 8.2(1) 버스트속도간격이평균속도의 1/60에서 1/30로변경되었습니다. 8.3(1) number-of-rates 키워드가포트및프로토콜통계에대해추가되고, 기본 속도수가 3에서 1로변경되었습니다. 사용지침 이명령에서옵션을지정하지않으면모든통계가활성화됩니다. 특정통계만활성화하려면각통계유형에대해이명령을입력하고, 옵션없이명령을입력하지않습니다. threat-detection statistics( 옵션없이 ) 를입력한다음 statistics-specific 옵션과함께명령을입력 ( 예 : threat-detection statistics host number-of-rate 2) 하여특정통계를사용자지정할수있습니다. threat-detection statistics( 옵션없이 ) 를입력한다음특정통계에대한명령을통계별옵션없이입력한경우에는해당명령이이미활성화되어있기때문에아무효과가없습니다. 이명령의 no 형식을입력한경우에는기본적으로활성화되는 threat-detection statistics access-list 명령을포함하여모든 threat-detection statistics 명령이제거됩니다. show threat-detection statistics 명령을사용하여통계를확인합니다. threat-detection scanning-threat 명령을사용하여스캔위협감지를활성화하지않아도됩니다. 감지와통계를개별적으로구성할수있습니다. 예 다음예에서는호스트를제외하고모든유형에대해스캔위협감지및스캔위협통계를활성화합니다. ciscoasa(config)# threat-detection scanning-threat shun except ip-address ciscoasa(config)# threat-detection statistics access-list ciscoasa(config)# threat-detection statistics port ciscoasa(config)# threat-detection statistics protocol ciscoasa(config)# threat-detection statistics tcp-intercept 1-40

45 1 장 table-map through title 명령 threat-detection statistics 관련명령 명령 설명 threat-detection scanning-threat 스캔위협감지를활성화합니다. show threat-detection statistics host 호스트통계를표시합니다. show threat-detection memory 고급위협감지통계의메모리사용량을표시합니다. show threat-detection statistics port 포트통계를표시합니다. show threat-detection statistics protocol 프로토콜통계를표시합니다. show threat-detection statistics top 상위 10개의통계를표시합니다. 1-41

46 threshold 1 장 table-map through title 명령 threshold SLA 모니터링작업에서임계값초과이벤트에대한임계값을설정하려면 SLA 모니터컨피그레이션모드에서 threshold 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. threshold milliseconds no threshold 구문설명 milliseconds 선언할상승임계값의밀리초수를지정합니다. 유효한값은 0~ 입니다. 이값은시간제한에대해설정된값보다클수없습니다. 기본값기본임계값은 5000 밀리초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 SLA 모니터컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 임계값은연결성에영향을주지않지만 timeout 명령에대한적절한설정을평가하는데사용될수있는초과임계값이벤트를나타내는데에만사용됩니다. 예 다음예에서는 ID 123 을사용하여 SLA 작업을구성하고 ID 가 1 인추적작업을만들어 SLA 연결성을추적합니다. SLA 작업의빈도는 10 초, 임계값은 2500 밀리초, 시간제한값은 4000 밀리초로설정됩니다. ciscoasa(config)# sla monitor 123 ciscoasa(config-sla-monitor)# type echo protocol ipicmpecho interface outside ciscoasa(config-sla-monitor-echo)# threshold 2500 ciscoasa(config-sla-monitor-echo)# timeout 4000 ciscoasa(config-sla-monitor-echo)# frequency 10 ciscoasa(config)# sla monitor schedule 123 life forever start-time now ciscoasa(config)# track 1 rtr 123 reachability 1-42

47 1 장 table-map through title 명령 threshold 관련명령 명령 설명 sla monitor SLA 모니터링작업을정의합니다. timeout SLA 작업의응답대기시간을정의합니다. 1-43

48 ticket 1 장 table-map through title 명령 ticket Cisco Intercompany Media Engine 프록시에대한티켓에포크및비밀번호를구성하려면 UC-IME 컨피그레이션모드에서 ticket 명령을사용합니다. 프록시에서컨피그레이션을제거하려면이명령의 no 형식을사용합니다. ticket epoch n password password no ticket epoch n password password 구문설명 n 비밀번호무결성확인간격을지정합니다. 1~255의정수를입력합니다. password Cisco Intercompany Media Engine 티켓에대한비밀번호를설정합니다. US-ASCII 문자집합에서 10~64자의인쇄가능한문자를입력합니다. 허용되는문자에는 0x21~0x73이포함되며, 공백문자는제외됩니다. 한번에하나의비밀번호만구성할수있습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 UC-IME 컨피그레이션 예 예 릴리스 수정사항 8.3(1) 이명령이도입되었습니다. 사용지침 Cisco Intercompany Media Engine에대한티켓에포크및비밀번호를구성합니다. 에포크는비밀번호가변경된각시점을업데이트하는정수를포함합니다. 프록시를처음구성하고비밀번호를처음입력하는경우에포크정수에 1을입력합니다. 비밀번호를변경할때마다새비밀번호를나타내도록에포크를증가시킵니다. 비밀번호를변경할때마다에포크값을증가시켜야합니다. 일반적으로에포크를순차적으로증가시킵니다. 그러나 ASA에서는에포크를업데이트할때원하는값을선택할수있습니다. 에포크값을변경하면현재비밀번호가무효화되므로새비밀번호를입력해야합니다. 20자이상의비밀번호를사용하는것이좋습니다. 한번에하나의비밀번호만구성할수있습니다. 티켓비밀번호는플래시에저장됩니다. show running-config uc-ime 명령의출력에는비밀번호문자열대신 ***** 가표시됩니다. 1-44

49 1 장 table-map through title 명령 ticket 참고 ASA 에서구성한에포크및비밀번호는 Cisco Intercompany Media Engine 서버에서구성한에포크및비밀번호와일치해야합니다. 자세한내용은 Cisco Intercompany Media Engine 서버설명서를참고하십시오. 예 다음예에서는 Cisco Intercompany Media Engine 프록시에서티켓및에포크를지정하는방법을보여줍니다. ciscoasa(config)# uc-ime local_uc-ime_proxy ciscoasa(config-uc-ime)# media-termination ime-media-term ciscoasa(config-uc-ime)# ucm address trunk-security-mode non-secure ciscoasa(config-uc-ime)# ticket epoch 1 password password1234 hostname(config-uc-ime)# fallback monitoring timer 120 hostname(config-uc-ime)# fallback hold-down timer 30 관련명령 명령 설명 show running-config uc-ime Cisco Intercompany Media Engine 프록시의실행중인컨피그레이션을표시합니다. uc-ime ASA에서 Cisco Intercompany Media Engine 프록시인스턴스를만듭니다. 1-45

50 timeout 1 장 table-map through title 명령 timeout 여러기능에대한전역최대유휴시간을설정하려면전역컨피그레이션모드에서 timeout 명령을사용합니다. 모든시간제한을기본값으로설정하려면이명령의 no 형식을사용합니다. 단일기능을해당기본값으로재설정하려면기본값과함께 timeout 명령을다시입력합니다. timeout {conn floating-conn h225 h323 half-closed icmp mgcp mgcp-pat pat-xlate sip sip-disconnect sip-invite sip_media sip-provisional-media sunrpc tcp-proxy-reassembly udp xlate} hh:mm:ss timeout uauth hh:mm:ss [absolute inactivity] no timeout 구문설명 absolute (uauth의경우선택사항 ) uauth 시간제한이만료된후재인증을요구합니다. absolute 키워드는기본적으로활성화되어있습니다. 비활성기간후시간초과되도록 uauth 타이머를설정하려면대신 inactivity 키워드를입력합니다. conn 연결이닫히기전에경과해야하는유휴시간 (0:5:0~1193:0:0) 을지정합니다. 기본값은 1시간 (1:0:0) 입니다. 연결이시간초과되지않도록하려면 0을사용합니다. floating-conn hh:mm:ss h225 h323 half-closed icmp inactivity mgcp 여러고정경로가서로다른메트릭으로네트워크에존재하는경우 ASA 는연결생성시최상의메트릭이있는경로를사용합니다. 더나은경로를사용할수있게되면연결을다시설정하여해당경로를사용할수있도록이시간제한을통해연결을닫을수있습니다. 기본값은 0( 연결이시간초과되지않음 ) 입니다. 이기능을사용하려면시간제한을새값으로변경합니다. 시간, 분, 초단위로시간제한을지정합니다. 연결이시간초과되지않도록하려면 0 을사용합니다 ( 사용가능한경우 ). H.225 신호처리연결이닫히기전에경과해야하는유휴시간 (0:0:0~1193:0:0) 을지정합니다. 기본값은 1 시간 (1:0:0) 입니다. 시간제한값 0:0:1 은모든호출이지워지는즉시타이머를비활성화하고 TCP 연결을닫습니다. H.245(TCP) 및 H.323(UDP) 미디어연결이닫히기전에경과해야하는유휴시간 (0:0:0~1193:0:0) 을지정합니다. 기본값은 5 분 (0:5:0) 입니다. H.245 및 H.323 미디어연결모두에동일한연결플래그가설정되어있으므로 H.245(TCP) 연결에서 H.323(RTP 및 RTCP) 미디어연결과유휴시간제한을공유합니다. TCP 반닫힘연결이해제되기전에경과해야하는유휴시간을 0:5:0(9.1(1) 이하 ) 또는 0:0:30(9.1(2) 이상 ) 에서 1193:0:0 사이로지정합니다. 기본값은 10 분 (0:10:0) 입니다. 연결이시간초과되지않도록하려면 0 을사용합니다. ICMP 에대한유휴시간 (0:0:2~1193:0:0) 을지정합니다. 기본값은 2 초 (0:0:2) 입니다. (uauth의경우선택사항 ) 비활성시간제한만료후 uauth 재인증을요구합니다. MGCP 미디어연결이제거되기전에경과해야하는유휴시간 (0:0:0~1193:0:0) 을설정합니다. 기본값은 5분 (0:5:0) 입니다. 1-46

51 1 장 table-map through title 명령 timeout mgcp-pat MGCP PAT 변환이제거되기전에경과해야하는절대간격 (0:0:0~1193:0:0) 을설정합니다. 기본값은 5분 (0:5:0) 입니다. pat-xlate PAT 변환슬롯이확보될때까지경과해야하는유휴시간 (0:0:30~0:5:0) 을설정합니다. 기본값은 30초입니다. 이전연결이업스트림장치에서여전히열려있을수있기때문에업스트림라우터가확보된 PAT 포트를사용하는새연결을거부하는경우시간제한을늘릴수있습니다. sip SIP 제어연결이닫히기전까지경과해야하는유휴시간 (0:5:0~1193:0:0) 을지정합니다. 기본값은 30분 (0:30:0) 입니다. 연결이시간초과되지않도록하려면 0을사용합니다. sip-disconnect CANCEL 또는 BYE 메시지에대해 200 OK가수신되지않은경우 SIP 세션이삭제되기전까지경과해야하는유휴시간 (0:0:1~00:10:0) 을지정합니다. 기본값은 2분 (0:2:0) 입니다. sip-invite ( 선택사항 ) PROVISIONAL 메시지및미디어 xlate에대한핀홀이닫히기전까지경과해야하는유휴시간 (0:1:0~1193:0:0) 을지정합니다. 기본값은 3분 (0:3:0) 입니다. sip_media SIP 미디어연결이닫히기전까지경과해야하는유휴시간 (0:1:0~1193:0:0) 을지정합니다. 기본값은 2분 (0:2:0) 입니다. 연결이시간초과되지않도록하려면 0을사용합니다. SIP 미디어타이머는 UDP 비활성시간제한대신 SIP UDP 미디어패킷이있는 SIP RTP/RTCP에사용됩니다. sip-provisional-media SIP 프로비전미디어연결의시간제한값 (0:1:0~1193:0:0) 을지정합니다. 기본값은 2분 (0:2:0) 입니다. sunrpc SUNRPC 슬롯이닫히기전까지경과해야하는유휴시간 (0:1:0~1193:0:0) 을지정합니다. 기본값은 10분 (0:10:0) 입니다. 연결이시간초과되지않도록하려면 0을사용합니다. tcp-proxy-reassembly 재어셈블을대기하는버퍼된패킷이삭제되기전까지경과해야하는유휴시간제한 (0:0:10~1193:0:0) 을구성합니다. 기본값은 1분 (0:1:0) 입니다. uauth 인증및권한부여캐시가시간초과되어사용자가다음연결을재인증해야하기전까지경과해야하는기간 (0:0:0~1193:0:0) 을지정합니다. 기본값은 5분 (0:5:0) 입니다. 기본타이머는 absolute입니다. inactivity 키워드를입력하여비활성기간이후에시간제한이발생하도록설정할수있습니다. uauth 기간은 xlate 기간보다짧아야합니다. 캐싱을비활성화하려면 0으로설정합니다. 수동 FTP가연결에사용되거나 virtual http 명령이웹인증에사용되는경우에는 0을사용하지마십시오. udp UDP 슬롯이확보될때까지경과해야하는유휴시간 (0:1:0~1193:0:0) 을설정합니다. 기본값은 2분 (0:2:0) 입니다. 연결이시간초과되지않도록하려면 0을사용합니다. xlate 변환슬롯이확보될때까지경과해야하는유휴시간 (0:1:0~1193:0:0) 을설정합니다. 기본값은 3시간 (3:0:0) 입니다. 1-47

52 timeout 1 장 table-map through title 명령 기본값기본값은다음과같습니다. conn hh:mm:ss - 1시간 (1:0:0) floating-conn hh:mm:ss - 시간초과되지않음 (0) h225 hh:mm:ss - 1시간 (1:0:0) h323 hh:mm:ss - 5분 (0:5:0) half-closed hh:mm:ss - 10분 (0:10:0) icmp hh:mm:ss - 2초 (0:0:2) mgcp hh:mm:ss - 5분 (0:5:0) mgcp-pat hh:mm:ss - 5분 (0:5:0) rpc hh:mm:ss - 5분 (0:5:0) sip hh:mm: - 30분 (0:30:0) sip-disconnect hh:mm:ss - 2분 (0:2:0) sip-invite hh:mm:ss - 3분 (0:3:0) sip_media hh:mm:ss - 2분 (0:2:0) sip-provisional-media hh:mm:ss - 2분 (0:2:0) sunrpc hh:mm:ss - 10분 (0:10:0) tcp-proxy-reassembly hh:mm:ss - 1분 (0:1:0) uauth hh:mm:ss - 5분 (0:5:0) absolute udp hh:mm:ss - 2분 (0:02:0) xlate hh:mm:ss - 3시간 (3:0:0) 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션모드 예 예 예 예 릴리스 수정사항 7.2(1) mgcp-pat, sip-disconnect 및 sip-invite 키워드가추가되었습니다. 7.2(4)/8.0(4) sip-provisional-media 키워드가추가되었습니다. 7.2(5)/8.0(5)/8.1(2)/8.2(1) tcp-proxy-reassembly 키워드가추가되었습니다. 8.2(5)/8.4(2) floating-conn 키워드가추가되었습니다. 8.4(3) pat-xlate 키워드가추가되었습니다. 9.1(2) 최소 half-closed 값이 30초 (0:0:30) 로낮아졌습니다. 1-48

53 1 장 table-map through title 명령 timeout 사용지침 timeout 명령을사용하여전역시간제한을설정할수있습니다. 일부기능의경우 set connection timeout 명령은해당명령에서식별된트래픽에대해우선적으로적용됩니다. timeout 명령뒤에여러키워드및값을입력할수있습니다. 연결타이머 (conn) 가변환타이머 (xlate) 보다우선합니다. 변환타이머는모든연결이시간초과된후에만작동합니다. 예다음예에서는최대유휴시간을구성하는방법을보여줍니다. ciscoasa(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity ciscoasa(config)# show running-config timeout timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity 관련명령 명령 설명 clear configure timeout 시간제한컨피그레이션을지우고기본값으로다시설정합니다. set connection timeout MPF(Modular Policy Framework) 를사용하여연결시간제한을설정합니다. show running-config timeout 지정된프로토콜의시간제한값을표시합니다. 1-49

54 timeout(aaa-server host) 1 장 table-map through title 명령 timeout(aaa-server host) AAA 서버와의연결설정을중단하기전에허용되는호스트별최대응답시간을구성하려면 aaa-server host 모드에서 timeout 명령을사용합니다. 시간제한값을제거하고시간제한을기본값 10 초로다시설정하려면이명령의 no 형식을사용합니다. timeout seconds no timeout 구문설명 seconds 요청에대한시간제한간격 (1~60 초 ) 을지정합니다. 이시간이지나면 ASA 가기본 AAA 서버에대한요청을중단합니다. 대기 AAA 서버가있는경우 ASA 는백업서버로요청을보냅니다. 기본값기본시간제한값은 10 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 aaa-server 호스트컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침이명령은모든 AAA 서버프로토콜유형에사용할수있습니다. timeout 명령을사용하여 ASA가 AAA 서버에연결하려고시도하는기간을지정할수있습니다. retry-interval 명령을사용하여 ASA가연결시도간에대기하는기간을지정할수있습니다. 시간제한은 ASA가서버와의트랜잭션을완료하려고시도하는데소요되는총시간입니다. 재시도간격은시간제한기간동안통신이재시도되는빈도를결정합니다. 따라서재시도간격이시간제한값보다크거나같은경우에는재시도가발생하지않습니다. 재시도가발생하려면재시도간격이시간제한값보다작아야합니다. 예 다음예에서는호스트 에서 10 초의재시도간격으로시간제한값 30 초를사용하도록 svrgrp1 이라는 RADIUS AAA 서버를구성합니다. 따라서 ASA 는 30 초후에중단할때까지통신을세번시도합니다. ciscoasa(config)# aaa-server svrgrp1 protocol radius ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host ciscoasa(config-aaa-server-host)# timeout 30 ciscoasa(config-aaa-server-host)# retry-interval 10 ciscoasa(config-aaa-server-host)# 1-50

55 1 장 table-map through title 명령 timeout(aaa-server host) 관련명령 명령 설명 aaa-server host 호스트별 AAA 서버매개변수를구성할수있도록 aaa server host 컨피그레이션모드를시작합니다. clear configure aaa-server 컨피그레이션에서모든 AAA 명령문을제거합니다. show running-config aaa 현재 AAA 컨피그레이션값을표시합니다. 1-51

56 timeout(dns-server-group 컨피그레이션모드 ) 1 장 table-map through title 명령 timeout(dns-server-group 컨피그레이션모드 ) 다음 DNS 서버를시도하기전에대기할기간을지정하려면 dns-server-group 컨피그레이션모드에서 timeout 명령을사용합니다. 기본시간제한을복원하려면이명령의 no 형식을사용합니다. timeout seconds no timeout [seconds] 구문설명 seconds 1 초에서 30 초사이의시간제한 ( 초 ) 을지정합니다. 기본값은 2 초입니다. ASA 가서버목록을재시도할때마다이시간제한이두배가됩니다. dns-server-group 컨피그레이션모드에서 retries 명령을사용하여재시도횟수를구성할수있습니다. 기본값기본시간제한은 2 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 예다음예에서는 DNS 서버그룹 dnsgroup1 의시간제한을 1 초로설정합니다. ciscoasa(config)# dns server-group dnsgroup1 ciscoasa(config-dns-server-group)# dns timeout 1 관련명령 명령 clear configure dns 설명 사용자가만든모든 DNS 서버그룹을제거하고기본서버그룹의특성을기본값으로재설정합니다. domain-name 기본도메인이름을설정합니다. retries ASA가응답을받지못한경우 DNS 서버목록을재시도할횟수를지정합니다. show running-config 현재실행중인 DNS 서버그룹컨피그레이션을표시합니다. dns server-group 1-52

57 1 장 table-map through title 명령 timeout(gtp-map) timeout(gtp-map) GTP 세션에대한비활성타이머를변경하려면 GTP 맵컨피그레이션모드에서 timeout 명령을사용합니다. 이모드는 gtp-map 명령을사용하여액세스할수있습니다. 이러한간격을해당기본값으로설정하려면이명령의 no 형식을사용합니다. timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss no timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss 구문설명 hh:mm:ss 시간제한입니다. 여기서 hh는시간을지정하고, mm은분을지정하며, ss는초를지정하고, 콜론 (:) 은이세구성요소를구분합니다. 0 값은즉 시중지되지않음을의미합니다. gsn GSN이제거되기전까지경과해야하는비활성기간을지정합니다. pdp-context PDP 상황수신을시작하기전에허용되는최대기간을지정합니다. request GTP 메시지수신을시작하기전에허용되는최대기간을지정합니다. signaling GTP 신호처리가제거되기전까지경과해야하는비활성기간을지정 합니다. t3-response GTP 연결이제거되기전의최대응답대기시간을지정합니다. tunnel GTP 터널이중지되기전까지경과해야하는비활성기간을지정합니다. 기본값기본값은 gsn, pdp-context 및 signaling의경우 30분입니다. request에대한기본값은 1분입니다. tunnel에대한기본값은 1시간입니다 (PDP 상황삭제요청이수신되지않은경우 ). 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 GTP 맵컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 PDP(Packet Data Protocol) 상황은 IMSI와 NSAPI의조합인 TID( 터널식별자 ) 로식별됩니다. 각 MS 에는최대 15개의 NSAPI가있을수있으므로다양한 QoS 수준에대한애플리케이션요구사항에따라각각 NSAPI가다른여러 PDP 상황를만들수있습니다. GTP 터널은서로다른 GSN 노드의연결된 PDP 상황 2개로정의되며, 터널 ID로식별됩니다. GTP 터널은외부패킷데이터네트워크와모바일스테이션사용자간에패킷을전달하는데필요합니다. 1-53

58 timeout(gtp-map) 1 장 table-map through title 명령 예다음예에서는요청대기열에대한시간제한값을 2 분으로설정합니다. ciscoasa(config)# gtp-map gtp-policy ciscoasa(config-gtpmap)# timeout request 00:02:00 관련명령 명령 설명 clear service-policy 전역 GTP 통계를지웁니다. inspect gtp debug gtp GTP 검사에대한자세한정보를표시합니다. gtp-map GTP 맵을정의하고 GTP 맵컨피그레이션모드를활성화합니다. inspect gtp 애플리케이션검사에사용할특정 GTP 맵을적용합니다. show service-policy inspect gtp GTP 컨피그레이션을표시합니다. 1-54

59 1 장 table-map through title 명령 timeout(radius-accounting) timeout(radius-accounting) RADIUS 계정관리사용자에대한비활성타이머를변경하려면 radius-accounting 매개변수컨피그레이션모드에서 timeout 명령을사용합니다. 이모드는 inspect radius-accounting 명령을사용하여액세스할수있습니다. 이러한간격을해당기본값으로설정하려면이명령의 no 형식을사용합니다. timeout users hh:mm:ss no timeout users hh:mm:ss 구문설명 hh:mm:ss 시간제한입니다. 여기서 hh 는시간을지정하고, mm 은분을지정하며, ss 는초를지정하고, 콜론 (:) 은이세구성요소를구분합니다. 0 값은즉시중지되지않음을의미합니다. 기본값은 1 시간입니다. users 사용자에대한시간제한을지정합니다. 기본값사용자에대한기본시간제한은 1 시간입니다. 다음표에는명령을입력할수있는모드가나와있습니다. radius-accounting 매개변수컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예다음예에서는사용자에대한시간제한값을 10 분으로설정합니다. hostname(config)# policy-map type inspect radius-accounting ra ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# timeout user 00:10:00 관련명령 명령 설명 inspect RADIUS 계정관리에대한검사를설정합니다. radius-accounting parameters 검사정책맵의매개변수를설정합니다. 1-55

60 timeout(sla monitor) 1 장 table-map through title 명령 timeout(sla monitor) SLA 작업이요청패킷에대한응답을기다리는시간을설정하려면 SLA 모니터프로토콜컨피그레이션모드에서 timeout 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. timeout milliseconds no timeout 구문설명 milliseconds 0~ 입니다. 기본값기본시간제한값은 5000 밀리초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. SLA 모니터프로토콜컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 frequency 명령을사용하여 SLA 작업이요청패킷을보내는빈도를설정하고, timeout 명령을사용하여 SLA 작업이해당요청에대한응답을기다리는기간을설정할수있습니다. timeout 명령에지정된값은 frequency 명령에지정된값보다클수없습니다. 예 다음예에서는 ID 123 을사용하여 SLA 작업을구성하고 ID 가 1 인추적작업을만들어 SLA 연결성을추적합니다. SLA 작업의빈도는 10 초, 임계값은 2500 밀리초, 시간제한값은 4000 밀리초로설정됩니다. ciscoasa(config)# sla monitor 123 ciscoasa(config-sla-monitor)# type echo protocol ipicmpecho interface outside ciscoasa(config-sla-monitor-echo)# threshold 2500 ciscoasa(config-sla-monitor-echo)# timeout 4000 ciscoasa(config-sla-monitor-echo)# frequency 10 ciscoasa(config)# sla monitor schedule 123 life forever start-time now ciscoasa(config)# track 1 rtr 123 reachability 1-56

61 1 장 table-map through title 명령 timeout(sla monitor) 관련명령 명령 설명 frequency SLA 작업이반복되는빈도를지정합니다. sla monitor SLA 모니터링작업을정의합니다. 1-57

62 timeout pinhole 1 장 table-map through title 명령 timeout pinhole DCERPC 핀홀에대한시간제한을구성하고전역시스템핀홀시간제한 (2 분 ) 을재정의하려면매개변수컨피그레이션모드에서 timeout pinhole 명령을사용합니다. 매개변수컨피그레이션모드는정책맵컨피그레이션모드에서액세스할수있습니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. timeout pinhole hh:mm:ss no timeout pinhole 구문설명 hh:mm:ss 핀홀연결에대한시간제한입니다. 값은 0:0:1~1193:0:0 입니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 매개변수컨피그레이션 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예 다음예에서는 DCERPC 검사정책맵에서핀홀연결에대한핀홀시간제한을구성하는방법을보여줍니다. ciscoasa(config)# policy-map type inspect dcerpc dcerpc_map ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# timeout pinhole 0:10:00 관련명령 명령 설명 class 정책맵에서클래스맵이름을식별합니다. class-map type 애플리케이션에특정한트래픽과일치시킬검사클래스맵을만듭니다. inspect policy-map 계층 3/4 정책맵을만듭니다. show running-config 모든현재정책맵컨피그레이션을표시합니다. policy-map 1-58

63 1 장 table-map through title 명령 timers bgp timers bgp BGP 네트워크타이머를조정하려면라우터컨피그레이션모드에서 timers bgp 명령을사용합니다. BGP 타이밍기본값을재설정하려면이명령의 no 형식을사용합니다. timers bgp keepalive holdtime [min-holdtime] no timers bgp keepalive holdtime [min-holdtime] 구문설명 keepalive Cisco IOS 소프트웨어가해당피어로 keepalive 메시지를보내는빈도 ( 초 ) 입니다. 기본값은 60초입니다. 범위는 0~65535입니다. holdtime 소프트웨어가 keepalive 메시지를받지못한후피어를정지된것으로선언할때까지의간격 ( 초 ) 입니다. 기본값은 180초입니다. 범위는 0~65535입니다. min-holdtime ( 선택사항 ) BGP 네이버에서허용되는최소보류시간을지정하는간격 ( 초 ) 입니다. 허용되는최소보류시간은 holdtime 인수에지정된간격보다작거나같아야합니다. 범위는 0~65535 입니다. 기본값 keepalive: 60 초 holdtime: 180 초 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 라우터컨피그레이션 예 예 예 릴리스 수정사항 9.2(1) 이명령이도입되었습니다. 사용지침 holdtime 인수값을 20초미만으로구성하면다음경고가표시됩니다. 20초미만의보류시간은피어플래핑의가능성을증가시킵니다. 허용되는최소보류시간이지정된보류시간보다큰경우다음알림이표시됩니다. 허용되는최소보류시간은구성된보류시간보다작거나같아야합니다. 참고 허용되는최소보류시간이 BGP 라우터에구성된경우원격 BGP 피어세션은원격피어가허용되는최소보류시간간격보다크거나같은보류시간을전달하는경우에만설정됩니다. 허용되는최소보류시간이구성된보류시간보다큰경우에는다음에원격세션을설정하려고할때설정에실패하고로컬라우터가 unacceptable hold time 이라는알림을보냅니다. 1-59

64 timers bgp 1 장 table-map through title 명령 예 다음예에서는 keepalive 타이머를 70초로변경하고 hold-time 타이머를 130초로변경하며, 허용되는최소보류시간간격을 100초로변경합니다. ciscoasa(config)# router bgp ciscoasa(config-router)# timers bgp

65 1 장 table-map through title 명령 ime-range ime-range time-range 컨피그레이션모드를시작하고트래픽규칙또는작업에연결할수있는시간범위를정의하려면전역컨피그레이션모드에서 time-range 명령을사용합니다. 비활성화하려면이명령의 no 형식을사용합니다. time-range name no time-range name 구문설명 name 시간범위의이름입니다. 이름은 64 자이하여야합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 시간범위생성은장치에대한액세스를제한하지않습니다. time-range 명령은시간범위만을정의합니다. 시간범위를정의한후에는트래픽규칙또는작업에연결할수있습니다. 시간기반 ACL을구현하려면 time-range 명령을사용하여하루및주중의특정시간을정의합니다. 그런다음 access-list extended time-range 명령을사용하여시간범위를 ACL에바인딩합니다. 시간범위는 ASA의시스템클럭을기반으로합니다. 그러나이기능은 NTP 동기화에서가장효과적으로작동합니다. 예 다음예에서는 New_York_Minute 이라는시간범위를만들고시간범위컨피그레이션모드를시작합니다. ciscoasa(config)# time-range New_York_Minute ciscoasa(config-time-range)# 시간범위를만들고 time-range 컨피그레이션모드를시작한후에는 absolute 및 periodic 명령을사용하여시간범위매개변수를정의할수있습니다. time-range 명령의 absolute 및 periodic 키워드에대한기본설정을복원하려면 time-range 컨피그레이션모드에서 default 명령을사용합니다. 1-61

66 ime-range 1 장 table-map through title 명령 시간기반 ACL 을구현하려면 time-range 명령을사용하여하루및주중의특정시간을정의합니다. 그런다음 access-list extended 명령을사용하여시간범위를 ACL 에바인딩합니다. 다음예에서는 Sales 라는 ACL 을 New_York_Minute 이라는시간범위에바인딩합니다. ciscoasa(config)# access-list Sales line 1 extended deny tcp host host time-range New_York_Minute ciscoasa(config)# ACL 에대한자세한내용은 access-list extended 명령을참고하십시오. 관련명령 명령 설명 absolute 시간범위가적용되는절대시간을정의합니다. access-list extended ASA를통해 IP 트래픽을허용하거나거부하는정책을구성합니다. default time-range 명령의 absolute 및 periodic 키워드에대한기본설정을복원합니다. periodic time-range 기능을지원하는기능에대한되풀이 ( 매주 ) 시간범위를지정합니다. 1-62

67 1 장 table-map through title 명령 timeout secure-phones timeout secure-phones secure-phone 항목이 Phone Proxy 데이터베이스에서제거될때까지의유휴시간제한을구성하려면 phone-proxy 컨피그레이션모드에서 timeout secure-phones 명령을사용합니다. 시간제한값을기본값인 5 분으로다시설정하려면이명령의 no 형식을사용합니다. timeout secure-phones hh:mm:ss no timeout secure-phones hh:mm:ss 구문설명 hh:mm:ss 개체가제거될때까지의유휴시간제한을지정합니다. 기본값은 5 분입니다. 기본값보안전화기시간제한에대한기본값은 5 분입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 8.0(4) 이명령이도입되었습니다. 사용지침 보안전화기는부팅시항상 CTL 파일을요청하기때문에 Phone Proxy는전화기를안전한것으로표시하는데이터베이스를생성합니다. 보안전화기데이터베이스의항목은구성된 (timeout secure-phones 명령을통해 ) 시간제한후제거됩니다. 이항목의타임스탬프는 SIP 전화기의경우 Phone Proxy에서받은각등록새로고침, SCCP 전화기의경우 KeepAlive에대해업데이트됩니다. timeout secure-phones 명령의기본값은 5분값입니다. SCCP KeepAlive 및 SIP 등록새로고침에대한최대시간제한값보다큰값을지정합니다. 예를들어 SCCP Keepalive가 1분간격으로구성되고 SIP 등록새로고침이 3분으로구성된경우이시간제한값을 3분보다큰값으로구성합니다. 예 다음예에서는 timeout secure-phones 명령을사용하여 3 분후보안전화기데이터베이스의항목이시간초과되도록 Phone Proxy 를구성합니다. ciscoasa(config)# phone-proxy asa_phone_proxy ciscoasa(config-phone-proxy)# tftp-server address in interface outside ciscoasa(config-phone-proxy)# tftp-server address in interface outside ciscoasa(config-phone-proxy)# media-termination address ciscoasa(config-phone-proxy)# tls-proxy asa_tlsp ciscoasa(config-phone-proxy)# ctl-file asactl ciscoasa(config-phone-proxy)# timeout secure-phones 00:03:

68 timeout secure-phones 1 장 table-map through title 명령 관련명령 명령 설명 phone-proxy Phone Proxy 인스턴스를구성합니다. 1-64

69 1 장 table-map through title 명령 timers lsa arrival timers lsa arrival ASA 가 OSPFv3 네이버의동일한 LSA 를허용하는최소간격을설정하려면 IPv6 라우터컨피그레이션모드에서 timers lsa arrival 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. timers lsa arrival milliseconds no timers lsa arrival milliseconds 구문설명 milliseconds 네이버에서수신되는동일한 LSA 를허용하기위해경과해야하는최소지연시간 ( 밀리초 ) 을지정합니다. 유효한값은 0~600,000 밀리초입니다. 기본값기본값은 1000 밀리초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 IPv6 라우터컨피그레이션 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 사용지침 이명령을사용하여네이버에서수신되는동일한 LSA 를허용하기위해경과해야하는최소간격을나타낼수있습니다. 예다음예에서는동일한 LSA 를허용하기위한최소간격을 2000 밀리초로설정합니다. ciscoasa(config-if)# ipv6 router ospf 1 ciscoasa(config-rtr)# log-adjacency-changes ciscoasa(config-rtr)# timers lsa arrival 2000 관련명령 명령 설명 ipv6 router ospf OSPFv3에대한라우터컨피그레이션모드를시작합니다. show ipv6 ospf OSPFv3 라우팅프로세스에대한일반정보를표시합니다. timers pacing flood OSPFv3 라우팅프로세스에대한 LSA 플러드패킷속도조절을구성합 니다. 1-65

70 timers lsa-group-pacing(ospfv2) 1 장 table-map through title 명령 timers lsa-group-pacing(ospfv2) OSPF LSA( 링크상태알림 ) 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을지정하려면라우터컨피그레이션모드에서 timers lsa-group-pacing 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. timers lsa-group-pacing seconds no timers lsa-group-pacing [seconds] 구문설명 seconds OSPF LSA( 링크상태알림 ) 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격입니다. 유효한값은 10~1800 초입니다. 기본값기본간격은 240 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 라우터컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 OSPF LSA( 링크상태알림 ) 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을변경하려면라우터컨피그레이션모드에서 timers lsa-group-pacing seconds 명령을사용합니다. 기본타이머값으로되돌리려면 no timers lsa-group-pacing 명령을사용합니다. 예다음예에서는 LSA 의그룹처리간격을 500 초로설정합니다. ciscoasa(config-rtr)# timers lsa-group-pacing 500 ciscoasa(config-rtr)# 관련명령 명령 설명 router ospf 라우터컨피그레이션모드를시작합니다. show ospf OSPF 라우팅프로세스에대한일반정보를표시합니다. timers spf SPF( 최단경로우선 ) 계산지연및보류시간을지정합니다. 1-66

71 1 장 table-map through title 명령 timers pacing flood(ospfv3) timers pacing flood(ospfv3) LSA 플러드패킷속도조절을구성하려면 IPv6 라우터컨피그레이션모드에서 timers pacing flood 명령을사용합니다. 기본플러드패킷속도조절값을복원하려면이명령의 no 형식을사용합니다. timers pacing flood milliseconds no timers pacing flood milliseconds 구문설명 milliseconds 플러딩대기열의 LSA 가업데이트간격사이에서속도조절되는시간 ( 밀리초 ) 을지정합니다. 컨피그레이션가능한범위는 5~100 밀리초입니다. 기본값기본값은 33 밀리초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 IPv6 라우터컨피그레이션 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 사용지침이명령을사용하여 LSA 플러드패킷속도조절을구성할수있습니다. 예 다음예에서는 LSA 플러드패킷속도조절업데이트가 OSPFv3 에대해 20 밀리초간격으로발생하도록구성합니다. ciscoasa(config-if)# ipv6 router ospf 1 ciscoasa(config-rtr)# timers pacing flood 20 관련명령 명령 설명 ipv6 router ospf IPv6 라우터컨피그레이션모드를시작합니다. timers pacing lsa-group OSPFv3 LSA( 링크상태알림 ) 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을지정합니다. 1-67

72 timers pacing lsa-group(ospfv3) 1 장 table-map through title 명령 timers pacing lsa-group(ospfv3) OSPFv3 LSA( 링크상태알림 ) 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을지정하려면 IPv6 라우터컨피그레이션모드에서 timers lsa-group-pacing 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. timers pacing lsa-group seconds no timers pacing lsa-group [seconds] 구문설명 seconds LSA 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격 ( 초 ) 을지정합니다. 유효한값은 10~1800 초입니다. 기본값기본간격은 240 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 IPv6 라우터컨피그레이션 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 사용지침 이명령을사용하여 OSPFv3 LSA 를그룹으로수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을나타낼수있습니다. 예 다음예에서는 LSA 그룹간의 OSPFv3 그룹패킷속도조절업데이트가 OSPFv3 라우팅프로세스 1 에대해 300 초간격으로발생하도록설정합니다. ciscoasa(config-if)# ipv6 router ospf 1 ciscoasa(config-rtr)# timers pacing lsa-group 300 관련명령 명령 설명 ipv6 router ospf IPv6 라우터컨피그레이션모드를시작합니다. show ipv6 ospf OSPFv3 라우팅프로세스에대한일반정보를표시합니다. timers pacing flood OSPFv3 라우팅프로세스에대한 LSA 플러드패킷속도조절을 구성합니다. timers pacing retransmission LSA 재전송패킷속도조절을구성합니다. 1-68

73 1 장 table-map through title 명령 timers pacing retransmission(ospfv3) timers pacing retransmission(ospfv3) LSA( 링크상태알림 ) 재전송패킷속도조절을구성하려면라우터컨피그레이션모드에서 timers pacing retransmission 명령을사용합니다. 기본재전송패킷속도조절값을복원하려면이명령의 no 형식을사용합니다. timers pacing retransmission milliseconds no timers pacing retransmission 구문설명 milliseconds 재전송대기열의 LSA 가속도조절되는시간간격 ( 밀리초 ) 을지정합니다. 유효한값은 5~200 밀리초입니다. 기본값기본간격은 66 밀리초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 IPv6 라우터컨피그레이션 예 예 릴리스 수정사항 9.2(1) 이명령이도입되었습니다. 사용지침 OSPF(Open Shortest Path First: 최단경로우선프로토콜 ) 재전송속도조절타이머를구성하면 OSPF 재전송대기열에있는연속된링크상태업데이트패킷간의간격을제어할수있습니다. 이명령을통해 LSA 업데이트가발생하는속도를제어하여많은 LSA 로인해영역이플러딩될때발생할수있는높은 CPU 또는버퍼사용률을줄일수있습니다. OSPF 패킷재전송속도조절타이머의기본설정은대부분의 OSPF 배포에적합합니다. 참고 OSPF 패킷플러딩요구사항을충족하는다른옵션을모두사용하지않은한패킷재전송속도조절타이머를변경하지마십시오. 특히, 네트워크사업자는기본플러딩타이머를변경하기전에요약, 스텁영역사용, 대기열조정및버퍼조정을먼저수행해야합니다. 또한타이머값변경에대한지침은없습니다. 각 OSPF 배포는고유하며, 사례별로고려해야합니다. 네트워크운영자는기본패킷재전송속도조절타이머값을변경할경우의위험을가정합니다. 1-69

74 timers pacing retransmission(ospfv3) 1 장 table-map through title 명령 예 다음예에서는 LSA 플러드속도조절업데이트가 OSPF 라우팅프로세스 1 에대해 55 밀리초간격으로발생하도록구성합니다. hostname(config)# router ospf 1 hostname(config-router)# timers pacing retransmission 55 관련명령 명령 설명 ipv6 router ospf IPv6 라우터컨피그레이션모드를시작합니다. show ipv6 ospf OSPFv3 라우팅프로세스에대한일반정보를표시합니다. timers pacing flood OSPFv3 라우팅프로세스에대한 LSA 플러드패킷속도조절을구성합니다. 1-70

75 1 장 table-map through title 명령 timers spf timers spf SPF( 최단경로우선 ) 계산지연및보류시간을지정하려면라우터컨피그레이션모드에서 timers spf 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. timers spf delay holdtime no timers spf [delay holdtime] 구문설명 delay OSPF가토폴로지변경사항을받은때부터 SPF( 최단경로우선 ) 계산을시작할때까지의지연시간 (1~65535초) 을지정합니다. holdtime 연속된두 SPF 계산사이의보류시간 ( 초 ) 입니다. 유효한값은 1~65535입니다. 기본값기본값은다음과같습니다. delay 는 5 초입니다. holdtime 은 10 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 라우터컨피그레이션 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 9.0(1) 다중상황모드가지원됩니다. 사용지침 OSPF 프로토콜이토폴로지변경사항을받은때부터계산을시작할때까지의지연시간및연속된두 SPF 계산사이의보류시간을구성하려면 timers spf 명령을사용합니다. 기본타이머값으로되돌리려면 no timers spf 명령을사용합니다. 예다음예에서는 SPF 계산지연을 10 초로설정하고, SPF 계산보류시간을 20 초로설정합니다. ciscoasa(config-router)# timers spf ciscoasa(config-router)# 1-71

76 timers spf 1 장 table-map through title 명령 관련명령 명령 설명 router ospf 라우터컨피그레이션모드를시작합니다. show ospf OSPF 라우팅프로세스에대한일반정보를표시합니다. timers lsa-group-pacing OSPF LSA( 링크상태알림 ) 를수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을지정합니다. 1-72

77 1 장 table-map through title 명령 timers throttle lsa timers throttle lsa OSPF(Open Shortest Path First: 최단경로우선프로토콜 ) LSA( 링크상태알림 ) 생성에대한속도제한값을설정하려면라우터컨피그레이션모드에서 timers throttle lsa 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. LSA 또는 SPF OSPFv3 제한을구성하려면 IPv6 컨피그레이션모드에서 timers throttle 명령을사용합니다. 제한컨피그레이션을제거하려면이명령의 no 형식을사용합니다. timers throttle [lsa spf] milliseconds1 milliseconds2 milliseconds3 timers throttle lsa start-interval hold-interval max-interval no timers throttle [lsa spf] no timers throttle lsa 구문설명 lsa OSPFv3 LSA 제한을구성합니다. milliseconds1 LSA의첫번째발생을생성할지연시간 ( 밀리초 ) 을지정합니다. SPF 계산에변 start-interval 경사항을수신할지연시간 ( 밀리초 ) 을지정합니다. LSA의첫번째발생을생성할최소지연시간 ( 밀리초 ) 을지정합니다. 참고 LSA 의첫번째인스턴스는로컬 OSPF 토폴로지가변경된즉시생성됩니다. 다음 LSA 는 start-interval 이후에만생성됩니다. milliseconds2 hold-interval 유효한값은 0~600,000 밀리초입니다. 기본값은 0 밀리초입니다. LSA 가즉시전송됩니다. 동일한 LSA를시작할최대지연시간 ( 밀리초 ) 을지정합니다. 첫번째와두번째 SPF 계산사이의지연시간 ( 밀리초 ) 을지정합니다. LSA를다시생성할최소지연시간 ( 밀리초 ) 을지정합니다. 이값은 LSA 생성에대한이후의속도제한값을계산하는데사용됩니다. 유효한값은 1~600,000밀리초입니다. 기본값은 5000밀리초입니다. milliseconds3 동일한 LSA를시작할최소지연시간 ( 밀리초 ) 을지정합니다. SPF 계산에대한 max-interval 최대대기시간 ( 밀리초 ) 을지정합니다. LSA를다시생성할최대지연시간 ( 밀리초 ) 을지정합니다. 유효한값은 1~600,000밀리초입니다. 기본값은 5000밀리초입니다. spf OSPFv3 SPF 제한을구성합니다. 기본값 LSA 제한 : milliseconds1의경우기본값은 0밀리초입니다. milliseconds2의경우기본값은 5000밀리초입니다. milliseconds3의경우기본값은 5000밀리초입니다. SPF 제한 : milliseconds1의경우기본값은 5000밀리초입니다. milliseconds2의경우기본값은 10000밀리초입니다. milliseconds3의경우기본값은 10000밀리초입니다. 1-73

78 timers throttle lsa 1 장 table-map through title 명령 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 IPv6 라우터컨피그레이션 예 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 사용지침 LSA 및 SPF 제한은네트워크가불안정한동안 OSPFv3에서 LSA 업데이트속도를늦추는동적메커니즘을제공하며, LSA 속도제한 ( 밀리초 ) 을제공하여 OSPFv3을보다빠르게통합할수있도록합니다. LSA 제한의경우최소또는최대시간이첫번째발생값보다작으면 OSPFv3이첫번째발생값으로자동으로수정됩니다. 마찬가지로지정된최대지연시간이최소지연시간보다작으면 OSPFv3 이최소지연시간값으로자동으로수정됩니다. SPF 제한의경우 milliseconds2 또는 milliseconds3이 milliseconds1보다작으면 OSPFv3이 milliseconds1 값으로자동으로수정됩니다. 마찬가지로 milliseconds3이 milliseconds2보다작으면 OSPFv3이 milliseconds2 값으로자동으로수정됩니다. 예다음예에서는 OSPFv3 LSA 제한 ( 밀리초 ) 을구성합니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle lsa LSA 제한의경우다음예에서는지정된최대지연시간값이최소지연시간값보다작은경우에발생하는자동수정을보여줍니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle lsa % OSPFv3: Throttle timers corrected to: ciscoasa(config-rtr)# show running-config ipv6 ipv6 router ospf 10 timers throttle lsa 다음예에서는 OSPFv3 SPF 제한 ( 밀리초 ) 을구성합니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle spf SPF 제한의경우다음예에서는지정된최대지연시간값이최소지연시간값보다작은경우에발생하는자동수정을보여줍니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle spf % OSPFv3: Throttle timers corrected to: ciscoasa(config-rtr)# show running-config ipv6 ipv6 router ospf 10 timers throttle spf

79 1 장 table-map through title 명령 timers throttle lsa 관련명령 명령 설명 ipv6 router ospf IPv6 라우터컨피그레이션모드를시작합니다. show ipv6 ospf OSPFv3 라우팅프로세스에대한일반정보를표시합니다. timers lsa-group-pacing OSPFv3 LSA( 링크상태알림 ) 를수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을지정합니다. 1-75

80 timers throttle lsa 1 장 table-map through title 명령 timers throttle lsa OSPF(Open Shortest Path First: 최단경로우선프로토콜 ) LSA( 링크상태알림 ) 생성에대한속도제한값을설정하려면라우터컨피그레이션모드에서 timers throttle lsa 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. timers throttle lsa start-interval hold-interval max-interval no timers throttle lsa 구문설명 start-interval LSA 의첫번째발생을생성할최소지연시간 ( 밀리초 ) 을지정합니다. 참고 LSA 의첫번째인스턴스는로컬 OSPF 토폴로지가변경된즉시생성됩니다. 다음 LSA 는 start-interval 이후에만생성됩니다. hold-interval max-interval 유효한값은 0~600,000 밀리초입니다. 기본값은 0 밀리초입니다. LSA 가즉시전송됩니다. LSA를다시생성할최소지연시간 ( 밀리초 ) 을지정합니다. 이값은 LSA 생성에대한이후의속도제한값을계산하는데사용됩니다. 유효한값은 1~600,000밀리초입니다. 기본값은 5000밀리초입니다. LSA를다시생성할최대지연시간 ( 밀리초 ) 을지정합니다. 유효한값은 1~600,000밀리초입니다. 기본값은 5000밀리초입니다. 기본값 LSA 제한 : start-interval의경우기본값은 0밀리초입니다. hold-interval의경우기본값은 5000밀리초입니다. max-interval의경우기본값은 5000밀리초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 라우터컨피그레이션 예 예 예 릴리스 수정사항 9.2(1) 이명령이도입되었습니다. 사용지침 동일한 LSA 는동일한 LSA ID 번호, LSA 유형및알리는라우터 ID 가포함된 LSA 인스턴스로정의됩니다. timers lsa arrival 명령의 milliseconds 값을 timers throttle lsa 명령의 hold-interval 값보다작거나같도록유지하는것이좋습니다. 1-76

81 1 장 table-map through title 명령 timers throttle lsa 예다음예에서는 OSPFv3 LSA 제한 ( 밀리초 ) 을구성합니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle lsa LSA 제한의경우다음예에서는지정된최대지연시간값이최소지연시간값보다작은경우에발생하는자동수정을보여줍니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle lsa % OSPFv3: Throttle timers corrected to: ciscoasa(config-rtr)# show running-config ipv6 ipv6 router ospf 10 timers throttle lsa 다음예에서는 OSPFv3 SPF 제한 ( 밀리초 ) 을구성합니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle spf SPF 제한의경우다음예에서는지정된최대지연시간값이최소지연시간값보다작은경우에발생하는자동수정을보여줍니다. ciscoasa(config)# ipv6 router ospf 10 ciscoasa(config-rtr)# timers throttle spf % OSPFv3: Throttle timers corrected to: ciscoasa(config-rtr)# show running-config ipv6 ipv6 router ospf 10 timers throttle spf 관련명령 명령 설명 ipv6 router ospf IPv6 라우터컨피그레이션모드를시작합니다. show ipv6 ospf OSPFv3 라우팅프로세스에대한일반정보를표시합니다. timers lsa-group-pacing OSPFv3 LSA( 링크상태알림 ) 를수집하고새로고치거나, 체크섬하거나, 기간경과로설정할간격을지정합니다. 1-77

82 title 1 장 table-map through title 명령 title WebVPN 사용자가보안어플라이언스에연결할때표시되는 WebVPN 페이지의제목을사용자지정하려면 webvpn customization 모드에서 title 명령을사용합니다. title {text style} value [no] title {text style} value 컨피그레이션에서명령을제거하고값이상속되도록하려면이명령의 no 형식을사용합니다. 구문설명 text 텍스트를변경하도록지정합니다. style 스타일을변경하도록지정합니다. value 표시할실제텍스트 ( 최대 256자 ) 또는 CSS(Cascading Style Sheet) 매개변수 ( 최대 256자 ) 입니다. 기본값기본제목텍스트는 WebVPN Service 입니다. 기본제목스타일은다음과같습니다. background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger; vertical-align:middle;text-align:left;font-weight:bold 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 webvpn customization 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 사용지침제목을없애려면 value 인수없이 title text 명령을사용합니다. style 옵션은유효한모든 CSS(Cascading Style Sheet) 매개변수로표현됩니다. 이러한매개변수에대한설명은이문서의범위를벗어납니다. CSS 매개변수에대한자세한내용은 W3C(World Wide Web Consortium) 웹사이트 ( 에서 CSS 사양을참조하십시오. CSS 2.1 사양의부록 F( 에는 CSS 매개변수목록이포함되어있습니다. 1-78

83 1 장 table-map through title 명령 title 다음은 WebVPN 페이지에서수행할수있는가장일반적인변경 ( 페이지색상변경 ) 작업에대한몇가지팁입니다. 쉼표로구분된 RGB 값, HTML 색상값또는색상이름 (HTML 에서인식되는경우 ) 을사용할수있습니다. RGB 형식은 0,0,0 이며, 각색상 ( 빨간색, 녹색, 파란색 ) 의십진수범위는 0~255 입니다. 여기서쉼표로구분된항목은다른색상과조합할각색상의강도를나타냅니다. HTML 형식은 16 진수형식의 6 자리숫자인 # 입니다. 여기서첫번째와두번째는빨간색, 세번째와네번째는녹색, 다섯번째와여섯번째는파란색을나타냅니다. 참고 WebVPN 페이지를쉽게사용자지정하려면색상견본및미리보기기능등스타일요소컨피그레이션에대한편리한기능이있는 ASDM 을사용하는것이좋습니다. 예다음예에서는 Cisco WebVPN Service 라는텍스트로제목을사용자지정합니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# title text Cisco WebVPN Service 관련명령 명령 설명 logo WebVPN 페이지의로고를사용자지정합니다. page style CSS(Cascading Style Sheet) 매개변수를사용하여 WebVPN 페이지를사용자지정합니다. 1-79

84 title 1 장 table-map through title 명령 1-80

85 2 장 tls-proxy through type echo 명령 2-1

86 tls-proxy 2 장 tls-proxy through type echo 명령 tls-proxy TLS 컨피그레이션모드에서 TLS 프록시인스턴스를구성하거나최대세션을설정하려면전역컨피그레이션모드에서 tls-proxy 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. tls-proxy [maximum-sessions max_sessions proxy_name] [noconfirm] no tls-proxy [maximum-sessions max_sessions proxy_name] [noconfirm] 구문설명 max_sessions max_sessions 플랫폼에서지원할최대 TLS 프록시세션수를지정합니다. noconfirm 확인없이 tls-proxy 명령을실행합니다. proxy_name TLS 프록시인스턴스의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 TLS 프록시컨피그레이션모드를시작하여 TLS 프록시인스턴스를만들거나플랫폼에서지원되는최대세션을설정하려면 tls-proxy 명령을사용합니다. 예다음예에서는 TLS 프록시인스턴스를만드는방법을보여줍니다. ciscoasa(config)# tls-proxy my_proxy ciscoasa(config-tlsp)# server trust-point ccm_proxy ciscoasa(config-tlsp)# client ldc issuer ldc_server ciscoasa(config-tlsp)# client ldc keypair phone_common 2-2

87 2 장 tls-proxy through type echo 명령 tls-proxy 관련명령 명령 설명 client 암호그룹을정의하고로컬동적인증서발급자또는키쌍을설정합니다. ctl-provider CTL 공급자인스턴스를정의하고공급자컨피그레이션모드를시작합니다. server trust-point TLS 핸드셰이크중에제공할프록시신뢰지점인증서를지정합니다. show tls-proxy TLS 프록시를표시합니다. 2-3

88 tos 2 장 tls-proxy through type echo 명령 tos SLA 작업요청패킷의 IP 헤더에서서비스바이트의유형을정의하려면 SLA 모니터프로토콜컨피그레이션모드에서 tos 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. tos number no tos 구문설명 number IP 헤더에서사용할서비스유형값입니다. 유효한값은 0~255 입니다. 기본값기본서비스유형값은 0 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. SLA 모니터프로토콜컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이필드에는지연, 우선순위, 신뢰성등의정보가포함됩니다. 네트워크의다른라우터가정책라우팅및기능 ( 예 : Committed Access Rate) 에이를사용할수있습니다. 예 다음예에서는 ICMP 에코요청 / 응답시간프로브작업을사용하는 ID 가 123 인 SLA 작업을구성합니다. 에코요청패킷의페이로드크기를 48 바이트로설정하고, SLA 작업중에전송되는에코요청수를 5 로설정하며, 서비스바이트유형을 80 으로설정합니다. ciscoasa(config)# sla monitor 123 ciscoasa(config-sla-monitor)# type echo protocol ipicmpecho interface outside ciscoasa(config-sla-monitor-echo)# num-packets 5 ciscoasa(config-sla-monitor-echo)# request-data-size 48 ciscoasa(config-sla-monitor-echo)# tos 80 ciscoasa(config-sla-monitor-echo)# timeout 4000 ciscoasa(config-sla-monitor-echo)# threshold 2500 ciscoasa(config-sla-monitor-echo)# frequency 10 ciscoasa(config)# sla monitor schedule 123 life forever start-time now ciscoasa(config)# track 1 rtr 123 reachability 2-4

89 2 장 tls-proxy through type echo 명령 tos 관련명령 명령 설명 num-packets SLA 작업중에전송할요청패킷수를지정합니다. request-data-size 요청패킷페이로드의크기를지정합니다. sla monitor SLA 모니터링작업을정의합니다. type echo SLA 작업을에코응답시간프로브작업으로구성합니다. 2-5

90 traceroute 2 장 tls-proxy through type echo 명령 traceroute 패킷이대상에도달하는경로를확인하려면 traceroute 명령을사용합니다. traceroute destination_ip hostname [source source_ip source-interface] [numeric] [timeout timeout_value] [probe probe_num] [ttl min_ttl max_ttl] [port port_value] [use-icmp] 구문설명 destination_ip traceroute의대상 IP 주소를지정합니다. hostname 경로를추적해야하는호스트의호스트이름입니다. 호스트이름을지정하는경우 name 명령으로정의하거나 traceroute를사용하여호스트이름을 IP 주소로확인하도록 DNS 서버를구성합니다. 과같은 DNS 도메인이름을지원합니다. max-ttl 사용할수있는최대 TTL 값입니다. 기본값은 30입니다. 이명령은 traceroute 패킷이대상에도달하거나값에도달한경우종료됩니다. min_ttl 첫번째프로브의 TTL 값입니다. 기본값은 1이지만더높은값으로설정하여알려진홉표시를무시할수있습니다. numeric 중간게이트웨이의 IP 주소만인쇄하도록출력을지정합니다. 이키워드를지정하지않으면 traceroute에서추적중에도달한게이트웨이의호스트이름을조회하려고시도합니다. port UDP( 사용자데이터그램프로토콜 ) 프로브메시지에서사용하는목적지포트 port_value 입니다. 기본값은 33434입니다. probe 각 TTL 수준에서전송할프로브수입니다. 기본값은 3개입니다. probe_num source 추적패킷의소스로사용되는 IP 주소또는인터페이스를지정합니다. source_interface 패킷추적의소스인터페이스를지정합니다. 지정하면소스인터페이스의 IP 주소가사용됩니다. source_ip 패킷추적의소스 IP 주소를지정합니다. 이 IP 주소는인터페이스중하나의 IP 주소여야합니다. 투명모드에서는 ASA의관리 IP 주소여야합니다. timeout 시간제한값을사용하도록지정합니다. timeout_value 연결시간이초과되기전에응답을대기할기간 ( 초 ) 을지정합니다. 기본값은 3초입니다. ttl 프로브에서사용할 TTL 값의범위를지정하는키워드입니다. use-icmp UDP 프로브패킷대신 ICMP 프로브패킷을사용하도록지정합니다. 기본값이명령에는기본설정이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 2-6

91 2 장 tls-proxy through type echo 명령 traceroute 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 traceroute 명령은전송된각프로브의결과를인쇄합니다. 출력의모든줄은증가하는순으로 TTL 값에해당합니다. 다음은 traceroute 명령에서인쇄되는출력기호입니다. 출력기호 설명 * 시간제한이내에프로브에대한응답을받지못했습니다. nn msec 각노드에대해지정된프로브수의왕복시간 ( 밀리초 ) 입니다.!N. ICMP 네트워크에연결할수없습니다.!H ICMP 호스트에연결할수없습니다.!P ICMP 프로토콜에연결할수없습니다.!A 관리자가 ICMP를금지했습니다.? 알수없는 ICMP 오류입니다. 예다음예에서는대상 IP 주소가지정된경우 traceroute 의출력결과를보여줍니다. ciscoasa# traceroute Tracing the route to msec 10 msec 0 msec msec 0 msec 0 msec msec 10 msec 0 msec msec 0 msec 10 msec msec 10 msec 0 msec msec 10 msec 0 msec msec 70 msec 80 msec msec 70 msec 70 msec 관련명령 명령 설명 capture 추적패킷을포함한패킷정보를캡처합니다. show capture 옵션을지정하지않은경우의캡처컨피그레이션을표시합니다. packet-tracer 패킷추적기능을활성화합니다. 2-7

92 track rtr 2 장 tls-proxy through type echo 명령 track rtr SLA 작업의연결성을추적하려면전역컨피그레이션모드에서 track rtr 명령을사용합니다. SLA 추적을제거하려면이명령의 no 형식을사용합니다. track track-id rtr sla-id reachabilitity no track track-id rtr sla-id reachabilitity 구문설명 reachability 개체의연결성을추적하도록지정합니다. sla-id 추적항목에서사용되는 SLA의 ID입니다. track-id 추적항목개체 ID를만듭니다. 유효한값은 1~500입니다. 기본값 SLA 추적은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 track rtr 명령은추적항목개체 ID를만들고해당추적항목에서사용하는 SLA를지정합니다. 각 SLA 작업은추적프로세스에서해석되는작업반환코드값을유지관리합니다. 반환코드는 OK, Over Threshold 또는기타여러반환코드일수있습니다. 표 2-1에는이러한반환코드에대한개체의연결성상태가나와있습니다. 표 2-1 SLA 추적반환코드 추적 반환코드 추적상태 연결성 OK 또는 Over Threshold Up 다른코드 Down 2-8

93 2 장 tls-proxy through type echo 명령 track rtr 예 다음예에서는 ID 123 을사용하여 SLA 작업을구성하고 ID 가 1 인추적작업을만들어 SLA 연결성을추적합니다. ciscoasa(config)# sla monitor 123 ciscoasa(config-sla-monitor)# type echo protocol ipicmpecho interface outside ciscoasa(config-sla-monitor-echo)# timeout 1000 ciscoasa(config-sla-monitor-echo)# frequency 3 ciscoasa(config)# sla monitor schedule 123 life forever start-time now ciscoasa(config)# track 1 rtr 123 reachability 관련명령 명령 설명 route 고정경로를구성합니다. sla monitor SLA 모니터링작업을정의합니다. 2-9

94 traffic-forward 2 장 tls-proxy through type echo 명령 traffic-forward 데모를위해모듈에대한트래픽전달인터페이스를활성화하려면인터페이스컨피그레이션모드에서 traffic-forward 명령을사용합니다. 트래픽전달을비활성화하려면이명령의 no 형식을사용합니다. traffic-forward module_type monitor-only no traffic-forward module_type monitor-only 구문설명 module_type 모듈의유형입니다. 지원되는모듈은다음과같습니다. monitor-only sfr - ASA FirePOWER 모듈 cxsc - ASA CX 모듈 모듈을모니터전용모드로설정합니다. 모니터전용모드에서는모듈에서데모용으로트래픽을처리할수있지만그런다음트래픽을삭제합니다. 트래픽전달인터페이스또는장치를프로덕션에사용할수없습니다. 명령기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 인터페이스컨피그레이션 예 예 릴리스 수정사항 9.1(2) 이명령이도입되었습니다. 9.2(1) sfr 키워드가추가되었습니다. 사용지침 ASA 를데모용으로사용하는경우에만이명령을사용합니다. 인터페이스의모든트래픽이삭제됩니다. 장치가투명모드에있어야하기때문에상자의모든트래픽이효과적으로삭제됩니다. 프로덕션환경의 ASA 에서는이명령을사용할수없습니다. 팁 모듈트래픽에대해, 모듈에서트래픽을검사하지만작업을수행하지는않는모니터전용모드 (" 수동 " 모드 ) 에서프로덕션 ASA 를구성하려면서비스정책의트래픽리디렉션명령에서 monitor-only 키워드를사용합니다. 테스트및데모용인경우에도 traffic-forward 명령을사용하는것보다 monitor-only redirection 명령을사용하는것이좋습니다. 2-10

95 2 장 tls-proxy through type echo 명령 traffic-forward 트래픽전달인터페이스를구성하면수신된모든트래픽이 ASA의처리없이모듈로직접전달됩니다. 그런다음모듈에서트래픽을검사하고, 정책을결정하고, 이벤트를생성하여인라인모드에서작동한경우트래픽에수행된작업을보여줍니다. 모듈이트래픽사본에서작동하지만 ASA는 ASA 또는모듈의정책결정에상관없이트래픽을즉시삭제합니다. 트래픽전달인터페이스컨피그레이션에는다음과같은제한사항이있습니다. ASA 에서모니터링전용모드와인라인모드둘다를동시에구성할수는없습니다. 한가지유형의보안정책만허용됩니다. ASA 가투명모드여야합니다. 하나의인터페이스만트래픽전달인터페이스로구성할수있습니다. 트래픽전달인터페이스는 VLAN 또는 BVI 가아니라물리적인터페이스입니다. 물리적인터페이스에는 VLAN 을연결할수없습니다. 트래픽전달인터페이스는 ASA 트래픽에사용할수없습니다. 인터페이스이름을지정하거나장애조치또는관리전용을포함하여 ASA 기능에대해구성할수없습니다. ASA CX 모듈에는다음과같은추가요구사항이있습니다. 다음 ASA CX 기능은모니터전용모드에서지원되지않습니다. 정책거부 활성인증 암호해독정책 ASA CX 는모니터전용모드에서패킷버퍼링을수행하지않으며, 최상의결과를기준으로이벤트가생성됩니다. 예를들어패킷경계에걸친긴 URL 이있는이벤트와같은일부이벤트는버퍼링부족의영향을받을수있습니다. ASA 정책과 ASA CX 모두일치하는모드가있도록구성해야합니다 ( 둘다모니터전용모드 ). 예다음예에서는 GigabitEthernet 0/5 를트래픽전용인터페이스로만듭니다. interface gigabitethernet 0/5 no nameif traffic-forward cxsc monitor-only no shutdown 관련명령 명령 설명 interface 인터페이스컨피그레이션모드를시작합니다. cxsc ASA CX 모듈로트래픽을리디렉션하는서비스정책명령입니다. sfr ASA FirePOWER 모듈로트래픽을리디렉션하는서비스정책명령입니다. 2-11

96 traffic-non-sip 2 장 tls-proxy through type echo 명령 traffic-non-sip 잘알려진 SIP 신호처리포트를사용하여비 SIP 트래픽을허용하려면매개변수컨피그레이션모드에서 traffic-non-sip 명령을사용합니다. 매개변수컨피그레이션모드는정책맵컨피그레이션모드에서액세스할수있습니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. traffic-non-sip no traffic-non-sip 구문설명이명령에는인수또는키워드가없습니다. 기본값이명령은기본적으로활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 매개변수컨피그레이션 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예 다음예에서는 SIP 검사정책맵에서잘알려진 SIP 신호처리포트를사용하여비 SIP 트래픽을허용하는방법을보여줍니다. ciscoasa(config)# policy-map type inspect sip sip_map ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# traffic-non-sip 관련명령 명령 설명 class 정책맵에서클래스맵이름을식별합니다. class-map type 애플리케이션에특정한트래픽과일치시킬검사클래스맵을만듭니다. inspect policy-map 계층 3/4 정책맵을만듭니다. show running-config 모든현재정책맵컨피그레이션을표시합니다. policy-map 2-12

97 2 장 tls-proxy through type echo 명령 transfer-encoding transfer-encoding 전송인코딩유형을지정하여 HTTP 트래픽을제한하려면 HTTP 맵컨피그레이션모드에서 transfer-encoding 명령을사용합니다. 이모드는 http-map 명령을사용하여액세스할수있습니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. transfer-encoding type {chunked compress deflate gzip identity default} action {allow reset drop} [log] no transfer-encoding type {chunked compress deflate gzip identity default} action {allow reset drop} [log] 구문설명 action 지정된전송인코딩유형을사용하는연결이감지된경우수행할작업을 지정합니다. allow 메시지를허용합니다. chunked 메시지본문이일련의청크로전송되는전송인코딩유형을식별합니다. compress 메시지본문이 UNIX 파일압축을사용하여전송되는전송인코딩유형을 식별합니다. default 트래픽에구성된목록에없는지원되는요청방법이포함된경우 ASA에 서수행하는기본작업을지정합니다. deflate 메시지본문이 zlib 형식 (RFC 1950) 및수축압축 (RFC 1951) 을사용하여전 송되는전송인코딩유형을식별합니다. drop 연결을닫습니다. gzip 메시지본문이 GNU zip(rfc 1952) 을사용하여전송되는전송인코딩유 형을식별합니다. identity 메시지본문에서전송인코딩이수행되지않는연결을식별합니다. log ( 선택사항 ) 시스템로그를생성합니다. reset TCP 재설정메시지를클라이언트및서버로전송합니다. type HTTP 애플리케이션검사를통해제어할전송인코딩유형을지정합니다. 기본값 이명령은기본적으로비활성화되어있습니다. 이명령을활성화하고지원되는전송인코딩유형을지정하지않은경우기본동작은기록없이연결을허용하는것입니다. 기본동작을변경하려면 default 키워드를사용하고다른기본동작을지정합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 HTTP 맵컨피그레이션 예 예 예 예 2-13

98 transfer-encoding 2 장 tls-proxy through type echo 명령 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 transfer-encoding 명령을활성화한경우 ASA는각지원및구성된전송인코딩유형에대한 HTTP 연결에지정된동작을적용합니다. ASA는구성된목록에있는전송인코딩유형과일치하지않는모든트래픽에 default 동작을적용합니다. 미리구성된 default 동작은기록없이연결을 allow하는것입니다. 예를들어미리구성된기본동작이있는경우 drop 및 log를사용하여하나이상의인코딩유형을지정하면 ASA는구성된인코딩유형이포함된연결을삭제하고, 각연결을기록하며, 지원되는다른인코딩유형에대한모든연결을허용합니다. 보다엄격한정책을구성하려면기본동작을 drop( 또는 reset) 및 log( 이벤트를기록하려는경우 ) 로변경합니다. 그런다음 allow 동작으로허용되는각인코딩유형을구성합니다. 적용할각설정에대해 transfer-encoding 명령을한번씩입력합니다. transfer-encoding 명령의인스턴스를하나를사용하여기본동작을변경하고또하나의인스턴스를사용하여각인코딩유형을구성된전송인코딩유형목록에추가합니다. 구성된애플리케이션유형목록에서애플리케이션범주를제거하기위해이명령의 no 형식을사용하는경우커맨드라인에서애플리케이션범주키워드뒤의문자는모두무시됩니다. 예 다음예에서는특별히금지되지않은지원되는모든애플리케이션유형을허용하는미리구성된기본값으로허용정책을제공합니다. ciscoasa(config)# http-map inbound_http ciscoasa(config-http-map)# transfer-encoding gzip drop log ciscoasa(config-http-map)# 이경우 GNU zip을사용하는연결만삭제되고이벤트가기록됩니다. 다음예에서는연결을재설정하고특별히허용되지않은인코딩유형에대한이벤트를기록하도록기본동작이변경된제한정책을제공합니다. ciscoasa(config)# http-map inbound_http ciscoasa(config-http-map)# port-misuse default action reset log ciscoasa(config-http-map)# port-misuse identity allow ciscoasa(config-http-map)# 이경우전송인코딩을사용하지않는연결만허용됩니다. 지원되는다른인코딩유형에대한 HTTP 트래픽을받은경우 ASA 는연결을재설정하고시스템로그항목을생성합니다. 관련명령 명령 설명 class-map 보안작업을적용할트래픽클래스를정의합니다. debug appfw 향상된 HTTP 검사와연결된트래픽에대한구체적인정보를표시합니다. http-map 향상된 HTTP 검사컨피그레이션에대한 HTTP 맵을정의합니다. inspect http 애플리케이션검사에사용할특정 HTTP 맵을적용합니다. policy-map 클래스맵을특정보안작업과연계시킵니다. 2-14

99 2 장 tls-proxy through type echo 명령 trustpoint(config-mdm-proxy) trustpoint(config-mdm-proxy) MDM 클라이언트대신 ISE MDM 서버에자체적으로인증하기위해 ASA에서사용할인증서를식별하는신뢰지점의이름을지정하려면 config-mdm-proxy 모드에서 trustpoint 명령을사용합니다. 신뢰지점사양을제거하려면이명령의 no 형식을사용합니다. trustpoint trustpoint-name no trustpoint trustpoint-name 구문설명 trustpoint-name 사용할신뢰지점의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 config-mdm-proxy 예 예 릴리스 수정사항 9.3(1) 이명령이도입되었습니다. 사용지침 신뢰지점은검증테스트없이유효한것으로간주될수있는 CA 발급인증서, 특히인증경로에서첫번째공개키를제공하는데사용되는공개키인증서를기반으로하는인증기관 ID 를나타냅니다. 예 다음예에서는 config-mdm-proxy 모드를시작하고 MDM 클라이언트대신 ISE MDM 서버에 ASA 를인증하는인증서를식별하는신뢰지점의이름을지정합니다. ciscoasa(config)# mdm-proxy ciscoasa(config-mdm-proxy)# trustpoint mytrustpoint 관련명령 명령 설명 crypto ca trustpoint 신뢰지점정보를관리합니다. mdm-proxy MDM 프록시서비스를구성합니다. show running-config 현재 MDM 서비스컨피그레이션을표시합니다. mdm-proxy 2-15

100 trustpoint(sso 서버 ) 2 장 tls-proxy through type echo 명령 trustpoint(sso 서버 ) SAML POST 유형 SSO 서버로전송할인증서를식별하는신뢰지점의이름을지정하려면 config-webvpn-sso-saml 모드에서 trustpoint 명령을사용합니다. 신뢰지점사양을제거하려면이명령의 no 형식을사용합니다. trustpoint trustpoint-name no trustpoint trustpoint-name 구문설명 trustpoint-name 사용할신뢰지점의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 config webvpn sso saml 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 SSO(WebVPN에만제공 ) 지원을통해사용자가사용자이름및비밀번호를단한번만입력하여여러서버에서다양한보안서비스에액세스할수있습니다. ASA는현재 SAML POST 유형 SSO 서버및 SiteMinder 유형 SSO 서버를지원합니다. 이명령은 SAML 유형 SSO 서버에만적용됩니다. 신뢰지점은검증테스트없이유효한것으로간주될수있는 CA 발급인증서, 특히인증경로에서첫번째공개키를제공하는데사용되는공개키인증서를기반으로하는인증기관 ID를나타냅니다. 예 다음예에서는 config-webvpn-sso-saml 모드를시작하고 SAML POST 유형 SSO 서버로전송할인증서를식별하는신뢰지점의이름을지정합니다. ciscoasa(config-webvpn)# sso server ciscoasa(config-webvpn-sso-saml)# trustpoint mytrustpoint 관련명령 명령 설명 crypto ca trustpoint 신뢰지점정보를관리합니다. show webvpn sso server 보안장치에구성된모든 SSO 서버에대한운영통계를표시합니다. sso server SSO 서버를만들고, 이름을지정하고, 유형을지정합니다. 2-16

101 2 장 tls-proxy through type echo 명령 tsig enforced tsig enforced TSIG 리소스레코드를제공하도록요구하려면매개변수컨피그레이션모드에서 tsig enforced 명령을사용합니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. tsig enforced action {drop [log] log} no tsig enforced [action {drop [log] log}] 구문설명 drop TSIG가없는경우패킷을삭제합니다. log 시스템메시지로그를생성합니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 매개변수컨피그레이션 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 DNS 트랜잭션에서 TSIG 존재에대한모니터링및적용을활성화합니다. 예다음예에서는 DNS 검사정책맵에서 TSIG 적용을활성화하는방법을보여줍니다. ciscoasa(config)# policy-map type inspect dns preset_dns_map ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# tsig enforced action log 관련명령 명령 설명 class 정책맵에서클래스맵이름을식별합니다. class-map type 애플리케이션에특정한트래픽과일치시킬검사클래스맵을만듭니다. inspect policy-map 계층 3/4 정책맵을만듭니다. show running-config 모든현재정책맵컨피그레이션을표시합니다. policy-map 2-17

102 ttl-evasion-protection 2 장 tls-proxy through type echo 명령 ttl-evasion-protection TTL 회피방지를활성화하려면 tcp-map 컨피그레이션모드에서 ttl-evasion-protection 명령을사용합니다. 이사양을제거하려면이명령의 no 형식을사용합니다. ttl-evasion-protection no ttl-evasion-protection 구문설명이명령에는인수또는키워드가없습니다. 기본값 ASA 에서제공하는 TTL 회피방지는기본적으로활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 tcp-map 컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 tcp map 명령은 MPF(Modular Policy Framework) 인프라와함께사용됩니다. class-map 명령을사용하여트래픽의클래스를정의하고, tcp-map 명령을사용하여 TCP 검사를사용자지정합니다. 새 TCP 맵은 policy-map 명령을사용하여적용합니다. TCP 검사는 service-policy 명령을사용하여활성화합니다. tcp-map 명령을사용하여 tcp-map 컨피그레이션모드를시작할수있습니다. tcp-map 컨피그레이션모드에서 ttl-evasion-protection 명령을사용하여보안정책을회피하려는공격을방지할수있습니다. 예를들어공격자는 TTL이매우짧은정책을전달하는패킷을전송할수있습니다. TTL이 0이되면 ASA와엔드포인트사이의라우터가패킷을삭제합니다. 이때공격자는 ASA에재전송으로보여전달되는 TTL이긴악성패킷을전송할수있습니다. 그러나엔드포인트호스트에는이것이공격자가받은첫번째패킷이됩니다. 이경우공격자는공격을방지하는보안없이성공할수있습니다. 이기능을활성화하면이러한공격이방지됩니다. 2-18

103 2 장 tls-proxy through type echo 명령 ttl-evasion-protection 예 다음예에서는네트워크 에서 으로의흐름에대해 TTL 회피방지를비활성화하는방법을보여줍니다. ciscoasa(config)# access-list TCP1 extended permit tcp ciscoasa(config)# tcp-map tmap ciscoasa(config-tcp-map)# no ttl-evasion-protection ciscoasa(config)# class-map cmap ciscoasa(config-cmap)# match access-list TCP1 ciscoasa(config)# policy-map pmap ciscoasa(config-pmap)# class cmap ciscoasa(config-pmap)# set connection advanced-options tmap ciscoasa(config)# service-policy pmap global 관련명령 명령 설명 class 트래픽분류에사용할클래스맵을지정합니다. policy-map 정책, 즉트래픽클래스와하나이상의작업연계를구성합니다. set connection 연결값을구성합니다. tcp-map TCP 맵을만들고 tcp-map 컨피그레이션모드에대한액세스를허용합니다. 2-19

104 tunnel-group 2 장 tls-proxy through type echo 명령 tunnel-group IPsec 및 WebVPN 터널에대한연결별레코드데이터베이스를만들고관리하려면전역컨피그레이션모드에서 tunnel-group 명령을사용합니다. 터널그룹을제거하려면이명령의 no 형식을사용합니다. tunnel-group name type type no tunnel-group name 구문설명 name 터널그룹이름을지정합니다. 원하는문자열을선택할수있습니다. 이름이 IP 주소인경우일반적으로피어의 IP 주소입니다. type 터널그룹의유형을지정합니다. remote-access - 사용자가 IPsec 원격액세스또는 WebVPN( 포털또는터널클라이언트 ) 을사용하여연결할수있습니다. ipsec-l2l - 두개의사이트또는 LAN 이인터넷과같은공용네트워크를통해안전하게연결할수있는 IPsec LAN-to-LAN 을지정합니다. 참고 다음터널그룹유형은릴리스 8.0(2) 에서사용이중단되었습니다. ipsec-ra - IPsec 원격액세스 webvpn - WebVPN ASA 는이러한유형을 remote-access 유형으로변환합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 참고참조 예 예 참고 투명에서사용할수있는 tunnel-group 명령은 LAN-to-LAN 터널그룹을허용하지만 remote-access 그룹또는 WebVPN 그룹은허용하지않습니다. LAN-to-LAN 에사용할수있는모든 tunnel-group 명령은투명에서도사용할수있습니다. 2-20

105 2 장 tls-proxy through type echo 명령 tunnel-group 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 7.1(1) webvpn 유형이추가되었습니다. 8.0(2) remote-access 유형이추가되고 ipsec-ra 및 webvpn 유형의사용이중단 되었습니다. 8.3(1) name 인수가 IPv6 주소를허용하도록수정되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 사용지침 SSL VPN 사용자 (AnyConnect 및클라이언트리스 ) 는다음과같은방법을사용하여액세스할터널그룹을선택할수있습니다. group-url group-alias 인증서맵 ( 인증서를사용하는경우 ) 이명령및하위명령은사용자가 webvpn 서비스에로그인할때드롭다운메뉴를통해그룹을선택할수있게허용하도록 ASA를구성합니다. 메뉴에표시되는그룹은 ASA에구성된실제연결프로파일 ( 터널그룹 ) 의별칭또는 URL입니다. ASA에는다음과같은기본터널그룹이있습니다. DefaultRAGroup, 기본 IPsec 원격액세스터널그룹 DefaultL2LGroup, 기본 IPsec LAN-to-LAN 터널그룹 DefaultWEBVPNGroup, 기본 WebVPN 터널그룹이러한그룹을변경할수있지만삭제할수는없습니다. ASA에서는터널협상중에식별된특정터널그룹이없는경우이러한그룹을사용하여원격액세스및 LAN-to-LAN 터널그룹에대한기본터널매개변수를구성합니다. tunnel-group 명령을입력한후다음명령을입력하여특정터널그룹에대한특정특성을구성합니다. 이러한명령은각각터널그룹특성을구성하는컨피그레이션모드를시작합니다. tunnel-group general-attributes tunnel-group ipsec-attributes tunnel-group webvpn-attributes tunnel-group ppp-attributes LAN-to-LAN 연결의경우 ASA 는 crypto map 에지정된피어주소를동일한이름의터널그룹과일치시켜연결터널그룹을선택합니다. 따라서 IPv6 피어의경우터널그룹이름을피어의 IPv6 주소로구성해야합니다. 짧거나긴표기법으로터널그룹이름을지정할수있습니다. CLI 는이름을가장짧은표기법으로축약합니다. 예를들어다음터널그룹명령을입력한경우 ciscoasa(config)# tunnel-group 2001:0db8:0000:0000:0000:0000:1428:57ab type ipsec-l2l 컨피그레이션에다음과같이표시됩니다. tunnel-group 2001:0db8::1428:57ab type ipsec-l2l 2-21

106 tunnel-group 2 장 tls-proxy through type echo 명령 예 다음예는전역컨피그레이션모드에서입력되었습니다. 첫번째예에서는원격액세스터널그룹을구성합니다. 그룹이름은 group1 입니다. ciscoasa(config)# tunnel-group group1 type remote-access ciscoasa(config)# 다음예에서는 group1 이라는 webvpn 터널그룹을구성하는 tunnel-group 명령을보여줍니다. 이명령을전역컨피그레이션모드에서입력합니다. ciscoasa(config)# tunnel-group group1 type webvpn ciscoasa(config)# 관련명령 명령 설명 clear configure tunnel-group 구성된모든터널그룹을지웁니다. show running-config tunnel-group 모든터널그룹또는특정터널그룹에대한터널그룹컨피그레이션을표시합니다. tunnel-group general-attributes 일반적인터널그룹특성을구성하는 config-general 모드를시작합니다. tunnel-group ipsec-attributes IPsec 터널그룹특성을구성하는 config-ipsec 모드를시작합니다. tunnel-group ppp-attributes tunnel-group webvpn-attributes L2TP 연결을위한 PPP 설정을구성하는 config-ppp 모드를시작합니다. WebVPN 터널그룹특성을구성하는 config-webvpn 모드를시작합니다. 2-22

107 2 장 tls-proxy through type echo 명령 tunnel-group-list enable tunnel-group-list enable tunnel-group group-alias에정의된터널그룹을활성화하려면 tunnel-group-list enable 명령을사용합니다. tunnel-group-list enable 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 Webvpn 컨피그레이션 예 예 예 사용지침 이명령은클라이언트리스및 AnyConnect VPN 클라이언트세션에서 tunnel-group group-alias 및 group-url 명령과함께사용됩니다. 터널그룹드롭다운이로그인페이지에표시되도록기능을활성화합니다. group-alias 는 ASA 관리자가엔드유저에게표시하기위해정의한 employees, engineering, consultants 등의텍스트문자열입니다. 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예 ciscoasa# configure terminal ciscoasa(config)# tunnel-group ExampleGroup1 webvpn-att ciscoasa(config-tunnel-webvpn)# group-alias Group1 enable ciscoasa(config-tunnel-webvpn)# exit ciscoasa(config)# webvpn ciscoasa(config-webvpn)# tunnel-group-list enable 2-23

108 tunnel-group-list enable 2 장 tls-proxy through type echo 명령 관련명령 명령 설명 tunnel-group VPN 연결프로파일을만들거나 VPN 연결프로파일의데이터베이스에액세스합니다. group-alias 연결프로파일 ( 터널그룹 ) 의별칭을구성합니다. group-url VPN 엔드포인트에서지정한 URL 또는 IP 주소를연결프로파일과일치시킵니다. show running-config tunnel-group 모든터널그룹또는특정터널그룹에대한터널그룹컨피그레이션을표시합니다. 2-24

109 2 장 tls-proxy through type echo 명령 tunnel-group-preference tunnel-group-preference 엔드포인트에서지정한것과일치하는그룹 URL 이있는연결프로파일로 VPN 환경설정을변경하려면 webvpn 컨피그레이션모드에서 tunnel-group-preference 명령을사용합니다. 이명령을컨피그레이션에서제거하려면 no 형식을사용합니다. tunnel-group-preference group-url no tunnel-group-preference group-url 구문설명이명령에는인수또는키워드가없습니다. 명령기본값 기본적으로 ASA 는연결프로파일의인증서필드값을엔드포인트에서사용하는인증서의필드값과일치시킨경우해당프로파일을 VPN 연결에할당합니다. 이명령은기본동작을재정의합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 config-webvpn 예 예 릴리스 수정사항 8.2(5)/8.4(2) 이명령이도입되었습니다. 사용지침 이명령은연결프로파일선택프로세스중에연결프로파일의환경설정을변경합니다. 많은이전 ASA 소프트웨어릴리스에서사용한그룹 URL 환경설정을따를수있습니다. 엔드포인트에서연결프로파일에없는그룹 URL을지정했지만연결프로파일과일치하는인증서값을지정한경우 ASA는해당연결프로파일을 VPN 세션에할당합니다. 이명령은 webvpn 컨피그레이션모드에서입력하지만 ASA에서협상된모든클라이언트리스및 AnyConnect VPN 연결에대한연결프로파일선택환경설정을변경합니다. 예다음예에서는연결프로파일선택프로세스중에연결프로파일의환경설정을변경합니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# tunnel-group-preference group-url ciscoasa(config-webvpn)# 2-25

110 tunnel-group-preference 2 장 tls-proxy through type echo 명령 관련명령 명령 설명 tunnel-group VPN 연결프로파일을만들거나 VPN 연결프로파일의데이터베이스에액세스합니다. group-url VPN 엔드포인트에서지정한 URL 또는 IP 주소를연결프로파일과일치시킵니다. show running-config tunnel-group 모든터널그룹또는특정터널그룹에대한터널그룹컨피그레이션을표시합니다. 2-26

111 2 장 tls-proxy through type echo 명령 tunnel-group general-attributes tunnel-group general-attributes general-attribute 컨피그레이션모드를시작하려면전역컨피그레이션모드에서 tunnel-group general-attributes 명령을사용합니다. 이모드는지원되는모든터널링프로토콜에일반적인설정을구성하는데사용됩니다. 모든일반특성을제거하려면이명령의 no 형식을사용합니다. tunnel-group name general-attributes no tunnel-group name general-attributes 구문설명 general-attributes 이터널그룹에대한특성을지정합니다. name 터널그룹의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. tunnel-group general-attributes 컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 7.1(1) 다른터널그룹유형의여러특성이일반터널그룹특성목록으로마이 그레이션되었으며, tunnel-group general-attributes 모드에대한프롬프 트가변경되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 예 전역컨피그레이션모드에서입력된다음예에서는 LAN-to-LAN 피어의 IP 주소를사용하여원격액세스연결을위한원격액세스터널그룹을만든다음, 터널그룹일반특성을구성할수있는 general-attributes 컨피그레이션모드를시작합니다. 터널그룹의이름은 입니다. ciscoasa(config)# tunnel-group type remote-access ciscoasa(config)# tunnel-group general-attributes ciscoasa(config-tunnel-general)# 2-27

112 tunnel-group general-attributes 2 장 tls-proxy through type echo 명령 전역컨피그레이션모드에서입력된다음예에서는 IPsec 원격액세스연결을위한 "remotegrp" 라는터널그룹을만든다음 "remotegrp" 터널그룹에대한일반특성을구성할수있는일반컨피그레이션모드를시작합니다. ciscoasa(config)# tunnel-group remotegrp type ipsec_ra ciscoasa(config)# tunnel-group remotegrp general ciscoasa(config-tunnel-general) 관련명령 명령 설명 clear configure tunnel-group 전체터널그룹데이터베이스또는지정된터널그룹을지웁니다. show running-config tunnel-group 지정된터널그룹또는모든터널그룹에대한현재실행중 인터널그룹컨피그레이션을표시합니다. tunnel-group IPsec 및 WebVPN 터널에대한연결별레코드데이터베이스 를만들고관리합니다. 2-28

113 2 장 tls-proxy through type echo 명령 tunnel-group ipsec-attributes tunnel-group ipsec-attributes ipsec-attribute 컨피그레이션모드를시작하려면전역컨피그레이션모드에서 tunnel-group ipsec-attributes 명령을사용합니다. 이모드는 IPsec 터널링프로토콜에특정한설정을구성하는데사용됩니다. 모든 IPsec 특성을제거하려면이명령의 no 형식을사용합니다. tunnel-group name ipsec-attributes no tunnel-group name ipsec-attributes 구문설명 ipsec-attributes 이터널그룹에대한특성을지정합니다. name 터널그룹의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 7.1(1) 여러 IPsec 터널그룹특성이일반터널그룹특성목록으로마이그레이 션되었으며, tunnel-group ipsec-attributes 모드에대한프롬프트가변경 되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 예 전역컨피그레이션모드에서입력된다음예에서는 IPsec 원격액세스연결을위한 remotegrp 라는터널그룹을만든다음 IPsec 그룹특성을지정합니다. ciscoasa(config)# tunnel-group remotegrp type ipsec_ra ciscoasa(config)# tunnel-group remotegrp ipsec-attributes ciscoasa(config-tunnel-ipsec) 2-29

114 tunnel-group ipsec-attributes 2 장 tls-proxy through type echo 명령 관련명령 명령 설명 clear configure 전체터널그룹데이터베이스또는지정된터널그룹을지웁니다. tunnel-group show running-config tunnel-group tunnel-group 지정된터널그룹또는모든터널그룹에대한현재실행중인터널그룹컨피그레이션을표시합니다. IPsec 및 WebVPN 터널에대한연결별레코드데이터베이스를만들고관리합니다. 2-30

115 2 장 tls-proxy through type echo 명령 tunnel-group ppp-attributes tunnel-group ppp-attributes ppp-attributes 컨피그레이션모드를시작하고 L2TP over IPsec 연결에서사용하는 PPP 설정을구성하려면전역컨피그레이션모드에서 tunnel-group ppp-attributes 명령을사용합니다. 모든 PPP 특성을제거하려면이명령의 no 형식을사용합니다. tunnel-group name ppp-attributes no tunnel-group name ppp-attributes 구문설명 name 터널그룹의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 사용지침 PPP 설정은원격클라이언트가전화접속전화서비스공용 IP 네트워크를사용하여사설회사네트워크서버와안전하게통신할수있도록해주는 VPN 터널링프로토콜인 L2TP( 계층 2 터널링프로토콜 ) 에서사용됩니다. L2TP 는클라이언트 / 서버모델을기반으로하며 PPP over UDP( 포트 1701) 를사용하여데이터를터널링합니다. 모든터널그룹 ppp 명령은 PPPoE 터널그룹유형에사용할수있습니다. 예다음예에서는터널그룹 telecommuters 를만들고 ppp-attributes 컨피그레이션모드를시작합니다. ciscoasa(config)# tunnel-group telecommuters type pppoe ciscoasa(config)# tunnel-group telecommuters ppp-attributes ciscoasa(tunnel-group-ppp)# 2-31

116 tunnel-group ppp-attributes 2 장 tls-proxy through type echo 명령 관련명령 명령 설명 clear configure tunnel-group 전체터널그룹데이터베이스또는지정된터널그룹을지웁니다. show running-config tunnel-group 지정된터널그룹또는모든터널그룹에대한현재실행중 인터널그룹컨피그레이션을표시합니다. tunnel-group IPsec 및 WebVPN 터널에대한연결별레코드데이터베이스 를만들고관리합니다. 2-32

117 2 장 tls-proxy through type echo 명령 tunnel-group webvpn-attributes tunnel-group webvpn-attributes webvpn-attribute 컨피그레이션모드를시작하려면전역컨피그레이션모드에서 tunnel-group webvpn-attributes 명령을사용합니다. 이모드는 WebVPN 터널링에일반적인설정을구성합니다. 모든 WebVPN 특성을제거하려면이명령의 no 형식을사용합니다. tunnel-group name webvpn-attributes no tunnel-group name webvpn-attributes 구문설명 name 터널그룹의이름을지정합니다. webvpn-attributes 이터널그룹에대한 WebVPN 특성을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 사용지침 webvpn-attribute 모드에서는일반특성외에 WebVPN 연결에특정한다음특성도구성할수있습니다. authentication customization dns-group group-alias group-url without-csd 2-33

118 tunnel-group webvpn-attributes 2 장 tls-proxy through type echo 명령 예 전역컨피그레이션모드에서입력된다음예에서는 LAN-to-LAN 피어의 IP 주소를사용하여 WebVPN 연결을위한터널그룹을만들고, WebVPN 특성을구성할수있는 webvpn 컨피그레이션모드를시작합니다. 터널그룹의이름은 입니다. ciscoasa(config)# tunnel-group type webvpn ciscoasa(config)# tunnel-group webvpn-attributes ciscoasa(config-tunnel-webvpn)# 전역컨피그레이션모드에서입력된다음예에서는 WebVPN 원격액세스연결을위한 "remotegrp" 라는터널그룹을만든다음 "remotegrp" 터널그룹에대한 WebVPN 특성을구성할수있는 webvpn 컨피그레이션모드를시작합니다. ciscoasa(config)# tunnel-group remotegrp type webvpn ciscoasa(config)# tunnel-group remotegrp webvpn-attributes ciscoasa(config-tunnel-webvpn)# 관련명령 명령 설명 clear configure tunnel-group 전체터널그룹데이터베이스또는지정된터널그룹을지웁니다. show running-config tunnel-group 지정된터널그룹또는모든터널그룹에대한현재실행중 인터널그룹컨피그레이션을표시합니다. tunnel-group IPsec 및 WebVPN 터널에대한연결별레코드데이터베이스 를만들고관리합니다. 2-34

119 2 장 tls-proxy through type echo 명령 tunnel-group-map tunnel-group-map Adaptive Security Appliance에서는클라이언트인증서인증이포함된 IPsec 연결요청을받은경우구성된정책에따라해당연결에연결프로파일을할당합니다. 이정책에서는구성된규칙, 인증서 OU 필드, IKE ID( 예 : 호스트이름, IP 주소, 키 ID), 클라이언트 IP 주소또는연결프로파일에할당할기본연결프로파일을사용할수있습니다. SSL 연결의경우 Adaptive Security Appliance는연결프로파일을할당하기위해구성한규칙만사용합니다. tunnel-group-map 명령은기존맵이름을연결프로파일과연결하여구성한규칙을기반으로연결프로파일을연결에할당합니다. 연결프로파일과맵이름의연결을해제하려면이명령의 no 형식을사용합니다. 이명령의 no 형식은맵이름을삭제하지않고연결프로파일과의연결만삭제합니다. 명령구문은다음과같습니다. tunnel-group-map [mapname] [rule-index] [connection-profile] no tunnel-group-map [mapname] [rule-index] 참고 다음명령을사용하여인증서맵이름을만듭니다. crypto ca certificate map [mapname] [rule-index] 터널그룹 은 연결프로파일 의이전용어입니다. 따라서 tunnel-group-map 명령을연결프로파일맵을생성하는명령으로생각하면됩니다. 구문설명 mapname 필수. 이매개변수는기존인증서맵의이름을식별합니다. rule-index 필수. 맵이름과연결된규칙인덱스를식별합니다. rule-index 매개변수는 crypto ca certificate map 명령을사용하여정의됩니다. 값은 1~65535입니다. connection-profile 이인증서맵목록의연결프로파일이름을지정합니다. 기본값 tunnel-group-map을정의하지않은경우 ASA는클라이언트인증서인증이포함된 IPsec 연결요청을받으면인증서인증요청을다음정책중하나와순서대로일치시켜연결프로파일을할당합니다. Certificate ou field - 주체 DN( 고유이름 ) 의 OU( 조직컨피그레이션단위 ) 필드값을기반으로연결프로파일을결정합니다. IKE identity - Phase1 IKE ID 내용을기반으로연결프로파일을결정합니다. peer-ip - 설정된클라이언트 IP 주소를기반으로연결프로파일을결정합니다. Default Connection Profile - 위세정책이일치하지않는경우 ASA는기본연결프로파일을할당합니다. 기본프로파일은 DefaultRAGroup입니다. tunnel-group-map default-group 명령을사용하여기본연결프로파일을구성할수도있습니다. 2-35

120 tunnel-group-map 2 장 tls-proxy through type echo 명령 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 사용지침 맵이름을연결프로파일과연계하려면먼저지정한맵이름이이미존재해야합니다. crypto ca certificate map 명령을사용하여맵이름을만들수있습니다. 자세한내용은 crypto ca certificate map 명령에대한설명서를참고하십시오. 맵이름을연결프로파일과연계한후에는이전에설명한기본정책대신구성한규칙을사용하기위해 tunnel-group-map을활성화해야합니다. 이작업을수행하려면전역컨피그레이션모드에서 tunnel-group-map enable rules 명령을실행합니다. 예 다음예에서는맵이름 SalesGroup( 규칙인덱스 10) 을 SalesConnectionProfile 연결프로파일과연계시킵니다. ciscoasa(config)# tunnel-group-map SalesGroup 10 SalesConnectionProfile ciscoasa(config)# 관련명령 명령 crypto ca certificate map [map name] 설명 ca certificate map 컨피그레이션모드를시작합니다. 이를사용하여인증서맵이름을만들수있습니다. tunnel-group-map enable 설정된규칙에따라인증서기반 IKE 세션을활성화합니다. tunnel-group-map default-group 기존터널그룹이름을기본터널그룹으로지정합니다. 2-36

121 2 장 tls-proxy through type echo 명령 tunnel-group-map default-group tunnel-group-map default-group tunnel-group-map default-group 명령은구성된다른방법을사용하여이름을확인할수없는경우에사용할기본터널그룹을지정합니다. tunnel-group-map을제거하려면이명령의 no 형식을사용합니다. tunnel-group-map [rule-index] default-group tunnel-group-name no tunnel-group-map 구문설명 default-group tunnel-group-name rule index 구성된다른방법으로이름을확인할수없는경우기본터널그룹을지정합니다. tunnel-group name 은이미존재해야합니다. 선택사항. crypto ca certificate map 명령으로지정된매개변수를참조합니다. 값은 1~65535 입니다. 기본값 tunnel-group-map default-group 의기본값은 DefaultRAGroup 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 사용지침 tunnel-group-map 명령은인증서기반 IKE 세션이터널그룹에매핑되는정책및규칙을구성합니다. crypto ca certificate map 명령을사용하여만든인증서맵항목을터널그룹과연결하려면전역컨피그레이션모드에서 tunnel-group-map 명령을사용합니다. 각호출이고유하고맵인덱스를두번이상참조하지않은경우이명령을여러번호출할수있습니다. crypto ca certificate map 명령은우선순위가지정된인증서매핑규칙목록을유지관리합니다. 하나의맵만있을수있습니다. 그러나이맵에최대 65535개의규칙이있을수있습니다. 자세한내용은 crypto ca certificate map 명령에대한설명서를참고하십시오. 인증서에서터널그룹이름을가져오는프로세스에서는터널그룹과연결되지않은인증서맵의항목 ( 이명령으로식별되지않은모든맵규칙 ) 을무시합니다. 2-37

122 tunnel-group-map default-group 2 장 tls-proxy through type echo 명령 예 전역컨피그레이션모드에서입력된다음예에서는구성된다른방법으로이름을확인할수없는경우기본터널그룹을지정합니다. 사용할터널그룹의이름은 group1 입니다. ciscoasa(config)# tunnel-group-map default-group group1 ciscoasa(config)# 관련명령 명령 설명 crypto ca certificate map crypto ca certificate map 컨피그레이션모드를시작합니다. subject-name (crypto ca CA 인증서에서규칙항목문자열과비교할 DN을식별합니다. certificate map) tunnel-group-map enable 인증서기반 IKE 세션이터널그룹에매핑되는정책및규칙을구성합니다. 2-38

123 2 장 tls-proxy through type echo 명령 tunnel-group-map enable tunnel-group-map enable tunnel-group-map enable 명령은인증서기반 IKE 세션이터널그룹에매핑되는정책및규칙을구성합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. tunnel-group-map [rule-index] enable policy no tunnel-group-map enable [rule-index] 구문설명 policy rule index 인증서에서터널그룹이름을가져올정책을지정합니다. Policy는다음중하나일수있습니다. ike-id - 터널그룹이규칙조회를기반으로확인되거나 ou에서가져오지못한경우인증서기반 IKE 세션이 Phase1 IKE ID의내용을기반으로터널그룹에매핑되도록지정합니다. ou - 터널그룹이규칙조회를기반으로확인되지않은경우주체 DN( 고유이름 ) 의 OU( 조직컨피그레이션단위 ) 값을사용하도록지정합니다. peer-ip - 터널그룹이규칙조회를기반으로확인되거나 ou 또는 ike-id에서가져오지못한경우설정된피어 IP 주소를사용하도록지정합니다. rules - 인증서기반 IKE 세션이이명령에서구성된인증서맵연결을기반으로터널그룹에매핑되도록지정합니다. 선택사항. crypto ca certificate map 명령으로지정된매개변수를참조합니다. 값은 1~65535 입니다. 기본값 tunnel-group-map 명령의기본값은 enable ou 이고 default-group 은 DefaultRAGroup 으로설정됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 사용지침 crypto ca certificate map 명령은우선순위가지정된인증서매핑규칙목록을유지관리합니다. 하나의맵만있을수있습니다. 그러나이맵에최대 개의규칙이있을수있습니다. 자세한내용은 crypto ca certificate map 명령에대한설명서를참고하십시오. 2-39

124 tunnel-group-map enable 2 장 tls-proxy through type echo 명령 예다음예에서는인증서기반 IKE 세션을 Phase1 IKE ID 의내용을기반으로터널그룹에매핑합니다. ciscoasa(config)# tunnel-group-map enable ike-id ciscoasa(config)# 다음예에서는인증서기반 IKE 세션을설정된피어 IP 주소를기반으로터널그룹에매핑합니다. ciscoasa(config)# tunnel-group-map enable peer-ip ciscoasa(config)# 다음예에서는주체 DN( 고유이름 ) 의 OU( 조직컨피그레이션단위 ) 를기반으로인증서기반 IKE 세션을매핑합니다. ciscoasa(config)# tunnel-group-map enable ou ciscoasa(config)# 다음예에서는설정된규칙을기반으로인증서기반 IKE 세션을매핑합니다. ciscoasa(config)# tunnel-group-map enable rules ciscoasa(config)# 관련명령 명령 설명 crypto ca certificate map ca certificate map 모드를시작합니다. subject-name (crypto ca CA 인증서에서규칙항목문자열과비교할 DN을식별합니다. certificate map) tunnel-group-map default-group 기존터널그룹이름을기본터널그룹으로지정합니다. 2-40

125 2 장 tls-proxy through type echo 명령 tunnel-limit tunnel-limit ASA 에서활성화할수있는최대 GTP 터널수를지정하려면 GTP 맵컨피그레이션모드에서 tunnel limit 명령을사용합니다. 이모드는 gtp-map 명령을사용하여액세스할수있습니다. 터널제한을다시기본값으로설정하려면 no 를사용합니다. tunnel-limit max_tunnels no tunnel-limit max_tunnels 구문설명 max_tunnels 허용되는최대터널수입니다. 범위는전체터널제한에대해 1~ 입니다. 기본값터널제한에대한기본값은 500 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 GTP 맵컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침이명령으로지정된터널수에도달하면새요청이삭제됩니다. 예다음예에서는 GTP 트래픽의최대터널수를 10,000 개로지정합니다. ciscoasa(config)# gtp-map qtp-policy ciscoasa(config-gtpmap)# tunnel-limit 관련명령 명령 설명 clear service-policy inspect gtp 전역 GTP 통계를지웁니다. debug gtp GTP 검사에대한자세한정보를표시합니다. gtp-map GTP 맵을정의하고 GTP 맵컨피그레이션모드를활성화합니다. inspect gtp 애플리케이션검사에사용할특정 GTP 맵을적용합니다. show service-policy inspect gtp GTP 컨피그레이션을표시합니다. 2-41

126 tx-ring-limit 2 장 tls-proxy through type echo 명령 tx-ring-limit 우선순위대기열의깊이를지정하려면 priority-queue 모드에서 tx-ring-limit 명령을사용합니다. 이사양을제거하려면이명령의 no 형식을사용합니다. 참고 이명령은 ASA 기가비트이더넷인터페이스에서는지원되지않습니다. 10 기가비트이더넷인터페이스는 ASA 5585-X 의우선순위대기열에지원됩니다. 또한이명령은 ASA 5512-X~ASA 5555-X 관리인터페이스에도지원되지않습니다. 이명령은 ASA 서비스모듈에서지원되지않습니다. tx-ring-limit number-of-packets no tx-ring-limit number-of-packets 구문설명 number-of-packets 혼잡이해결될때까지패킷을버퍼할수있도록드라이버가대기열에다시추가하기전에이더넷전송드라이버에서허용되는저지연또는일반우선순위패킷의최대수를지정합니다. tx-ring-limit 값의범위는 PIX 플랫폼의경우 3~128 개의패킷이고, ASA 패킷의경우 3~256 개의패킷입니다. 기본값기본 tx-ring-limit 은 128 개의패킷입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 priority-queue 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 ASA는두가지트래픽클래스, 즉높은우선순위에적용되는 LLQ( 저지연대기열 ) 와다른모든트래픽에적용되는지연민감트래픽 ( 예 : 음성및비디오 ) 및최상의결과 ( 기본값 ) 를허용합니다. ASA 는우선순위트래픽을인식하여적절한 QoS(Quality of Service) 정책을적용합니다. 우선순위대기열의크기와깊이를구성하여트래픽흐름을미세조정할수있습니다. 우선순위대기열을적용하려면먼저 priority-queue 명령을사용하여인터페이스에대한우선순위대기열을만들어야합니다. nameif 명령으로정의할수있는모든인터페이스에하나의 priority-queue 명령을적용할수있습니다. 2-42

127 2 장 tls-proxy through type echo 명령 tx-ring-limit priority-queue 명령은프롬프트에표시된대로 priority-queue 모드를시작합니다. priority-queue 모드에서는지정된시점에전송대기열에서허용되는최대패킷수 (tx-ring-limit 명령 ) 및패킷을삭제하기전에버퍼할수있는유형 ( 우선순위또는최상의결과 ) 의패킷수 (queue-limit 명령 ) 를구성할수있습니다. 참고인터페이스에대한우선순위대기열을활성화하려면 priority-queue 명령을구성해야합니다. 지정한 tx-ring-limit 및 queue-limit은높은우선순위저지연대기열과최상의결과대기열모두에영향을줍니다. tx-ring-limit은혼잡이해결될때까지패킷을버퍼할수있도록드라이버가인터페이스의대기열에다시추가하기전에드라이버에서유형의패킷수입니다. 일반적으로이두매개변수를조정하여저지연트래픽의흐름을최적화할수있습니다. 대기열은무한한크기가아니기때문에가득차고오버플로우될수있습니다. 대기열이가득차면추가패킷이대기열에추가되기않고삭제됩니다. 이는종단삭제 (tail-drop) 입니다. 대기열이가득차는것을방지하기위해 queue-limit 명령을사용하여대기열버퍼크기를늘릴수있습니다. 참고 queue-limit 및 tx-ring-limit 명령에대한값범위의상한은런타임시동적으로결정됩니다. 이제한을보려면커맨드라인에서 help 또는? 를입력합니다. 주요요소는대기열을지원하는데필요한메모리와장치에서사용할수있는메모리입니다. queue-limit 값의범위는 0~2048 개의패킷입니다. tx-ring-limit 값의범위는 PIX 플랫폼의경우 3~128 개의패킷이고, ASA 패킷의경우 3~256 개의패킷입니다. ASA 모델 5505에서는 ( 이모델에한정 ) 하나의인터페이스에서구성한 priority-queue가다른모든인터페이스의동일한컨피그레이션을덮어씁니다. 즉, 마지막으로적용된컨피그레이션만모든인터페이스에존재합니다. 또한하나의인터페이스에서 priority-queue를제거하면모든인터페이스에서제거됩니다. 이문제를해결하려면하나의인터페이스에서만 priority-queue 명령을구성합니다. 다른인터페이스에 queue-limit 및 / 또는 tx-ring-limit 명령에대한다른설정이필요한경우그중하나의인터페이스에서모든 queue-limit의최대값과모든 tx-ring-limit의최소값을사용합니다 (CSCsi13132). 예 다음예에서는대기열제한을 2048 개의패킷으로지정하고, 전송대기열제한을 256 개의패킷으로지정하여 test 라는인터페이스에대한우선순위대기열을구성합니다. ciscoasa(config)# priority-queue test ciscoasa(priority-queue)# queue-limit 2048 ciscoasa(priority-queue)# tx-ring-limit 256 관련명령 명령 설명 clear configure 명명된인터페이스의현재우선순위대기열컨피그레이션을제거합니다. priority-queue priority-queue 인터페이스에서우선순위대기열을구성합니다. queue-limit 데이터를삭제하기전에우선순위대기열에넣을수있는최대패킷수를지정합니다. show priority-queue statistics 명명된인터페이스에대한우선순위대기열통계를표시합니다. show running-config priority-queue 현재우선순위대기열컨피그레이션을표시합니다. all 키워드를지정한경우이명령은모든현재 priority-queue, queue-limit 및 tx-ring-limit 명령컨피그레이션값을표시합니다. 2-43

128 type echo 2 장 tls-proxy through type echo 명령 type echo SLA 작업을에코응답시간프로브작업으로구성하려면 SLA 모니터컨피그레이션모드에서 type echo 명령을사용합니다. SLA 컨피그레이션에서유형을제거하려면이명령의 no 형식을사용합니다. type echo protocol ipicmpecho target interface if-name no type echoprotocol ipicmpecho target interface if-name 구문설명 interface if-name nameif 명령에지정된대로에코요청패킷을보내는데사용되는인터페이스의이름을지정합니다. 인터페이스소스주소는에코요청패킷의소스주소로사용됩니다. protocol protocol 키워드입니다. 지원되는값은에코작업에 IP/ICMP 에코요청을사용하도록지정하는 ipicmpecho뿐입니다. target 모니터링할개체의 IP 주소또는호스트이름입니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 SLA 모니터컨피그레이션 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 ICMP 패킷의페이로드기본크기는 28 바이트이며, 이는전체 ICMP 패킷크기를 64 바이트로만듭니다. request-data-size 명령을사용하여페이로드크기를변경할수있습니다. 예 다음예에서는 ICMP 에코요청 / 응답시간프로브작업을사용하는 ID 가 123 인 SLA 작업을구성합니다. SLA 연결성을추적할 ID 가 1 인추적항목을만듭니다. SLA 작업의빈도는 10 초, 임계값은 2500 밀리초, 시간제한값은 4000 밀리초로설정됩니다. ciscoasa(config)# sla monitor 123 ciscoasa(config-sla-monitor)# type echo protocol ipicmpecho interface outside ciscoasa(config-sla-monitor-echo)# threshold 2500 ciscoasa(config-sla-monitor-echo)# timeout 4000 ciscoasa(config-sla-monitor-echo)# frequency 10 ciscoasa(config)# sla monitor schedule 123 life forever start-time now ciscoasa(config)# track 1 rtr 123 reachability 2-44

129 2 장 tls-proxy through type echo 명령 type echo 관련명령 명령 설명 num-packets SLA 작업중에전송할요청패킷수를지정합니다. request-data-size SLA 작업요청패킷에대한페이로드크기를지정합니다. sla monitor SLA 모니터링작업을정의합니다. 2-45

130 type echo 2 장 tls-proxy through type echo 명령 2-46

131 3 장 uc-ime through username-prompt 명령 3-1

132 uc-ime 3 장 uc-ime through username-prompt 명령 uc-ime Cisco Intercompany Media Engine 프록시인스턴스를생성하려면전역컨피그레이션모드에서 uc-ime 명령을사용합니다. 프록시인스턴스를제거하려면이명령의 no 형식을사용합니다. uc-ime uc-ime_name no uc-ime uc-ime_name 구문설명 uc-ime_name ASA에구성된 Cisco Intercompany Media Engine 프록시의인스턴스이름을지정합니다. name은 64자로제한됩니다. 하나의 Cisco Intercompany Media Engine 프록시만 ASA에서구성할수있습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 8.3(1) 이명령이도입되었습니다. 사용지침 Cisco Intercompany Media Engine 프록시를구성합니다. Cisco Intercompany Media Engine은 VoIP 기술을통해사용할수있는고급기능으로인터넷을통한기업의온디맨드상호연결을지원합니다. Cisco Intercompany Media Engine은 P2P(peer-to-peer), 보안및 SIP 프로토콜을활용해기업간의동적 SIP 트렁크를만들어여러엔터프라이즈의 Cisco Unified Communications Manager 클러스터간에 B2B(Business-to-Business) 페더레이션을허용합니다. 엔터프라이즈컬렉션은클러스터내트렁크로함께작동하여하나의대규모기업처럼보이게됩니다. 미디어종단인스턴스를 Cisco Intercompany Media Engine 프록시에서지정하려면먼저해당인스턴스를만들어야합니다. 하나의 Cisco Intercompany Media Engine 프록시만 ASA에서구성할수있습니다. 3-2

133 3 장 uc-ime through username-prompt 명령 uc-ime 예 다음예에서는 uc-ime 명령을사용하여 Cisco Intercompany Media Engine 프록시를구성하는방법을보여줍니다. ciscoasa(config)# uc-ime local_uc-ime_proxy ciscoasa(config-uc-ime)# media-termination ime-media-term ciscoasa(config-uc-ime)# ucm address trunk-security-mode non-secure ciscoasa(config-uc-ime)# ticket epoch 1 password password1234 ciscoasa(config-uc-ime)# fallback monitoring timer 120 ciscoasa(config-uc-ime)# fallback hold-down timer 30 관련명령 명령 설명 fallback 연결무결성이저하된경우 Cisco Intercompany Media Engine이 VoIP 에서 PSTN으로대체하는데사용하는대체타이머를구성합니다. show uc-ime fallback-notifications, mapping-service-sessions 및 signaling-sessions에대한통계또는세부정보를표시합니다. ticket Cisco Intercompany Media Engine 프록시에대한티켓에포크및비밀번호를구성합니다. ucm Cisco Intercompany Media Engine 프록시에서연결하는 Cisco UCM을구성합니다. 3-3

134 ucm 3 장 uc-ime through username-prompt 명령 ucm Cisco Intercompany Media Engine 프록시에서연결하는 Cisco UCM(Unified Communication Manager) 을구성하려면전역컨피그레이션모드에서 ucm 명령을사용합니다. Cisco Intercompanuy Media Engine 프록시에연결된 Cisco UCM 을제거하려면이명령의 no 형식을사용합니다. ucm address ip_address trunk-security-mode {nonsecure secure} no ucm address ip_address trunk-security-mode {nonsecure secure} 구문설명 address Cisco UCM(Unified Communications Manager) 의 IP 주소를구성할키워드 입니다. ip_address Cisco UCM의 IP 주소를지정합니다. IPv4 형식으로 IP 주소를입력합니다. nonsecure Cisco UCM 또는 Cisco UCM 클러스터가비보안모드로작동하도록지정 합니다. secure Cisco UCM 또는 Cisco UCM 클러스터가보안모드로작동하도록지정합 니다. trunk-security-mode Cisco UCM 또는 Cisco UCM 클러스터의보안모드를구성할키워드입니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 UC-IME 컨피그레이션 예 예 릴리스 수정사항 8.3(1) 이명령이도입되었습니다. 사용지침엔터프라이즈에서 Cisco UCM 서버를지정합니다. Cisco Intercompany Media Engine 프록시에대해여러 ucm 명령을입력할수있습니다. 참고 SIP 트렁크가활성화된 Cisco Intercompany Media Engine 이있는클러스터에각 Cisco UCM 에대한항목을포함해야합니다. Cisco UCM 또는 Cisco UCM 클러스터에대해 secure 를지정한경우이는 Cisco UCM 또는 Cisco UCM 클러스터가 TLS 를시작함을나타내므로구성요소에대한 TLS 컨피그레이션을설정해야합니다. 3-4

135 3 장 uc-ime through username-prompt 명령 ucm 이작업에서 secure 옵션을지정하거나, 나중에엔터프라이즈에대한 TLS를구성하는동안업데이트할수있습니다. 엔터프라이즈내 TLS는 ASA에표시된대로 Cisco Intercompany Media Engine 트렁크의보안상태를나타냅니다. Cisco Intercompany Media Engine 트렁크에대한전송보안이 Cisco UCM에서변경된경우 Adaptive Security Appliance에서도변경되어야합니다. 불일치할경우호출에실패합니다. Adaptive Security Appliance는비보안 IME 트렁크를통한 SRTP를지원하지않습니다. Adaptive Security Appliance는 SRTP가보안트렁크를통해허용되는것으로가정합니다. 따라서 TLS를사용하는경우 IME 트렁크에대해 SRTP가허용되는지확인해야합니다. ASA는보안 IME 트렁크호출에대해 RTP로의 SRTP 대체를지원합니다. 프록시는엔터프라이즈경계에있으며, 엔터프라이즈간에생성된 SIP 트렁크간의 SIP 신호처리를검사합니다. 또한인터넷에서의 TLS 신호처리를종료하고 Cisco UCM으로의 TCP 또는 TLS를시작합니다. TLS( 전송계층보안 ) 는인터넷등의네트워크를통한통신에대해보안을제공하는암호화프로토콜입니다. TLS는엔드투엔드전송계층에서네트워크연결세그먼트를암호화합니다. TCP가내부네트워크내에서허용되는경우에는이작업이필요하지않습니다. 로컬엔터프라이즈내에서 TLS를구성하는주요단계는다음과같습니다. 로컬 ASA 에서자체서명된인증서에대한또다른 RSA 키및신뢰지점을만듭니다. 로컬 Cisco UCM 과로컬 ASA 간에인증서를내보내고가져옵니다. ASA에서로컬 Cisco UCM에대한신뢰지점을만듭니다. TLS를통한인증 : ASA가 N개의엔터프라이즈를위한포트역할을하려면 Cisco UCM에서 ASA의인증서하나를허용할수있어야합니다. 이렇게하려면모든 UC-IME SIP 트렁크를 ASA에서제공하는것과동일한주체이름이포함된동일한 SIP 보안프로파일과연결하면됩니다. Cisco UCM은인증서에서주체이름을추출하여보안프로파일에구성된이름과비교하기때문입니다. 예다음예에서는 UCM 프록시에연결하는방법을보여줍니다. ciscoasa(config)# uc-ime local_uc-ime_proxy ciscoasa(config-uc-ime)# media-termination ime-media-term ciscoasa(config-uc-ime)# ucm address trunk-security-mode non-secure ciscoasa(config-uc-ime)# ticket epoch 1 password password1234 ciscoasa(config-uc-ime)# fallback monitoring timer 120 ciscoasa(config-uc-ime)# fallback hold-down timer

136 undebug 3 장 uc-ime through username-prompt 명령 undebug 현재세션에서디버깅정보표시를비활성화하려면특권 EXEC 모드에서 undebug 명령을사용합니다. undebug {command all} 구문설명 all 모든디버그출력을비활성화합니다. command 지정된명령에대한디버그를비활성화합니다. 지원되는명령에대한 자세한내용은사용지침을참고하십시오. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이수정되었습니다. 여기에는추가 debug 키워드가포함됩니다. 사용지침 다음명령은 undebug 명령과함께사용할수있습니다. 특정명령의디버깅또는특정 debug 명령의연계된인수및키워드에대한자세한내용은 debug 명령항목을참고하십시오. aaa - AAA 정보 acl - ACL 정보 all - 모든디버깅 appfw - 애플리케이션방화벽정보 arp - NP 작업을포함하는 ARP asdm - ASDM 정보 auto-update - 자동업데이트정보 boot-mem - 부트메모리계산및설정 cifs - CIFS 정보 cmgr - CMGR 정보 context - 상황정보 cplane - CP 정보 3-6

137 3 장 uc-ime through username-prompt 명령 undebug crypto - 암호화정보 ctiqbe - CTIQBE 정보 ctl-provider - CTL 공급자디버깅정보 dap - DAP 정보 dcerpc - DCERPC 정보 ddns - 동적 DNS 정보 dhcpc - DHCP 클라이언트정보 dhcpd - DHCP 서버정보 dhcprelay - DHCP 릴레이정보 disk - 디스크정보 dns - DNS 정보 eap - EAP 정보 eigrp - EIGRP 프로토콜정보 - 이메일정보 entity - 엔터티 MIB 정보 eou - EAPoUDP 정보 esmtp - ESMTP 정보 fips - FIPS 정보 fixup - 수정정보 fover - 장애조치정보 fsm - FSM 정보 ftp - FTP 정보 generic - 기타정보 gtp - GTP 정보 h323 - H323 정보 http - HTTP 정보 icmp - ICMP 정보 igmp - IGMP(Internet Group Management Protocol) ils - LDAP 정보 im - IM 검사정보 imagemgr - 이미지관리자정보 inspect - 디버깅검사정보 integrityfw - 무결성방화벽정보 ip - IP 정보 ipsec-over-tcp - IPsec over TCP 정보 ipsec-pass-thru - ipsec-pass-thru 검사정보 ipv6 - IPv6 정보 iua-proxy - IUA 프록시정보 3-7

138 undebug 3 장 uc-ime through username-prompt 명령 kerberos - KERBEROS 정보 l2tp - L2TP 정보 ldap - LDAP 정보 mfib - 멀티캐스트전달정보데이터베이스 mgcp - MGCP 정보 module-boot - 서비스모듈부트정보 mrib - 멀티캐스트라우팅정보데이터베이스 nac-framework - NAC-FRAMEWORK 정보 netbios-inspect - NETBIOS 검사정보 npshim - NPSHIM 정보 ntdomain - NT 도메인정보 ntp - NTP 정보 ospf - OSPF 정보 p2p - P2P 검사정보 parser - 파서정보 pim - 프로토콜독립멀티캐스트 pix - PIX 정보 ppp - PPP 정보 pppoe - PPPoE 정보 pptp - PPTP 정보 radius - RADIUS 정보 redundant-interface - 예비인터페이스정보 rip - RIP 정보 rtp - RTP 정보 rtsp - RTSP 정보 sdi - SDI 정보 sequence - 시퀀스번호추가 session-command - 세션명령정보 sip - SIP 정보 skinny - Skinny 정보 sla - IP SLA 모니터디버그 smtp-client - 이메일시스템로그메시지 splitdns - 스플릿 DNS 정보 sqlnet - SQLNET 정보 ssh - SSH 정보 sunrpc - SUNRPC 정보 tacacs - TACACS 정보 tcp - WebVPN용 TCP 3-8

139 3 장 uc-ime through username-prompt 명령 undebug tcp-map - TCP 맵정보 timestamps - 타임스탬프추가 track - 고정경로추적 vlan-mapping - VLAN 매핑정보 vpn-sessiondb - VPN 세션데이터베이스정보 vpnlb - VPN 부하균형정보 wccp - WCCP 정보 webvpn - WebVPN 정보 xdmcp - XDMCP 정보 xml - XML 파서정보디버깅출력은 CPU 프로세스에서높은우선순위가할당되기때문에시스템을사용할수없게만들수있습니다. 따라서 debug 명령은특정문제를해결하거나 Cisco TAC를통해세션문제를해결하는동안에만사용해야합니다. 또한하위네트워크트래픽기간동안사용자수가적은경우에 debug 명령을사용하는것이가장좋습니다. 이러한기간동안디버깅하면 debug 명령처리오버헤드증가가시스템사용에영향을줄가능성이감소합니다. 예다음예에서는모든디버깅출력을비활성화합니다. ciscoasa(config)# undebug all 관련명령 명령 설명 debug 선택한명령에대한디버그정보를표시합니다. 3-9

140 unix-auth-gid 3 장 uc-ime through username-prompt 명령 unix-auth-gid UNIX 그룹 ID 를설정하려면 group-policy webvpn 컨피그레이션모드에서 unix-auth-gid 명령을사용합니다. 이명령을컨피그레이션에서제거하려면이명령의 no 버전을사용합니다. unix-auth-gid identifier no storage-objects 구문설명 identifier 0~ 범위의정수를지정합니다. 기본값기본값은 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. group-policy webvpn 컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침문자열은 NetFS( 네트워크파일시스템 ) 위치를지정합니다. SMB 및 FTP 프로토콜만지원됩니다 ( 예 : smb://(netfs location) 또는 ftp://(netfs location)). 이위치의이름은 storage-objects 명령에서사용합니다. 예다음예에서는 UNIX 그룹 ID 를 4567 로설정합니다. ciscoasa(config)# group-policy test attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# unix-auth-gid 4567 관련명령 명령 설명 unix-auth-uid UNIX 사용자 ID를설정합니다. 3-10

141 3 장 uc-ime through username-prompt 명령 unix-auth-uid unix-auth-uid UNIX 사용자 ID 를설정하려면 group-policy webvpn 컨피그레이션모드에서 unix-auth-uid 명령을사용합니다. 이명령을컨피그레이션에서제거하려면이명령의 no 버전을사용합니다. unix-auth-gid identifier no storage-objects 구문설명 identifier 0~ 범위의정수를지정합니다. 기본값기본값은 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. group-policy webvpn 컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침문자열은 NetFS( 네트워크파일시스템 ) 위치를지정합니다. SMB 및 FTP 프로토콜만지원됩니다 ( 예 : smb://(netfs location) 또는 ftp://(netfs location)). 이위치의이름은 storage-objects 명령에서사용합니다. 예다음예에서는 UNIX 사용자 ID 를 333 으로설정합니다. ciscoasa(config)# group-policy test attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# unix-auth-gid 333 관련명령 명령 설명 unix-auth-gid UNIX 그룹 ID를설정합니다. 3-11

142 upload-max-size 3 장 uc-ime through username-prompt 명령 upload-max-size 업로드할개체에허용되는최대크기를지정하려면 group-policy webvpn 컨피그레이션모드에서 upload-max-size 명령을사용합니다. 컨피그레이션에서이개체를제거하려면이명령의 no 버전을사용합니다. upload-max-size size no upload-max-size 구문설명 size 업로드한개체에허용되는최대크기를지정합니다. 범위는 0~ 입니다. 기본값기본크기는 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. group-policy webvpn 컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침크기를 0 로설정하면개체업로드가효과적으로허용되지않습니다. 예다음예에서는업로드한개체의최대크기를 1500 바이트로설정합니다. ciscoasa(config)# group-policy test attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# upload-max-size

143 3 장 uc-ime through username-prompt 명령 upload-max-size 관련명령 명령 설명 post-max-size 게시할개체의최대크기를지정합니다. download-max-size 다운로드할개체의최대크기를지정합니다. webvpn 그룹정책컨피그레이션모드또는사용자이름컨피그레이션모드에서사용합니다. webvpn 모드를시작하여그룹정책또는사용자이름을적용되는매개변수를구성할수있습니다. webvpn 전역컨피그레이션모드에서사용합니다. WebVPN에대한전역설정을구성할수있습니다. 3-13

144 uri-non-sip 3 장 uc-ime through username-prompt 명령 uri-non-sip Alert-Info 및 Call-Info 헤더필드에있는비 SIP URI 를식별하려면매개변수컨피그레이션모드에서 uri-non-sip 명령을사용합니다. 매개변수컨피그레이션모드는정책맵컨피그레이션모드에서액세스할수있습니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. uri-non-sip action {mask log} [log} no uri-non-sip action {mask log} [log} 구문설명 log 위반시독립형또는추가로그를지정합니다. mask 비 SIP URI를마스킹합니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 매개변수컨피그레이션 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예 다음예에서는 SIP 검사정책맵에서 Alert-Info 및 Call-Info 헤더필드에있는비 SIP URI 를식별하는방법을보여줍니다. ciscoasa(config)# policy-map type inspect sip sip_map ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# uri-non-sip action log 관련명령 명령 설명 class 정책맵에서클래스맵이름을식별합니다. class-map type 애플리케이션에특정한트래픽과일치시킬검사클래스맵을만듭니다. inspect policy-map 계층 3/4 정책맵을만듭니다. show running-config 모든현재정책맵컨피그레이션을표시합니다. policy-map 3-14

145 3 장 uc-ime through username-prompt 명령 url url CRL 을검색할정적 URL 목록을유지하려면 crl configure 컨피그레이션모드에서 url 명령을사용합니다. crl configure 컨피그레이션모드는 crypto ca trustpoint 컨피그레이션모드에서액세스할수있습니다. 기존 URL 을삭제하려면이명령의 no 형식을사용합니다. url index url no url index url 구문설명 index 목록에서각 URL의순위를결정하는값 (1~5) 을지정합니다. ASA는인덱스 1의 URL을가장먼저시도합니다. url CRL을검색할 URL을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 crl configure 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 기존 URL 을덮어쓸수없습니다. 기존 URL 을바꾸려면먼저이명령의 no 형식을사용하여삭제합니다. 예 다음예에서는 ca-crl 컨피그레이션모드를시작하고 CRL 검색을위한 URL 목록을만들고유지할인덱스 3 을설정한다음 CRL 을검색할 URL 을구성합니다. ciscoasa(configure)# crypto ca trustpoint central ciscoasa(ca-trustpoint)# crl configure ciscoasa(ca-crl)# url 3 ciscoasa(ca-crl)# 3-15

146 url 3 장 uc-ime through username-prompt 명령 관련명령 명령 설명 crl configure ca-crl 컨피그레이션모드를시작합니다. crypto ca trustpoint 신뢰지점컨피그레이션모드를시작합니다. policy CRL을검색할소스를지정합니다. 3-16

147 3 장 uc-ime through username-prompt 명령 url-block url-block 필터링서버의필터링결정을기다리는동안웹서버응답에사용되는 URL 버퍼를관리하려면 url-block 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. url-block block block_buffer no url-block block block_buffer url-block mempool-size memory_pool_size no url-block mempool-size memory_pool_size url-block url-size long_url_size no url-block url-size long_url_size 구문설명 block block_buffer mempool-size memory_pool_size url-size long_url_size 필터링서버의필터링결정을기다리는동안웹서버응답을저장할 HTTP 응답버퍼를만듭니다. 허용되는값은 1550 바이트블록수를지정하는 1~128 입니다. URL 버퍼메모리풀의최대크기 (KB) 를구성합니다. 허용되는값은 2KB 에서 10240KB 사이의 URL 버퍼메모리풀을지정하는 2~10240 입니다. 버퍼링할각긴 URL 에허용되는최대 URL 크기 (KB) 를구성합니다. 최대 URL 크기를지정하는허용되는값은 Websense 의경우 2, 3 또는 4(2KB, 3KB 또는 4KB 를나타냄 ) 이고, Secure Computing 의경우 2 또는 3(2KB 또는 3KB 를나타냄 ) 입니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 3-17

148 url-block 3 장 uc-ime through username-prompt 명령 사용지침 Websense 필터링서버의경우 url-block url-size 명령은최대 4KB의긴 URL을허용합니다. Secure Computing의경우 url-block url-size 명령은최대 3KB의긴 URL을허용합니다. Websense 및 N2H2 필터링서비스모두에대해 url-block block 명령은 ASA가 URL 필터링서버의응답을기다리는동안웹클라이언트요청에대한응답으로웹서버에서받은패킷을버퍼하도록합니다. 이는기본 ASA 동작에비해웹클라이언트의성능을향상시킵니다. 즉, 패킷을삭제하고연결이허용된경우웹서버에서패킷을재전송하도록합니다. url-block block 명령을사용하는경우필터링서버에서연결을허용하면 ASA는 HTTP 응답버퍼에서웹클라이언트로블록을전송하고버퍼의블록을제거합니다. 필터링서버에서연결을거부하는경우 ASA는웹클라이언트로거부메시지를전송하고 HTTP 응답버퍼에서블록을제거합니다. url-block block 명령을사용하여필터링서버의필터링결정을기다리는동안웹서버응답을버퍼하는데사용할블록수를지정할수있습니다. url-block url-size 명령을 url-block mempool-size 명령과함께사용하여필터링할 URL의최대길이및 URL 버퍼에할당한최대메모리를지정할수있습니다. 이러한명령을사용하여 1159바이트보다긴 ( 최대 4096바이트 ) URL을 Websense 또는 Secure-Computing 서버로전달할수있습니다. url-block url-size 명령은 1159바이트보다긴 URL을버퍼에저장한다음 Websense 또는 Secure-Computing 서버가 URL을허용하거나거부할수있도록 TCP 패킷스트림을통해 Websense 또는 Secure-Computing 서버로 URL을전달합니다. 예다음예에서는 URL 필터링서버의응답을버퍼하도록 56 개의 1550 바이트블록을할당합니다. ciscoasa#(config)# url-block block 56 관련명령 명령 설명 clear url-block block 블록버퍼사용카운터를지웁니다. statistics filter url URL 필터링서버로트래픽을전송합니다. show url-block N2H2 필터또는 Websense 필터링서버의응답을기다리는동안 URL을버퍼하는데사용되는 URL 캐시에대한정보를표시합니다. url-cache N2H2 또는 Websense 서버에서응답이보류중인동안 URL 캐싱을활성화하고캐시크기를설정합니다. url-server filter 명령에서사용할 N2H2 또는 Websense 서버를식별합니다. 3-18

149 3 장 uc-ime through username-prompt 명령 url-cache url-cache Websense 서버에서받은 URL 응답에대한 URL 캐싱을활성화하고캐시크기를설정하려면전역컨피그레이션모드에서 url-cache 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. url-cache { dst src_dst } kbytes [ kb ] no url-cache { dst src_dst } kbytes [ kb ] 구문설명 dst URL 수신주소를기반으로항목을캐시합니다. 모든사용자가 Websense 서버에서동일한 URL 필터링정책을공유하는경우이모드를선택합니다. size kbytes 캐시크기의값을 1~128KB 내에서지정합니다. src_dst URL 요청을시작하는소스주소와 URL 수신주소둘다를기반으로항목을캐시합니다. 사용자가 Websense 서버에서동일한 URL 필터링정책을공유하지않는경우이모드를선택합니다. statistics 캐시조회및적중률수를포함하여추가 URL 캐시통계를표시하려면 statistics 옵션을사용합니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 url-cache 명령은 URL 서버의응답을캐시할수있는컨피그레이션옵션을제공합니다. url-cache 명령을사용하여 URL 캐싱을활성화하고, 캐시크기를설정하고, 캐시통계를표시할수있습니다. 참고 N2H2 서버애플리케이션은 URL 필터링에이명령을지원하지않습니다. 캐싱은 ASA 의메모리에 URL 액세스권한을저장합니다. 호스트가연결을요청하면 ASA 는 Websense 서버로요청을전달하는대신먼저 URL 캐시에서일치하는액세스권한을조회합니다. no url-cache 명령을사용하여캐싱을비활성화할수있습니다. 3-19

150 url-cache 3 장 uc-ime through username-prompt 명령 참고 Websense 서버에서설정을변경한경우 no url-cache 명령을사용하여캐시를비활성화한다음 url-cache 명령을사용하여캐시를다시활성화합니다. URL 캐시를사용해도 Websense 프로토콜버전 1 에대한 Websense 계정관리로그는업데이트되지않습니다. Websense 프로토콜버전 1 을사용하는경우 Websense 실행시로그가누적되도록두면 Websense 계정관리정보를볼수있습니다. 보안요구사항에맞는사용프로파일을받은후 url-cache 를활성화하여처리량을늘립니다. 계정관리로그는 url-cache 명령을사용하는동안 Websense 프로토콜버전 4 URL 필터링에대해업데이트됩니다. 예다음예에서는소스및수신주소를기반으로모든아웃바운드 HTTP 연결을캐시합니다. ciscoasa(config)# url-cache src_dst 128 관련명령 명령 설명 clear url-cache 컨피그레이션에서 url-cache 명령문을제거합니다. statistics filter url URL 필터링서버로트래픽을전송합니다. show url-cache statistics Websense 필터링서버에서받은 URL 응답에사용되는 URL 캐시에대한정보를표시합니다. url-server filter 명령에서사용할 Websense 서버를식별합니다. 3-20

151 3 장 uc-ime through username-prompt 명령 url-entry url-entry 포털페이지에서 HTTP/HTTPS URL 을입력할수있는기능을활성화하거나비활성화하려면 dap webvpn 컨피그레이션모드에서 url-entry 명령을사용합니다. url-entry enable disable enable disable 파일서버또는공유를찾아볼수있는기능을활성화하거나비활성화합니다. 기본값기본값또는동작은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 dap webvpn 컨피그레이션 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 예다음예에서는 Finance 라는 DAP 레코드에대한 URL 항목을활성화하는방법을보여줍니다. ciscoasa (config) config-dynamic-access-policy-record Finance ciscoasa(config-dynamic-access-policy-record)# webvpn ciscoasa(config-dynamic-access-policy-record)# url-entry enable 관련명령 명령 설명 dynamic-access-policy-record DAP 레코드를만듭니다. file-entry 액세스할파일서버이름을입력할수있는기능을활성화 하거나비활성화합니다. 3-21

152 url-length-limit 3 장 uc-ime through username-prompt 명령 url-length-limit RTSP 메시지에서허용되는 URL 의최대길이를구성하려면매개변수컨피그레이션모드에서 url-length-limit 명령을사용합니다. 매개변수컨피그레이션모드는정책맵컨피그레이션모드에서액세스할수있습니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. url-length-limit length no url-length-limit length 구문설명 length URL 길이제한 ( 바이트 ) 입니다. 범위는 0~6000 입니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 매개변수컨피그레이션 예 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 예다음예에서는 RTSP 검사정책맵에서 URL 길이제한을구성하는방법을보여줍니다. ciscoasa(config)# policy-map type inspect rtsp rtsp_map ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# url-length-limit 50 관련명령 명령 설명 class 정책맵에서클래스맵이름을식별합니다. class-map type 애플리케이션에특정한트래픽과일치시킬검사클래스맵을만듭니다. inspect policy-map 계층 3/4 정책맵을만듭니다. show running-config 모든현재정책맵컨피그레이션을표시합니다. policy-map 3-22

153 3 장 uc-ime through username-prompt 명령 url-list( 제거됨 ) url-list( 제거됨 ) 더이상이명령을사용하여 SSL VPN 연결을통해액세스할수있는 URL 목록을정의할수없습니다. 이제 import 명령을사용하여 URL 목록을정의하는 XML 개체를가져올수있습니다. 자세한내용은 import- 및 export-url-list 명령을참고하십시오. 기본값기본 URL 목록은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션모드 예 예 릴리스수정사항 7.0(1) 이명령이도입되었습니다. 8.0(2) 이명령의사용이중단되었습니다. 이릴리스의소프트웨어는보안어플라이언스에서이러한목록을 XML 파일로변환할수있도록기존 URL 목록에대한이전버전과의호환성만제공하기위해유지됩니다. 이명령을사용하여새 URL 목록을만들수는없습니다. 사용지침 하나이상의 URL 목록을만들려면전역컨피그레이션모드에서 url-list 명령을사용합니다. 특정그룹정책또는사용자에대해목록의 URL 에대한액세스를허용하려면 webvpn 모드에서 url-list 명령과함께여기서만든 listname 을사용합니다. 예 다음예에서는 및 에대한액세스를제공하는 Marketing URLs 라는 URL 목록을만드는방법을보여줍니다. 다음표에서는이설명서의예에서각애플리케이션에사용하는값을제공합니다. listname displayname url Marketing URLs Cisco Systems Marketing URLs Example Company, Inc. Marketing URLs Example Organization ciscoasa(config)# url-list Marketing URLs Cisco Systems ciscoasa(config)# url-list Marketing URLs Example Company, Inc. ciscoasa(config)# url-list Marketing URLs Example Organization

154 url-list( 제거됨 ) 3 장 uc-ime through username-prompt 명령 관련명령 명령 설명 clear configuration url-list 컨피그레이션에서모든 url-list 명령을제거합니다. listname이포함된경우 ASA는해당목록에대한명령만제거합니다. show running-configuration url-list 현재구성된 URL 집합을표시합니다. webvpn 그룹정책컨피그레이션모드또는사용자이름컨피그레이션모드에서사용합니다. webvpn 모드를시작하여그룹정책또는사용자이름을적용되는매개변수를구성할수있습니다. webvpn 전역컨피그레이션모드에서사용합니다. WebVPN에대한전역설정을구성할수있습니다. 3-24

155 3 장 uc-ime through username-prompt 명령 url-list (group-policy webvpn) url-list (group-policy webvpn) 특정사용자또는그룹정책에 WebVPN 서버및 URL 목록을적용하려면 group-policy webvpn 컨피그레이션모드또는 username webvpn 컨피그레이션모드에서 url-list 명령을사용합니다. url-list none 명령을사용하여만든 null 값을포함하여목록을제거하려면이명령의 no 형식을사용합니다. no 옵션은다른그룹정책에서값을상속하도록허용합니다. URL 목록을상속하지못하도록하려면 url-list none 명령을사용합니다. 이명령을두번사용하면이전설정이재정의됩니다. url-list {value name none} [index] no url-list 구문설명 index 홈페이지의표시우선순위를나타냅니다. none URL 목록에대한 null 값을설정합니다. 기본또는지정된그룹정책에서목록을상속하지못하도록합니다. value name 이전에구성된 URL 목록의이름을지정합니다. 이러한목록을구성하려면전역컨피그레이션모드에서 url-list 명령을사용합니다. 기본값기본 URL 목록은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 상황 시스템 group-policy webvpn 컨피그레 예 예 이션 username 컨피그레이션 예 예 다중 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침이명령을두번사용하면이전설정이재정의됩니다. webvpn 모드에서 url-list 명령을사용하여사용자또는그룹정책에대해 WebVPN 홈페이지에표시할 URL 목록을식별하려면먼저 XML 개체를통해목록을만들어야합니다. 전역컨피그레이션모드에서 import 명령을사용하여 URL 목록을보안어플라이언스로다운로드합니다. 그런다음 url-list 명령을사용하여특정그룹정책또는사용자에게목록을적용합니다. 3-25

156 url-list (group-policy webvpn) 3 장 uc-ime through username-prompt 명령 예 다음예에서는 FirstGroup 이라는그룹정책에대해 FirstGroupURLs 라는 URL 목록을적용한후 URL 목록중첫번째위치에이목록을할당합니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# url-list value FirstGroupURLs 1 관련명령 명령 설명 clear configure url-list 컨피그레이션에서모든 url-list 명령을제거합니다. 목록이름이포함된경우 ASA는해당목록에대한명령만제거합니다. show running-configuration 현재구성된 url-list 명령집합을표시합니다. url-list webvpn webvpn 모드를시작할수있도록합니다. 이는 webvpn 컨피그레이션모드, group-policy webvpn 컨피그레이션모드 ( 특정그룹정책에대한 webvpn 설정구성 ) 또는 username webvpn 컨피그레이션모드 ( 특정사용자에대한 webvpn 설정구성 ) 일수있습니다. 3-26

157 3 장 uc-ime through username-prompt 명령 url-server url-server filter 명령에사용할 N2H2 또는 Websense 서버를식별하려면전역컨피그레이션모드에서 url-server 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. N2H2 url-server [(if_name)] vendor {smartfilter n2h2} host local_ip [port number] [timeout seconds] [protocol {TCP [connections number]} UDP] no url-server [(if_name)] vendor {smartfilter n2h2} host local_ip [port number] [timeout seconds] [protocol {TCP [connections number]} UDP] Websense url-server (if_name) vendor websense host local_ip [timeout seconds] [protocol {TCP UDP connections num_conns] version] no url-server (if_name) vendor websense host local_ip [timeout seconds] [protocol {TCP UDP [connections num_conns] version] 구문설명 N2H2 connections 허용되는최대 TCP 연결수를제한합니다. num_conns 보안어플라이언스에서만든최대 TCP 연결수를 URL 서버에지정합니다. 이수치는서버당지정되므로서버마다연결값이다를수있습니다. host local_ip URL 필터링애플리케이션을실행하는서버입니다. if_name ( 선택사항 ) 인증서버가상주하는네트워크인터페이스입니다. 지정하지않은경우기본값은 inside입니다. port number N2H2 서버포트입니다. 또한 ASA는이포트에서 UDP 응답을수신대기합니다. 기본포트번호는 4005입니다. protocol 프로토콜은 TCP 또는 UDP 키워드를사용하여구성할수있습니다. 기본값은 TCP입니다. timeout seconds ASA가지정한다음서버로전환하기전에허용되는최대유휴시간입니다. 기본값은 30초입니다. vendor URL 필터링서비스 ( smartfilter 또는 n2h2 ( 이전버전과의호환성용 )) 를나타냅니다. smartfilter 는공급업체문자열로저장됩니다. Websense connections 허용되는최대 TCP 연결수를제한합니다. num_conns 보안어플라이언스에서만든최대 TCP 연결수를 URL 서버에지정합니다. 이 수치는서버당지정되므로서버마다연결값이다를수있습니다. host local_ip URL 필터링애플리케이션을실행하는서버입니다. if_name 인증서버가상주하는네트워크인터페이스입니다. 지정하지않은경우기본 값은 inside입니다. 3-27

158 url-server 3 장 uc-ime through username-prompt 명령 timeout seconds ASA가지정한다음서버로전환하기전에허용되는최대유휴시간입니다. 기본값은 30초입니다. protocol 프로토콜은 TCP 또는 UDP 키워드를사용하여구성할수있습니다. 기본값은 TCP 프로토콜버전 1입니다. vendor URL 필터링서비스공급업체가 Websense임을나타냅니다. websense version 프로토콜버전 1 또는 4를지정합니다. 기본값은 TCP 프로토콜버전 1입니다. TCP는버전 1 또는버전 4를사용하여구성할수있습니다. UDP는버전 4만사용하여구성할수있습니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 url-server 명령은 N2H2 또는 Websense URL 필터링애플리케이션을실행하는서버를지정합니다. 단일상황모드의경우 16개의 URL 서버로제한되고, 다중모드의경우 4개의 URL 서버로제한됩니다. 그러나한번에하나의애플리케이션 (N2H2 또는 Websense) 만사용할수있습니다. 또한 ASA 에서컨피그레이션을변경해도애플리케이션서버의컨피그레이션은업데이트되지않습니다. 공급업체지침에따라개별적으로업데이트해야합니다. HTTPS 및 FTP에대해 filter 명령을실행하기전에 url-server 명령을구성해야합니다. 모든 URL 서버가서버목록에서제거되면 URL 필터링과관련된모든 filter 명령도제거됩니다. 서버를지정한후에는 filter url 명령을사용하여 URL 필터링서비스를활성화합니다. show url-server statistics 명령을사용하여연결할수없는서버를비롯한서버통계정보를볼수있습니다. URL을필터링하려면다음단계를따르십시오. 1 단계적절한형식의공급업체관련 url-server 명령으로 URL 필터링애플리케이션서버를지정합니다. 2 단계 filter 명령으로 URL 필터링을활성화합니다. 3 단계 ( 선택사항 ) url-cache 명령으로 URL 캐싱을활성화하여인지된응답시간을향상시킵니다. 4 단계 ( 선택사항 ) url-block 명령을사용하여긴 URL 및 HTTP 버퍼링지원을활성화합니다. 5 단계 show url-block block statistics, show url-cache statistics 또는 show url-server statistics 명령을사용하여실행정보를볼수있습니다. 3-28

159 3 장 uc-ime through username-prompt 명령 url-server N2H2 기준필터링에대한자세한내용은다음 N2H2 웹사이트를참조하십시오. Websense 필터링서비스에대한자세한내용은다음웹사이트를참조하십시오. 예 다음예에서는 N2H2 를사용하여 호스트의연결을제외한모든아웃바운드 HTTP 연결을필터링합니다. ciscoasa(config)# url-server (perimeter) vendor n2h2 host ciscoasa(config)# filter url http ciscoasa(config)# filter url except 다음예에서는 Websense 를사용하여 호스트의연결을제외한모든아웃바운드 HTTP 연결을필터링합니다. ciscoasa(config)# url-server (perimeter) vendor websense host protocol TCP version 4 ciscoasa(config)# filter url http ciscoasa(config)# filter url except 관련명령 명령 설명 clear url-server URL 필터링서버통계를지웁니다. filter url URL 필터링서버로트래픽을전송합니다. show url-block N2H2 또는 Websense 필터링서버에서받은 URL 응답에사용되는 URL 캐시에대한정보를표시합니다. url-cache N2H2 또는 Websense 서버에서응답이보류중인동안 URL 캐싱을활성화하고캐시크기를설정합니다. 3-29

160 urgent-flag 3 장 uc-ime through username-prompt 명령 urgent-flag TCP 노멀라이저를통한 URG 포인터를허용하거나제거하려면 tcp-map 컨피그레이션모드에서 urgent-flag 명령을사용합니다. 이사양을제거하려면이명령의 no 형식을사용합니다. urgent-flag {allow clear} no urgent-flag {allow clear} 구문설명 allow TCP 노멀라이저를통한 URG 포인터를허용합니다. clear TCP 노멀라이저를통한 URG 포인터를지웁니다. 기본값긴급플래그및긴급오프셋은기본적으로지워집니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 tcp-map 컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 tcp map 명령은 MPF(Modular Policy Framework) 인프라와함께사용됩니다. class-map 명령을사용하여트래픽의클래스를정의하고, tcp-map 명령을사용하여 TCP 검사를사용자지정합니다. 새 TCP 맵은 policy-map 명령을사용하여적용합니다. TCP 검사는 service-policy 명령을사용하여활성화합니다. tcp-map 명령을사용하여 tcp-map 컨피그레이션모드를시작할수있습니다. tcp-map 컨피그레이션모드에서 urgent-flag 명령을사용하여긴급플래그를허용할수있습니다. URG 플래그는스트림내의다른데이터보다우선순위가높은정보가패킷에포함되어있음을나타내는데사용됩니다. TCP RFC는 URG 플래그의정확한해석이모호하므로종단시스템에서는다른방식으로긴급오프셋을처리하며, 이로인해공격에취약해질수있습니다. 기본동작은 URG 플래그및오프셋을지우는것입니다. 3-30

161 3 장 uc-ime through username-prompt 명령 urgent-flag 예다음예에서는긴급플래그를허용하는방법을보여줍니다. ciscoasa(config)# tcp-map tmap ciscoasa(config-tcp-map)# urgent-flag allow ciscoasa(config)# class-map cmap ciscoasa(config-cmap)# match port tcp eq 513 ciscoasa(config)# policy-map pmap ciscoasa(config-pmap)# class cmap ciscoasa(config-pmap)# set connection advanced-options tmap ciscoasa(config)# service-policy pmap global 관련명령 명령 설명 class 트래픽분류에사용할클래스맵을지정합니다. policy-map 정책, 즉트래픽클래스와하나이상의작업연계를구성합니다. set connection 연결값을구성합니다. tcp-map TCP 맵을만들고 tcp-map 컨피그레이션모드에대한액세스를허용합니다. 3-31

162 user 3 장 uc-ime through username-prompt 명령 user ID 방화벽기능을지원하는사용자그룹개체에서사용자를만들려면 user-group object 컨피그레이션모드에서 user 명령을사용합니다. 개체에서사용자를제거하려면이명령의 no 형식을사용합니다. user [domain_nickname\]user_name [no] user [domain_nickname\]user_name 구문설명 domain_nickname ( 선택사항 ) 사용자를추가할도메인을지정합니다. user_name 사용자의이름을지정합니다. 사용자이름은 [a-z], [A-Z], [0-9], [!@#$%^&()-_{}. ] 등모든문자를포함할수있습니다. 사용자이름에공백이포함된경우따옴표로이름을묶어야합니다. user 키워드를사용하여지정한 user_name 인수는 ASCII 사용자이름을포함하며, IP 주소를지정하지않습니다. 기본값 domain_nickname 인수를지정하지않으면 ID 방화벽기능에대해구성된 LOCAL 도메인에사용자가생성됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 object-group user 컨피그레이션 예 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ASA는 Active Directory 도메인컨트롤러에정의된사용자그룹에대한 LDAP 쿼리를 Active Directory 서버로전송합니다. ASA는 ID 방화벽기능을위해이러한그룹을가져옵니다. 그러나 ASA에전역적으로정의되지않고현지화된보안정책이적용되는로컬사용자그룹이필요한현지화된네트워크리소스가있을수있습니다. 로컬사용자그룹은 Active Directory에서가져온중첩된그룹및사용자그룹을포함할수있습니다. ASA는로컬및 Active Directory 그룹을통합합니다. 사용자는로컬사용자그룹및 Active Directory에서가져온사용자그룹에속할수있습니다. ASA는최대 256개의사용자그룹 ( 가져온사용자그룹및로컬사용자그룹포함 ) 을지원합니다. 액세스그룹, 캡처또는서비스정책에포함하면사용자그룹개체가활성화됩니다. 3-32

163 3 장 uc-ime through username-prompt 명령 user 사용자그룹개체내에서다음개체유형을정의할수있습니다. User - object-group user에단일사용자를추가합니다. 이사용자는 LOCAL 사용자또는가져온사용자일수있습니다. 가져온사용자의이름은고유하지않을수있는 CN( 공통이름 ) 이아니라고유한 samaccountname이어야합니다. 그러나일부 Active Directory 서버관리자는 samaccountname과 CN이동일하도록요구할수도있습니다. 이경우 ASA가 show user-identity ad-group-member 명령의출력에표시하는 CN을사용자개체에서정의된가져온사용자에사용할수있습니다. User-group - Microsoft Active Directory 서버와같은외부디렉토리서버에서정의된가져온사용자그룹을 group-object user에추가합니다. 사용자그룹의그룹이름은고유하지않을수있는 CN( 공통이름 ) 이아니라고유한 samaccountname이어야합니다. 그러나일부 Active Directory 서버관리자는 samaccountname과 CN이동일하도록요구할수도있습니다. 이경우 ASA가 show user-identity ad-group-member command 명령의출력에표시하는 CN을 user-group 키워드로지정된 user_group_name 인수에서사용할수있습니다. 참고 먼저개체에서지정하지않고사용자그룹개체내에서 domain_nickname\\user_group_name 또는 domain_nickname\user_ name 을직접추가할수있습니다. domain_nickname 이 AAA 서버와연결된경우 ASA 는사용자개체그룹이활성화되면 Microsoft Active Directory 서버와같은외부디렉토리서버에정의된자세한중첩된사용자그룹및사용자를 ASA 로가져옵니다. Group-object - ASA 에서로컬로정의된그룹을 object-group user 에추가합니다. 참고 object-group user 개체내에개체그룹을포함하면 ASA 는 ACL 최적화를활성화한경우에도액세스그룹에서개체그룹을확장하지않습니다. show object-group 명령의출력에적중횟수가표시되지않습니다. 적중횟수는 ACL 최적화가활성화된경우일반네트워크개체그룹에만사용할수있습니다. Description - object-group user 에대한설명을추가합니다. 예 다음예에서는 user 명령을 user-group object 명령과함께사용하여 ID 방화벽기능에서사용할사용자그룹개체에서사용자를추가하는방법을보여줍니다. ciscoasa(config)# object-group user sampleuser1-group ciscoasa(config-object-group user)# description group members of sampleuser1-group ciscoasa(config-object-group user)# user-group CSCO\\group.sampleusers-all ciscoasa(config-object-group user)# user CSCO\user2 ciscoasa(config-object-group user)# exit ciscoasa(config)# object-group user sampleuser2-group ciscoasa(config-object-group user)# description group members of sampleuser2-group ciscoasa(config-object-group user)# group-object sampleuser1-group ciscoasa(config-object-group user)# user-group CSCO\\group.sampleusers-marketing ciscoasa(config-object-group user)# user CSCO\user3 3-33

164 user 3 장 uc-ime through username-prompt 명령 관련명령 명령 설명 description object-group user 명령으로만든그룹에설명을추가합니다. group-object ID 방화벽기능에서사용하기위해 object-group user 명령으로만든사용자개체그룹에로컬로정의된개체그룹을추가합니다. object-group user ID 방화벽기능을위해사용자그룹개체를만듭니다. user-group Microsoft Active Directory에서가져온사용자그룹 object-group user 명령으로만든그룹에추가합니다. user-identity enable Cisco ID 방화벽인스턴스를생성합니다. 3-34

165 3 장 uc-ime through username-prompt 명령 user-alert user-alert 현재활성세션의모든클라이언트리스 SSL VPN 사용자에대해긴급메시지브로드캐스트를활성화하려면특권 EXEC 모드에서 user-alert 명령을사용합니다. 메시지를비활성화하려면이명령의 no 형식을사용합니다. user-alert string cancel no user-alert 구문설명 cancel 팝업브라우저창시작을취소합니다. string 영숫자입니다. 기본값메시지가없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 이명령을실행하면엔드유저에게구성된메시지가포함된팝업브라우저창이표시됩니다. 이명령을사용해도 ASA 컨피그레이션파일은변경되지않습니다. 예다음예에서는 DAP 추적디버깅을활성화하는방법을보여줍니다. ciscoasa # We will reboot the security appliance at 11:00 p.m. EST time. We apologize for any inconvenience. ciscoasa # 3-35

166 user-authentication 3 장 uc-ime through username-prompt 명령 user-authentication 사용자인증을활성화하려면 group-policy 컨피그레이션모드에서 user-authentication enable 명령을사용합니다. 사용자인증을비활성화하려면 user-authentication disable 명령을사용합니다. 실행중인컨피그레이션에서사용자인증특성을제거하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서사용자인증값을상속하도록허용됩니다. 활성화한경우하드웨어클라이언트뒤에있는개별사용자는터널을통해네트워크에액세스하려면인증을받아야합니다. user-authentication {enable disable} no user-authentication 구문설명 disable 사용자인증을비활성화합니다. enable 사용자인증을활성화합니다. 기본값사용자인증은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침개별사용자는구성된인증서버의순서에따라인증됩니다. 기본 ASA에서사용자인증이필요한경우모든백업서버에서도이를구성해야합니다. 예 다음예에서는 "FirstGroup" 이라는그룹정책에대한사용자인증을활성화하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# user-authentication enable 3-36

167 3 장 uc-ime through username-prompt 명령 user-authentication 관련명령 명령 설명 ip-phone-bypass IP 전화기가사용자인증없이연결되도록합니다. 보안장치인증은그대로적용됩니다. leap-bypass VPN 클라이언트뒤에있는무선장치의 LEAP 패킷이사용자인증 ( 활성화된경우 ) 전에 VPN 터널을통과하도록합니다. 이를통해 Cisco 무선액세스포인트장치를사용하는워크스테이션에서 LEAP 인증을설정할수있습니다. 그런다음사용자인증시마다다시인증합니다. secure-unit-authentication VPN 클라이언트가터널을시작할때마다사용자이름및비밀번호로인증하도록함으로써보안을강화합니다. user-authentication-idle-timeout 개별사용자에대한유휴시간제한을설정합니다. 유휴시간제한동안사용자연결에서통신활동이없는경우 ASA 는연결을종료합니다. 3-37

168 user-authentication-idle-timeout 3 장 uc-ime through username-prompt 명령 user-authentication-idle-timeout 하드웨어클라이언트뒤에있는개별사용자에대한유휴시간제한을설정하려면 group-policy 컨피그레이션모드에서 user-authentication-idle-timeout 명령을사용합니다. 유휴시간제한값을삭제하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서유휴시간제한값을상속하도록허용됩니다. 유휴시간제한값을상속하지못하도록하려면 user-authentication-idle-timeout none 명령을사용합니다. 유휴시간제한동안하드웨어클라이언트뒤에있는개별사용자의통신활동이없는경우 ASA는연결을종료합니다. user-authentication-idle-timeout {minutes none} no user-authentication-idle-timeout 구문설명 minutes 유휴시간제한에서분수를지정합니다. 범위는 1~ 분입니다. none 무제한유휴시간제한을허용합니다. 유휴시간제한을 null 값으로설정하여유휴시간제한을허용하지않습니다. 기본또는지정된그룹정책에서사용자인증유휴시간제한값을상속하지못하도록합니다. 기본값 30 분 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침최소값은 1 분이고, 기본값은 30분이며, 최대값은 10,080분입니다. 이타이머는 VPN 터널자체가아니라 VPN 터널을통한클라이언트액세스만종료합니다. show uauth 명령에대한응답으로표시되는유휴시간제한은항상 Cisco Easy VPN 원격장치의터널에인증된사용자의유휴시간제한값입니다. 예 다음예에서는 FirstGroup 이라는그룹정책에대한유휴시간제한값을 45 분으로설정하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# user-authentication-idle-timeout

169 3 장 uc-ime through username-prompt 명령 user-authentication-idle-timeout 관련명령 명령 설명 user-authentication 하드웨어클라이언트뒤에있는사용자가연결하기전에 ASA에자신을 식별해야합니다. 3-39

170 user-group 3 장 uc-ime through username-prompt 명령 user-group ID 방화벽기능에서사용하기위해 object-group user 명령으로만든그룹에 Microsoft Active Directory 가져온사용자그룹을추가하려면 user-group object 컨피그레이션모드에서 user-group 명령을사용합니다. 개체에서사용자그룹을제거하려면이명령의 no 형식을사용합니다. user-group [domain_nickname\]user_group_name [no] user-group [domain_nickname\]user_group_name 구문설명 domain_nickname ( 선택사항 ) 사용자그룹을만들도메인을지정합니다. user_group_name 사용자그룹의이름을지정합니다. 그룹이름은 [a-z], [A-Z], [0-9], [!@#$%^&()-_{}. ] 등모든문자를포함할수있습니다. 그룹이름에공백이포함된경우따옴표로이름을묶어야합니다. 기본값 domain_nickname 인수를지정하지않으면 ID 방화벽기능에대해구성된 LOCAL 도메인에사용자그룹이생성됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 object-group user 컨피그레이션 예 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ASA는 Active Directory 도메인컨트롤러에정의된사용자그룹에대한 LDAP 쿼리를 Active Directory 서버로전송합니다. ASA는 ID 방화벽기능을위해이러한그룹을가져옵니다. 그러나 ASA에전역적으로정의되지않고현지화된보안정책이적용되는로컬사용자그룹이필요한현지화된네트워크리소스가있을수있습니다. 로컬사용자그룹은 Active Directory에서가져온중첩된그룹및사용자그룹을포함할수있습니다. ASA는로컬및 Active Directory 그룹을통합합니다. 사용자는로컬사용자그룹및 Active Directory에서가져온사용자그룹에속할수있습니다. ASA는최대 256개의사용자그룹 ( 가져온사용자그룹및로컬사용자그룹포함 ) 을지원합니다. 액세스그룹, 캡처또는서비스정책에포함하면사용자그룹개체가활성화됩니다. 3-40

171 3 장 uc-ime through username-prompt 명령 user-group 사용자그룹개체내에서다음개체유형을정의할수있습니다. User - object-group user에단일사용자를추가합니다. 이사용자는 LOCAL 사용자또는가져온사용자일수있습니다. 가져온사용자의이름은고유하지않을수있는 CN( 공통이름 ) 이아니라고유한 samaccountname이어야합니다. 그러나일부 Active Directory 서버관리자는 samaccountname과 CN이동일하도록요구할수도있습니다. 이경우 ASA가 show user-identity ad-group-member 명령의출력에표시하는 CN을사용자개체에서정의된가져온사용자에사용할수있습니다. User-group - Microsoft Active Directory 서버와같은외부디렉토리서버에서정의된가져온사용자그룹을 group-object user에추가합니다. 사용자그룹의그룹이름은고유하지않을수있는 CN( 공통이름 ) 이아니라고유한 samaccountname이어야합니다. 그러나일부 Active Directory 서버관리자는 samaccountname과 CN이동일하도록요구할수도있습니다. 이경우 ASA가 show user-identity ad-group-member command 명령의출력에표시하는 CN을 user-group 키워드로지정된 user_group_name 인수에서사용할수있습니다. 참고 먼저개체에서지정하지않고사용자그룹개체내에서 domain_nickname\\user_group_name 또는 domain_nickname\user_ name 을직접추가할수있습니다. domain_nickname 이 AAA 서버와연결된경우 ASA 는사용자개체그룹이활성화되면 Microsoft Active Directory 서버와같은외부디렉토리서버에정의된자세한중첩된사용자그룹및사용자를 ASA 로가져옵니다. Group-object - ASA 에서로컬로정의된그룹을 object-group user 에추가합니다. 참고 object-group user 개체내에개체그룹을포함하면 ASA 는 ACL 최적화를활성화한경우에도액세스그룹에서개체그룹을확장하지않습니다. show object-group 명령의출력에적중횟수가표시되지않습니다. 적중횟수는 ACL 최적화가활성화된경우일반네트워크개체그룹에만사용할수있습니다. Description - object-group user 에대한설명을추가합니다. 예 다음예에서는 user-group 명령을 user-group object 명령과함께사용하여 ID 방화벽기능에서사용할사용자그룹개체에서사용자를추가하는방법을보여줍니다. ciscoasa(config)# object-group user sampleuser1-group ciscoasa(config-object-group user)# description group members of sampleuser1-group ciscoasa(config-object-group user)# user-group CSCO\\group.sampleusers-all ciscoasa(config-object-group user)# user CSCO\user2 ciscoasa(config-object-group user)# exit ciscoasa(config)# object-group user sampleuser2-group ciscoasa(config-object-group user)# description group members of sampleuser2-group ciscoasa(config-object-group user)# group-object sampleuser1-group ciscoasa(config-object-group user)# user-group CSCO\\group.sampleusers-marketing ciscoasa(config-object-group user)# user CSCO\user3 3-41

172 user-group 3 장 uc-ime through username-prompt 명령 관련명령 명령 설명 description object-group user 명령으로만든그룹에설명을추가합니다. group-object ID 방화벽기능에서사용하기위해 object-group user 명령으로만든사용자개체그룹에로컬로정의된개체그룹을추가합니다. object-group user ID 방화벽기능을위해사용자그룹개체를만듭니다. user object-group user 명령으로만든개체그룹에사용자를추가합니다. user-identity enable Cisco ID 방화벽인스턴스를생성합니다. 3-42

173 3 장 uc-ime through username-prompt 명령 user-identity action ad-agent-down user-identity action ad-agent-down Active Directory 에이전트가응답하지않을때의 Cisco ID 방화벽인스턴스에대한동작을설정하려면전역컨피그레이션모드에서 user-identity action ad-agent-down 명령을사용합니다. ID 방화벽인스턴스에대한이동작을제거하려면이명령의 no 형식을사용합니다. user-identity action ad-agent-down disable-user-identity-rule no user-identity action ad-agent-down disable-user-identity-rule 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로이명령은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 AD 에이전트가응답하지않을때의동작을지정합니다. user-identity action ad-agent-down 명령이구성된경우 AD 에이전트의작동이중지되면 ASA는해당도메인의사용자와연결된사용자 ID 규칙을비활성화합니다. 또한해당도메인의모든사용자 IP 주소에대한상태가 show user-identity user 명령의출력에비활성화된것으로표시됩니다. 예다음예에서는 ID 방화벽에대한이동작을활성화하는방법을보여줍니다. ciscoasa(config)# user-identity action ad-agent-down disable-user-identity-rule 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-43

174 user-identity action domain-controller-down 3 장 uc-ime through username-prompt 명령 user-identity action domain-controller-down Active Directory 도메인컨트롤러의작동이중지되었을때의 Cisco ID 방화벽인스턴스에대한동작을설정하려면전역컨피그레이션모드에서 user-identity action domain-controller-down 명령을사용합니다. 이동작을제거하려면이명령의 no 형식을사용합니다. user-identity action domain-controller-down domain_nickname disable-user-identity-rule no user-identity action domain-controller-down domain_nickname disable-user-identity-rule 구문설명 domain_nickname ID 방화벽에대한도메인이름을지정합니다. 기본값기본적으로이명령은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 Active Directory 도메인컨트롤러가응답하지않아도메인의작동이중지된경우의동작을지정합니다. disable-user-identity-rule 키워드가구성된경우도메인의작동이중지되면 ASA는해당도메인에대해사용자 ID-IP 주소매핑을비활성화합니다. 또한해당도메인의모든사용자 IP 주소에대한상태가 show user-identity user 명령의출력에비활성화된것으로표시됩니다. 예다음예에서는 ID 방화벽에대한이동작을구성하는방법을보여줍니다. ciscoasa(config)# user-identity action domain-controller-down SAMPLE disable-user-identity-rule 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-44

175 3 장 uc-ime through username-prompt 명령 user-identity action mac-address-mismatch user-identity action mac-address-mismatch 사용자의 MAC 주소가 ASA 장치 IP 주소와일치하지않을때의 Cisco ID 방화벽인스턴스에대한동작을설정하려면전역컨피그레이션모드에서 user-identity action mac-address mismatch 명령을사용합니다. 이동작을제거하려면이명령의 no 형식을사용합니다. user-identity action mac-address mismatch remove-user-ip no user-identity action mac-address mismatch remove-user-ip 구문설명이명령에는인수또는키워드가없습니다. 기본값이명령을지정한경우 ASA 는기본적으로 remove-user-ip 를사용합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 사용자의 MAC 주소가현재해당 MAC 주소에매핑된 ASA 장치 IP 주소와일치하지않을때의동작을지정합니다. 이동작은사용자 ID 규칙의효과를비활성화합니다. user-identity action mac-address-mismatch 명령을구성한경우 ASA는해당클라이언트에대해사용자 ID-IP 주소매핑을제거합니다. 예다음예에서는 ID 방화벽을구성하는방법을보여줍니다. ciscoasa(config)# user-identity action mac-address-mismatch remove-user-ip 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-45

176 user-identity action netbios-response-fail 3 장 uc-ime through username-prompt 명령 user-identity action netbios-response-fail 클라이언트가 Cisco ID 방화벽인스턴스에대한 NetBIOS 프로브에응답하지않을때의동작을설정하려면전역컨피그레이션모드에서 user-identity action netbios-response-fail 명령을사용합니다. 이동작을제거하려면이명령의 no 형식을사용합니다. user-identity action netbios-response-fail remove-user-ip no user-identity action netbios-response-fail remove-user-ip 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로이명령은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 클라이언트가 NetBIOS 프로브에응답하지않을때의동작을지정합니다. 예를들어해당클라이언트에대한네트워크연결이차단되거나클라이언트가활성상태가아닐수있습니다. user-identity action remove-user-ip 명령을구성한경우 ASA는해당클라이언트에대해사용자 ID-IP 주소매핑을제거합니다. 예다음예에서는 ID 방화벽을구성하는방법을보여줍니다. ciscoasa(config)# user-identity action netbios-response-fail remove-user-ip 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-46

177 3 장 uc-ime through username-prompt 명령 user-identity ad-agent aaa-server user-identity ad-agent aaa-server Cisco ID 방화벽인스턴스에대한 AD 에이전트의서버그룹을정의하려면 AAA 서버호스트컨피그레이션모드에서 user-identity ad-agent aaa-server 명령을사용합니다. 이동작을제거하려면이명령의 no 형식을사용합니다. user-identity user-identity ad-agent aaa-server aaa_server_group_tag no user-identity user-identity ad-agent aaa-server aaa_server_group_tag 구문설명 aaa_server_group_tag ID 방화벽과연결된 AAA 서버그룹을지정합니다. 기본값이명령에는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 aaa-server host 컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 aaa_server_group_tag 변수에정의된첫번째서버는기본 AD 에이전트이고, 두번째서버는보조 AD 에이전트입니다. ID 방화벽은두개의 AD 에이전트호스트만정의하도록지원합니다. 보조에이전트가지정된경우 ASA는기본 AD 에이전트의작동이중지된것을감지하면보조 AD 에이전트로전환합니다. AD 에이전트의 AAA 서버는 RADIUS를통신프로토콜로사용하며, ASA 와 AD 에이전트간의공유암호에대한키특성을지정해야합니다. 예다음예에서는 ID 방화벽에대한 AD 에이전트 AAA 서버호스트를정의하는방법을보여줍니다. ciscoasa(config-aaa-server-hostkey)# user-identity ad-agent aaa-server adagent 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-47

178 user-identity ad-agent active-user-database 3 장 uc-ime through username-prompt 명령 user-identity ad-agent active-user-database ASA 가 Cisco ID 방화벽인스턴스의 AD 에이전트에서사용자 ID-IP 주소매핑정보를검색하는방법을정의하려면전역컨피그레이션모드에서 user-identity ad-agent active-user-database 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. user-identity ad-agent active-user-database {on-demand full-download} no user-identity ad-agent active-user-database {on-demand full-download} 구문설명이명령에는인수또는키워드가없습니다. 기본값 기본적으로 ASA 5505 에서는 on-demand 옵션을사용합니다. 다른 ASA 플랫폼에서는 full-download 옵션을사용합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ASA 가 AD 에이전트에서사용자 ID-IP 주소매핑정보를검색하는방법을정의합니다. full-download - ASA 가시작될때 ASA 에서 AD 에이전트로전체 IP- 사용자매핑테이블다운로드요청을보낸다음사용자가로그인및로그아웃하면증분 IP- 사용자매핑을검색하도록지정합니다. on-demand - ASA가새연결에필요한패킷을수신할때해당소스 IP 주소의사용자가사용자 ID 데이터베이스에없는경우 ASA가 AD 에이전트에서 IP 주소의사용자매핑정보를검색하도록지정합니다. 기본적으로 ASA 5505에서는 on-demand 옵션을사용합니다. 다른 ASA 플랫폼에서는 full-download 옵션을사용합니다. 전체다운로드는이벤트기반이므로데이터베이스다운로드에대한후속요청에서는사용자 ID-IP 주소매핑데이터베이스에만업데이트만전송합니다. ASA가 AD 에이전트에요청변경을등록하면 AD 에이전트에서 ASA로새이벤트를전송합니다. 3-48

179 3 장 uc-ime through username-prompt 명령 user-identity ad-agent active-user-database 예다음예에서는 ID 방화벽에대한이옵션을구성하는방법을보여줍니다. ciscoasa(config)# user-identity ad-agent active-user-database full-download 관련명령 명령 설명 clear configure ID 방화벽기능에대한컨피그레이션을지웁니다. user-identity 3-49

180 user-identity ad-agent hello-timer 3 장 uc-ime through username-prompt 명령 user-identity ad-agent hello-timer Cisco ID 방화벽인스턴스의 AD 에이전트와 ASA 간의타이머를정의하려면전역컨피그레이션모드에서 user-identity ad-agent hello-timer 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. user-identity ad-agent hello-timer seconds seconds retry-times number no user-identity ad-agent hello-timer seconds seconds retry-times number 구문설명 number 타이머를재시도할횟수를지정합니다. seconds 타이머의기간을지정합니다. 기본값기본적으로 hello 타이머는 30 초및 5 회재시도로설정됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ASA와 AD 에이전트간의 hello 타이머를정의합니다. ASA와 AD 에이전트간의 hello 타이머는 ASA가 hello 패킷을교환하는빈도를정의합니다. ASA 는 hello 패킷을사용하여 ASA 복제상태 (in-sync 또는 out-of-sync) 및도메인상태 (up 또는 down) 를가져옵니다. ASA는 AD 에이전트에서응답을받지못한경우지정된간격후 hello 패킷을다시전송합니다. 기본적으로 hello 타이머는 30초및 5회재시도로설정됩니다. 예다음예에서는 ID 방화벽에대한이옵션을구성하는방법을보여줍니다. ciscoasa(config)# user-identity ad-agent hello-timer seconds 20 retry-times 3 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-50

181 3 장 uc-ime through username-prompt 명령 user-identity ad-agent event-timestamp-check user-identity ad-agent event-timestamp-check 권한부여재생공격의변경으로부터 ASA 를방지하기위해 RADIUS 이벤트타임스탬프확인을활성화하려면전역컨피그레이션모드에서 user-identity ad-agent event-timestamp-check 명령을사용합니다. 컨피그레이션을제거하려면이명령의 no 형식을사용합니다. user-identity ad-agent event-timestamp-check no user-identity ad-agent event-timestamp-check 구문설명이명령에는인수또는키워드가없습니다. 기본값기본설정은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 9.1(5) 이명령이도입되었습니다. 사용지침 이명령을사용하면 ASA가각식별자에대해마지막으로받은이벤트타임스탬프를추적하고, 이벤트타임스탬프가 ASA의클럭보다 5분이상오래되거나해당타임스탬프가마지막이벤트의타임스탬프보다빠른경우모든메시지를삭제합니다. 마지막이벤트타임스탬프를모르는새로부팅된 ASA의경우 ASA는이벤트타임스탬프를해당클럭과비교합니다. 이벤트가 5분이상오래된경우 ASA는메시지를허용하지않습니다. 참고 NTP 를사용하여해당클럭을동기화하도록 ASA, Active Directory 및 Active Directory 에이전트를구성하는것이좋습니다. 예다음예에서는 ID 방화벽에대한이벤트타임스탬프확인을구성하는방법을보여줍니다. ciscoasa(config)# user-identity ad-agent event-timestamp-check 관련명령 명령 user-identity ad-agent hello-timer 설명 Cisco ID 방화벽인스턴스의 AD 에이전트와 ASA 간의타이머를정의합니다. 3-51

182 user-identity default-domain 3 장 uc-ime through username-prompt 명령 user-identity default-domain Cisco ID 방화벽인스턴스에대한기본도메인을지정하려면전역컨피그레이션모드에서 user-identity default-domain 명령을사용합니다. 기본도메인을제거하려면이명령의 no 형식을사용합니다. user-identity default-domain domain_netbios_name no user-identity default-domain domain_netbios_name 구문설명 domain_netbios_name ID 방화벽에대한기본도메인을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 domain_netbios_name에는 [a-z], [A-Z], [0-9], [!@#$%^&()-_=+[]{};,.] 등으로구성된최대 32자의이름을입력합니다. 단, 첫자에는 '.' 및 ' ' 을사용할수없습니다. 도메인이름에공백이포함된경우따옴표로전체이름을묶어야합니다. 도메인이름은대 / 소문자를구분하지않습니다. 사용자또는그룹에대해도메인이명시적으로구성되지않은경우에는모든사용자및사용자그룹에기본도메인이사용됩니다. 기본도메인을지정하지않은경우사용자및그룹의기본도메인은 LOCAL입니다. 다중상황모드의경우시스템실행공간내에서뿐만아니라각상황에대한기본도메인이름을설정할수있습니다. 참고 지정한기본도메인이름은 Active Directory 도메인컨트롤러에구성된 NetBIOS 도메인이름과일치해야합니다. 도메인이름이일치하지않으면 AD 에이전트가사용자 ID-IP 주소매핑을 ASA 를구성할때입력한도메인이름과잘못연결합니다. NetBIOS 도메인이름을보려면아무텍스트편집기에서나 Active Directory 사용자이벤트보안로그를엽니다. ID 방화벽은로컬로정의된모든사용자그룹또는로컬로정의된모든사용자에 LOCAL 도메인을사용합니다. 웹포털 ( 컷스루프록시 ) 을통해로그인하는사용자는인증된 Active Directory 도메인에속한것으로지정됩니다. VPN 을통해로그인하는사용자는해당 VPN 이 Active Directory 에서 LDAP 로인증되지않은한 LOCAL 도메인에속하는것으로지정됩니다. 이는 ID 방화벽이사용자를해당 Active Directory 도메인과연결할수있도록하기위한것입니다. 3-52

183 3 장 uc-ime through username-prompt 명령 user-identity default-domain 예다음예에서는 ID 방화벽에대한기본도메인을구성하는방법을보여줍니다. ciscoasa(config)# user-identity default-domain SAMPLE 관련명령 명령 설명 clear configure ID 방화벽기능에대한컨피그레이션을지웁니다. user-identity 3-53

184 user-identity domain 3 장 uc-ime through username-prompt 명령 user-identity domain Cisco ID 방화벽인스턴스에대한도메인을연결하려면전역컨피그레이션모드에서 user-identity domain 명령을사용합니다. 도메인연결을제거하려면이명령의 no 형식을사용합니다. user-identity domain domain_nickname aaa-server aaa_server_group_tag no user-identity domain_nickname aaa-server aaa_server_group_tag 구문설명 aaa_server_group_tag ID 방화벽과연결된 AAA 서버그룹을지정합니다. domain_nickname ID 방화벽에대한도메인이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 사용자그룹쿼리를가져오기위해 AAA 서버에대해정의된 LDAP 매개변수를도메인이름과연결합니다. domain_nickname 에는 [a-z], [A-Z], [0-9], [!@#$%^&()-_=+[]{};,.] 등으로구성된최대 32 자의이름을입력합니다. 단, 첫자에는 '.' 및 ' ' 을사용할수없습니다. 도메인이름에공백이포함된경우해당공백문자를따옴표로묶어야합니다. 도메인이름은대 / 소문자를구분하지않습니다. 예다음예에서는 ID 방화벽에대한도메인을연결하는방법을보여줍니다. ciscoasa(config)# user-identity domain SAMPLE aaa-server ds 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-54

185 3 장 uc-ime through username-prompt 명령 user-identity enable user-identity enable Cisco ID 방화벽인스턴스를만들려면전역컨피그레이션모드에서 user-identity enable 명령을사용합니다. ID 방화벽인스턴스를비활성화하려면이명령의 no 형식을사용합니다. user-identity enable no user-identity enable 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침이명령은 ID 방화벽을활성화합니다. 예다음예에서는 ID 방화벽을활성화하는방법을보여줍니다. ciscoasa(config)# user-identity enable 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-55

186 user-identity inactive-user-timer 3 장 uc-ime through username-prompt 명령 user-identity inactive-user-timer Cisco ID 방화벽인스턴스에대해사용자가유휴상태로간주되기위해경과해야하는시간을지정하려면전역컨피그레이션모드에서 user-identity inactive-user-timer 명령을사용합니다. 타이머를제거하려면이명령의 no 형식을사용합니다. user-identity inactive-user-timer minutes minutes no user-identity inactive-user-timer minutes minutes 구문설명 minutes 사용자가유휴상태로간주되기위해경과해야하는시간 ( 분 ), 즉 ASA 가지정된기간동안사용자 IP 주소에서트래픽을받지못한시간을지정합니다. 기본값기본적으로유휴시간제한은 60 분으로설정됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 타이머가만료되면사용자의 IP 주소가비활성으로표시되고, 로컬로캐시된사용자 ID-IP 주소매핑데이터베이스에서제거되며, ASA 가해당 IP 주소제거에대해더이상 AD 에이전트에알리지않습니다. 기존트래픽은여전히통과하도록허용됩니다. 이명령을지정하면 NetBIOS 로그아웃프로브가구성된경우에도 ASA 에서비활성타이머를실행합니다. 참고유휴시간제한옵션은 VPN 또는컷스루프록시사용자에게는적용되지않습니다. 예다음예에서는 ID 방화벽을구성하는방법을보여줍니다. ciscoasa(config)# user-identity inactive-user-timer minutes 120 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-56

187 3 장 uc-ime through username-prompt 명령 user-identity logout-probe user-identity logout-probe Cisco ID 방화벽인스턴스에대한 NetBIOS 프로빙을활성화하려면전역컨피그레이션모드에서 user-identity logout-probe 명령을사용합니다. 프로빙을비활성화하려면이명령의 no 형식을사용합니다. user-identity logout-probe netbios local-system probe-time minutes minutes retry-interval seconds seconds retry-count times [user-not-needed match-any exact-match] no user-identity logout-probe netbios local-system probe-time minutes minutes retry-interval seconds seconds retry-count times [user-not-needed match-any exact-match] 구문설명 minutes 프로브간의간격 ( 분 ) 을지정합니다. seconds 재시도간격을지정합니다. times 프로브를재시도할횟수를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 NetBIOS 패킷을최소화하기위해 ASA는사용자가지정된기간 ( 분 ) 보다오래유휴상태로유지된경우에만클라이언트로 NetBIOS 프로브를전송합니다. NetBIOS 프로브타이머 (1~65535분) 및재시도간격 (1~256) 을설정합니다. 프로브를재시도할횟수를지정합니다. match-any - 클라이언트의 NetBIOS 응답에 IP 주소에할당된사용자의사용자이름이포함되어있으면사용자 ID 가유효한것으로간주됩니다. 이옵션을지정하려면클라이언트에서메신저서비스가활성화되고 WINS 서버가구성되어있어야합니다. exact-match - IP 주소에할당된사용자의사용자이름이 NetBIOS 응답에있는유일한사용자이름이어야합니다. 그렇지않으면해당 IP 주소의사용자 ID 가유효하지않은것으로간주됩니다. 이옵션을지정하려면클라이언트에서메신저서비스가활성화되고 WINS 서버가구성되어있어야합니다. user-not-needed - ASA 가클라이언트에서 NetBIOS 응답을받으면사용자 ID 가유효한것으로간주됩니다. 3-57

188 user-identity logout-probe 3 장 uc-ime through username-prompt 명령 ID 방화벽은활성상태이고하나이상의보안정책에있는사용자 ID 에대해서만 NetBIOS 프로브를수행합니다. ASA 는사용자가컷스루프록시를통해또는 VPN 을사용하여로그인한경우클라이언트에대해 NetBIOS 프로빙을수행하지않습니다. 예다음예에서는 ID 방화벽을구성하는방법을보여줍니다. ciscoasa(config)# user-identity logout-probe netbios local-system probe-time minutes 10 retry-interval seconds 10 retry-count 2 user-not-needed 관련명령 명령 설명 clear configure ID 방화벽기능에대한컨피그레이션을지웁니다. user-identity 3-58

189 3 장 uc-ime through username-prompt 명령 user-identity monitor user-identity monitor Cloud Web Security 의경우 AD 에이전트에서지정된사용자또는그룹정보를다운로드하려면전역컨피그레이션모드에서 user-identity monitor 명령을사용합니다. 모니터링을중지하려면이명령의 no 형식을사용합니다. user-identity monitor {user-group [domain-name\\]group-name object-group-user object-group-name} no user-identity monitor {user-group [domain-name\\]group-name object-group-user object-group-name} 구문설명 object-group-user object-group-name user-group [domain-name\\] group-name object-group user 이름을지정합니다. 이그룹은여러그룹을포함할수있습니다. 인라인그룹이름을지정합니다. 도메인과그룹사이에백슬래시 2 개 (\\) 를지정한경우에도 ASA 는 Cloud Web Security 표기법규칙을준수하기위해 Cloud Web Security 로전송할때백슬래시를하나만포함하도록이름을수정합니다. 명령기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ID 방화벽기능을사용할때 ASA는 AD 서버에서활성 ACL에포함된사용자및그룹에대한사용자 ID 정보만다운로드합니다. ACL은액세스규칙, AAA 규칙, 서비스정책규칙또는활성상태로간주되는기타기능에서사용되어야합니다. Cloud Web Security는해당정책이사용자 ID를기반으로할수있기때문에모든사용자에대해 ID 방화벽을완전히적용하려는경우활성 ACL의일부가아닌그룹을다운로드해야할수도있습니다. 예를들어사용자및그룹이포함된 ACL을사용하도록 Cloud Web Security 서비스정책규칙을구성하여모든관련그룹을활성화할수있지만이는필수사항이아닙니다. IP 주소만을기반으로하는 ACL을사용할수있습니다. 사용자 ID 모니터기능을사용하면 AD 에이전트에서직접그룹정보를다운로드할수있습니다. ASA는사용자 ID 모니터에대해구성된그룹및활성 ACL을통해모니터링되는그룹을포함하여최대 512개의그룹만모니터링할수있습니다. 3-59

190 user-identity monitor 3 장 uc-ime through username-prompt 명령 예다음예에서는 CISCO\\Engineering 사용자그룹을모니터링합니다. ciscoasa(config)# user-identity monitor user-group CISCO\\Engineering 관련명령 명령 설명 class-map type inspect 허용목록의사용자및그룹에대한검사클래스맵을만듭니다. scansafe default user group ASA에서 ASA에연결하는사용자의 ID를확인할수없는경우기본사용자이름및 / 또는그룹을지정합니다. http[s]( 매개변수 ) 검사정책맵의서비스유형 (HTTP 또는 HTTPS) 을지정합니다. inspect scansafe 클래스의트래픽에대한 Cloud Web Security 검사를활성화합니다. license 요청을보낸조직을나타내기위해 ASA에서 Cloud Web Security 프록시서버로보내는인증키를구성합니다. match user group 사용자또는그룹이허용목록과일치하는지확인합니다. policy-map type inspect scansafe 규칙의필수매개변수를구성하고선택적으로허용목록을식별할수있도록검사정책맵을만듭니다. retry-count ASA에서 Cloud Web Security 프록시서버를폴링하여해당가용성을확인하기전에대기할시간인재시도카운터값을입력합니다. scansafe 다중상황모드에서상황별로 Cloud Web Security를허용합니다. scansafe 일반 Cloud Web Security 서버옵션을구성합니다. general-options server {primary backup} 기본또는백업 Cloud Web Security 프록시서버의 FQDN( 정규화된도메인이름 ) 또는 IP 주소를구성합니다. show conn scansafe 대문자 Z 플래그를지정하여모든 Cloud Web Security 연결을표시합니다. show scansafe server 현재활성서버인지, 백업서버인지또는연결할수없는지와같은서버의상태를표시합니다. show scansafe 총 HTTP 연결수와현재 HTTP 연결수를표시합니다. statistics whitelist 트래픽의클래스에대해허용목록작업을수행합니다. 3-60

191 3 장 uc-ime through username-prompt 명령 user-identity poll-import-user-group-timer user-identity poll-import-user-group-timer ASA 가 Active Directory 서버에서 Cisco ID 방화벽인스턴스에대한사용자그룹정보를쿼리하기전에경과해야하는시간을지정하려면전역컨피그레이션모드에서 user-identity poll-import-user-group-timer 명령을사용합니다. 타이머를제거하려면이명령의 no 형식을사용합니다. user-identity poll-import-user-group-timer hours hours no user-identity poll-import-user-group-timer hours hours 구문설명 hours 폴링타이머시간을설정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 ASA가 Active Directory 서버에서사용자그룹정보를쿼리하기전에경과해야하는시간을지정합니다. 사용자가 Active Directory 그룹에서추가되거나삭제된경우 ASA는그룹가져오기타이머가실행된후업데이트된사용자그룹을받습니다. 기본적으로폴링타이머는 8시간입니다. 사용자그룹정보를즉시업데이트하려면 user-identity update import-user 명령을입력합니다. 예다음예에서는 ID 방화벽을구성하는방법을보여줍니다. ciscoasa(config)# user-identity poll-import-user-group-timer hours 1 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-61

192 user-identity static user 3 장 uc-ime through username-prompt 명령 user-identity static user 새사용자 -IP 주소매핑을만들거나 Cisco ID 방화벽기능에대해사용자의 IP 주소를비활성으로설정하려면전역컨피그레이션모드에서 user-identity static user 명령을사용합니다. ID 방화벽에대한이컨피그레이션을제거하려면이명령의 no 형식을사용합니다. user-identity static user [domain\] user_name host_ip no user-identity static user [domain\] user_name host_ip 구문설명 domain host_ip user_name 새사용자 -IP 주소매핑을만들거나지정된도메인의사용자에대한 IP 주소를비활성으로설정합니다. 새사용자 -IP 주소매핑을만들거나비활성으로설정할사용자의 IP 주소를지정합니다. 새사용자 -IP 주소매핑또는사용자를만들거나사용자의 IP 주소를비활성으로설정할사용자이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침이명령에대한사용지침은없습니다. 예다음예에서는 ID 방화벽에대한이동작을활성화하는방법을보여줍니다. ciscoasa(config)# user-identity static user SAMPLE\user 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-62

193 3 장 uc-ime through username-prompt 명령 user-identity update active-user-database user-identity update active-user-database Active Directory 에이전트에서전체활성사용자데이터베이스를다운로드하려면전역컨피그레이션모드에서 user-identity update active-user-database 명령을사용합니다. user-identity update active-user-database [timeout minutes minutes] 구문설명 minutes 시간제한기간 ( 분 ) 을지정합니다. 기본값기본시간제한은 5 분입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침이명령은 Active Directory 에이전트에서전체활성사용자데이터베이스를다운로드합니다. 이명령은업데이트작업을시작하고, 시작업데이트로그를생성하여즉시반환합니다. 업데이트작업이완료되거나타이머만료시중단되면다른시스템로그메시지가생성됩니다. 미해결업데이트작업은하나만허용됩니다. 명령을다시실행하면오류메시지가표시됩니다. 명령실행이완료되면 ASA에서명령프롬프트에 [Done] 을표시한다음시스템로그메시지를생성합니다. 예다음예에서는 ID 방화벽에대한이동작을활성화하는방법을보여줍니다. ciscoasa# user-identity update active-user-database ERROR: one update active-user-database operation is already in progress [Done] user-identity update active-user-database 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-63

194 user-identity update import-user 3 장 uc-ime through username-prompt 명령 user-identity update import-user Active Directory 에이전트에서전체활성사용자데이터베이스를다운로드하려면전역컨피그레이션모드에서 user-identity update active-user-database 명령을사용합니다. user-identity update import-user [[domain_nickname\\] user_group_name [timeout seconds seconds]] 구문설명 domain_nickname 업데이트할그룹의도메인을지정합니다. seconds 시간제한기간 ( 초 ) 을지정합니다. user_group_name user_group_name을지정하면지정된가져오기사용자그룹만업데이트됩니다. 활성화된그룹 ( 예 : 액세스그룹, 액세스목록, 캡처또는서비스정책의그룹 ) 만업데이트할수있습니다. 지정된그룹이활성화되지않은경우이명령은작업을거부합니다. 지정된그룹에여러수준의계층이있으면재귀적 LDAP 쿼리가수행됩니다. user_group_name을지정하지않은경우 ASA는 LDAP 업데이트서비스를즉시시작하고활성화된모든그룹을정기적으로업데이트합니다. 기본값 ASA 는최대 5 번업데이트를재시도하며, 필요한경우경고메시지를생성합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 이명령은가져오기사용자그룹폴링타이머의만료를기다리지않고 Active Directory 서버를즉시쿼리하여지정된가져오기사용자그룹데이터베이스를명령합니다. 그룹 ID 데이터베이스는로컬사용자그룹에컨피그레이션변경이있을때마다업데이트되므로로컬사용자그룹을업데이트하는명령은없습니다. 이명령은 LDAP 쿼리반환을대기하기위해콘솔을차단하지않습니다. 이명령은업데이트작업을시작하고, 시작업데이트로그를생성하여즉시반환합니다. 업데이트작업이완료되거나타이머만료시중단되면다른시스템로그메시지가생성됩니다. 미해결업데이트작업은하나만허용됩니다. 명령을다시실행하면오류메시지가표시됩니다. LDAP 쿼리에성공하면 ASA는검색된사용자데이터를로컬데이터베이스에서저장하고그에따라사용자 / 그룹연결을변경합니다. 업데이트작업에성공한경우 show user-identity user-of-group domain\\group 명령을실행하여저장된모든사용자를이그룹아래에나열할수있습니다. 3-64

195 3 장 uc-ime through username-prompt 명령 user-identity update import-user ASA는각업데이트후가져온모든그룹을확인합니다. 활성화된 Active Directory 그룹이 Active Directory에없는경우 ASA는시스템로그메시지를생성합니다. user_group_name을지정하지않은경우 ASA는 LDAP 업데이트서비스를즉시시작하고활성화된모든그룹을정기적으로업데이트합니다. LDAP 업데이트서비스는백그라운드에서실행되며, Active Directory 서버에서 LDAP 쿼리를통해가져오기사용자그룹을정기적으로업데이트합니다. 시스템부팅시액세스그룹에정의된가져오기사용자그룹이있는경우 ASA는 LDAP 쿼리를통해사용자 / 그룹데이터를검색합니다. 업데이트중오류가발생한경우 ASA는최대 5번업데이트를재시도하고필요한경우경고메시지를생성합니다. 명령실행이완료되면 ASA에서명령프롬프트에 [Done] 을표시한다음시스템로그메시지를생성합니다. 예다음예에서는 ID 방화벽에대한이동작을활성화하는방법을보여줍니다. ciscoasa# user-identity update import-user group.sample-group1 ERROR: Update import-user group is already in progress [Done] user-identity update import-user group.sample-group1 관련명령 명령 설명 clear configure ID 방화벽기능에대한컨피그레이션을지웁니다. user-identity 3-65

196 user-identity user-not-found 3 장 uc-ime through username-prompt 명령 user-identity user-not-found Cisco ID 방화벽인스턴스에대한 user-not-found 추적을활성화하려면전역컨피그레이션모드에서 user-identity user-not-found 명령을사용합니다. ID 방화벽인스턴스에대한이추적을제거하려면이명령의 no 형식을사용합니다. user-identity user-not-found enable no user-identity user-not-found enable 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로이명령은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침최근 1024 개의 IP 주소만추적됩니다. 예다음예에서는 ID 방화벽에대한이동작을활성화하는방법을보여줍니다. ciscoasa(config)# user-identity user-not-found enable 관련명령 명령 clear configure user-identity 설명 ID 방화벽기능에대한컨피그레이션을지웁니다. 3-66

197 3 장 uc-ime through username-prompt 명령 user-message user-message DAP 레코드를선택한경우표시할텍스트메시지를지정하려면 dynamic-access-policy-record 모드에서 user-message 명령을사용합니다. 이메시지를제거하려면이명령의 no 버전을사용합니다. 동일한 DAP 레코드에명령을두번이상사용하면이전메시지가새메시지로대체됩니다. user-message message no user-message 구문설명 message 이 DAP 레코드에할당된사용자에대한메시지입니다. 최대 128 자입니다. 메시지에공백이포함된경우큰따옴표로묶습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 dynamic-access-policy-record 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 SSL VPN 연결에성공한경우사용자가연결과연계된메시지를볼수있도록클릭가능한아이콘이포털페이지에서깜박입니다. DAP 정책에서연결이종료된경우 (action = terminate) 및해당 DAP 레코드에구성된사용자메시지가있는경우해당메시지가로그인화면에표시됩니다. 둘이상의 DAP 레코드가연결에적용된경우 ASA는적용가능한사용자메시지를조합하여단일문자열로표시합니다. 예 다음예에서는 Finance 라는 DAP 레코드에대해 Hello Money Managers 라는사용자메시지를설정하는방법을보여줍니다. ciscoasa (config) config-dynamic-access-policy-record Finance ciscoasa(config-dynamic-access-policy-record)# user-message Hello Money Managers ciscoasa(config-dynamic-access-policy-record)# 3-67

198 user-message 3 장 uc-ime through username-prompt 명령 관련명령 명령 설명 dynamic-access-policy-record DAP 레코드를만듭니다. show running-config dynamic-access-policy-record [name] 모든 DAP 레코드또는명명된 DAP 레코드에대한실행중인컨피그레이션을표시합니다. 3-68

199 3 장 uc-ime through username-prompt 명령 user-parameter user-parameter SSO 인증을위해사용자이름을제출해야하는 HTTP POST 요청매개변수의이름을지정하려면 aaa-server-host 컨피그레이션모드에서 user-parameter 명령을사용합니다. user-parameter name 참고 HTTP 프로토콜로 SSO 를올바르게설정하려면인증및 HTTP 프로토콜교환에대해완벽한지식을갖추어야합니다. 구문설명 string HTTP POST 요청에포함된사용자이름매개변수의이름입니다. 최대이름크기는 128 자입니다. 기본값기본값또는동작은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 aaa-server-host 컨피그레이션 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 사용지침 이는 HTTP 양식을사용하는 SSO 명령입니다. ASA 의 WebVPN 서버는 HTTP POST 요청을사용하여 SSO(Single Sign On) 서버에 SSO 인증요청을제출합니다. 필수명령 user-parameter 는 HTTP POST 요청에 SSO 인증을위한사용자이름매개변수를포함하도록지정합니다. 참고 로그인시사용자는 HTTP POST 요청에입력되어인증하는웹서버로전달되는실제이름값을입력합니다. 3-69

200 user-parameter 3 장 uc-ime through username-prompt 명령 예 aaa-server-host 컨피그레이션모드에서입력된다음예에서는 SSO 인증에사용되는 HTTP POST 요청에사용자이름매개변수 userid 를포함하도록지정합니다. ciscoasa(config)# aaa-server testgrp1 host example.com ciscoasa(config-aaa-server-host)# user-parameter userid ciscoasa(config-aaa-server-host)# 관련명령 명령 설명 action-uri SSO(Single Sign On) 인증에필요한사용자이름및비밀번호를받을웹서버 URI를지정합니다. auth-cookie-name 인증쿠키이름을지정합니다. hidden-parameter 인증웹서버와교환할숨겨진매개변수를생성합니다. password-parameter SSO 인증을위해사용자비밀번호를제출해야하는 HTTP POST 요청매개변수의이름을지정합니다. start-url 사전로그인쿠키를검색할 URL을지정합니다. 3-70

201 3 장 uc-ime through username-prompt 명령 user-statistics user-statistics MPF 및 ID 방화벽에대한일치조회동작의사용자통계수집을활성화하려면 policy-map 컨피그레이션모드에서 user-statistics 명령을사용합니다. 사용자통계수집을제거하려면이명령의 no 형식을사용합니다. user-statistics [accounting scanning] no user-statistics [accounting scanning] 구문설명 accounting ( 선택사항 ) ASA에서보낸패킷수, 보낸삭제수및받은패킷수를수집하도록지정합니다. scanning ( 선택사항 ) ASA에서보낸삭제수만수집하도록지정합니다. 기본값기본적으로이명령은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 policy-map 컨피그레이션 예 예 예 예 릴리스 수정사항 8.4(2) 이명령이도입되었습니다. 사용지침 사용자통계를수집하도록정책맵을구성한경우 ASA 는선택한사용자에대한자세한통계를수집합니다. accounting 또는 scanning 키워드없이 user-statistics 명령을지정한경우 ASA 는계정관리통계와스캔통계를모두수집합니다. 3-71

202 user-statistics 3 장 uc-ime through username-prompt 명령 예다음예에서는 ID 방화벽에대한사용자통계를활성화하는방법을보여줍니다. ciscoasa(config)# class-map c-identity-example-1 ciscoasa(config-cmap)# match access-list identity-example-1 ciscoasa(config-cmap)# exit ciscoasa(config)# policy-map p-identity-example-1 ciscoasa(config-pmap)# class c-identity-example-1 ciscoasa(config-pmap)# user-statistics accounting ciscoasa(config-pmap)# exit ciscoasa(config)# service-policy p-identity-example-1 interface outside 관련명령 명령 설명 policy-map MPF(Modular Policy Framework) 를사용할때계층 3/4 클래스맵으로식별한동작을트래픽에할당합니다. service-policy(global) 정책맵을모든인터페이스에서전역적으로활성화하거나대상인터페이스에서활성화합니다. show service-policy [user-statistics] ID 방화벽에대한사용자통계스캔또는계정관리를활성화한경우구성된서비스정책에대한사용자통계를표시합니다. show user-identity ip-of-user [detail] show user-identity user active [detail] show user-identity user-of-ip [detail] ID 방화벽에대한사용자통계스캔또는계정관리를활성화한경우지정된사용자의 IP 주소에대한받은패킷, 보낸패킷및삭제통계를표시합니다. ID 방화벽에대한사용자통계스캔또는계정관리를활성화한경우활성사용자에대해지정된기간동안의받은패킷, 보낸패킷및삭제통계를표시합니다. ID 방화벽에대한사용자통계스캔또는계정관리를활성화한경우지정된 IP 주소의사용자에대한받은패킷, 보낸패킷및삭제통계를표시합니다. user-identity enable ID 방화벽인스턴스를만듭니다. 3-72

203 3 장 uc-ime through username-prompt 명령 user-storage user-storage 클라이언트리스 SSL VPN 세션간의개인설정된사용자정보를저장하려면 group-policy webvpn 컨피그레이션모드에서 user storage 명령을사용합니다. 사용자저장소를비활성화하려면이명령의 no 형식을사용합니다. user-storage NETFS-location no user-storage] 구문설명 NETFS-location 형식으로파일시스템대상을지정합니다. 사용자이름및비밀번호가 NETFS-location에포함된경우비밀번호입력은일반텍스트로처리됩니다. 기본값사용자저장소는비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy webvpn 모드 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 8.4(6) 비밀번호가 show-run 중에일반텍스트로표시되는것이방지되었습니다. 사용지침 user-storage를사용하면 ASA 플래시가아닌다른위치에캐시된자격증명및쿠키를저장할수있습니다. 이명령은클라이언트리스 SSL VPN 사용자의개인책갈피에대한 SSO(Single Sign On) 을제공합니다. 사용자자격증명은 FTP/CIFS/SMB 서버에암호해독이불가능하지않은 <user_id>.cps 파일로암호화된형식으로저장됩니다. 사용자이름, 비밀번호및사전공유키가컨피그레이션에표시되지만 ASA는내부알고리즘을사용하여이정보를암호화된형식으로저장하므로보안위험이없습니다. 데이터가외부 FTP 또는 SMB 서버에암호화되어있는경우책갈피추가를선택하여포털페이지내에개인책갈피 ( 예 : user-storage cifs://jdoe:test@ /shareddocs) 를정의할수있습니다. 모든플러그인프로토콜에대해개인설정된 URL도만들수있습니다. 참고 모두동일한 FTP/CIFS/SMB 서버를참조하고동일한 storage-key 를사용하는 ASA 클러스터가있는경우클러스터의 ASA 중하나를통해책갈피에액세스할수있습니다. 3-73

204 user-storage 3 장 uc-ime through username-prompt 명령 예 다음예에서는 newuser 라는사용자에대해 anyfiler02a/new_share 경로의 anyshare 라는파일공유에비밀번호가 인사용자저장소를설정하는방법을보여줍니다. ciscoasa(config)# wgroup-policy DFLTGrpPolicy attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# user-storage cifs://newuser: @anyfiler02a/new_share ciscoasa(config-group_webvpn)# 관련명령 명령 설명 storage-key 세션간에저장되는데이터를보호할저장소키를지정합니다. storage-objects 세션간에저장되는데이터의스토리지개체를구성합니다. 3-74

205 3 장 uc-ime through username-prompt 명령 username(8.4(3) 이하 ) username(8.4(3) 이하 ) ASA 데이터베이스에사용자를추가하려면전역컨피그레이션모드에서 username 명령을입력합니다. 사용자를제거하려면제거할사용자이름과함께이명령의 no 형식을사용합니다. 모든사용자를제거하려면사용자이름을추가하지않고이명령의 no 버전을사용합니다. username name {nopassword password password [mschap encrypted nt-encrypted]} [privilege priv_level] no username name 구문설명 encrypted 비밀번호가암호화됨을나타냅니다 (mschap를지정하지않은경우 ). username 명령에서비밀번호를정의할때 ASA에서는비밀번호를컨피그레이션에저장할때암호화하여보안을강화합니다. show running-config 명령을입력한경우 username 명령은실제비밀번호를표시하지않습니다. 그대신암호화된비밀번호를표시하고그뒤에 encrypted 키워드를표시합니다. 예를들어비밀번호로 test 를입력하면다음과유사한 show running-config 명령출력이표시됩니다. username pat password rvedrh0xpc8bel7s encrypted CLI에서실제로 encrypted 키워드를입력하는경우는컨피그레이션을잘라내어다른 ASA에붙여넣고동일한비밀번호를사용하려는경우뿐입니다. mschap 비밀번호를입력한후해당비밀번호가유니코드로변환되고 MD4를통해해시되도록지정합니다. MSCHAPv1 또는 MSCHAPv2를사용하여사용자를인증하는경우이키워드를사용합니다. name 4~64자의문자열로사용자이름을지정합니다. nopassword 이사용자에게비밀번호가필요없음을나타냅니다. nt-encrypted MSCHAPv1 또는 MSCHAPv2에서사용하도록비밀번호가암호화됨을나타냅니다. 사용자를추가할때 mschap 키워드를지정한경우에는 show running-config 명령을사용하여컨피그레이션을볼때 encrypted 키워드대신이키워드가표시됩니다. username 명령에서비밀번호를정의할때 ASA에서는비밀번호를컨피그레이션에저장할때암호화하여보안을강화합니다. show running-config 명령을입력한경우 username 명령은실제비밀번호를표시하지않습니다. 그대신암호화된비밀번호를표시하고그뒤에 nt-encrypted 키워드를표시합니다. 예를들어비밀번호로 test 를입력하면다음과유사한 show running-config 화면이표시됩니다. username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted CLI에서실제로 nt-encrypted 키워드를입력하는경우는컨피그레이션을잘라내어다른 ASA에붙여넣고동일한비밀번호를사용하려는경우뿐입니다. password password 3~32자의문자열로비밀번호를설정합니다. privilege priv_level 이사용에대한권한수준을 0부터 15까지오름차순으로설정합니다. 기본권한수준은 2입니다. 이권한수준은권한부여명령과함께사용됩니다. 3-75

206 username(8.4(3) 이하 ) 3 장 uc-ime through username-prompt 명령 기본값기본권한수준은 2 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 이명령이도입되었습니다. 7.2(1) mschap 및 nt-encrypted 키워드가추가되었습니다. 사용지침 login 명령에서는인증에이데이터베이스를사용합니다. CLI에액세스할수있으며특권모드를시작하지않으려는사용자를로컬데이터베이스에추가하려면권한부여명령을활성화해야합니다. 자세한내용은 aaa authorization command 명령을참고하십시오. 권한부여명령을사용하지않을경우사용자는자신의비밀번호를사용하여 CLI에서특권 EXEC 모드 ( 및모든명령 ) 에액세스할수있습니다 ( 권한수준이 2( 기본값 ) 이상인경우 ). 또는사용자가 login 명령을사용할수없도록 AAA 인증을사용하거나, enable 비밀번호를사용하여특권 EXEC 모드에액세스할수있는사용자를제어할수있도록모든로컬사용자를수준 1로설정할수있습니다. 기본적으로이명령을사용하여추가하는 VPN 사용자에게는특성또는그룹정책연결이없습니다. username attributes 명령을사용하여모든값을명시적으로구성해야합니다. 비밀번호인증정책이활성화된경우에는더이상 username 명령을사용하여자신의비밀번호를변경하거나사용자고유의계정을삭제할수없습니다. 그러나 change-password 명령을사용하여비밀번호를변경할수있습니다. 예 다음예에서는비밀번호가 이고권한수준이 12 인 anyuser 라는사용자를구성하는방법을보여줍니다. ciscoasa(config)# username anyuser password privilege 12 관련명령 명령 설명 aaa authorization command 권한부여명령을구성합니다. clear config username 특정사용자또는모든사용자에대한컨피그레이션을지웁니다. show running-config username 특정사용자또는모든사용자에대한실행중인컨피그레이션 을표시합니다. username attributes 특정사용자에대한특성을구성할수있는 username attributes 모드를시작합니다. webvpn 지정된그룹에대한 WebVPN 특성을구성할수있는 config-group-webvpn 모드를시작합니다. 3-76

207 3 장 uc-ime through username-prompt 명령 username(8.4(4.1) 이상 ) username(8.4(4.1) 이상 ) ASA 데이터베이스에사용자를추가하려면전역컨피그레이션모드에서 username 명령을입력합니다. 사용자를제거하려면제거할사용자이름과함께이명령의 no 형식을사용합니다. 모든사용자를제거하려면사용자이름을추가하지않고이명령의 no 버전을사용합니다. 시스템에서부팅시또는실행중인컨피그레이션에파일을복사할때비밀번호생성날짜를복원할수있도록비대화형컨피그레이션모드에서 username 명령을입력합니다. [no] username name {nopassword password password [mschap encrypted nt-encrypted]} [privilege priv_level] username name [password-date date] 구문설명 encrypted 비밀번호가암호화됨을나타냅니다 (mschap를지정하지않은경우 ). username 명령에서비밀번호를정의할때 ASA에서는비밀번호를컨피그레이션에저장할때암호화하여보안을강화합니다. show running-config 명령을입력한경우 username 명령은실제비밀번호를표시하지않습니다. 그대신암호화된비밀번호를표시하고그뒤에 encrypted 키워드를표시합니다. 예를들어비밀번호로 test 를입력하면다음과유사한 show running-config 명령출력이표시됩니다. username pat password rvedrh0xpc8bel7s encrypted CLI에서실제로 encrypted 키워드를입력하는경우는컨피그레이션을잘라내어다른 ASA에붙여넣고동일한비밀번호를사용하려는경우뿐입니다. mschap 비밀번호를입력한후해당비밀번호가유니코드로변환되고 MD4를통해해시되도록지정합니다. MSCHAPv1 또는 MSCHAPv2를사용하여사용자를인증하는경우이키워드를사용합니다. name 4~64자의문자열로사용자이름을지정합니다. nopassword 이사용자에게비밀번호가필요없음을나타냅니다. nt-encrypted MSCHAPv1 또는 MSCHAPv2에서사용하도록비밀번호가암호화됨을나타냅니다. 사용자를추가할때 mschap 키워드를지정한경우에는 show running-config 명령을사용하여컨피그레이션을볼때 encrypted 키워드대신이키워드가표시됩니다. username 명령에서비밀번호를정의할때 ASA에서는비밀번호를컨피그레이션에저장할때암호화하여보안을강화합니다. show running-config 명령을입력한경우 username 명령은실제비밀번호를표시하지않습니다. 그대신암호화된비밀번호를표시하고그뒤에 nt-encrypted 키워드를표시합니다. 예를들어비밀번호로 test 를입력하면다음과유사한 show running-config 화면이표시됩니다. username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted CLI 에서실제로 nt-encrypted 키워드를입력하는경우는컨피그레이션을잘라내어다른 ASA 에붙여넣고동일한비밀번호를사용하려는경우뿐입니다. password password 3~32 자의문자열로비밀번호를설정합니다. 3-77

208 username(8.4(4.1) 이상 ) 3 장 uc-ime through username-prompt 명령 password-date date privilege priv_level 시스템이부팅하는동안사용자이름을읽을때비밀번호생성날짜를복원할수있도록합니다. 없는경우비밀번호날짜가현재날짜로설정됩니다. 날짜는 mmm-dd-yyyy 형식입니다. 이사용에대한권한수준을 0 부터 15 까지오름차순으로설정합니다. 기본권한수준은 2 입니다. 이권한수준은권한부여명령과함께사용됩니다. 기본값기본권한수준은 2 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 비대화형컨피그레이션 예 예 예 예 릴리스 수정사항 이명령이도입되었습니다. 7.2(1) mschap 및 nt-encrypted 키워드가추가되었습니다. 9.1(2) password-date date 옵션이추가되었습니다. 사용지침 login 명령에서는인증에이데이터베이스를사용합니다. CLI에액세스할수있으며특권모드를시작하지않으려는사용자를로컬데이터베이스에추가하려면권한부여명령을활성화해야합니다. 자세한내용은 aaa authorization command 명령을참고하십시오. 권한부여명령을사용하지않을경우사용자는자신의비밀번호를사용하여 CLI에서특권 EXEC 모드 ( 및모든명령 ) 에액세스할수있습니다 ( 권한수준이 2( 기본값 ) 이상인경우 ). 또는사용자가 login 명령을사용할수없도록 AAA 인증을사용하거나, enable 비밀번호를사용하여특권 EXEC 모드에액세스할수있는사용자를제어할수있도록모든로컬사용자를수준 1로설정할수있습니다. 기본적으로이명령을사용하여추가하는 VPN 사용자에게는특성또는그룹정책연결이없습니다. username attributes 명령을사용하여모든값을명시적으로구성해야합니다. 비밀번호인증정책이활성화된경우에는더이상 username 명령을사용하여자신의비밀번호를변경하거나사용자고유의계정을삭제할수없습니다. 그러나 change-password 명령을사용하여비밀번호를변경할수있습니다. 사용자이름비밀번호날짜를표시하려면 show running-config all username 명령을사용합니다. 참고 CLI 프롬프트에서는 password-date 값을입력할수없으므로이키워드에대한대화형도움말은없습니다. 비밀번호날짜는비밀번호정책수명이 0 이아닌경우에만시작컨피그레이션에저장됩니다. 즉, 비밀번호날짜는비밀번호만료가구성된경우에만저장됩니다. password-date 옵션을사용하여사용자가비밀번호생성날짜를변경하지못하도록할수없습니다. 3-78

209 3 장 uc-ime through username-prompt 명령 username(8.4(4.1) 이상 ) 예 다음예에서는비밀번호가 이고권한수준이 12 인 anyuser 라는사용자를구성하는방법을보여줍니다. ciscoasa(config)# username anyuser password privilege 12 관련명령 명령 설명 aaa authorization command 권한부여명령을구성합니다. clear config username 특정사용자또는모든사용자에대한컨피그레이션을지웁니다. show running-config username 특정사용자또는모든사용자에대한실행중인컨피그레이션을표시합니다. username attributes 특정사용자에대한특성을구성할수있는 username attributes 모드를시작합니다. webvpn 지정된그룹에대한 WebVPN 특성을구성할수있는 config-group-webvpn 모드를시작합니다. 3-79

210 username attributes 3 장 uc-ime through username-prompt 명령 username attributes username attributes 모드를시작하려면 username 컨피그레이션모드에서 username attributes 명령을사용합니다. 특정사용자에대한모든특성을제거하려면이명령의 no 형식을사용하고사용자이름을추가합니다. 모든사용자에대한모든특성을제거하려면사용자이름을추가하지않고이명령의 no 형식을사용합니다. 특성모드를통해지정된사용자에대한특성 - 값쌍을구성할수있습니다. username {name} attributes no username [name] attributes 구문설명 name 사용자의이름을제공합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 8.0(2) service-type 특성이추가되었습니다. 9.1(2) ssh authentication {pkf [ nointeractive ] publickey key [ hashed ]} 특 성이추가되었습니다. 사용지침 내부사용자인증데이터베이스는 username 명령과함께입력된사용자로구성됩니다. login 명령에서는인증에이데이터베이스를사용합니다. username 명령또는 username attributes 명령을사용하여사용자이름특성을구성할수있습니다. username 컨피그레이션모드의명령구문에는일반적으로다음과같은특성이있습니다. no 형식은실행중인컨피그레이션에서특성을제거합니다. none 키워드도실행중인컨피그레이션에서특성을제거합니다. 그러나이렇게하려면상속하지못하도록특성을 null 값으로설정해야합니다. 부울특성에는 enabled 및 disabled 설정에대한명시적구문이있습니다. 3-80

211 3 장 uc-ime through username-prompt 명령 username attributes username attributes 명령은다음과같은특성을구성할수있는 username attributes 모드를시작합니다. 특성기능 group-lock 사용자가연결해야하는기존터널그룹의이름을지정합니다. password-storage 클라이언트시스템에서로그인비밀번호의저장을활성화하거나비활성화합니다. service-type [remote-access 콘솔로그인을제한하고적절한수준이할당된사용자에대 admin nas-prompt] 해로그인을활성화합니다. remote-access 옵션은원격액세스를위한기본 AAA 서비스를지정합니다. admin 옵션은 AAA 서비스, 로그인콘솔권한, EXEC 모드권한, 활성화권한및 CLI 권한을지정합니다. nas-prompt 옵션은 AAA 서비스, 로그인콘솔권한및 EXEC 모드권한을지정하지만활성화권한은지정하지않습니다. ssh authentication {pkf [nointeractive ] publickey key [hashed]} 사용자별로공개키인증을활성화합니다. key 인수값은다음을참조할수있습니다. key 인수를제공하고해시된태그를지정하지않은경우키값은 SSH-RSA 원시키 ( 즉, 인증서가없음 ) 를생성할수있는 SSH 키생성소프트웨어에서생성된 Base 64 로인코딩된공개키여야합니다. Base 64 로인코딩된공개키를전송하면이키는 SHA-256 을통해해시되며, 해당 32 바이트해시가모든추가비교에사용됩니다. key 인수를제공하고해시된태그를지정한경우키값은이전에 SHA-256으로해시되고길이가 32바이트이며, 각바이트가콜론으로구분 ( 구문분석을위해 ) 되어있습니다. pkf 옵션은 4096비트 RSA 키를 SSH PKF( 공개키파일 ) 로사용하여인증할수있도록합니다. 이옵션은 4096비트 RSA 키에국한되지않고 4096비트 RSA 키보다작거나같은모든크기에사용할수있습니다. nointeractive 옵션은 SSH 공개키형식의키를가져올때모든프롬프트를표시하지않도록설정합니다. 이비대화형데이터입력모드는 ASDM 전용으로제공됩니다. key 필드와 hashed 키워드는 publickey 옵션에서만사용할수있으며, nointeractive 키워드는 pkf 옵션에서만사용할수있습니다. 컨피그레이션을저장하면해시된키값이컨피그레이션에저장되며 ASA가재부팅될때사용됩니다. 참고장애조치가활성화된경우 PKF 옵션을사용할수있지만 PKF 데이터가대기시스템에자동으로복제되지는않습니다. 장애조치쌍의대기시스템에 PKF 설정을동기화하려면 write standby 명령을입력해야합니다. vpn-access-hours 구성된시간범위정책의이름을지정합니다. vpn-filter 사용자별 ACL의이름을지정합니다. vpn-framed-ip-address 클라이언트에할당할 IP 주소및넷마스크를지정합니다. vpn-group-policy 특성을상속할그룹정책의이름을지정합니다. 3-81

212 username attributes 3 장 uc-ime through username-prompt 명령 특성 vpn-idle-timeout [alert-interval] vpn-session-timeout [alert-interval] 기능 유휴시간제한 ( 분 ) 을지정하거나, none 을지정하여유휴시간제한을비활성화합니다. 선택적으로사전시간제한알림간격을지정합니다. 최대사용자연결시간 ( 분 ) 을지정하거나, 무제한시간의경우 none 을지정합니다. 선택적으로사전시간제한알림간격을지정합니다. vpn-simultaneous-logins 허용되는최대동시로그인수를지정합니다. vpn-tunnel-protocol 허용되는터널링프로토콜을지정합니다. webvpn WebVPN 특성을구성할수있는 username webvpn configuration 모드를시작합니다. username webvpn 컨피그레이션모드에서 username attributes 명령을입력한다음 webvpn 명령을입력하여사용자이름에대한 webvpn-mode 특성을구성합니다. 자세한내용은 webvpn 명령 (group-policy attributes 및 username attributes 모드 ) 을참고하십시오. 예 다음예에서는 anyuser 라는사용자에대한 username attributes 컨피그레이션모드를시작하는방법을보여줍니다. ciscoasa(config)# username anyuser attributes ciscoasa(config-username)# 관련명령 명령 설명 clear config username 사용자이름데이터베이스를지웁니다. show running-config username 특정사용자또는모든사용자에대한실행중인컨피그레이 션을표시합니다. username ASA 데이터베이스에사용자를추가합니다. webvpn 지정된그룹에대한 WebVPN 특성을구성할수있는 webvpn 컨피그레이션모드를시작합니다. 3-82

213 3 장 uc-ime through username-prompt 명령 username-from-certificate username-from-certificate 권한부여를위한사용자이름으로사용할인증서의필드를지정하려면 tunnel-group general-attributes 모드에서 username-from-certificate 명령을사용합니다. 피어인증서의 DN이권한부여를위한사용자이름으로사용됩니다. 컨피그레이션에서이특성을제거하고기본값을복원하려면이명령의 no 형식을사용합니다. username-from-certificate {primary-attr [secondary-attr] use-entire-name} no username-from-certificate 구문설명 primary-attr secondary-attr use-entire-name use-script 인증서에서권한부여쿼리를위한사용자이름을파생시키는데사용할특성을지정합니다. pre-fill-username 이활성화된경우파생된이름을인증쿼리에서도사용할수있습니다. ( 선택사항 ) 디지털인증서에서인증또는권한부여쿼리를위한사용자이름을파생시키는데기본특성과함께사용할추가특성을지정합니다. pre-fill-username 이활성화된경우파생된이름을인증쿼리에서도사용할수있습니다. ASA 에서전체주체 DN(RFC1779) 을사용하여디지털인증서에서권한부여쿼리를위한이름을파생시키도록지정합니다. ASDM 에서생성된스크립트이름을통해인증서에서 DN 필드를추출하여사용자이름으로사용하도록지정합니다. 기본값기본특성의기본값은 CN( 공통이름 ) 입니다. 보조특성의기본값은 OU( 조직컨피그레이션단위 ) 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. tunnel-group general-attributes 컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 릴리스 수정사항 8.0(4) 이명령이도입되었습니다. 사용지침 이명령은사용자이름으로사용할인증서의필드를선택합니다. 릴리스 8.0(4) 이상에서더이상사용되지않는 authorization-dn-attributes 명령을대체합니다. username-from-certificate 명령은보안어플라이언스에서지정된인증서필드를사용자이름 / 비밀번호권한부여를위한사용자이름으로사용하도록강제합니다. 3-83

214 username-from-certificate 3 장 uc-ime through username-prompt 명령 인증서에서사용자이름미리채우기기능에서파생된이사용자이름을사용자이름 / 비밀번호인증또는권한부여에사용하려면 tunnel-group webvpn-attributes 모드에서 pre-fill-username 명령도구성해야합니다. 즉, 사용자이름미리채우기기능을사용하려면두명령을모두구성해야합니다. 기본및보조특성에사용할수있는값은다음과같습니다. 특성정의 C Country( 국가 ): 2자로된국가약어입니다. 이러한코드는 ISO 3166 국가약어를따릅니다. CN Common Name( 공통이름 ): 사람, 시스템또는기타실체의이름입니다. 보조특성으로는사용할수없습니다. DNQ Domain Name Qualifier( 도메인이름한정자 ) 입니다. EA Address( 이메일주소 ) 입니다. GENQ Generational Qualifier( 세대한정자 ) 입니다. GN Given Name( 이름 ) 입니다. I Initials( 이니셜 ) 입니다. L Locality( 구 / 군 / 시 ): 조직이있는구 / 군 / 시입니다. N Name( 이름 ) 입니다. O Organization( 조직 ): 회사, 기관, 에이전시, 협회또는기타실체의이름입니다. OU Organizational Unit( 조직컨피그레이션단위 ): 조직 (O) 내의하위그룹입니다. SER Serial Number( 일련번호 ) 입니다. SN Surname( 성 ) 입니다. SP State/Province( 주 / 도 ): 조직이있는주 / 도입니다. T Title( 직함 ) 입니다. UID User Identifier( 사용자 ID) 입니다. UPN User Principal Name( 사용자계정이름 ) 입니다. use-entire-name 전체 DN 이름을사용합니다. 보조특성으로는사용할수없습니다. use-script ASDM에서생성된스크립트파일을사용합니다. 예 전역컨피그레이션모드에서입력된다음예제에서는 remotegrp 라는 IPsec 원격액세스터널그룹을만들고, CN( 공통이름 ) 을기본특성, OU 를보조특성으로사용하여디지털인증서에서권한부여쿼리를위한이름을파생시키도록지정합니다. ciscoasa(config)# tunnel-group remotegrp type ipsec_ra ciscoasa(config)# tunnel-group remotegrp general-attributes ciscoasa(config-tunnel-general)# username-from-certificate CN OU ciscoasa(config-tunnel-general)# 다음예에서는 tunnel-group 특성을수정하여사용자이름미리채우기를구성하는방법을보여줍니다. username-from-certificate {use-entire-name use-script <primary-attr>} [secondary-attr] secondary-username-from-certificate {use-entire-name use-script <primary-attr>} [secondary-attr] ; used only for double-authentication 3-84

215 3 장 uc-ime through username-prompt 명령 username-from-certificate 관련명령 명령 설명 pre-fill-username 사용자이름미리채우기기능을활성화합니다. show running-config 지정된 tunnel-group 컨피그레이션을표시합니다. tunnel-group tunnel-group general-attributes 명명된 tunnel-group의일반특성을지정합니다. 3-85

216 username-prompt 3 장 uc-ime through username-prompt 명령 username-prompt 보안어플라이언스에연결할때 WebVPN 사용자에게표시되는 WebVPN 페이지로그인상자의사용자이름프롬프트를사용자지정하려면 webvpn customization 모드에서 username-prompt 명령을사용합니다. 컨피그레이션에서명령을제거하고값이상속되도록하려면이명령의 no 형식을사용합니다. username-prompt {text style} value [no] username-prompt {text style} value 구문설명 text 텍스트를변경하도록지정합니다. style 스타일을변경하도록지정합니다. value 표시할실제텍스트 ( 최대 256자 ) 또는 CSS(Cascading Style Sheet) 매개변 수 ( 최대 256자 ) 입니다. 기본값사용자이름프롬프트의기본텍스트는 USERNAME: 입니다. 사용자이름프롬프트의기본스타일은 color:black;font-weight:bold;text-align:right입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 webvpn customization 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 사용지침 style 옵션은유효한모든 CSS(Cascading Style Sheet) 매개변수로표현됩니다. 이러한매개변수에대한설명은이문서의범위를벗어납니다. CSS 매개변수에대한자세한내용은 W3C(World Wide Web Consortium) 웹사이트 ( 에서 CSS 사양을참조하십시오. CSS 2.1 사양의부록 F( 에는 CSS 매개변수목록이포함되어있습니다. 다음은 WebVPN 페이지에서수행할수있는가장일반적인변경 ( 페이지색상변경 ) 작업에대한몇가지팁입니다. 쉼표로구분된 RGB 값, HTML 색상값또는색상이름 (HTML 에서인식되는경우 ) 을사용할수있습니다. RGB 형식은 0,0,0 이며, 각색상 ( 빨간색, 녹색, 파란색 ) 의십진수범위는 0~255 입니다. 여기서쉼표로구분된항목은다른색상과조합할각색상의강도를나타냅니다. HTML 형식은 16 진수형식의 6 자리숫자인 # 입니다. 여기서첫번째와두번째는빨간색, 세번째와네번째는녹색, 다섯번째와여섯번째는파란색을나타냅니다. 3-86

217 3 장 uc-ime through username-prompt 명령 username-prompt 참고 WebVPN 페이지를쉽게사용자지정하려면색상견본및미리보기기능등스타일요소컨피그레이션에대한편리한기능이있는 ASDM 을사용하는것이좋습니다. 예 다음예에서는텍스트를 Corporate Username: 으로변경하고, 기본스타일을굵기가증가하는글꼴두께로변경합니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# username-prompt text Corporate Username: ciscoasa(config-webvpn-custom)# username-prompt style font-weight:bolder 관련명령 명령 설명 group-prompt WebVPN 페이지의그룹프롬프트를사용자지정합니다. password-prompt WebVPN 페이지의비밀번호프롬프트를사용자지정합니다. 3-87

218 username-prompt 3 장 uc-ime through username-prompt 명령 3-88

219 4 장 validate-attribute through vpnsetup 명령 4-1

220 validate-attribute 4 장 validate-attribute through vpnsetup 명령 validate-attribute RADIUS 계정관리를사용하여 RADIUS 특성을확인하려면 inspect radius-accounting 명령을사용하여액세스할수있는 radius-accounting 매개변수컨피그레이션모드에서 validate attribute 명령을사용합니다. 이옵션은기본적으로비활성화되어있습니다. validate-attribute [attribute_number] no validate-attribute [attribute_number] 구문설명 attribute_number RADIUS 계정관리를사용하여확인할 RADIUS 특성입니다. 값범위는 1~191 입니다. 공급업체별특성은지원되지않습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. radius-accounting 매개변수컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이명령이구성된경우보안어플라이언스는프레임 IP 특성외에이러한특성에서도일치작업을수행합니다. 이명령의여러인스턴스가허용됩니다. RADIUS 특성유형의목록은다음웹사이트에서확인할수있습니다. 예 다음예에서는사용자이름 RADIUS 특성에대한 RADIUS 계정관리를활성화하는방법을보여줍니다. ciscoasa(config)# policy-map type inspect radius-accounting ra ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# validate attribute 1 4-2

221 4 장 validate-attribute through vpnsetup 명령 validate-attribute 관련명령 명령 설명 inspect RADIUS 계정관리에대한검사를설정합니다. radius-accounting parameters 검사정책맵의매개변수를설정합니다. 4-3

222 validation-policy(crypto ca trustpoint) 4 장 validate-attribute through vpnsetup 명령 validation-policy(crypto ca trustpoint) 신뢰지점을사용하여들어오는사용자연결과연계된인증서를확인하는조건을지정하려면 crypto ca trustpoint 컨피그레이션모드에서 validation-policy 명령을사용합니다. 명명된조건에신뢰지점을사용할수없도록지정하려면이명령의 no 형식을사용합니다. [no] validation-policy {ssl-client ipsec-client} [no-chain] [subordinate-only] 구문설명 ipsec-client 신뢰지점과연계된 CA( 인증기관 ) 인증서및정책을사용하여 IPsec 연결을확인할수있도록지정합니다. no-chain 보안장치에없는하위인증서체인을비활성화합니다. ssl-client 신뢰지점과연계된 CA( 인증기관 ) 인증서및정책을사용하여 SSL 연결을확인할수있도록지정합니다. subordinate-only 이신뢰지점이나타내는 CA에서직접발급된클라이언트인증서의검증을비활성화합니다. 기본값기본값또는동작은없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. crypto ca trustpoint 컨피그레이션 라우팅됨 투명 단일 다중상황 시스템 예 예 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 원격액세스 VPN에서는배포요구사항에따라 SSL(Secure Sockets Layer), IPsec(IP 보안 ) 또는둘다를사용하여거의모든네트워크애플리케이션또는리소스에대한액세스를허용합니다. validation-policy 명령을사용하여온보드 CA 인증서에액세스할수있는프로토콜유형을지정할수있습니다. 이명령에서 no-chain 옵션을사용하면 ASA가신뢰지점으로구성되지않은하위 CA 인증서를인증하지않습니다. ASA에는 CA가동일한두개의신뢰지점이있을수있으며, 이경우동일한 CA에서두개의 ID 인증서가생성됩니다. 신뢰지점이이기능을활성화한다른신뢰지점에이미연결된 CA에인증된경우에는이옵션이자동으로비활성화됩니다. 따라서경로검증매개변수의선택시모호함이방지됩니다. 사용자가이기능을활성화한다른신뢰지점에이미연결된 CA에인증된신뢰지점에서이기능을활성화하려고하면작업이허용되지않습니다. 두개의신뢰지점에서이설정을활성화하고동일한 CA에인증할수없습니다. 4-4

223 4 장 validate-attribute through vpnsetup 명령 validation-policy(crypto ca trustpoint) 예 다음예에서는 central 신뢰지점에대한 crypto ca trustpoint 컨피그레이션모드를시작하고이를 SSL 신뢰지점으로지정합니다. ciscoasa(config)# crypto ca trustpoint central ciscoasa(config-ca-trustpoint)# validation-policy ssl ciscoasa(config-ca-trustpoint)# 다음예에서는 checkin1 신뢰지점에대한 crypto ca trustpoint 컨피그레이션모드를시작하고지정된신뢰지점의하위인증서를허용하도록설정합니다. ciscoasa(config)# crypto ca trustpoint checkin1 ciscoasa(config-ca-trustpoint)# validation-policy subordinates-only ciscoasa(config-ca-trustpoint)# 관련명령 명령 설명 crypto ca trustpoint 신뢰지점컨피그레이션모드를시작합니다. id-usage 신뢰지점의등록된 ID를사용할수있는방법을지정합니다. ssl trust-point 인터페이스에대한 SSL 인증서를나타내는인증서신뢰지점을지정합니다. 4-5

224 validation-usage 4 장 validate-attribute through vpnsetup 명령 validation-usage 이신뢰지점으로검증할수있는사용유형을지정하려면 crypto ca trustpoint 컨피그레이션모드에서 validation-usage 명령을사용합니다. 사용유형을지정하지않으려면이명령의 no 형식을사용합니다. validation-usage ipsec-client ssl-client ssl-server no validation-usage ipsec-client ssl-client ssl-server 구문설명 ipsec-client 이신뢰지점을사용하여 IPsec 클라이언트연결을확인할수있음을나타냅니다. ssl-client 이신뢰지점을사용하여 SSL 클라이언트연결을확인할수있음을나타냅니다. ssl-server 이신뢰지점을사용하여 SSL 서버인증서를확인할수있음을나타냅니다. 기본값 ipsec-client, ssl-client 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 crypto ca trustpoint 컨피그레이션 예 예 릴리스 수정사항 9.0(1) client-types 명령을대체하기위해이명령이도입되었습니다. 사용지침 동일한 CA 인증서에연계된여러신뢰지점이있는경우특정클라이언트유형에대해하나의신뢰지점만구성할수있습니다. 그러나하나의클라이언트유형에대해신뢰지점중하나를구성하고, 다른클라이언트유형에대해다른신뢰지점을구성할수있습니다. 클라이언트유형으로이미구성된동일한 CA 인증서와연계된신뢰지점이있는경우동일한클라이언트유형설정으로새신뢰지점을구성할수없습니다. 이명령의 no 형식은모든클라이언트검증에신뢰지점을사용할수없도록설정을지웁니다. 원격액세스 VPN에서는배포요구사항에따라 SSL(Secure Sockets Layer), IPsec(IP 보안 ) 또는둘다를사용하여모든네트워크애플리케이션또는리소스에대한액세스를허용합니다. 관련명령 명령 crypto ca trustpoint 설명지정된신뢰지점에대한 crypto ca trustpoint 컨피그레이션모드를시작합니다. 4-6

225 4 장 validate-attribute through vpnsetup 명령 vdi vdi XenApp 및 XenDesktop VDI 서버가 ASA 서버를통해모바일장치에서실행되는 Citrix Receiver 애플리케이션에안전하게원격액세스할수있도록하려면 vdi 명령을사용합니다. vdi type citrix url url domain domain username username password password 구문설명 domain domain 가상화인프라서버에로그인하는데사용되는도메인입니다. 이값은클라이언트리스매크로일수있습니다. password 가상화인프라서버에로그인하는데사용되는비밀번호입니다. 이값은클 password 라이언트리스매크로일수있습니다. type VDI의유형입니다. Citrix Receiver 유형의경우이값은 citrix여야합니다. url url username username http 또는 https, 호스트이름, 포트번호및 XML 서비스의경로를포함하는 XenApp 또는 XenDesktop 서버의전체 URL 입니다. 가상화인프라서버에로그인하는데사용되는사용자이름입니다. 이값은클라이언트리스매크로일수있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 Webvpn 컨피그레이션 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 사용지침 VDI 모델의경우관리자는엔터프라이즈애플리케이션과함께미리로드된데스크톱을게시하고엔드유저는이러한데스크톱에원격으로액세스합니다. 이러한가상화된리소스는사용자가 Citrix Access Gateway 를통하지않고도액세스할수있도록이메일등의다른리소스와동일하게표시됩니다. 사용자가 Citrix Receiver 모바일클라이언트를사용하여 ASA 에로그온하면 ASA 는미리정의된 Citrix XenApp 또는 XenDesktop 서버에연결합니다. 관리자는사용자가 Citrix 가상화리소스에연결할때 Citrix 서버의주소및자격증명을가리키는대신 ASA 의 SSL VPN IP 주소및자격증명을입력하도록 Citrix 서버의주소및로그온자격증명을그룹정책에구성해야합니다. ASA 에서자격증명을확인하면수신기클라이언트가 ASA 를통해등록된애플리케이션검색을시작합니다. 4-7

226 vdi 4 장 validate-attribute through vpnsetup 명령 지원되는모바일장치 ipad - Citrix Receiver 버전 4.x 이상 iphone/itouch - Citrix Receiver 버전 4.x 이상 Android 2.x 전화 - Citrix Receiver 버전 2.x 이상 Android 3.x 태블릿 - Citrix Receiver 버전 2.x 이상 Android 4.0 전화 - Citrix Receiver 버전 2.x 이상 예 사용자이름과그룹정책을둘다구성한경우에는사용자이름설정이그룹정책보다우선적으로적용됩니다. configure terminal group-policy DfltGrpPolicy attributes webvpn vdi type <citrix> url <url> domain <domain> username <username> password <password> configure terminal username <username> attributes webvpn vdi type <citrix> url <url> domain <domain> username <username> password <password>] 관련명령 명령 설명 debug webvpn citrix Citrix 기반애플리케이션및데스크톱을시작하는프로세스에대한정보 를제공합니다. 4-8

227 4 장 validate-attribute through vpnsetup 명령 verify verify 파일의체크섬을확인하려면특권 EXEC 모드에서 verify 명령을사용합니다. verify path verify [/md5 path] [md5-value] 구문설명 /md5 ( 선택사항 ) 지정된소프트웨어이미지의 MD5 값을계산하고표시합니다. 이값을 Cisco.com 에서이이미지에사용할수있는값과비교합니다. md5-value ( 선택사항 ) 지정된이미지에대한알려진 MD5 값입니다. MD5 값을명령에지정한경우에는시스템에서지정된이미지의 MD5 값을계산하여 MD5 값이일치하는지또는불일치가있는지확인하는메시지를표시합니다. path disk0:/[path/]filename 이옵션은 ASA 5500 시리즈에만사용할수있으며, 내부플래시메모리을나타냅니다. 또한 disk0 대신별칭이지정된 flash 를사용할수도있습니다. disk1:/[path/]filename 이옵션은 ASA 5500 시리즈에만사용할수있으며, 외부플래시메모리카드을나타냅니다. flash:/[path/]filename 이옵션은내부플래시카드를나타냅니다. ASA 5500 시리즈의경우 flash 는 disk0: 의별칭입니다. ftp://[user[:password]@]server[:port]/[path/]filename[;type=xx] type 은다음키워드중하나일수있습니다. ap - ASCII 수동모드 an - ASCII 일반모드 ip - ( 기본값 ) 이진수동모드 in - 이진일반모드 http[s]://[user[:password]@]server[:port]/[path/]filename tftp://[user[:password]@]server[:port]/[path/]filename[;int=interf ace_name] 서버주소의경로를재정의하려면인터페이스이름을지정합니다. 경로이름은공백을포함할수없습니다. 경로이름에공백이있으면 verify 명령대신 tftp-server 명령에서경로를설정합니다. 4-9

228 verify 4 장 validate-attribute through vpnsetup 명령 기본값현재플래시장치가기본파일시스템입니다. 참고 /md5 옵션을지정한경우 ftp, http, tftp 등의네트워크파일을소스로사용할수있습니다. /md5 옵션없이 verify 명령을사용하면플래시의로컬이미지만확인할수있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 verify 명령을사용하여파일을사용하기전에해당체크섬을확인할수있습니다. 디스크에분산되어있는각소프트웨어이미지는전체이미지에단일체크섬을사용합니다. 이체크섬은이미지가플래시메모리에복사된경우에만표시되며, 이미지파일이디스크간에복사된경우에는표시되지않습니다. 이미지를플래시메모리또는서버에복사할때체크섬을확인하려면새이미지를로드하거나복제하기전에이미지의체크섬및 MD5 정보를기록해야합니다. 다양한이미지정보를 Cisco.com 에서사용할수있습니다. 플래시메모리의내용을보려면 show flash 명령을사용합니다. 플래시내용목록에는개별파일의체크섬이포함되지않습니다. 이미지를플래시메모리에저장한후이미지체크섬을다시계산하고확인하려면 verify 명령을사용합니다. 그러나 verify 명령은파일시스템저장된이후의파일무결성만확인합니다. 손상된이미지가 ASA로전송되어감지되지않은상태로파일시스템에저장될수있습니다. 손상된이미지가 ASA로전송된경우소프트웨어는이미지가손상되었음을알려줄수없으므로파일이성공적으로확인됩니다. MD5(message-digest5) 해시알고리즘을사용하여파일을검증하려면 /md5 옵션과함께 verify 명령을사용합니다. MD5는고유한 128비트메시지다이제스트를생성하여데이터무결성을확인하는데사용되는알고리즘입니다 (RFC 1321에정의됨 ). verify 명령의 /md5 옵션은 MD5 체크섬값을이미지에대해알려진 MD5 체크섬값과비교하여보안어플라이언스소프트웨어이미지의무결성을확인할수있도록합니다. 이제로컬시스템이미지값과비교할수있도록모든보안어플라이언스소프트웨어이미지의 MD5 값을 Cisco.com 에서사용할수있습니다. MD5 무결성확인을수행하려면 /md5 키워드를사용하여 verify 명령을실행합니다. 예를들어 verify /md5 flash:cdisk.bin 명령을실행하면소프트웨어이미지의 MD5 값이계산되고표시됩니다. 이값을 Cisco.com 에서이이미지에사용할수있는값과비교합니다. 또는먼저 Cisco.com 에서 MD5 값을가져온다음명령구문에서이값을지정합니다. 예를들어 verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae e 명령을실행하면 MD5 값이일치하는지또는불일치가있는지확인하는메시지가표시됩니다. MD5 값의불일치는이미지가손상되었거나잘못된 MD5 값이입력되었음을의미합니다. 4-10

229 4 장 validate-attribute through vpnsetup 명령 verify 예 다음예에서는 cdisk.bin 이라는이미지파일에사용된 verify 명령을보여줍니다. 일부텍스트는명확성을위해제거되었습니다. ciscoasa# verify cdisk.bin!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!done! Embedded Hash MD5: af5a155f3d5c128a271282c b Computed Hash MD5: af5a155f3d5c128a271282c b CCO Hash MD5: b569fff8bbf8087f355aaf22ef46b782 Signature Verified Verified disk0:/cdisk.bin ciscoasa# 관련명령 명령 설명 copy 파일을복사합니다. dir 시스템의파일을나열합니다. 4-11

230 verify-header 4 장 validate-attribute through vpnsetup 명령 verify-header 알려진 IPv6 확장헤더만허용하고 IPv6 확장헤더의순서를적용하려면매개변수컨피그레이션모드에서 verify-header 명령을사용합니다. 먼저 policy-map type inspect ipv6 명령을입력하여매개변수컨피그레이션모드에액세스할수있습니다. 이러한매개변수를비활성화하려면이명령의 no 형식을사용합니다. verify-header {order type} no verify-header {order type} 구문설명 order RFC 2460 사양에정의된대로 IPv6 확장헤더의순서를적용합니다. type 알려진 IPv6 확장헤더만허용합니다. 명령기본값 order 와 type 둘다기본적으로활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 매개변수컨피그레이션 예 예 예 예 릴리스 수정사항 8.2(1) 이명령이도입되었습니다. 사용지침이러한매개변수는기본적으로활성화되어있습니다. 비활성화하려면 no 키워드를입력합니다. 예다음예에서는 IPv6 검사정책맵에대한 order 및 type 매개변수를비활성화합니다. ciscoasa(config)# policy-map type inspect ipv6 ipv6-map ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# no verify-header order ciscoasa(config-pmap-p)# no verify-header type 관련명령 명령 설명 inspect ipv6 IPv6 검사를활성화합니다. parameters 검사정책맵에대한매개변수컨피그레이션모드를시작합니다. policy-map type inspect ipv6 IPv6 검색정책맵을만듭니다. 4-12

231 4 장 validate-attribute through vpnsetup 명령 version version ASA 에서전역적으로사용되는 RIP 버전을지정하려면라우터컨피그레이션모드에서 version 명령을사용합니다. 기본값을복원하려면이명령의 no 형식을사용합니다. version {1 2} no version 구문설명 1 RIP 버전 1을지정합니다. 2 RIP 버전 2를지정합니다. 기본값 ASA 는버전 1 및버전 2 패킷을허용하지만버전 1 패킷만보냅니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 라우터컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 인터페이스에서 rip send version 및 rip receive version 명령을입력하여인터페이스별로전역설정을재정의할수있습니다. RIP 버전 2를지정한경우네이버인증을활성화하고 MD5 기반암호화를사용하여 RIP 업데이트를인증할수있습니다. 예다음예에서는 ASA 가모든인터페이스에서 RIP 버전 2 패킷을보내고받도록구성합니다. ciscoasa(config)# router rip ciscoasa(config-router)# network ciscoasa(config-router)# version

232 version 4 장 validate-attribute through vpnsetup 명령 관련명령 명령 설명 rip send version 특정인터페이스에서업데이트를보낼때사용할 RIP 버전을지정합니다. rip receive version 특정인터페이스에서업데이트를받을때허용할 RIP 버전을지정합니다. router rip RIP 라우팅프로세스를활성화하고해당프로세스에대해라우터컨피그레이션모드를시작합니다. 4-14

233 4 장 validate-attribute through vpnsetup 명령 virtual http virtual http 가상 HTTP 서버를구성하려면전역컨피그레이션모드에서 virtual http 명령을사용합니다. 가상서버를비활성화하려면이명령의 no 형식을사용합니다. virtual http ip_address [warning] no virtual http ip_address [warning] 구문설명 ip_address warning ASA 에서가상 HTTP 서버의 IP 주소를설정합니다. 이주소가 ASA 로라우팅되는사용되지않는주소인지확인합니다. ( 선택사항 ) HTTP 연결을 ASA 로리디렉션해야함을사용자에게알립니다. 이키워드는리디렉션이자동으로발생할수없는텍스트기반브라우저에만적용됩니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스수정사항 7.2(1) 이전릴리스에서사용되는인라인기본 HTTP 인증방법이리디렉션방법으로대체되었으므로이명령은사용이중단되었습니다. 더이상이명령이필요하지않습니다. 7.2(2) 이제 aaa authentication listener 명령을사용하여기본 HTTP 인증 ( 기본값 ) 과 HTTP 리디렉션중에선택할수있으므로이명령이다시사용되었습니다. 리디렉션방법에는연속 HTTP 인증을위한추가명령이필요없습니다. 사용지침 ASA에서 HTTP 인증 (aaa authentication match 또는 aaa authentication include 명령참고 ) 을사용하는경우 ASA는기본적으로기본 HTTP 인증을사용합니다. redirect 키워드와함께 aaa authentication listener 명령을사용하여 ASA가 HTTP 연결을 ASA 자체에서생성한웹페이지로리디렉션하도록인증방법을변경할수있습니다. 그러나기본 HTTP 인증을계속사용하는경우에는연속 HTTP 인증이있을때 virtual http 명령이필요할수도있습니다. 대상 HTTP 서버가 ASA 이외에인증을요구하는경우 virtual http 명령을사용하면 ASA(AAA 서버를통해 ) 및 HTTP 서버에서별도로인증할수있습니다. 가상 HTTP를사용하지않으면 ASA에인증하는데사용한동일한사용자이름및비밀번호가 HTTP 서버로전송됩니다. HTTP 서버사용자이름및비밀번호에대한프롬프트가별도로표시되지않습니다. 사용자이름및비밀번호가 AAA 서버와 HTTP 서버에대해동일하지않으면 HTTP 인증에실패합니다. 4-15

234 virtual http 4 장 validate-attribute through vpnsetup 명령 이명령은 AAA 인증이필요한모든 HTTP 연결을 ASA의가상 HTTP 서버로리디렉션합니다. ASA 는 AAA 서버사용자이름및비밀번호를묻는프롬프트를표시합니다. AAA 서버가사용자를인증한후 ASA는 HTTP 연결을원래서버로다시리디렉션하지만 AAA 서버사용자이름및비밀번호는포함하지않습니다. 사용자이름및비밀번호가 HTTP 패킷에포함되어있지않기때문에 HTTP 서버는사용자에게 HTTP 서버사용자이름및비밀번호에대한프롬프트를별도로표시합니다. 인바운드사용자의경우 ( 낮은보안수준에서높은보안수준으로 ) 소스인터페이스에적용되는액세스목록에가상 HTTP 주소를대상인터페이스로포함해야합니다. 또한 NAT 가필요없는경우 (no nat-control 명령사용 ) 에도가상 HTTP IP 주소에대한 static 명령을추가해야합니다. ID NAT 명령은일반적으로사용됩니다 ( 주소를자체로변환하는경우 ). 아웃바운드사용자의경우트래픽이명시적으로허용되지만내부인터페이스에액세스목록을적용할때는가상 HTTP 주소에대한액세스를허용해야합니다. static 문은필요하지않습니다. 참고 virtual http 명령을사용할때는 timeout uauth 명령기간을 0 초로설정하지마십시오. 이설정은실제웹서버에대한 HTTP 연결을방지하기때문입니다. 예다음예에서는 AAA 인증과함께가상 HTTP 를활성화하는방법을보여줍니다. ciscoasa(config)# virtual http ciscoasa(config)# access-list ACL-IN extended permit tcp any host eq http ciscoasa(config)# access-list ACL-IN remark This is the HTTP server on the inside ciscoasa(config)# access-list ACL-IN extended permit tcp any host eq http ciscoasa(config)# access-list ACL-IN remark This is the virtual HTTP address ciscoasa(config)# access-group ACL-IN in interface outside ciscoasa(config)# static (inside, outside) netmask ciscoasa(config)# access-list AUTH extended permit tcp any host eq http ciscoasa(config)# access-list AUTH remark This is the HTTP server on the inside ciscoasa(config)# access-list AUTH extended permit tcp any host eq http ciscoasa(config)# access-list AUTH remark This is the virtual HTTP address ciscoasa(config)# aaa authentication match AUTH outside tacacs+ 관련명령 명령 설명 aaa authentication ASA가인증하는방법을설정합니다. listener http clear configure 컨피그레이션에서 virtual 명령문을제거합니다. virtual show running-config virtual ASA 가상서버의 IP 주소를표시합니다. sysopt uauth allow-http-cache virtual telnet virtual http 명령을활성화한경우이명령을통해브라우저캐시에서사용자이름비밀번호를사용하여가상서버에다시연결할수있습니다. 사용자가인증이필요한다른유형의연결을시작하기전에 ASA에인증할수있도록 ASA에서가상텔넷서버를제공합니다. 4-16

235 4 장 validate-attribute through vpnsetup 명령 virtual telnet virtual telnet ASA 에서가상텔넷서버를구성하려면전역컨피그레이션모드에서 virtual telnet 명령을사용합니다. ASA 가인증프롬프트를제공하지않는다른유형의트래픽에대한인증이필요한경우가상텔넷서버에사용자를인증해야할수도있습니다. 서버를비활성화하려면이명령의 no 형식을사용합니다. virtual telnet ip_address no virtual telnet ip_address 구문설명 ip_address ASA 에서가상텔넷서버의 IP 주소를설정합니다. 이주소가 ASA 로라우팅되는사용되지않는주소인지확인합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 프로토콜또는서비스에대한네트워크액세스인증을구성할수있지만 (aaa authentication match 또는 aaa authentication include 명령참고 ) HTTP, 텔넷또는 FTP로만직접인증할수있습니다. 사용자는인증이필요한다른트래픽이허용되기전에먼저이러한서비스중하나로인증해야합니다. ASA를통한 HTTP, 텔넷또는 FTP를허용하지않고다른유형의트래픽을인증하도록하려는경우가상텔넷을구성할수있습니다. 사용자가 ASA에구성된지정된 IP 주소로텔넷하면 ASA에서텔넷프롬프트를제공합니다. 가상텔넷주소뿐만아니라 authentication match 또는 aaa authentication include 명령을사용하여인증할다른서비스에대한텔넷액세스의인증을구성해야합니다. 인증되지않은사용자가가상텔넷 IP 주소에연결하면사용자이름및비밀번호를묻는메시지가나타나며 AAA 서버에서사용자를인증해야합니다. 인증되면 Authentication Successful 메시지가나타납니다. 그러면인증이필요한다른서비스에성공적으로액세스할수있습니다. 인바운드사용자의경우 ( 낮은보안수준에서높은보안수준으로 ) 소스인터페이스에적용되는액세스목록에가상텔넷주소를대상인터페이스로포함해야합니다. 또한 NAT가필요없는경우 (no nat-control 명령사용 ) 에도가상텔넷 IP 주소에대한 static 명령을추가해야합니다. ID NAT 명령은일반적으로사용됩니다 ( 주소를자체로변환하는경우 ). 4-17

236 virtual telnet 4 장 validate-attribute through vpnsetup 명령 아웃바운드사용자의경우트래픽이명시적으로허용되지만내부인터페이스에액세스목록을적용할때는가상텔넷주소에대한액세스를허용해야합니다. static 문은필요하지않습니다. ASA에서로그아웃하려면가상텔넷 IP 주소에다시연결합니다. 로그아웃할지묻는프롬프트가나타납니다. 예다음예에서는다른서비스에대해 AAA 인증과함께가상텔넷을활성화하는방법을보여줍니다. ciscoasa(config)# virtual telnet ciscoasa(config)# access-list ACL-IN extended permit tcp any host eq smtp ciscoasa(config)# access-list ACL-IN remark This is the SMTP server on the inside ciscoasa(config)# access-list ACL-IN extended permit tcp any host eq telnet ciscoasa(config)# access-list ACL-IN remark This is the virtual Telnet address ciscoasa(config)# access-group ACL-IN in interface outside ciscoasa(config)# static (inside, outside) netmask ciscoasa(config)# access-list AUTH extended permit tcp any host eq smtp ciscoasa(config)# access-list AUTH remark This is the SMTP server on the inside ciscoasa(config)# access-list AUTH extended permit tcp any host eq telnet ciscoasa(config)# access-list AUTH remark This is the virtual Telnet address ciscoasa(config)# aaa authentication match AUTH outside tacacs+ 관련명령 명령 설명 clear configure 컨피그레이션에서 virtual 명령문을제거합니다. virtual show running-config ASA 가상서버의 IP 주소를표시합니다. virtual virtual http ASA에서 HTTP 인증을사용하고 HTTP 서버에서도인증을요구하는경우이명령을통해 ASA 및 HTTP 서버에서개별적으로인증할수있습니다. 가상 HTTP를사용하지않으면 ASA에인증하는데사용한동일한사용자이름및비밀번호가 HTTP 서버로전송됩니다. HTTP 서버사용자이름및비밀번호에대한프롬프트가별도로표시되지않습니다. 4-18

237 4 장 validate-attribute through vpnsetup 명령 vlan vlan 하위인터페이스에 VLAN ID 를할당하려면인터페이스컨피그레이션모드에서 vlan 명령을사용합니다. VLAN ID 를제거하려면이명령의 no 형식을사용합니다. 하위인터페이스에서트래픽을전달하려면 VLAN ID 가필요합니다. VLAN 하위인터페이스를사용하면단일물리적인터페이스에서여러논리적인터페이스를구성할수있습니다. VLAN 은지정된물리적인터페이스에서트래픽을별도로유지할수있도록해줍니다 ( 예 : 다중의경우 ). vlan id no vlan 구문설명 id 1~4094 의정수를지정합니다. 일부 VLAN ID 는연결된스위치에예약될수있으므로자세한내용은스위치문서를확인하십시오. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 인터페이스컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이 interface 명령의키워드에서인터페이스컨피그레이션모드 명령으로이동되었습니다. 사용지침 단일 VLAN은물리적인터페이스가아니라하위인터페이스에만할당할수있습니다. 각하위인터페이스는 VLAN ID가있어야트래픽을전달할수있습니다. VLAN ID를변경하려는경우 no 옵션을사용하여이전 VLAN ID를제거할필요가없습니다. 다른 VLAN ID와함께 vlan 명령을입력하면 ASA가이전 ID를변경합니다. 하위인터페이스를활성화하려면 no shutdown 명령을사용하여물리적인터페이스를활성화해야합니다. 하위인터페이스를활성화한경우물리적인터페이스에서도트래픽을전달하도록하지않는것이일반적입니다. 물리적인터페이스는태그가지정되지않은패킷을전달하기때문입니다. 따라서인터페이스수준을낮춰트래픽이물리적인터페이스를통해전달되지않도록할수없습니다. 대신 nameif 명령을생략하여물리적인터페이스가트래픽을전달하지않도록합니다. 물리적인터페이스에서태그가지정되지않은패킷을전달할수있도록하려면 nameif 명령을평소와같이구성하면됩니다. 최대하위인터페이스수는플랫폼에따라다릅니다. 플랫폼당최대하위인터페이스수는 CLI 컨피그레이션가이드를참고하십시오. 4-19

238 vlan 4 장 validate-attribute through vpnsetup 명령 예다음예에서는하위인터페이스에 VLAN 101 을할당합니다. ciscoasa(config)# interface gigabitethernet0/0.1 ciscoasa(config-subif)# vlan 101 ciscoasa(config-subif)# nameif dmz1 ciscoasa(config-subif)# security-level 50 ciscoasa(config-subif)# ip address ciscoasa(config-subif)# no shutdown 다음예에서는 VLAN 을 102 로변경합니다. ciscoasa(config)# show running-config interface gigabitethernet0/0.1 interface GigabitEthernet0/0.1 vlan 101 nameif dmz1 security-level 50 ip address ciscoasa(config)# interface gigabitethernet0/0.1 ciscoasa(config-interface)# vlan 102 ciscoasa(config)# show running-config interface gigabitethernet0/0.1 interface GigabitEthernet0/0.1 vlan 102 nameif dmz1 security-level 50 ip address 관련명령 명령 설명 allocate-interface 인터페이스및하위인터페이스를에할당합니다. interface 인터페이스를구성하고인터페이스컨피그레이션모드를시작합니다. show running-config interface 인터페이스의현재컨피그레이션을표시합니다. 4-20

239 4 장 validate-attribute through vpnsetup 명령 vlan(group-policy) vlan(group-policy) 그룹정책에 VLAN 을할당하려면 group-policy 컨피그레이션모드에서 vlan 명령을사용합니다. VLAN 을그룹정책의컨피그레이션에서제거하고기본그룹정책의 VLAN 설정으로대체하려면이명령의 no 형식을사용합니다. [no] vlan {vlan_id none} 구문설명 none 이그룹정책과일치하는원격액세스 VPN 세션에대한 VLAN 할당을비활성화합니다. 그룹정책은기본그룹정책에서 vlan 값을상속하지않습니다. vlan_id 이그룹정책을사용하는원격액세스 VPN 세션에할당할 VLAN 수 (10 진수형식 ) 입니다. 인터페이스컨피그레이션모드에서 vlan 명령을사용하여이 ASA에서 VLAN을구성해야합니다. 기본값기본값은 none 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 릴리스 수정사항 8.0(2) 이명령이도입되었습니다. 사용지침 이명령은이그룹정책에할당된세션에대한이그레스 VLAN 인터페이스를지정합니다. ASA 는이그룹의모든트래픽을해당 VLAN 으로전달합니다. 각그룹정책에 VLAN 을할당하여액세스제어를간소화할수있습니다. ACL 을사용하는대신이명령을사용하여세션에서트래픽을필터링합니다. 예다음명령은그룹정책에 VLAN 1 을할당합니다. ciscoasa(config-group-policy)# vlan 1 ciscoasa(config-group-policy) 다음명령은그룹정책에서 VLAN 매핑을제거합니다. ciscoasa(config-group-policy)# vlan none ciscoasa(config-group-policy) 4-21

240 vlan(group-policy) 4 장 validate-attribute through vpnsetup 명령 관련명령 명령 설명 show vlan ASA에구성된 VLAN을표시합니다. vlan( 인터페이스컨피그레이션모드 ) 하위인터페이스에 VLAN ID를할당합니다. show vpn-session_summary.db IPsec, Cisco AnyConnect 및 NAC 세션수와사용중인 VLAN 수를표시합니다. show vpn-session.db VLAN 매핑및 NAC 결과를포함하여 VPN 세션에대한정보를표시합니다. 4-22

241 4 장 validate-attribute through vpnsetup 명령 vpdn group vpdn group vpdn 그룹을만들거나수정하고 PPPoE 클라이언트설정을구성하려면전역컨피그레이션모드에서 vpdn group 명령을사용합니다. 컨피그레이션에서그룹정책을제거하려면이명령의 no 형식을사용합니다. vpdn group group_name {localname username request dialout pppoe ppp authentication {chap mschap pap}} no vpdn group group_name {localname name request dialout pppoe ppp authentication {chap mschap pap}} 참고 PPPoE 는 ASA 에장애조치가구성된경우또는다중상황모드나투명모드에서지원되지않습니다. PPPoE 는장애조치없는단일라우팅모드에서만지원됩니다. 구문설명 localname username ppp authentication {chap mschap pap}} 인증을위해사용자이름을 vpdn 그룹에연결하며, vpdn username 명령으로구성된이름과일치해야합니다. PPP(Point-to-Point 프로토콜 ) 인증프로토콜을지정합니다. Windows 클라이언트전화접속네트워킹설정을통해사용할인증프로토콜 (PAP, CHAP 또는 MS-CHAP) 을지정할수있습니다. 클라이언트에서지정한모든항목은보안어플라이언스에서사용하는설정과일치해야합니다. PAP( 비밀번호인증프로토콜 ) 는 PPP 피어가상호인증할수있도록해줍니다. PAP 는호스트이름또는사용자이름을일반텍스트로전달합니다. CHAP(Challenge Handshake Authentication Protocol) 는 PPP 피어가액세스서버와의상호작용을통해무단액세스를방지할수있도록해줍니다. MS-CHAP 는 Microsoft 의파생 CHAP 입니다. PIX 방화벽은 MS-CHAP 버전 1 만지원합니다 ( 버전 2.0 은지원하지않음 ). 인증프로토콜이호스트에지정되지않은경우에는컨피그레이션에서 ppp authentication 옵션을지정하지마십시오. request dialout pppoe 외부로전화접속 PPPoE 요청을허용하려면지정합니다. vpdn group group_name vpdn 그룹의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 4-23

242 vpdn group 4 장 validate-attribute through vpnsetup 명령 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 VPDN(Virtual Private Dial-up Networking) 은원격전화접속사용자와사설네트워크간의장거리포인트투포인트연결을제공하는데사용됩니다. 보안어플라이언스의 VPDN은계층 2 터널링기술 PPPoE를사용하여공용네트워크를통해원격사용자와사설네트워크간의전화접속네트워킹연결을설정합니다. PPPoE는 PPP(Point-to-Point 프로토콜 ) over Ethernet입니다. PPP는 IP, IPX 및 ARA와같은네트워크계층프로토콜과함께작동하도록설계되었습니다. 또한 PPP는 CHAP 및 PAP를기본제공보안메커니즘으로사용합니다. show vpdn session pppoe 명령은 PPPOE 연결에대한세션정보를표시합니다. clear configure vpdn group 명령은모든 vpdn group 명령을컨피그레이션에서제공하고모든활성 L2TP 및 PPPoE 터널을중지합니다. clear configure vpdn username 명령은모든 vpdn username 명령을컨피그레이션에서제거합니다. PPPoE는 PPP를캡슐화하기때문에 PPPoE는 PPP를기반으로 VPN 터널내에서작동하는클라이언트세션에대한인증및 ECP/CCP 기능을수행합니다. 또한 PPP는 PPPoE에대한 IP 주소를할당하기때문에 PPPoE는 DHCP와함께지원되지않습니다. 참고 PPPoE 에대한 VPDN 그룹이구성되지않은경우에는 PPPoE 에서연결을설정할수없습니다. PPPoE에사용할 VPDN 그룹을정의하려면 vpdn group group_name request dialout pppoe 명령을사용합니다. 그런다음인터페이스컨피그레이션모드에서 pppoe client vpdn group 명령을사용하여특정인터페이스의 PPPoE 클라이언트와 VPDN 그룹을연결합니다. ISP에서인증을요구하는경우 vpdn group group_name ppp authentication {chap mschap pap} 명령을사용하여 ISP에서사용하는인증프로토콜을선택합니다. vpdn group group_name localname username 명령을사용하여 ISP에서할당한사용자이름을 VPDN 그룹과연결합니다. vpdn username username password password 명령을사용하여 PPPoE 연결을위한사용자이름및비밀번호쌍을만듭니다. 사용자이름은 PPPoE용으로지정된 VPDN 그룹에이미연결된사용자이름이어야합니다. 참고 ISP 에서 CHAP 또는 MS-CHAP 를사용하는경우에는사용자이름을원격시스템이름이라고하고, 비밀번호를 CHAP 암호라고할수도있습니다. PPPoE 클라이언트기능은기본적으로해제되어있으므로 VPDN 컨피그레이션후 ip address if_name pppoe [setroute] 명령을사용하여 PPPoE를활성화합니다. setroute 옵션은기본경로가없는경우기본경로를생성합니다. PPPoE가구성되는즉시보안어플라이언스는통신할 PPPoE 액세스집선장치를찾습니다. 정상적으로든비정상적으로든 PPPoE 연결이종료되면 ASA는통신할새액세스집선장치를찾습니다. 4-24

243 4 장 validate-attribute through vpnsetup 명령 vpdn group 다음 ip address 명령은 PPPoE 세션을종료하므로 PPPoE 세션이시작된후사용해서는안됩니다. ip address outside pppoe - 새 PPPoE 세션을시작합니다. ip address outside dhcp - 인터페이스에서해당 DHCP 컨피그레이션을가져올때까지인터페이스를비활성화합니다. ip address outside address netmask - 인터페이스를정상적으로초기화된인터페이스로가동합니다. 예다음예에서는 vdpn 그룹 telecommuters 를만들고 PPPoE 클라이언트를구성합니다. ciscoasa(config)# vpdn group telecommuters request dialout pppoe ciscoasa(config)# vpdn group telecommuters localname user1 ciscoasa(config)# vpdn group telecommuters ppp authentication pap ciscoasa(config)# vpdn username user1 password test1 ciscoasa(config)# interface GigabitEthernet 0/1 ciscoasa(config-subif)# ip address pppoe setroute 관련명령 명령 설명 clear configure vpdn group 컨피그레이션에서모든 vpdn group 명령을제거합니다. clear configure vpdn username 컨피그레이션에서모든 vpdn username 명령을제거합니다. show vpdn group group_name vpdn 그룹컨피그레이션을표시합니다. vpdn username PPPoE 연결을위한사용자이름및비밀번호쌍을만듭니다. 4-25

244 vpdn username 4 장 validate-attribute through vpnsetup 명령 vpdn username PPPoE 연결을위한사용자이름및비밀번호쌍을만들려면전역컨피그레이션모드에서 vpdn username 명령을사용합니다. vpdn username username password password [store-local] no vpdn username username password password [store-local] 참고 PPPoE 는 ASA 에장애조치가구성된경우또는다중상황모드나투명모드에서지원되지않습니다. PPPoE 는장애조치없는단일라우팅모드에서만지원됩니다. 구문설명 password 비밀번호를지정합니다. store-local 보안어플라이언스에있는 NVRAM의특정위치에사용자이름및비밀번호를저장합니다. Auto Update Server에서보안어플라이언스로 clear config 명령을보내고이후에연결이중단된경우보안어플라이언스는 NVRAM에서사용자이름및비밀번호를읽고액세스집선장치에다시인증할수있습니다. username 사용자이름을지정합니다. 기본값기본동작또는기본값이없습니다. 사용지침을참고하십시오. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 vpdn 사용자이름은 vpdn group group_name localname username 명령을통해지정된 VPDN 그룹과이미연결된사용자이름이어야합니다. clear configure vpdn username 명령은모든 vpdn username 명령을컨피그레이션에서제거합니다. 예다음예에서는비밀번호가 telecommuter9/8 인 vpdn 사용자이름 bob_smith 를만듭니다. ciscoasa(config)# vpdn username bob_smith password telecommuter9/8 4-26

245 4 장 validate-attribute through vpnsetup 명령 vpdn username 관련명령 명령 설명 clear configure vpdn group 컨피그레이션에서모든 vpdn group 명령을제거합니다. clear configure vpdn username 컨피그레이션에서모든 vpdn username 명령을제거합니다. show vpdn group VPDN 그룹컨피그레이션을표시합니다. vpdn group VPDN 그룹을만들고 PPPoE 클라이언트설정을구성합니다. 4-27

246 vpn-access-hours 4 장 validate-attribute through vpnsetup 명령 vpn-access-hours 구성된시간범위정책과그룹정책을연결하려면 group-policy 컨피그레이션모드또는 username 컨피그레이션모드에서 vpn-access-hours 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서시간범위값을상속하도록허용됩니다. 값을상속하지못하도록하려면 vpn-access-hours none 명령을사용합니다. vpn-access hours value {time-range} none no vpn-access hours 구문설명 none VPN 액세스시간을 null 값으로설정하여시간범위정책을허용하지않습니다. 기본또는지정된그룹정책에서값을상속하지못하도록합니다. time-range 구성된시간범위정책의이름을지정합니다. 기본값 제한없음 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예 다음예에서는 FirstGroup 이라는그룹정책을 824 라는시간범위정책과연결하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# vpn-access-hours 824 관련명령 명령 time-range 설명시작및종료날짜를포함하여네트워크에액세스할요일및시간을설정합니다. 4-28

247 4 장 validate-attribute through vpnsetup 명령 vpn-addr-assign vpn-addr-assign 원격액세스클라이언트에 IPv4 주소를할당할방법을지정하려면전역컨피그레이션모드에서 vpn-addr-assign 명령을사용합니다. 컨피그레이션에서이특성을제거하려면이명령의 no 버전을사용합니다. 구성된모든 VPN 주소할당방법을 ASA 에서제거하려면인수없이이명령의 no 버전을사용합니다. vpn-addr-assign {aaa dhcp local [reuse-delay delay]} no vpn-addr-assign {aaa dhcp local [reuse-delay delay]} 구문설명 aaa 외부또는내부 (LOCAL) AAA 인증서버에서 IPv4 주소를할당합니다. dhcp DHCP를통해 IP 주소를가져옵니다. local ASA에구성된 IP 주소풀에서 IP 주소를할당하고이를터널그룹에연 결합니다. reuse-delay delay 해지된 IP 주소를다시사용할수있을때까지의지연시간입니다. 범위 는 0~480분입니다. 기본값은 0( 비활성화됨 ) 입니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다 reuse-delay 옵션이도입되었습니다. 사용지침 DHCP를선택한경우 dhcp-network-scope 명령을선택하여 DHCP 서버에서사용할수있는 IP 주소범위도정의해야합니다. DHCP 서버에서사용하는 IP 주소를나타내려면 dhcp-server 명령을사용해야합니다. local을선택한경우 ip-local-pool 명령을사용하여사용할 IP 주소범위를정의해야합니다. 그런다음 vpn-framed-ip-address 및 vpn-framed-netmask 명령을사용하여 IP 주소및넷마스크를개별사용자에게할당합니다. 로컬풀을사용하는경우 reuse-delay delay 옵션을사용하여해제된 IP 주소를다시사용할수있을때까지의지연시간을조정할수있습니다. 지연시간을늘리면 IP 주소가풀로반환되고신속하게재할당될때방화벽에서발생할수있는문제가방지됩니다. AAA를선택한경우이전에구성된 RADIUS 서버에서 IP 주소를가져옵니다. 4-29

248 vpn-addr-assign 4 장 validate-attribute through vpnsetup 명령 예다음예에서는 DHCP 를주소할당방법으로구성하는방법을보여줍니다. ciscoasa(config)# vpn-addr-assign dhcp 관련명령 명령 설명 dhcp-network-scope ASA DHCP 서버에서그룹정책의사용자에게주소를할당하기위해사용해야하는 IP 주소범위를지정합니다. ip-local-pool 로컬 IP 주소풀을만듭니다. ipv6-addr-assign 원격액세스클라이언트에 IPv6 주소를할당하는방법을지정합니다. vpn-framed-ip-address 특정사용자에게할당할 IP 주소를지정합니다. vpn-framed-ip-netmask 특정사용자에게할당할넷마스크를지정합니다. 4-30

249 4 장 validate-attribute through vpnsetup 명령 vpn-filter vpn-filter VPN 연결에사용할 ACL 이름을지정하려면그룹정책또는사용자이름모드에서 vpn-filter 명령을사용합니다. vpn-filter none 명령을실행하여만든 null 값을포함하여 ACL을제거하려면이명령의 no 형식을사용합니다. no 옵션은다른그룹정책에서값을상속하도록허용합니다. 값을상속하지못하도록하려면 vpn-filter none 명령을사용합니다. 이사용자또는그룹정책에대한여러유형의트래픽을허용하거나거부하도록 ACL을구성합니다. 그런다음 vpn-filter 명령을사용하여이러한 ACL을적용합니다. vpn-filter {value ACL name none} no vpn-filter 구문설명 none 액세스목록이없음을나타냅니다. null 값을설정하여액세스목록을허용하지않습니다. 다른그룹정책에서액세스목록을상속하지못하도록합니다. value ACL name 이전에구성된액세스목록의이름을제공합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 9.0(1) 이제 IPv4 및 IPv6 ACL에명령을사용할수있습니다. 9.1.(4) 이제 IPv4 및 IPv6 ACL에명령을사용해야합니다. 사용중단된 ipv6-vpn-filter 명령을실수로사용하여 IPv6 ACL을지정한경우연결 이종료됩니다. 사용지침클라이언트리스 SSL VPN에서는 vpn-filter 명령에정의된 ACL을사용하지않습니다. vpn-filter 기능은인바운드방향으로만필터링되는트래픽을허용하도록설계되었습니다. 아웃바운드규칙은자동으로컴파일됩니다. ICMP 액세스목록을만들때방향필터를사용하려면 ICMP 유형을액세스목록형식으로지정하지마십시오. 4-31

250 vpn-filter 4 장 validate-attribute through vpnsetup 명령 예 다음예에서는 FirstGroup 이라는정책그룹에대해 acl_vpn 이라는액세스목록을호출하는필터를설정하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# vpn-filter value acl_vpn 관련명령 명령 설명 access-list 액세스목록을생성하거나다운로드가능한액세스목록을사용합니다. ipv6-vpn-filter 이전에 IPv6 ACL을지정하는데사용된사용중단된명령입니다. 4-32

251 4 장 validate-attribute through vpnsetup 명령 vpn-framed-ip-address vpn-framed-ip-address 개별사용자에게할당할 IPv4 주소를지정하려면사용자이름모드에서 vpn-framed-ip-address 명령을사용합니다. IP 주소를제거하려면이명령의 no 형식을사용합니다. vpn-framed-ip-address {ip_address} {subnet_mask} no vpn-framed-ip-address 구문설명 ip_address 이사용자에대한 IP 주소를제공합니다. subnet_mask 서브넷마스크를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예다음예에서는 anyuser 라는사용자에대한 IP 주소를 로설정하는방법을보여줍니다. ciscoasa(config)# username anyuser attributes ciscoasa(config-username)# vpn-framed-ip-address

252 vpn-framed-ipv6-address 4 장 validate-attribute through vpnsetup 명령 vpn-framed-ipv6-address 사용자모드에서 vpn-framed-ipv6-address 명령을사용하여사용자에게전용 IPv6 주소를할당할수있습니다. IP 주소를제거하려면이명령의 no 형식을사용합니다. vpn-framed-ipv6-address ip_address/subnet_mask no vpn-framed-ipv6-address ip_address/subnet_mask 구문설명 ip_address 이사용자에대한 IP 주소를제공합니다. subnet_mask 서브넷마스크를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 username 컨피그레이션 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 예 다음예에서는 anyuser 라는사용자에대한 IP 주소및넷마스크를 2001::3000:1000:2000:1/64 로설정하는방법을보여줍니다. 이주소는접두사값 2001:0000:0000:0000 과인터페이스 ID 3000:1000:2000:1 을나타냅니다. ciscoasa(config)# username anyuser attributes ciscoasa(config-username)# vpn-framed-ipv6-address 2001::3000:1000:2000:1/64 ciscoasa(config-username) 관련명령 명령 설명 vpn-framed-ip-address 개별사용자에게할당할 IPv4 주소를지정합니다. 4-34

253 4 장 validate-attribute through vpnsetup 명령 vpn-group-policy vpn-group-policy 사용자가구성된그룹정책에서특성을상속하도록하려면 username 컨피그레이션모드에서 vpn-group-policy 명령을사용합니다. 사용자컨피그레이션에서그룹정책을제거하려면이명령의 no 버전을사용합니다. 이명령을사용하면사용자가사용자이름수준에서구성되지않은특성을상속할수있습니다. vpn-group-policy {group-policy name} no vpn-group-policy {group-policy name} 구문설명 group-policy name 그룹정책의이름을제공합니다. 기본값기본적으로 VPN 사용자는그룹정책연계가없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 사용자이름모드에서구성하여특정사용자에대해그룹정책의특성값을재정의할수있습니다 ( 해당특성을사용자이름모드에서사용할수있는경우 ). 예 다음예에서는 anyuser 라는사용자가 FirstGroup 이라는그룹정책의특성을사용하도록구성하는방법을보여줍니다. ciscoasa(config)# username anyuser attributes ciscoasa(config-username)# vpn-group-policy FirstGroup 관련명령 명령 설명 group-policy ASA 데이터베이스에그룹정책을추가합니다. group-policy attributes 그룹정책에대한 AVP를구성할수있는 group-policy attributes 모 드를시작합니다. username ASA 데이터베이스에사용자를추가합니다. username attributes 특정사용자에대한 AVP를구성할수있는 username attributes 모 드를시작합니다. 4-35

254 vpn-idle-timeout 4 장 validate-attribute through vpnsetup 명령 vpn-idle-timeout 사용자시간제한을구성하려면 group-policy 컨피그레이션모드또는 username 컨피그레이션모드에서 vpn-idle-timeout 명령을사용합니다. 연결된상태에서이기간동안통신활동이없는경우 ASA에서연결을종료합니다. 선택적으로시간제한알림간격을기본 1분에서연장할수있습니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서시간제한값을상속하도록허용됩니다. 값을상속하지못하도록하려면 vpn-idle-timeout none 명령을사용합니다. vpn-idle-timeout {minutes none} [alert-interval minutes] no vpn-idle-timeout no vpn-idle-timeout alert-interval 구문설명 minutes 시간제한 ( 분 ) 및시간제한알림전까지의경과시간 ( 분 ) 을지정합니다. 1~ 의정수를사용합니다. none AnyConnect(SSL IPsec/IKEv2): ciscoasa(config-webvpn)# default-idle-timeout 명령의전역 WebVPN default-idle-timeout 값 ( 초 ) 을사용합니다. WebVPN default-idle-timeout 명령의이값은범위가 60~86400초입니다. 기본전역 WebVPN 유휴시간제한 ( 초 ) 의기본값은 1800초 (30분) 입니다. 참고 ASA 에서는모든 AnyConnect 연결에 0 이아닌유휴시간제한값이필요합니다. WebVPN 사용자의경우 default-idle-timeout 값은 group policy/username 특성에 vpn-idle-timeout none이설정된경우에만적용됩니다. Site-to-Site(IKEv1, IKEv2) 및 IKEv1 remote-access: 시간제한을비활성화하고무제한유휴시간을허용합니다. 기본값 30 분 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 4-36

255 4 장 validate-attribute through vpnsetup 명령 vpn-idle-timeout 사용지침 AnyConnect 클라이언트는 SSL 및 IKEv2 연결에대한세션다시시작을지원합니다. 이기능을사용하면엔드유저장치가절전모드로전환되거나해당 WiFi 가끊어지는등의상황이발생한후복구시동일한연결을다시시작할수있습니다. 예 다음예에서는 FirstGroup 이라는그룹정책에대한 VPN 유휴시간제한을 15 분으로설정하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# vpn-idle-timeout 30 보안어플라이언스에서는사용자에대한유휴시간제한이정의되지않은경우, vpn-idle-timeout 값이 0 인경우또는값이유효한범위에속하지않는경우 default-idle-timeout 값을사용합니다. 관련명령 default-idle-timeout 전역 WebVPN 기본유휴시간제한을지정합니다. group-policy 그룹정책을만들거나수정합니다. vpn-session-timeout VPN 연결에허용되는최대기간을구성합니다. 이기간이경과하면 ASA에서연결을종료합니다. 4-37

256 vpn load-balancing 4 장 validate-attribute through vpnsetup 명령 vpn load-balancing VPN 부하균형및관련기능을구성할수있는 vpn load-balancing 모드를시작하려면전역컨피그레이션모드에서 vpn load-balancing 명령을사용합니다. vpn load-balancing 참고 VPN 부하균형을사용하려면 ASA 5510 Plus 라이센스또는 ASA 5520 이상이있어야합니다. 또한 VPN 부하균형에는활성 3DES/AES 라이센스도필요합니다. 보안어플라이언스는부하균형을활성화하기전에이러한암호화라이센스가있는지확인합니다. 활성 3DES 또는 AES 라이센스가검색되지않는경우보안어플라이언스는부하균형의활성화를방지하며, 라이센스에서허용할때까지부하균형을통한 3DES 의내부컨피그레이션을방지합니다. 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 8.0(2) ASA 5510 Plus 라이센스및 5520 이상의모델에대한지원이추가되었습니다. 사용지침 부하균형클러스터는보안어플라이언스모델 5510(Plus 라이센스 ) 또는 ASA 5520 이상을포함할수있습니다. 또한 VPN 3000 Series Concentrator를클러스터에포함할수있습니다. 혼합컨피그레이션이가능하지만일반적으로클러스터가같은유형인경우관리가더간단합니다. vpn load-balancing 명령을사용하여 vpn load-balancing 모드를시작할수있습니다. 다음명령은 vpn load-balancing 모드에서사용할수있습니다. cluster encryption cluster ip address cluster key cluster port interface nat 4-38

257 4 장 validate-attribute through vpnsetup 명령 vpn load-balancing participate priority redirect-fqdn 자세한내용은개별명령설명을참고하십시오. 예다음은 vpn load-balancing 명령의예입니다. 프롬프트의변경사항에주의하십시오. ciscoasa(config)# vpn load-balancing ciscoasa(config-load-balancing)# 다음은클러스터의공용인터페이스를 test 로지정하고클러스터의사설인터페이스를 foo 로지정하는인터페이스명령이포함된 VPN 부하균형명령시퀀스의예입니다. ciscoasa(config)# interface GigabitEthernet 0/1 ciscoasa(config-if)# ip address ciscoasa(config)# nameif test ciscoasa(config)# interface GigabitEthernet 0/2 ciscoasa(config-if)# ip address ciscoasa(config)# nameif foo ciscoasa(config)# vpn load-balancing ciscoasa(config-load-balancing)# nat ciscoasa(config-load-balancing)# priority 9 ciscoasa(config-load-balancing)# interface lbpublic test ciscoasa(config-load-balancing)# interface lbprivate foo ciscoasa(config-load-balancing)# cluster ip address ciscoasa(config-load-balancing)# cluster key ciscoasa(config-load-balancing)# cluster encryption ciscoasa(config-load-balancing)# cluster port 9023 ciscoasa(config-load-balancing)# participate 관련명령 명령 설명 clear configure vpn 부하균형런타임컨피그레이션을제거하고부하균형을비활성화합니다. load-balancing show running-config 현재 VPN 부하균형가상클러스터컨피그레이션을표시합니다. vpn load-balancing show vpn load-balancing VPN 부하균형런타임통계를표시합니다. 4-39

258 vpn-session-db 4 장 validate-attribute through vpnsetup 명령 vpn-session-db 최대 VPN 세션또는 AnyConnect 클라이언트 VPN 세션수를지정하려면전역컨피그레이션모드에서 vpn-session-db 명령을사용합니다. 컨피그레이션에서이제한을제거하려면이명령의 no 형식을사용합니다. vpn-sessiondb {max-anyconnect-premium-or-essentials-limit number max-other-vpn-limit number} 구문설명 max-anyconnect-premiumor-essentials-limit number max-other-vpn-limit number 최대 AnyConnect 세션수를 1 에서라이센스에서허용하는최대세션수사이로지정합니다. AnyConnect 클라이언트세션이아닌최대 VPN 세션수를 1 에서라이센스에서허용하는최대세션수사이로지정합니다. 여기에는 Cisco VPN 클라이언트 (IPsec IKEv1), LAN-to-LAN VPN 및클라이언트리스 SSL VPN 세션이포함됩니다. 기본값기본적으로 ASA 는라이센스최대값보다낮은 VPN 세션수를제한하지않습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 8.4(1) 다음키워드가변경되었습니다. max-session-limit가 max-anyconnect-premium-or-essentials-limit로대체되었습니다. max-webvpn-session-limit가 max-other-vpn-limit로대체되었습니다. 9.0(1) max-other-vpn-limit 및로그오프에대한다중상황모드지원이추가되었습니다. 예다음예에서는최대 AnyConnect 세션수를 200 으로설정합니다. ciscoasa(config)# vpn-sessiondb max-anyconnect-premium-or-essentials-limit

259 4 장 validate-attribute through vpnsetup 명령 vpn-session-db 관련명령 명령 설명 vpn-sessiondb logoff 모든유형또는특정유형의 IPsec VPN 및 WebVPN 세션을로그오프합니다. vpn-sessiondb max-webvpn-session-limit 최대 WebVPN 세션수를설정합니다. 4-41

260 vpn-sessiondb logoff 4 장 validate-attribute through vpnsetup 명령 vpn-sessiondb logoff 모든 VPN 세션또는선택한 VPN 세션을로그오프하려면전역컨피그레이션모드에서 vpn-sessiondb logoff 명령을사용합니다. vpn-sessiondb logoff {all anyconnect -proxy index index_number ipaddress IPaddr l2l name username protocol protocol-name ra-ikev1-ipsec tunnel-group groupname vpn-lb webvpn} [noconfirm] 구문설명 all 모든 VPN 세션을로그오프합니다. anyconnect 모든 AnyConnect VPN 클라이언트세션을로그오프합니다. -proxy 모든이메일프록시세션을로그오프합니다. index index_number 인덱스번호별로단일세션을로그오프합니다. 세션의인덱스번호를지정합니다. show vpn-sessiondb detail 명령을사용하여각세션의인덱스번호를확인할수있습니다. ipaddress IPaddr 지정한 IP 주소에대한세션을로그오프합니다. l2l 모든 LAN-to-LAN 세션을로그오프합니다. name username 지정한사용자이름에대한세션을로그오프합니다. 4-42

261 4 장 validate-attribute through vpnsetup 명령 vpn-sessiondb logoff protocol protocol-name 지정한프로토콜에대한세션을로그오프합니다. 프로토콜은다음과같습니다. ikev1 - IKEv1( 인터넷키교환국버전 1) 프로토콜을사용하는세션입니다. ikev2 - IKEv2( 인터넷키교환국버전 2) 프로토콜을사용하는세션입니다. ipsec - IKEv1 또는 IKEv2 를사용하는 IPsec 세션입니다. ipseclan2lan - IPsec Lan-to-Lan 세션입니다. ipseclan2lanovernatt - IPsec Lan-to-Lan over NAT-T 세션입니다. ipsecovernatt - IPsec over NAT-T 세션입니다. ipsecovertcp - IPsec over TCP 세션입니다. ipsecoverudp - IPsec over UDP 세션입니다. l2tpoveripsec - L2TP over IPsec 세션입니다. l2tpoveripsecovernatt - L2TP over IPsec over NAT-T 세션입니다. webvpn - 클라이언트리스 SSL VPN 세션입니다. imap4s - IMAP4 세션입니다. pop3s - POP3 세션입니다. smtps - SMTP 세션입니다. anyconnectparent - 세션에사용되는프로토콜에상관없는 AnyConnect 클라이언트세션입니다 (AnyConnect IPsec IKEv2 및 SSL 세션을종료함 ). ssltunnel - SSL 을사용하는 AnyConnect 세션및클라이언트리스 SSL VPN 세션을비롯한 SSL VPN 세션입니다. dtlstunnel - DTLS가활성화된 AnyConnect 클라이언트세션입니다. ra-ikev1-ipsec 모든 IPsec IKEv1 원격액세스세션을로그오프합니다. tunnel-group groupname 지정한터널그룹 ( 연결프로파일 ) 에대한세션을로그오프합니다. webvpn 모든클라이언트리스 SSL VPN 세션을로그오프합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 4-43

262 vpn-sessiondb logoff 4 장 validate-attribute through vpnsetup 명령 릴리스수정사항 7.0(1) 이명령이도입되었습니다. 8.4(1) 다음프로토콜키워드가변경되거나추가되었습니다. remote가 ra-ikev1-ipsec으로변경되었습니다. ike가 ikev1로변경되었습니다. ikev2가추가되었습니다. anyconnectparent가추가되었습니다. 9.0(1) 다중상황모드지원이추가되었습니다. 예다음예에서는모든 AnyConnect 클라이언트세션을로그오프하는방법을보여줍니다. ciscoasa# vpn-sessiondb logoff anyconnect 다음예에서는모든 IPsec 세션을로그오프하는방법을보여줍니다. ciscoasa# vpn-sessiondb logoff protocol IPsec 4-44

263 4 장 validate-attribute through vpnsetup 명령 vpn-session-timeout vpn-session-timeout VPN 연결에허용되는최대기간을구성하려면 group-policy 컨피그레이션모드또는 username 컨피그레이션모드에서 vpn-session-timeout 명령을사용합니다. 이기간이경과하면 ASA에서연결을종료합니다. 선택적으로시간제한알림간격을기본 1분에서연장할수있습니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서시간제한값을상속하도록허용됩니다. 값을상속하지못하도록하려면 vpn-session-timeout none 명령을사용합니다. vpn-session-timeout {minutes none} [alert-interval minutes] no vpn-session-timeout no vpn-session-timeout alert-interval 구문설명 minutes 시간제한 ( 분 ) 및시간제한알림전까지의경과시간 ( 분 ) 을지정합니다. 1~ 의정수를사용합니다. none 무제한세션시간제한을허용합니다. null 값으로세션시간제한을설정하여세션시간제한을허용하지않습니다. 기본또는지정된그룹정책에서값을상속하지못하도록합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 예 다음예에서는 FirstGroup 이라는그룹정책에대한 VPN 세션시간제한을 180 분으로설정하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# vpn-session-timeout

264 vpn-session-timeout 4 장 validate-attribute through vpnsetup 명령 관련명령 group-policy 그룹정책을만들거나수정합니다. vpn-idle-timeout 사용자시간제한을구성합니다. 연결된상태에서이기간동안통신 활동이없는경우 ASA에서연결을종료합니다. 4-46

265 4 장 validate-attribute through vpnsetup 명령 vpn-simultaneous-logins vpn-simultaneous-logins 사용자에게허용되는동시로그인수를구성하려면 group-policy 컨피그레이션모드또는 username 컨피그레이션모드에서 vpn-simultaneous-logins 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서값을상속하도록허용됩니다. 로그인을비활성화하고사용자액세스를방지하려면 0 을입력합니다. vpn-simultaneous-logins {integer} no vpn-simultaneous-logins 구문설명 integer 0 에서 사이의숫자입니다. 기본값기본값은 3 개의동시로그인입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침로그인을비활성화하고사용자액세스를방지하려면 0 을입력합니다. 참고 동시로그인수에대한최대제한은크기만여러동시로그인을허용하면보안및성능이저하될수있습니다. 시간이경과된 AnyConnect, IPsec 클라이언트또는클라이언트리스세션 ( 비정상적으로종료된세션 ) 은 새 세션이동일한사용자이름으로설정된경우에도세션데이터베이스에서그대로유지됩니다. vpn-simultaneous-logins 값이 1인경우비정상종료후동일한사용자가다시로그인하면시간이경과된세션이데이터베이스에서제거되고새세션이설정됩니다. 그러나기존세션이여전히활성연결상태인경우동일한사용자가다른 PC에서다시로그인하면첫번째세션이로그오프되고데이터베이스에서제거되며새세션이설정됩니다. 동시로그인수가 1보다큰값인경우최대수에도달하여다시로그인하면유휴시간이가장오래된세션이로그오프됩니다. 모든현재세션이동일한기간동안유휴상태로유지된경우에는가장오래된세션이로그오프됩니다. 이동작은세션을확보하여새로그인을허용합니다. 4-47

266 vpn-simultaneous-logins 4 장 validate-attribute through vpnsetup 명령 예 다음예에서는최대 FirstGroup이라는그룹정책에대해최대 4개의동시로그인을허용하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# vpn-simultaneous-logins

267 4 장 validate-attribute through vpnsetup 명령 vpn-tunnel-protocol vpn-tunnel-protocol VPN 터널유형 (IKEv1 또는 IKEv2 사용 IPsec, L2TP over IPsec, SSL 또는클라이언트리스 SSL) 을구성하려면 group-policy 컨피그레이션모드또는 username 컨피그레이션모드에서 vpn-tunnel-protocol 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpn-tunnel-protocol {ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless} no vpn-tunnel-protocol {ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless} 구문설명 ikev1 두피어 ( 원격액세스클라이언트또는다른보안게이트웨이 ) 간에 IKEv1을사용하는 IPsec 터널을협상합니다. 인증, 암호화, 캡슐화및키관리에적용되는보안연계를만듭니다. ikev2 두피어 ( 원격액세스클라이언트또는다른보안게이트웨이 ) 간에 IKEv2를사용하는 IPsec 터널을협상합니다. 인증, 암호화, 캡슐화및키관리에적용되는보안연계를만듭니다. l2tp-ipsec L2TP 연결에대해 IPsec 터널을협상합니다. ssl-client SSL VPN 클라이언트와 SSL VPN 터널을협상합니다. ssl-clientless HTTPS 지원웹브라우저를통해원격사용자에게 VPN 서비스를제공하며, 클라이언트는필요하지않습니다. 기본값기본값은 IPsec 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 7.2(1) l2tp-ipsec 키워드가추가되었습니다. 7.3(1) svc 키워드가추가되었습니다. 8.4(1) ipsec 키워드가 ikev1 및 ikev2 키워드로대체되었습니다. 사용지침 이명령을사용하여하나이상의터널링모드를구성할수있습니다. 사용자가 VPN 터널을통해연결하려면하나이상의터널링모드를구성해야합니다. 4-49

268 vpn-tunnel-protocol 4 장 validate-attribute through vpnsetup 명령 참고 IPsec 에서 SSL 로의대체를지원하려면 vpn-tunnel-protocol 명령에서 svc 및 ipsec 인수를둘다구성해야합니다. 예 다음예에서는 FirstGroup 이라는그룹정책에대한 WebVPN 및 IPsec 터널링모드를구성하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)# vpn-tunnel-protocol IPsec 관련명령 명령 설명 address pools 원격클라이언트에주소를할당하기위한주소풀목록을지정합니다. show running-config group-policy 모든그룹정책또는특정그룹정책에대한컨피그레이션을표시합니다. 4-50

269 4 장 validate-attribute through vpnsetup 명령 vpnclient connect vpnclient connect 구성된서버에대한 Easy VPN Remote 연결을설정하려면전역컨피그레이션모드에서 vpnclient connect 명령을사용합니다. vpnclient connect 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 특권 EXEC 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 5505 에만적용됩니다. 예 다음예에서는구성된 EasyVPN 서버에대한 Easy VPN Remote 연결을설정하는방법을보여줍니다. ciscoasa(config)# vpnclient connect ciscoasa(config)# 4-51

270 vpnclient enable 4 장 validate-attribute through vpnsetup 명령 vpnclient enable Easy VPN Remote 기능을활성화하려면전역컨피그레이션모드에서 vpnclient enable 명령을사용합니다. Easy VPN Remote 기능을비활성화하려면이명령의 no 형식을사용합니다. vpnclient enable no vpnclient enable 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 5505에만적용됩니다. vpnclient enable 명령을입력하면 ASA 5505 기능이 Easy VPN 하드웨어클라이언트 ( Easy VPN Remote 라고도함 ) 로작동합니다. 예다음예에서는 Easy VPN Remote 기능을활성화하는방법을보여줍니다. ciscoasa(config)# vpnclient enable ciscoasa(config)# 다음예에서는 Easy VPN Remote 기능을비활성화하는방법을보여줍니다. ciscoasa(config)# no vpnclient enable ciscoasa(config)# 4-52

271 4 장 validate-attribute through vpnsetup 명령 vpnclient ipsec-over-tcp vpnclient ipsec-over-tcp Easy VPN 하드웨어클라이언트로실행되는 ASA 5505 를 TCP 캡슐화된 IPsec 을사용하도록구성하려면전역컨피그레이션모드에서 vpnclient ipsec-over-tcp 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient ipsec-over-tcp [port tcp_port] no vpnclient ipsec-over-tcp 구문설명 port ( 선택사항 ) 특정포트를사용하도록지정합니다. tcp_port (port 키워드를지정한경우필수 ) TCP 캡슐화된 IPsec 터널에사용할 TCP 포 트번호를지정합니다. 기본값명령에서포트번호를지정하지않으면 Easy VPN Remote 연결에서포트 을사용합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이명령은 Easy VPN 하드웨어클라이언트 ( Easy VPN Remote 라고도함 ) 로실행되는 ASA 5505에만적용됩니다. 기본적으로 Easy VPN 클라이언트및서버는 UDP( 사용자데이터그램프로토콜 ) 패킷에서 IPsec을캡슐화합니다. 특정방화벽규칙또는 NAT 및 PAT 장치가있는일부환경에서는 UDP를금지합니다. 이러한환경에서표준 ESP(Encapsulating Security Protocol, Protocol 50) 또는 IKE( 인터넷키교환국, UDP 500) 를사용하려면 TCP 패킷내에서 IPsec을캡슐화하여보안터널링을활성화하도록클라이언트및서버를구성해야합니다. 그러나환경에서 UDP를허용하는경우 IPsec over TCP를구성하면불필요한오버헤드가추가됩니다. TCP 캡슐화된 IPsec을사용하도록 ASA 5505를구성한경우다음명령을입력하여외부인터페이스를통해대용량패킷을전송할수있도록합니다. ciscoasa(config)# crypto ipsec df-bit clear-df outside ciscoasa(config)# 이명령은캡슐화된헤더에서 DF(Don't Fragment) 비트를지웁니다. DF 비트는패킷을조각화할수있는지여부를결정하는 IP 헤더내의비트입니다. 이명령을사용하면 Easy VPN 하드웨어클라이언트가 MTU 크기보다큰패킷을전송할수있습니다. 4-53

272 vpnclient ipsec-over-tcp 4 장 validate-attribute through vpnsetup 명령 예 다음예에서는기본포트 을사용하여 TCP 캡슐화된 IPsec 을사용하도록 Easy VPN 하드웨어클라이언트를구성하고외부인터페이스를통해대용량패킷을전송할수있도록하는방법을보여줍니다. ciscoasa(config)# vpnclient ipsec-over-tcp ciscoasa(config)# crypto ipsec df-bit clear-df outside ciscoasa(config)# 다음예에서는포트 10501을사용하여 TCP 캡슐화된 IPsec을사용하도록 Easy VPN 하드웨어클라이언트를구성하고외부인터페이스를통해대용량패킷을전송할수있도록하는방법을보여줍니다. ciscoasa(config)# vpnclient ipsec-over-tcp port ciscoasa(config)# crypto ipsec df-bit clear-df outside ciscoasa(config)# 4-54

273 4 장 validate-attribute through vpnsetup 명령 vpnclient mac-exempt vpnclient mac-exempt Easy VPN Remote 연결뒤에있는장치를개별사용자인증요구사항에서제외하려면전역컨피그레이션모드에서 vpnclient mac-exempt 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient mac-exempt mac_addr_1 mac_mask_1 [mac_addr_2 mac_mask_2...mac_addr_n mac_mask_n] no vpnclient mac-exempt 구문설명 mac_addr_1 mac_mask_1 개별사용자인증을제외할장치의제조업체및일련번호를지정하는 MAC 주소 ( 점으로구분된 16진수표기법 ) 입니다. 장치가 2대이상인경우공백및각네트워크마스크로구분하여각 MAC 주소를지정합니다. MAC 주소의처음 6자는장치제조업체를식별하고마지막 6자는일련번호입니다. 마지막 24비트는 16진수형식의장치일련번호입니다. 해당 MAC 주소에대한네트워크마스크입니다. 공백을사용하여네트워크마스크와이후의모든 MAC 주소및네트워크마스크쌍을구분할수있습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 5505에만적용됩니다. Cisco IP Phone, 무선액세스포인트및프린터와같은장치에서는인증을수행할수없으므로개별장치인증이활성화된경우인증하지않습니다. 개별사용자인증이활성화된경우이명령을사용하여이러한장치를인증에서제외할수있습니다. 개별사용자인증에서장치를제외하는것을 장치통과 라고도합니다. 이명령에서 MAC 주소및마스크를지정하는형식에는마침표로구분된 16진수 3개가사용됩니다. 예를들어 MAC 마스크 ffff.ffff.ffff는지정한 MAC 주소와일치합니다. 모두 0인 MAC 마스크는일치하는 MAC 주소가없으며, MAC 마스크 ffff.ff 은같은제조업체에서만든모든장치와일치합니다. 4-55

274 vpnclient mac-exempt 4 장 validate-attribute through vpnsetup 명령 참고 헤드엔드장치에서개별사용자인증및사용자우회를구성해야합니다. 예를들어 ASA 가헤드엔드인경우정책그룹에서다음을구성합니다. ciscoasa(config-group-policy)# user-authentication enable ciscoasa(config-group-policy)# ip-phone-bypass enable 예 Cisco IP Phone 은제조업체 ID 가 00036b 이므로다음명령은 Cisco IP Phone 을포함하여향후에추가할수있는모든 Cisco IP Phone 을제외합니다. ciscoasa(config)# vpnclient mac-exempt b ffff.ff ciscoasa(config)# 다음예에서는특정 Cisco IP Phone 하나를제외하므로유연성은떨어지지만보다뛰어난보안을제공합니다. ciscoasa(config)# vpnclient mac-exempt b54.b213 ffff.ffff.ffff ciscoasa(config)# 4-56

275 4 장 validate-attribute through vpnsetup 명령 vpnclient management vpnclient management Easy VPN 하드웨어클라이언트의관리액세스를위한 IPsec 터널을생성하려면전역컨피그레이션모드에서 vpnclient management 명령을사용합니다. vpnclient management tunnel ip_addr_1 ip_mask_1 [ip_addr_2 ip_mask_2...ip_addr_n ip_mask_n] vpnclient management clear 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. 그러면 split-tunnel-policy 및 split-tunnel-network-list 명령에따라관리용으로만 IPsec 터널이설정됩니다. no vpnclient management 구문설명 clear 일반라우팅을사용하여회사네트워크에서 Easy VPN 클라이언트로실행되는 ASA 5505 의외부인터페이스로의관리액세스를제공합니다. 이옵션은관리터널을만들지않습니다. ip_addr ip_mask tunnel 참고 클라이언트와인터넷사이에서 NAT 장치가작동하는경우이옵션을사용합니다. Easy VPN 하드웨어클라이언트에서관리터널을만들호스트또는네트워크의 IP 주소입니다. tunnel 키워드와함께이인수를사용합니다. 공백및각네트워크마스크로구분하여하나이상의 IP 주소를지정합니다. 해당 IP 주소에대한네트워크마스크입니다. 공백을사용하여네트워크마스크와이후의모든 IP 주소및네트워크마스크쌍을구분할수있습니다. 특별히회사네트워크에서 Easy VPN 클라이언트로실행되는 ASA 5505 의외부인터페이스로의관리액세스에대한 IPsec 터널설정을자동화합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 4-57

276 vpnclient management 4 장 validate-attribute through vpnsetup 명령 사용지침 이명령은 Easy VPN 클라이언트 ( Easy VPN Remote 라고도함 ) 로실행되는 ASA 5505 에만적용됩니다. ASA 5505 컨피그레이션에다음명령이포함된것으로가정합니다. vpnclient server - 피어지정 vpnclient mode - 클라이언트모드 (PAT) 또는네트워크확장모드지정다음중하나 : vpnclient vpngroup - Easy VPN 서버인증에사용되는터널그룹및 IKE 사전공유키이름지정 vpnclient trustpoint - 인증에사용할 RSA 인증서를식별하는신뢰지점이름지정 vpnclient enable - ASA 5505 를 Easy VPN 클라이언트로활성화 참고 NAT 장치에서정적 NAT 매핑을추가하지않은경우에는 NAT 장치뒤에있는 ASA 5505 의공용주소에액세스할수없습니다. 참고컨피그레이션에관계없이 DHCP 요청 ( 갱신메시지포함 ) 은 IPsec 터널을통해흐를수없습니다. vpnclient 관리터널에서도 DHCP 트래픽은금지됩니다. 예다음예에서는 ASA 5505 의외부인터페이스에서 IP 주소 / 마스크조합이 인호스트사이의 IPsec 터널을생성하는방법을보여줍니다. ciscoasa(config)# vpnclient management tunnel ciscoasa(config)# 다음예에서는 IPsec을사용하지않고 ASA 5505의외부인터페이스에대한관리액세스를제공하는방법을보여줍니다. ciscoasa(config)# vpnclient management clear ciscoasa(config)# 4-58

277 4 장 validate-attribute through vpnsetup 명령 vpnclient mode vpnclient mode 클라이언트모드또는네트워크확장모드에대한 Easy VPN Remote 연결을구성하려면전역컨피그레이션모드에서 vpnclient mode 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient mode {client-mode network-extension-mode} no vpnclient mode 구문설명 client-mode 클라이언트모드 (PAT) 를사용하도록 Easy VPN Remote 연결을구성합니다. network-extension-mode 네트워크확장모드 (NEM) 를사용하도록 Easy VPN Remote 연결을구성합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이명령은 Easy VPN 클라이언트 ( Easy VPN Remote 라고도함 ) 로실행되는 ASA 5505 에만적용됩니다. Easy VPN 클라이언트는클라이언트모드또는 NEM 을지원합니다. 작동모드에따라엔터프라이즈네트워크에서터널을통해 Easy VPN 클라이언트에상대적인내부호스트에액세스할수있는지여부가결정됩니다. Easy VPN 클라이언트에는기본모드가없기때문에연결을설정하려면먼저작동모드를지정해야합니다. 클라이언트모드에서는 Easy VPN 클라이언트가해당내부호스트에서의모든 VPN 트래픽에대해 PAT( 포트주소변환 ) 를수행합니다. 이모드에서는하드웨어클라이언트 ( 기본 RFC 1918 주소가할당됨 ) 의내부주소또는내부호스트에대한 IP 주소관리가필요없습니다. PAT 때문에엔터프라이즈네트워크에서내부호스트에액세스할수없습니다. NEM 에서는내부네트워크및내부인터페이스의모든노드에엔터프라이즈네트워크를통해라우팅할수있는주소가할당됩니다. 내부호스트에는엔터프라이즈네트워크에서터널을통해액세스할수있습니다. 내부네트워크의호스트에는액세스가능한서브넷에서 IP 주소가할당됩니다 ( 정적으로또는 DHCP 를통해 ). 네트워크확장모드에서는 VPN 트래픽에 PAT 가적용되지않습니다. 4-59

278 vpnclient mode 4 장 validate-attribute through vpnsetup 명령 참고 Easy VPN 하드웨어클라이언트가 NEM 을사용하고보조서버에연결된경우각헤드엔드장치에서 crypto map set reverse-route 명령을사용하여 RRI(Reverse Route Injection) 를통한원격네트워크의동적알림을구성할수있습니다. 예다음예에서는클라이언트모드에대한 Easy VPN Remote 연결을설정하는방법을보여줍니다. ciscoasa(config)# vpnclient mode client-mode ciscoasa(config)# 다음예에서는 NEM에대한 Easy VPN Remote 연결을설정하는방법을보여줍니다. ciscoasa(config)# vpnclient mode network-extension-mode ciscoasa(config)# 4-60

279 4 장 validate-attribute through vpnsetup 명령 vpnclient nem-st-autoconnect vpnclient nem-st-autoconnect NEM 및스플릿터널링이구성된경우 IPsec 데이터터널을자동으로시작하도록 Easy VPN Remote 연결을구성하려면전역컨피그레이션모드에서 vpnclient nem-st-autoconnect 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient nem-st-autoconnect no vpnclient nem-st-autoconnect 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이명령은 Easy VPN 클라이언트 ( Easy VPN Remote 라고도함 ) 로실행되는 ASA 5505에만적용됩니다. vpnclient nem-st-autoconnect 명령을입력하기전에하드웨어클라이언트에대해네트워크확장모드가설정되어있는지확인합니다. 네트워크확장모드에서는하드웨어클라이언트가 VPN 터널을통해원격사설네트워크에라우팅가능한단일네트워크를제공할수있습니다. IPsec은하드웨어클라이언트뒤에있는사설네트워크에서 ASA 뒤에있는네트워크로의모든트래픽을캡슐화합니다. PAT 는적용되지않습니다. 따라서 ASA 뒤에있는장치가터널을통해하드웨어클라이언트뒤에있는사설네트워크의장치에직접액세스하며, 그반대의경우도마찬가지입니다. 하드웨어클라이언트에서터널을시작해야합니다. 터널이가동된후에는한쪽에서데이터교환을시작할수있습니다. 참고 또한네트워크확장모드를활성화하도록 Easy VPN 서버를구성해야합니다. 이렇게하려면 group-policy 컨피그레이션모드에서 nem enable 명령을사용합니다. 네트워크확장모드에서는스플릿터널링이구성된경우를제외하고 IPsec 데이터터널이자동으로시작및유지됩니다. 4-61

280 vpnclient nem-st-autoconnect 4 장 validate-attribute through vpnsetup 명령 예 다음예에서는스플릿터널링이구성된네트워크확장모드에서자동으로연결되도록 Easy VPN Remote 연결을구성하는방법을보여줍니다. 네트워크확장모드는 FirstGroup 그룹정책에대해활성화되어있습니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# nem enable ciscoasa(config)# vpnclient nem-st-autoconnect ciscoasa(config)# 관련명령 명령 설명 nem 하드웨어클라이언트에대한네트워크확장모드를활성화합니다. 4-62

281 4 장 validate-attribute through vpnsetup 명령 vpnclient server-certificate vpnclient server-certificate 인증서맵에지정된특정인증서가있는 Easy VPN 서버에대한연결만허용하도록 Easy VPN Remote 연결을구성하려면전역컨피그레이션모드에서 vpnclient server-certificate 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient server-certificate certmap_name no vpnclient server-certificate 구문설명 certmap_name 허용되는 Easy VPN 서버인증서를지정하는인증서맵의이름을지정합니다. 최대길이는 64 자입니다. 기본값 Easy VPN 서버인증서필터링은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 모델 5505에만적용됩니다. 이명령을사용하여 Easy VPN 서버인증서필터링을활성화할수있습니다. crypto ca certificate map 및 crypto ca certificate chain 명령을사용하여인증서맵자체를정의합니다. 예 다음예에서는인증서맵이름이 homeservers 인 Easy VPN 서버에대한연결만지원하도록 Easy VPN Remote 연결을구성하는방법을보여줍니다. ciscoasa(config)# vpnclient server-certificate homeservers ciscoasa(config)# 관련명령 명령 설명 certificate 지정된인증서를추가합니다. vpnclient trustpoint Easy VPN Remote 연결에서사용할 RSA ID 인증서를구성합니다. 4-63

282 vpnclient server 4 장 validate-attribute through vpnsetup 명령 vpnclient server Easy VPN Remote 연결을위한기본및보조 IPsec 서버를구성하려면전역컨피그레이션모드에서 vpnclient server 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient server ip_primary_address [ip_secondary_address_1... ipsecondary_address_10] no vpnclient server 구문설명 ip_primary_address ip_secondary_address_n 기본 Easy VPN(IPsec) 서버의 IP 주소또는 DNS 이름입니다. 모든 ASA 또는 VPN 3000 Concentrator 시리즈는 Easy VPN 서버역할을할수있습니다. ( 선택사항 ) 최대 10 개의 Easy VPN 백업서버에대한 IP 주소또는 DNS 이름목록입니다. 공백을사용하여목록의항목을구분합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 모델 5505에만적용됩니다. 연결을설정하려면먼저서버를구성해야합니다. vpnclient server 명령은 IPv4 주소, 이름데이터베이스또는 DNS 이름을지원하며, 이순서대로주소를확인합니다. 서버의 IP 주소또는호스트이름을사용할수있습니다. 예 다음예에서는 headend-1 이라는이름을주소 에연결하고 vpnclient server 명령을사용하여 headend-dns.example.com( 기본 ), headend-1( 보조 ) 및 ( 보조 ) 의세서버를지정합니다. ciscoasa(config)# names ciscoasa(config)# headend-1 ciscoasa(config)# vpnclient server headend-dns.example.com headend ciscoasa(config)# 4-64

283 4 장 validate-attribute through vpnsetup 명령 vpnclient server 다음예에서는 IP 주소가 인 VPN 클라이언트기본 IPsec 서버와 IP 주소가 및 인보조서버를구성하는방법을보여줍니다. ciscoasa(config)# vpnclient server ciscoasa(config)# 4-65

284 vpnclient trustpoint 4 장 validate-attribute through vpnsetup 명령 vpnclient trustpoint Easy VPN Remote 연결에서사용할 RSA ID 인증서를구성하려면전역컨피그레이션모드에서 vpnclient trustpoint 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient trustpoint trustpoint_name [chain] no vpnclient trustpoint 구문설명 chain 전체인증서체인을전송합니다. trustpoint_name 인증에사용할 RSA 인증서를식별하는신뢰지점의이름을지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 모델 5505에만적용되며, 디지털인증서를사용할때만적용됩니다. crypto ca trustpoint 명령을사용하여신뢰지점을정의합니다. 신뢰지점은 CA에서발급한인증서에따라 CA ID 및가능한경우장치 ID를나타냅니다. 신뢰지점하위모드내의명령은 ASA가 CA 인증서를가져오는방법, ASA가 CA에서해당인증서를가져오는방법및 CA에서발급한사용자인증서에대한인증정책을지정하는 CA 관련컨피그레이션매개변수를제어합니다. 예 다음예에서는 certificate 이라는특정 ID 인증서를사용하고전체인증서체인을보내도록 Easy VPN Remote 연결을구성하는방법을보여줍니다. ciscoasa(config)# crypto ca trustpoint central ciscoasa(config)# vpnclient trustpoint central chain ciscoasa(config)# 관련명령 명령 crypto ca trustpoint 설명지정된신뢰지점에대한신뢰지점하위모드를시작하고신뢰지점정보를관리합니다. 4-66

285 4 장 validate-attribute through vpnsetup 명령 vpnclient username vpnclient username Easy VPN Remote 연결을위한 VPN 사용자이름및비밀번호를구성하려면전역컨피그레이션모드에서 vpnclient username 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient username xauth_username password xauth password no vpnclient username 구문설명 xauth_password XAUTH에사용할비밀번호를지정합니다. 최대길이는 64자입니다. xauth_username XAUTH에사용할사용자이름을지정합니다. 최대길이는 64자입니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침이명령은 ASA 5505 에만적용됩니다. XAUTH 사용자이름및비밀번호매개변수는보안장치인증이비활성화되고서버에서 XAUTH 자격증명을요청하는경우에사용됩니다. 보안장치인증이활성화된경우에는이러한매개변수가무시되고 ASA 에서사용자에게사용자이름및비밀번호를묻는프롬프트를표시합니다. 예 다음예에서는 XAUTH 사용자이름 testuser 및비밀번호 ppurkm1 을사용하도록 Easy VPN Remote 연결을구성하는방법을보여줍니다. ciscoasa(config)# vpnclient username testuser password ppurkm1 ciscoasa(config)# 4-67

286 vpnclient vpngroup 4 장 validate-attribute through vpnsetup 명령 vpnclient vpngroup Easy VPN Remote 연결을위한 VPN 터널그룹이름및비밀번호를구성하려면전역컨피그레이션모드에서 vpnclient vpngroup 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. vpnclient vpngroup group_name password preshared_key no vpnclient vpngroup 구문설명 group_name preshared_key Easy VPN 서버에구성된 VPN 터널그룹의이름을지정합니다. 최대길이는 64 자이고, 공백은허용되지않습니다. Easy VPN 서버에서인증에사용되는 IKE 사전공유키입니다. 최대길이는 128 자입니다. 기본값 Easy VPN 클라이언트로실행되는 ASA 5505 의컨피그레이션에서터널그룹을지정하지않은경우에는클라이언트에서 RSA 인증서를사용합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이명령은 Easy VPN 클라이언트 ( Easy VPN Remote 라고도함 ) 로실행되는 ASA 5505에만적용됩니다. 사전공유키를비밀번호로사용합니다. 연결을설정하려면먼저서버를구성해야합니다. 예 다음예에서는그룹이름이 TestGroup1 이고비밀번호가 my_key123 인 VPN 터널그룹으로 Easy VPN Remote 연결을구성하는방법을보여줍니다. ciscoasa(config)# vpnclient vpngroup TestGroup1 password my_key123 ciscoasa(config)# 관련명령 명령 설명 vpnclient trustpoint Easy VPN 연결에서사용할 RSA ID 인증서를구성합니다. 4-68

287 4 장 validate-attribute through vpnsetup 명령 vpnsetup vpnsetup ASA에서 VPN 연결을구성하기위한단계목록을표시하려면전역컨피그레이션모드에서 vpnsetup 명령을사용합니다. vpnsetup {ipsec-remote-access l2tp-remote-access site-to-site ssl-remote-access} steps 구문설명 ipsec-remote-access IPsec 연결을허용하도록 ASA를구성하는단계를표시합니다. l2tp-remote-access L2TP 연결을허용하도록 ASA를구성하는단계를표시합니다. site-to-site LAN-to-LAN 연결을허용하도록 ASA를구성하는단계를표시합니다. ssl-remote-access SSL 연결을허용하도록 ASA를구성하는단계를표시합니다. steps 연결유형에대한단계를표시하도록지정합니다. 기본값이명령에는기본설정이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 릴리스 수정사항 8.0(3) 이명령이도입되었습니다. 9.0(1) Site-to-Site 연결에대한다중상황모드지원이추가되었습니다. 예다음예에서는 vpnsetup ssl-remote-access steps 명령의출력을보여줍니다. ciscoasa(config-t)# vpnsetup ssl-remote-access steps Steps to configure a remote access SSL VPN remote access connection and AnyConnect with examples: 1. Configure and enable interface interface GigabitEthernet0/0 ip address nameif outside no shutdown interface GigabitEthernet0/1 ip address nameif inside no shutdown 4-69

288 vpnsetup 4 장 validate-attribute through vpnsetup 명령 2. Enable WebVPN on the interface webvpn enable outside 3. Configure default route route outside Configure AAA authentication and tunnel group tunnel-group DefaultWEBVPNGroup type remote-access tunnel-group DefaultWEBVPNGroup general-attributes authentication-server-group LOCAL 5. If using LOCAL database, add users to the Database username test password t3stp@ssw0rd username test attributes service-type remote-access Proceed to configure AnyConnect VPN client: 6. Point the ASA to an AnyConnect image webvpn svc image anyconnect-win k9.pkg 7. enable AnyConnect svc enable 8. Add an address pool to assign an ip address to the AnyConnect client ip local pool client-pool mask Configure group policy group-policy DfltGrpPolicy internal group-policy DfltGrpPolicy attributes vpn-tunnel-protocol svc webvpn ciscoasa(config-t)# 관련명령 명령 설명 show running-config ASA의실행중인컨피그레이션을표시합니다. 4-70

289 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 5-1

290 wccp 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 wccp 서비스그룹에참여하기위해공간을할당하고지정된 WCCP(Web Cache Communication Protocol) 서비스의지원을활성화하려면전역컨피그레이션모드에서 wccp 명령을사용합니다. 서비스그룹을비활성화하고공간할당을취소하려면이명령의 no 형식을사용합니다. wccp {web-cache service-number} [redirect-list access-list] [group-list access-list] [password password] no wccp {web-cache service-number} [redirect-list access-list] [group-list access-list] [password password [0 7]] 구문설명 access-list 액세스목록의이름을지정합니다. group-list ( 선택사항 ) 서비스그룹에참여할수있는웹캐시를결정하는액세스목록입니다. access-list 인수는액세스목록을지정하는 64자이내의문자열 ( 이름또는숫자 ) 로구성되어야합니다. password ( 선택사항 ) 서비스그룹에서수신된메시지에대한 MD5(Message Digest 5) 인증을지정합니다. 인증에서허용되지않은메시지는삭제됩니다. password 인증에사용할비밀번호를지정합니다. password 인수는최대 7자일수있습니다. redirect-list ( 선택사항 ) 이서비스그룹으로리디렉션되는트래픽을제어하는액세스목록과함께사용됩니다. access-list 인수는액세스목록을지정하는 64자이내의문자열 ( 이름또는숫자 ) 로구성되어야합니다. 액세스목록은네트워크주소만포함해야합니다. 포트관련항목은지원되지않습니다. service-number 서비스정의가캐시에의해지정됨을의미하는동적서비스식별자입니다. 동적서비스번호는 0~254이며, 최대 255개일수있습니다. web-cache 키워드로지정된웹캐시서비스를포함하여허용되는최대개수를 256개로지정할수도있습니다. web-cache 웹캐시서비스를지정합니다. 참고 웹캐시는하나의서비스로계산됩니다. service-number 인수로할당된서비스를포함하여최대서비스수는 256 개입니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 5-2

291 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 wccp 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예다음예에서는서비스그룹에참여할수있도록 WCCP 를활성화하는방법을보여줍니다. ciscoasa(config)# wccp web-cache redirect-list jeeves group-list wooster password whatho 관련명령 명령 설명 show wccp WCCP 컨피그레이션을표시합니다. wccp redirect WCCP 리디렉션지원을활성화합니다. 5-3

292 wccp redirect 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 wccp redirect WCCP(Web Cache Communication Protocol) 를사용하여인터페이스의이그레스에서패킷리디렉션을활성화하려면 wccp redirect 명령을사용합니다. WCCP 리디렉션을비활성화하려면이명령의 no 형식을사용합니다. wccp interface interface_name service redirect in no wccp interface interface_name service redirect in 구문설명 in 이인터페이스로패킷이들어올때의리디렉션을지정합니다. interface_name 패킷을리디렉션해야하는인터페이스의이름입니다. service 서비스그룹을지정합니다. web-cache 키워드를지정하거나, 서비스의 식별번호 (0~99) 를지정할수있습니다. 기본값이명령은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예 다음예에서는웹캐시서비스의내부인터페이스에서 WCCP 리디렉션을활성화하는방법을보여줍니다. ciscoasa(config)# wccp interface inside web-cache redirect in 관련명령 명령 설명 show wccp WCCP 컨피그레이션을표시합니다. wccp 서비스그룹에대한 WCCP 지원을활성화합니다. 5-4

293 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 web-agent-url web-agent-url ASA에서 SiteMinder 유형 SSO 인증을요청할 SSO 서버 URL을지정하려면 config-webvpn-sso-siteminder 모드에서 web-agent-url 명령을사용합니다. SSO 서버인증 URL을제거하려면이명령의 no 형식을사용합니다. web-agent-url url no web-agent-url url 참고이명령은 SiteMinder 유형 SSO 인증에필요합니다. 구문설명 url SiteMinder 유형 SSO 서버의인증 URL 을지정합니다. 또는 를포함해야합니다. 기본값기본적으로인증 URL 은구성되지않습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 config-webvpn-sso-siteminder 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 사용지침 SSO(WebVPN에만제공 ) 지원을통해사용자가사용자이름및비밀번호를단한번만입력하여여러서버에서다양한보안서비스에액세스할수있습니다. SSO 서버는인증요청을처리하는 URL 이있습니다. 이명령은 SiteMinder 유형 SSO 서버에만적용됩니다. web-agent-url 명령을사용하여이 URL로인증을보내도록 ASA를구성할수있습니다. 인증 URL 을구성하기전에 sso-server 명령을사용하여 SSO 서버를만들어야합니다. 보안어플라이언스와 SSO 서버간의 https 통신에서는 SSL 암호화설정이양쪽에서일치하는지확인합니다. 보안어플라이언스에서는 ssl encryption 명령을사용하여이를확인합니다. 5-5

294 web-agent-url 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 예 config-webvpn-sso-siteminder 모드에서입력된다음예에서는인증 URL 을 으로지정합니다. ciscoasa(config-webvpn)# sso-server example type siteminder ciscoasa(config-webvpn-sso-siteminder)# web-agent-url ciscoasa(config-webvpn-sso-siteminder)# 관련명령 명령 설명 max-retry-attempts ASA에서 SSO 인증을재시도할수있는횟수를구성합니다. policy-server-secret SiteMinder-type SSO 서버에대한인증요청을암호화하는데사용되는비밀키를생성합니다. request-timeout 시간초과로인해 SSO 인증시도가실패하는시간 ( 초 ) 을지정합니다. show webvpn sso-server 보안장치에구성된모든 SSO 서버에대한운영통계를표시합니다. ssl encryption SSL/TLS 프로토콜에서사용하는암호화알고리즘을지정합니다. sso-server SSO(Single Sign On) 서버를만듭니다. 5-6

295 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 web-applications web-applications 인증된 WebVPN 사용자에게표시되는 WebVPN 홈페이지의 Web Application( 웹애플리케이션 ) 상자를사용자지정하려면 webvpn customization 모드에서 web-applications 명령을사용합니다. web-applications {title message dropdown} {text style} value [no] web-applications {title message dropdown} {text style} value 컨피그레이션에서명령을제거하고값이상속되도록하려면이명령의 no 형식을사용합니다. 구문설명 title 제목을변경하도록지정합니다. message 제목아래에표시되는메시지를변경하도록지정합니다. dropdown 드롭다운상자를변경하도록지정합니다. text 텍스트를변경하도록지정합니다. style HTML 스타일을변경하도록지정합니다. value 표시할실제텍스트 ( 최대 256자 ) 또는 CSS(Cascading Style Sheet) 매개변 수 ( 최대 256자 ) 입니다. 기본값기본제목텍스트는 Web Application 입니다. 기본제목스타일은 background-color:#99cccc;color:black;font-weight:bold;text-transform: uppercase입니다. 기본메시지텍스트는 Enter Web Address (URL) 입니다. 기본메시지스타일은 background-color:#99cccc;color:maroon;font-size:smaller입니다. 기본드롭다운텍스트는 Web Bookmarks 입니다. 기본드롭다운스타일은 border:1px solid black;font-weight:bold;color:black;font-size:80% 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 webvpn customization 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 5-7

296 web-applications 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 사용지침 style 옵션은유효한모든 CSS(Cascading Style Sheet) 매개변수로표현됩니다. 이러한매개변수에대한설명은이문서의범위를벗어납니다. CSS 매개변수에대한자세한내용은 W3C(World Wide Web Consortium) 웹사이트 ( 에서 CSS 사양을참조하십시오. CSS 2.1 사양의부록 F( 에는 CSS 매개변수목록이포함되어있습니다. 다음은 WebVPN 페이지에서수행할수있는가장일반적인변경 ( 페이지색상변경 ) 작업에대한몇가지팁입니다. 쉼표로구분된 RGB 값, HTML 색상값또는색상이름 (HTML 에서인식되는경우 ) 을사용할수있습니다. RGB 형식은 0,0,0 이며, 각색상 ( 빨간색, 녹색, 파란색 ) 의십진수범위는 0~255 입니다. 여기서쉼표로구분된항목은다른색상과조합할각색상의강도를나타냅니다. HTML 형식은 16 진수형식의 6 자리숫자인 # 입니다. 여기서첫번째와두번째는빨간색, 세번째와네번째는녹색, 다섯번째와여섯번째는파란색을나타냅니다. 참고 WebVPN 페이지를쉽게사용자지정하려면색상견본및미리보기기능등스타일요소컨피그레이션에대한편리한기능이있는 ASDM 을사용하는것이좋습니다. 예다음예에서는제목을 Applications 로변경하고텍스트색상으로파란색으로변경합니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# web-applications title text Applications ciscoasa(config-webvpn-custom)# web-applications title style color:blue 관련명령 명령 설명 application-access WebVPN 홈페이지의 Application Access( 애플리케이션액세스 ) 상자를사용자지정합니다. browse-networks WebVPN 홈페이지의 Browse Networks( 네트워크찾아보기 ) 상자를사용자지정합니다. web-bookmarks WebVPN 홈페이지에서 Web Bookmarks( 웹책갈피 ) 제목또는링크를사용자지정합니다. file-bookmarks WebVPN 홈페이지에서 Web Bookmarks( 파일책갈피 ) 제목또는링크를사용자지정합니다. 5-8

297 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 web-bookmarks web-bookmarks 인증된 WebVPN 사용자에게표시되는 WebVPN 홈페이지의 Web Bookmarks( 웹책갈피 ) 제목또는링크를사용자지정하려면 webvpn customization 모드에서 web-bookmarks 명령을사용합니다. web-bookmarks {link {style value} title {style value text value}} [no] web-bookmarks {link {style value} title {style value text value}} 컨피그레이션에서명령을제거하고값이상속되도록하려면이명령의 no 형식을사용합니다. 구문설명 link 링크를변경하도록지정합니다. title 제목을변경하도록지정합니다. style HTML 스타일을변경하도록지정합니다. text 텍스트를변경하도록지정합니다. value 표시할실제텍스트 ( 최대 256자 ) 또는 CSS(Cascading Style Sheet) 매개변 수 ( 최대 256자 ) 입니다. 기본값기본링크스타일은 color:#669999;border-bottom: 1px solid #669999;text-decoration:none입니다. 기본제목스타일은 color:#669999;background-color:#99cccc;font-weight:bold입니다. 기본제목텍스트는 Web Bookmarks 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 webvpn customization 예 예 릴리스 수정사항 7.1(1) 이명령이도입되었습니다. 사용지침 style 옵션은유효한모든 CSS(Cascading Style Sheet) 매개변수로표현됩니다. 이러한매개변수에대한설명은이문서의범위를벗어납니다. CSS 매개변수에대한자세한내용은 W3C(World Wide Web Consortium) 웹사이트 ( 에서 CSS 사양을참조하십시오. CSS 2.1 사양의부록 F( 에는 CSS 매개변수목록이포함되어있습니다. 5-9

298 web-bookmarks 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 다음은 WebVPN 페이지에서수행할수있는가장일반적인변경 ( 페이지색상변경 ) 작업에대한몇가지팁입니다. 쉼표로구분된 RGB 값, HTML 색상값또는색상이름 (HTML 에서인식되는경우 ) 을사용할수있습니다. RGB 형식은 0,0,0 이며, 각색상 ( 빨간색, 녹색, 파란색 ) 의십진수범위는 0~255 입니다. 여기서쉼표로구분된항목은다른색상과조합할각색상의강도를나타냅니다. HTML 형식은 16 진수형식의 6 자리숫자인 # 입니다. 여기서첫번째와두번째는빨간색, 세번째와네번째는녹색, 다섯번째와여섯번째는파란색을나타냅니다. 참고 WebVPN 페이지를쉽게사용자지정하려면색상견본및미리보기기능등스타일요소컨피그레이션에대한편리한기능이있는 ASDM 을사용하는것이좋습니다. 예 다음예에서는 Web Bookmarks( 웹책갈피 ) 제목을 Corporate Web Bookmarks 로사용자지정합니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# web-bookmarks title text Corporate Web Bookmarks 관련명령 명령 설명 application-access WebVPN 홈페이지의 Application Access( 애플리케이션액세스 ) 상자를사용자지정합니다. browse-networks WebVPN 홈페이지의 Browse Networks( 네트워크찾아보기 ) 상자를사용자지정합니다. file-bookmarks WebVPN 홈페이지에서 Web Bookmarks( 파일책갈피 ) 제목또는링크를사용자지정합니다. web-applications WebVPN 홈페이지의 Web Application( 웹애플리케이션 ) 상자를사용자지정합니다. 5-10

299 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 webvpn webvpn webvpn 모드를시작하려면전역컨피그레이션모드에서 webvpn 명령을입력합니다. 이명령과함께입력된모든명령을제거하려면 no webvpn 명령을사용합니다. 이러한 webvpn 명령은모든 WebVPN 사용자에게적용됩니다. 이러한 webvpn 명령을통해 AAA 서버, 기본그룹정책, 기본유휴시간제한, http 및 https 프록시, WebVPN용 NBNS 서버, 엔드유저에게표시되는 WebVPN 화면의모양등을구성할수있습니다. webvpn no webvpn 구문설명이명령에는인수또는키워드가없습니다. 기본값 WebVPN 은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 이 WebVPN 모드에서는 WebVPN 에대한전역설정을구성할수있습니다. group-policy 모드또는 username 모드에서시작된 WebVPN 모드에서는특정사용자또는그룹정책에대한 WebVPN 컨피그레이션을사용자지정할수있습니다. ASA 클라이언트리스 SSL VPN 컨피그레이션에서는각각하나의 http-proxy 및하나의 https-proxy 명령만지원합니다. 참고 WebVPN 이작동하려면브라우저캐싱을활성화해야합니다. 예다음예에서는 WebVPN 를시작하는방법을보여줍니다. ciscoasa(config)# webvpn ciscoasa(config-webvpn)# 5-11

300 webvpn(group-policy 및 username 모드 ) 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 webvpn(group-policy 및 username 모드 ) 이 webvpn 모드를시작하려면 group-policy 컨피그레이션모드또는 username 컨피그레이션모드에서 webvpn 명령을사용합니다. webvpn 모드에서입력된모든명령을제거하려면이명령의 no 형식을사용합니다. 이러한 webvpn 명령은이를구성한사용자이름또는그룹정책에적용됩니다. 그룹정책및사용자이름에대한 Webvpn 명령은 WebVPN을통한파일, MAPI 프록시, URL 및 TCP 애플리케이션액세스를정의합니다. 또한 ACL 및필터링할트래픽유형을식별합니다. webvpn no webvpn 구문설명이명령에는인수또는키워드가없습니다. 기본값 WebVPN 은기본적으로비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 username 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 전역컨피그레이션모드에서시작된 Webvpn 모드에서는 WebVPN에대한전역설정을구성할수있습니다. group-policy attributes 컨피그레이션모드또는 username attributes 컨피그레이션모드의 webvpn 명령은 webvpn 명령에지정된설정을상위명령에지정된그룹또는사용자에게적용합니다. 즉, 이섹션에설명되고 group-policy 또는 username 모드에서시작된 webvpn 모드에서는특정사용자그룹정책에대한 WebVPN 컨피그레이션을사용자지정할수있습니다. group-policy attributes 모드에서특정그룹정책에적용한 webvpn 특성은기본그룹정책에지정된특성을재정의합니다. username attributes 모드에서특정사용자에게적용한 WebVPN 특성은기본그룹정책및해당사용자가속한그룹정책에지정된특성을모두재정의합니다. 기본적으로이러한명령을사용하면기본그룹또는지정된그룹정책에서상속되는설정을조정할수있습니다. WebVPN 설정에대한자세한내용은전역컨피그레이션모드의 webvpn 명령에대한설명을참고하십시오. 5-12

301 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 webvpn(group-policy 및 username 모드 ) 다음표에는 webvpn group-policy attributes 및 username attributes 모드에서구성할수있는특성이나와있습니다. 자세한내용은개별명령설명을참고하십시오. 특성 설명 auto-signon WebVPN 사용자에대한 SSO(Single Sign On) 방법을제공하여 WebVPN 사용자로그인자격증명을내부서버로자동으로전달 하도록 ASA를구성합니다. customization 적용할미리구성된 WebVPN 사용자지정항목을지정합니다. deny-message 액세스가거부된경우사용자에게표시할메시지를지정합니다. filter WebVPN 연결에사용할액세스목록을식별합니다. functions 파일액세스및파일검색, MAPI 프록시, WebVPN을통한 URL 입력을구성합니다. homepage WebVPN 사용자가로그인할때표시되는웹페이지의 URL을설 정합니다. html-content-filter WebVPN 세션에대해필터링할 Java, ActiveX, 이미지, 스크립트 및쿠키를식별합니다. http-comp 사용할 HTTP 압축알고리즘을지정합니다. keep-alive-ignore 세션업데이트시무시할최대개체크기를지정합니다. port-forward WebVPN 애플리케이션액세스를활성화합니다. port-forward-name 엔드유저에대한 TCP 포트전달을식별하는표시이름을구성합 니다. sso-server SSO 서버이름을구성합니다. svc SSL VPN 클라이언트특성을구성합니다. url-list 사용자가 WebVPN을통해액세스할수있는서버및 URL 목록을 식별합니다. 예다음예에서는 "FirstGroup" 이라는그룹정책에대한 webvpn 모드를시작하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-webvpn)# 다음예에서는 "test" 라는사용자이름에대한 webvpn 모드를시작하는방법을보여줍니다. ciscoasa(config)# group-policy test attributes ciscoasa(config-username)# webvpn ciscoasa(config-webvpn)# 관련명령 clear configure group-policy group-policy attributes show running-config group-policy webvpn 특정그룹정책또는모든그룹정책에대한컨피그레이션을제거합니다. 지정된그룹정책에대한특성및값을구성하거나, webvpn 모드를시작하여그룹에대한 webvpn 특성을구성할수있는 config-group-policy 모드를시작합니다. 특정그룹정책또는모든그룹정책에대한실행중인컨피그레이션을표시합니다. 지정된그룹에대한 WebVPN 특성을구성할수있는 config-group-webvpn 모드를시작합니다. 5-13

302 whitelist 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 whitelist Cloud Web Security 의경우트래픽의클래스에대한허용목록작업을수행하려면클래스컨피그레이션모드에서 whitelist 명령을사용합니다. 먼저 policy-map type inspect scansafe 명령을입력한다음 parameters 명령을입력하여클래스컨피그레이션모드에액세스할수있습니다. 허용목록을비활성화하려면이명령의 no 형식을사용합니다. whitelist no whitelist 구문설명이명령에는인수또는키워드가없습니다. 명령기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 클래스컨피그레이션 예 예 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 사용지침 class-map type inspect scansafe 명령을사용하여허용목록에추가할트래픽을식별합니다. policy-map type inspect scansafe 명령에서검사클래스맵을사용하고해당클래스에대해 whitelist 작업을지정합니다. inspect scansafe 명령에서검사정책맵을호출합니다. 예 다음예에서는 HTTP 및 HTTPS 검사정책맵에대해동일한사용자및그룹을허용목록에추가합니다. ciscoasa(config)# class-map type inspect scansafe match-any whitelist1 ciscoasa(config-cmap)# match user user1 group cisco ciscoasa(config-cmap)# match user user2 ciscoasa(config-cmap)# match group group1 ciscoasa(config-cmap)# match user user3 group group3 ciscoasa(config)# policy-map type inspect scansafe cws_inspect_pmap1 ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# http ciscoasa(config-pmap-p)# default group default_group ciscoasa(config-pmap-p)# class whitelist1 ciscoasa(config-pmap-c)# whitelist 5-14

303 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 whitelist ciscoasa(config)# policy-map type inspect scansafe cws_inspect_pmap2 ciscoasa(config-pmap)# parameters ciscoasa(config-pmap-p)# https ciscoasa (config pmap P) # default-information group2 default_group2 ciscoasa(config-pmap-p)# class whitelist1 ciscoasa(config-pmap-c)# whitelist 관련명령 명령 설명 class-map type inspect 허용목록의사용자및그룹에대한검사클래스맵을만듭니다. scansafe default user group ASA에서 ASA에연결하는사용자의 ID를확인할수없는경우기본사용자이름및 / 또는그룹을지정합니다. http[s]( 매개변수 ) 검사정책맵의서비스유형 (HTTP 또는 HTTPS) 을지정합니다. inspect scansafe 클래스의트래픽에대한 Cloud Web Security 검사를활성화합니다. license 요청을보낸조직을나타내기위해 ASA에서 Cloud Web Security 프록시서버로보내는인증키를구성합니다. match user group 사용자또는그룹이허용목록과일치하는지확인합니다. policy-map type inspect scansafe 규칙의필수매개변수를구성하고선택적으로허용목록을식별할수있도록검사정책맵을만듭니다. retry-count ASA에서 Cloud Web Security 프록시서버를폴링하여해당가용성을확인하기전에대기할시간인재시도카운터값을입력합니다. scansafe 다중상황모드에서상황별로 Cloud Web Security를허용합니다. scansafe 일반 Cloud Web Security 서버옵션을구성합니다. general-options server {primary backup} 기본또는백업 Cloud Web Security 프록시서버의 FQDN( 정규화된도메인이름 ) 또는 IP 주소를구성합니다. show conn scansafe 대문자 Z 플래그를지정하여모든 Cloud Web Security 연결을표시합니다. show scansafe server 현재활성서버인지, 백업서버인지또는연결할수없는지와같은서버의상태를표시합니다. show scansafe 총 HTTP 연결수와현재 HTTP 연결수를표시합니다. statistics user-identity monitor AD 에이전트에서지정된사용자또는그룹정보를다운로드합니다. 5-15

304 who 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 who ASA 의활성텔넷관리세션을표시하려면특권 EXEC 모드에서 who 명령을사용합니다. who [local_ip] 구문설명 local_ip ( 선택사항 ) 하나의내부 IP 주소또는네트워크주소 (IPv4 또는 IPv6) 로목록을제한하려면지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 who 명령을사용하면현재 ASA 에로그인된각텔넷클라이언트의 TTY_ID 및 IP 주소를표시할수있습니다. 예 다음예에서는클라이언트가텔넷세션을통해 ASA 에로그인한경우 who 명령의출력을표시합니다. ciscoasa# who 0: ciscoasa# who : ciscoasa# 관련명령 명령 설명 kill Telnet 세션을종료합니다. telnet 텔넷액세스를 ASA 콘솔에추가하고유휴시간제한을설정합니다. 5-16

305 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 window-variation window-variation 윈도우크기변형과의연결을끊으려면 tcp-map 컨피그레이션모드에서 window-variation 명령을사용합니다. 이사양을제거하려면이명령의 no 형식을사용합니다. window variation {allow-connection drop-connection} no window variation {allow-connection drop-connection} 구문설명 allow-connection 연결을허용합니다. drop-connection 연결을끊습니다. 기본값기본동작은연결을허용하는것입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 tcp-map 컨피그레이션 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 tcp map 명령은 MPF(Modular Policy Framework) 인프라와함께사용됩니다. class-map 명령을사용하여트래픽의클래스를정의하고, tcp-map 명령을사용하여 TCP 검사를사용자지정합니다. 새 TCP 맵은 policy-map 명령을사용하여적용합니다. TCP 검사는 service-policy 명령을사용하여활성화합니다. tcp-map 명령을사용하여 tcp-map 컨피그레이션모드를시작할수있습니다. tcp-map 컨피그레이션모드에서 window-variation 명령을사용하여윈도우크기가축소된모든연결을끊을수있습니다. 윈도우크기메커니즘은 TCP에서지나치게많은데이터를허용하지않고도큰윈도우를보급하고이후에훨씬작은윈도우를보급할수있도록합니다. TCP 사양에서는 윈도우축소 가권장되지않습니다. 이조건이감지되면연결이끊어질수있습니다. 5-17

306 window-variation 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 예다음예에서는윈도우크기가다양한모든연결을끊는방법을보여줍니다. ciscoasa(config)# access-list TCP extended permit tcp any any ciscoasa(config)# tcp-map tmap ciscoasa(config-tcp-map)# window-variation drop-connection ciscoasa(config)# class-map cmap ciscoasa(config-cmap)# match access-list TCP ciscoasa(config)# policy-map pmap ciscoasa(config-pmap)# class cmap ciscoasa(config-pmap)# set connection advanced-options tmap ciscoasa(config)# service-policy pmap global 관련명령 명령 설명 class 트래픽분류에사용할클래스맵을지정합니다. policy-map 정책, 즉트래픽클래스와하나이상의작업연계를구성합니다. set connection 연결값을구성합니다. tcp-map TCP 맵을만들고 tcp-map 컨피그레이션모드에대한액세스를허용합니다. 5-18

307 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 wins-server wins-server 기본및보조 WINS 서버의 IP 주소를설정하려면 group-policy 컨피그레이션모드에서 wins-server 명령을사용합니다. 실행중인컨피그레이션에서특성을제거하려면이명령의 no 형식을사용합니다. 이옵션을사용하면다른그룹정책에서 WINS 서버를상속하도록허용됩니다. 서버를상속하지못하도록하려면 wins-server none 명령을사용합니다. wins-server value {ip_address} [ip_address] none no wins-server 구문설명 none wins-server를 null 값으로설정하여 WINS 서버를허용하지않습니다. 기본또는지정된그룹정책에서값을상속하지못하도록합니다. value ip_address 기본및보조 WINS 서버의 IP 주소를설정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 group-policy 컨피그레이션 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 wins-server 명령을입력할때마다기존설정을덮어씁니다. 예를들어 WINS 서버 x.x.x.x 를구성한후 WINS 서버 y.y.y.y 를구성하는경우두번째명령이첫번째명령을덮어쓰고, y.y.y.y 가유일한 WINS 서버가됩니다. 서버가여러개라도마찬가지입니다. 이전에구성한서버를덮어쓰지않고 WINS 서버를추가하려면이명령을입력할때모든 WINS 서버의 IP 주소를포함하십시오. 예 다음예에서는 FirstGroup 이라는그룹정책에대해 IP 주소가 , 및 인 WINS 서버를구성하는방법을보여줍니다. ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# wins-server value

308 without-csd 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 without-csd group-urls 테이블의항목중하나를입력하여 VPN 세션을설정한경우연결프로파일단위로실행중인 Cisco Secure Desktop 에서특정사용자를제외하려면 tunnel webvpn 컨피그레이션모드에서 without-csd 명령을사용합니다. 이명령을컨피그레이션에서제거하려면이명령의 no 형식을사용합니다. ciscoasa(config-tunnel-webvpn)# without-csd ciscoasa(config-tunnel-webvpn)# 구문설명 anyconnect ( 선택사항 ) AnyConnect 연결에만영향을주도록명령을변경합니다. 기본값 기본값은없습니다. 이 ASA 의컨피그레이션에 csd enable 명령이포함된경우기본동작은각엔드포인트에서 Cisco Secure Desktop 을실행하는것입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 tunnel webvpn 컨피그레이션 예 예 릴리스 수정사항 8.2(1) 이명령이도입되었습니다. 사용지침 이명령은사용자가이연결프로파일 (CLI 에서는터널그룹이라고함 ) 에구성된 url-group 목록에 URL 을입력한경우 Cisco Secure Desktop 이엔드포인트에서실행되지못하도록합니다. 이명령을입력하면이러한세션에대한엔드포인트조건감지가방지되므로 DAP( 동적액세스정책 ) 컨피그레이션을조정해야할수있습니다. 예 다음예의첫번째명령은 example.com 이 ASA 의도메인이고 no-csd 가 URL 의고유한부분인 group-url 을만듭니다. 사용자가이 URL 을입력하면 ASA 에서세션에이연결프로파일을할당합니다. without-csd 명령을적용하려면 group-url 명령이필요합니다. without-csd 명령은실행중인 Cisco Secure Desktop 에서사용자를제외합니다. ciscoasa(config-tunnel-webvpn)# group-url enable ciscoasa(config-tunnel-webvpn)# without-csd ciscoasa(config-tunnel-webvpn)# 5-20

309 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 without-csd 관련명령 명령 설명 csd enable without-csd 명령이없는모든연결프로파일에대해 Cisco Secure Desktop을활성화합니다. csd image 명령에이름이지정된 Cisco Secure Desktop 이미지를경로에지정된플래시드라이브에서실행중인컨피그레이션과으로복사합니다. group-url 이연결프로파일에고유한 group-url을만듭니다. 5-21

310 write erase 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write erase 시작컨피그레이션을지우려면특권 EXEC 모드에서 write erase 명령을사용합니다. 실행중인컨피그레이션은그대로유지됩니다. write erase 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 이명령은내에서지원되지않습니다. 상황시작컨피그레이션은시스템컨피그레이션에서 config-url 명령으로식별됩니다. 상황컨피그레이션을삭제하려면원격서버 ( 지정된경우 ) 에서파일을수동으로제거하거나, 시스템실행공간에서 delete 명령을사용하여플래시메모리에서파일을지우면됩니다. ASAv의경우이명령은다시로드후배포컨피그레이션을복원합니다. 컨피그레이션을완전히지우려면 clear configure all 명령을사용합니다. ASAv의경우 write erase 명령은 reload 후배포컨피그레이션을복원합니다. 참고 ASAv 는현재실행중인이미지를부팅하므로원래부트이미지로되돌아가지않습니다. 다시로드하기전에컨피그레이션을저장하지마십시오. 장애조치쌍의 ASAv 에서는먼저대기장치의전원을끕니다. 대기장치가활성화되는것을방지하려면전원을꺼야합니다. 그대로두면활성장치컨피그레이션을지운경우대기장치가활성화됩니다. 이전활성장치를다시로드하고장애조치링크를통해다시연결한경우이전컨피그레이션이새활성장치에서동기화되어원하는배포컨피그레이션이삭제됩니다. 활성장치를다시로드한후대기장치의전원을켤수있습니다. 그러면배포컨피그레이션이대기장치에동기화됩니다. 5-22

311 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write erase 예다음예에서는시작컨피그레이션을지웁니다. ciscoasa# write erase Erase configuration in flash memory? [confirm] y 관련명령 명령 설명 configure net 지정된 TFTP URL의컨피그레이션파일을실행중인컨피그레이션과과병합합니다. delete 플래시메모리에서파일을제거합니다. show running-config 실행중인컨피그레이션을표시합니다. write memory 실행중인컨피그레이션을시작컨피그레이션에저장합니다. 5-23

312 write memory 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write memory 실행중인컨피그레이션을시작컨피그레이션에저장하려면특권 EXEC 모드에서 write memory 명령을사용합니다. write memory [all [/noconfirm]] 구문설명 /noconfirm all 키워드를사용한경우확인프롬프트를제거합니다. all 다중상황모드의시스템실행공간에서이키워드는모든상황컨피그레 이션및시스템컨피그레이션을저장합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.2(1) 이제 all 키워드를사용하여모든상황컨피그레이션을저장할수있습니다. 사용지침 실행중인컨피그레이션은커맨드라인에서적용한모든변경사항을포함하여메모리에서현재실행되고있는컨피그레이션입니다. 변경사항은시작구성 ( 시작시실행중인메모리로로드되는구성 ) 에저장한경우재부팅간에만유지됩니다. boot config 명령을사용하여단일상황모드에대한시작컨피그레이션위치및다중상황모드의시스템에대한시작컨피그레이션위치를기본위치 ( 숨겨진파일 ) 에서선택한위치로변경할수있습니다. 다중상황모드의경우상황시작컨피그레이션은시스템컨피그레이션에서 config-url 명령으로지정한위치에있습니다. 다중상황모드에서는각상황에서 write memory 명령을입력하여현재상황컨피그레이션을저장할수있습니다. 모든상황컨피그레이션을저장하려면시스템실행공간에서 write memory all 명령을입력합니다. 상황시작컨피그레이션은외부서버에상주할수있습니다. 이경우 ASA는컨피그레이션을서버로다시저장할수없는 HTTP 및 HTTPS URL을제외하고는 config-url 명령으로지정된서버로컨피그레이션을다시저장합니다. write memory all 명령을통해 ASA가각상황을저장한후에는다음과같은메시지가표시됩니다. Saving context b... ( 1/3 contexts saved ) 5-24

313 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write memory 오류로인해상황이저장되지않는경우가있습니다. 오류에대한다음정보를참고하십시오. 메모리부족으로인해저장되지않는상황의경우다음메시지가표시됩니다. The context 'context a' could not be saved due to Unavailability of resources 원격대상에연결할수없어저장되지않는상황의경우다음메시지가표시됩니다. The context 'context a' could not be saved due to non-reachability of destination 잠겨있어저장되지않는상황의경우다음메시지가표시됩니다. Unable to save the configuration for the following contexts as these contexts are locked. context a, context x, context z. 상황은다른사용자가컨피그레이션을이미저장하고있거나상황을삭제하는중인경우에만잠깁니다. 시작컨피그레이션이읽기전용 ( 예 : HTTP 서버의경우 ) 이어서저장되지않는상황의경우다른모든메시지끝에다음메시지보고서가인쇄됩니다. Unable to save the configuration for the following contexts as these contexts have read-only config-urls: context a, context b, context c. 플래시메모리의불량섹터로인해저장되지않는상황의경우다음메시지가표시됩니다. The context 'context a' could not be saved due to Unknown errors 시스템에서는관리상황인터페이스를사용하여상황시작컨피그레이션에액세스하기때문에 write memory 명령에서도관리상황인터페이스를사용합니다. 그러나 write net 명령에서는상황인터페이스를사용하여컨피그레이션을 TFTP 서버에기록합니다. write memory 명령은 copy running-config startup-config 명령과같습니다. 예다음예에서는실행중인컨피그레이션을시작컨피그레이션에저장합니다. ciscoasa# write memory Building configuration... Cryptochecksum: e43e bebe b685e74f 748e bytes copied in secs (6439 bytes/sec) [OK] ciscoasa# 관련명령 명령 설명 admin-context 관리상황을설정합니다. configure memory 시작컨피그레이션을실행중인컨피그레이션과과병합합니다. config-url 상황컨피그레이션의위치를지정합니다. copy running-config 실행중인컨피그레이션을시작컨피그레이션에복사합니다. startup-config write net 실행중인컨피그레이션을 TFTP 서버에복사합니다. 5-25

314 write net 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write net 실행중인컨피그레이션을 TFTP 서버에복사하려면특권 EXEC 모드에서 write net 명령을사용합니다. write net [server:[filename] :filename] 구문설명 :filename 경로및파일이름을지정합니다. tftp-server 명령을사용하여파일이름을이미설정한경우이인수는선택사항입니다. 이명령에서파일이름을지정하고 tftp-server 명령에서이름을지정한경우 ASA는 tftp-server 명령의파일이름을디렉토리로처리하고, write net 명령의파일이름을디렉토리아래에파일로추가합니다. tftp-server 명령값을재정의하려면경로및파일이름앞에슬래시를입력합니다. 슬래시는경로가 tftpboot 디렉터리에상대적인것이아니라절대경로임을나타냅니다. 이파일에대해생성된 URL에는파일이름경로앞에이중슬래시 (//) 가포함됩니다. 원하는파일이 tftpboot 디렉토리에있는경우 tftpboot 디렉토리의경로를파일이름경로에포함할수있습니다. TFTP 서버가이유형의 URL을지원하지않으면 copy running-config tftp 명령을대신사용합니다. tftp-server 명령을사용하여 TFTP 서버주소를지정한경우콜론 (:) 뒤에파일이름만입력할수있습니다. server: TFTP 서버 IP 주소또는이름을설정합니다. 이주소는 tftp-server 명령 ( 있는경우 ) 에서설정한주소를재정의합니다. 기본게이트웨이인터페이스는보안수준이가장높은인터페이스입니다. 그러나 tftp-server 명령을사용하여다른인터페이스이름을설정할수있습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 5-26

315 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write net 사용지침 실행중인컨피그레이션은커맨드라인에서적용한모든변경사항을포함하여메모리에서현재실행되고있는컨피그레이션입니다. 다중상황모드에서이명령은현재컨피그레이션만저장합니다. 단일명령으로모든상황을저장할수는없습니다. 시스템및각상황에대해이명령을개별적으로입력해야합니다. 그러나 write net 명령은상황인터페이스를사용하여컨피그레이션을 TFTP 서버에기록합니다. 반면, write memory 명령은관리상황인터페이스를사용하여시작컨피그레이션에저장합니다. 시스템에서는관리상황인터페이스를사용하여상황시장컨피그레이션에액세스하기때문입니다. write net 명령은 copy running-config tftp 명령과같습니다. 예다음예에서는 tftp-server 명령에서 TFTP 서버및파일이름을설정합니다. ciscoasa# tftp-server inside /configs/contextbackup.cfg ciscoasa# write net 다음예에서는 write net 명령에서서버및파일이름을설정합니다. tftp-server 명령은채워지지않습니다. ciscoasa# write net :/configs/contextbackup.cfg 다음예에서는 write net 명령에서서버및파일이름을설정합니다. tftp-server 명령은디렉토리이름을제공하므로서버주소가재정의됩니다. ciscoasa# tftp-server configs ciscoasa# write net :context.cfg 관련명령 명령 설명 configure net 지정된 TFTP URL의컨피그레이션파일을실행중인컨피그레이션과과병합합니다. copy running-config 실행중인컨피그레이션을 TFTP 서버에복사합니다. tftp show running-config 실행중인컨피그레이션을표시합니다. tftp-server 다른명령에서사용할기본 TFTP 서버및경로를설정합니다. write memory 실행중인컨피그레이션을시작컨피그레이션에저장합니다. 5-27

316 write standby 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write standby ASA 또는상황실행중인컨피그레이션을장애조치대기장치에복사하려면특권 EXEC 모드에서 write standby 명령을사용합니다. write standby 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침 대기장치또는장애조치그룹의컨피그레이션이활성장치또는장애조치그룹의컨피그레이션과동기화되지않는경우에만이명령을사용해야합니다. 이는일반적으로대기장치또는장애조치그룹에서명령을직접입력한경우에발생합니다. 활성 / 대기장애조치의경우활성장치에서입력된 write standby 명령은활성장애조치장치의실행중인컨피그레이션을대기장치의실행중인컨피그레이션에기록합니다. 활성 / 활성장애조치의경우 write standby 명령은다음과같이동작합니다. 시스템실행공간에서 write standby 명령을입력한경우 ASA 의모든에대한컨피그레이션및시스템컨피그레이션이피어장치에기록됩니다. 여기에는대기상태에있는에대한컨피그레이션정보가포함됩니다. 장애조치그룹 1 이활성상태에있는장치에서는시스템실행공간에서명령을입력해야합니다. 에서 write standby 명령에입력하면에대한컨피그레이션만피어장치에기록됩니다. 이활성상태로표시되는장치에서는에서명령을입력해야합니다. write standby 명령은피어장치의실행중인컨피그레이션에컨피그레이션을복제합니다. 컨피그레이션을시작컨피그레이션에저장하지않습니다. 컨피그레이션변경을시작컨피그레이션에저장하려면 write standby 명령을입력한동일한장치에서 copy running-config startup-config 명령을사용합니다. 이명령은피어장치에복제되고컨피그레이션은시작컨피그레이션에저장됩니다. 상태저장장애조치가활성화된경우 write standby 명령은컨피그레이션복제가완료된후상태정보를대기장치에복제합니다. 다중상황모드에서는상태정보를복제할상황내에서 write standby를입력합니다. 5-28

317 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write standby 참고 write standby 명령을입력한후컨피그레이션이다시동기화되는동안장애조치인터페이스가일시적으로중지됩니다. 이로인해장애조치상태인터페이스의일시적오류가감지될수도있습니다. 예다음예에서는현재실행중인컨피그레이션을대기장치에기록합니다. ciscoasa# write standby Building configuration... [OK] ciscoasa# 관련명령 명령 설명 failover 대기장치를강제로재부팅합니다. reload-standby 5-29

318 write terminal 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write terminal 터미널에서실행중인컨피그레이션을표시하려면특권 EXEC 모드에서 write terminal 명령을사용합니다. write terminal 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예 예 예 예 예 릴리스 수정사항 7.0(1) 이명령이도입되었습니다. 사용지침이명령은 show running-config 명령과같습니다. 예다음예에서는실행중인컨피그레이션을터미널에기록합니다. ciscoasa# write terminal : Saved : ASA Version 7.0(0)61 multicast-routing names name outside! interface GigabitEthernet0/0 nameif inside security-level 100 ip address webvpn enable

319 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 write terminal 관련명령 명령 설명 configure net 지정된 TFTP URL의컨피그레이션파일을실행중인컨피그레이션과과병합합니다. show running-config 실행중인컨피그레이션을표시합니다. write memory 실행중인컨피그레이션을시작컨피그레이션에저장합니다. 5-31

320 xlate per-session 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 xlate per-session 다중세션 PAT 를사용하려면전역컨피그레이션모드에서 xlate per-session 명령을사용합니다. 다중세션 PAT 규칙을제거하려면이명령의 no 형식을사용합니다. xlate per-session {permit deny} {tcp udp} source_ip [operator src_port] destination_ip operator dest_port no xlate per-session {permit deny} {tcp udp} source_ip [operator src_port] destination_ip operator dest_port 구문설명 deny 거부규칙을만듭니다. destination_ip 대상 IP 주소에대해다음을구성할수있습니다. operator dest_port host ip_address - IPv4 호스트주소를지정합니다. ip_address mask - IPv4 네트워크주소및서브넷마스크를지정합니다. ipv6-address/prefix-length - IPv6 호스트또는네트워크주소및접두사를지정합니다. any4 및 any6 - any4 는 IPv4 트래픽만지정하고, any6 은 any6 트래픽을지정합니다. operator 는대상에서사용하는포트번호와일치합니다. 허용되는연산자는다음과같습니다. lt - 보다작음 gt - 보다큼 eq - 같음 neq - 같지않음 range - 값의포함범위이연산자를사용할경우다음과같이두개의포트번호를지정합니다. range operator src_port ( 선택사항 ) operator 는소스에서사용하는포트번호와일치합니다. 허용되는연산자는다음과같습니다. lt - 보다작음 gt - 보다큼 eq - 같음 neq - 같지않음 range - 값의포함범위이연산자를사용할경우다음과같이두개의포트번호를지정합니다. range permit 허용규칙을만듭니다. 5-32

321 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 xlate per-session source_ip 소스 IP 주소에대해다음을구성할수있습니다. host ip_address - IPv4 호스트주소를지정합니다. ip_address mask - IPv4 네트워크주소및서브넷마스크를지정합니다. ipv6-address/prefix-length - IPv6 호스트또는네트워크주소및접두사를지정합니다. any4 및 any6 - any4는 IPv4 트래픽만지정하고, any6은 any6 트래픽을지정합니다. tcp TCP 트래픽을지정합니다. udp UDP 트래픽을지정합니다. 명령기본값 기본적으로모든 TCP 트래픽및 UDP DNS 트래픽에서는세션별 PAT xlate 를사용합니다. 다음기본규칙이설치됩니다. xlate per-session permit tcp any4 any4 xlate per-session permit tcp any4 any6 xlate per-session permit tcp any6 any4 xlate per-session permit tcp any6 any6 xlate per-session permit udp any4 any4 eq domain xlate per-session permit udp any4 any6 eq domain xlate per-session permit udp any6 any4 eq domain xlate per-session permit udp any6 any6 eq domain 참고 이러한규칙은제거할수없으며, 항상수동으로만든모든규칙뒤에존재합니다. 규칙은순서대로평가되므로기본규칙을재정의할수있습니다. 예를들어이러한규칙을완전히무시하려면다음거부규칙을추가하면됩니다. xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 예 예 릴리스 수정사항 9.0(1) 이명령이도입되었습니다. 5-33

322 xlate per-session 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 사용지침 세션별 PAT 기능은 PAT 의확장성을개선하며, 클러스터링의경우각구성원장치가 PAT 연결을소유할수있도록합니다. 다중세션 PAT 연결은마스터장치에서전달하고소유해야합니다. 세션별 PAT 세션이끝나면 ASA에서재설정을전송하고 xlate를즉시제거합니다. 이재설정으로인해종단노드의연결이즉시해제되므로 TIME_WAIT 상태가방지됩니다. 반면, 다중세션 PAT 에서는 PAT 시간제한 ( 기본적으로 30초 ) 을사용합니다. HTTP 또는 HTTPS와같은 hit-and-run 트래픽의경우세션별기능은하나의주소에서지원하는연결속도를크게증가시킬수있습니다. 세션별기능을사용하지않을경우 IP 프로토콜의단일주소에대한최대연결속도는약 2000/ 초입니다. 세션별기능을사용할경우 IP 프로토콜의단일주소에대한연결속도는 65535/ 평균수명입니다. 기본적으로모든 TCP 트래픽및 UDP DNS 트래픽에서는세션별 PAT xlate를사용합니다. H.323, SIP 또는 Skinny와같이다중세션 PAT 가유용할수있는트래픽의경우세션별 PAT 를비활성화하여세션별거부규칙을생성할수있습니다. 세션별 PAT 규칙을추가한경우이규칙은기본규칙위에서수동으로만든다른모든규칙아래에배치됩니다. 적용할순서대로규칙을만들어야합니다. 예다음예에서는다중세션 PAT 를사용하도록 H.323 트래픽에대한거부규칙을만듭니다. ciscoasa(config)# xlate per-session deny tcp any eq 1720 ciscoasa(config)# xlate per-session deny udp any range 관련명령 명령 설명 clear configure xlate xlate per-session 규칙을지웁니다. nat( 전역 ) 두배 NAT 규칙을추가합니다. nat( 개체 ) 개체 NAT 규칙을추가합니다. show running-config xlate xlate per-session 규칙을표시합니다. 5-34

323 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity fail-close zonelabs-integrity fail-close ASA 와 Zone Labs Integrity Firewall Server 간의연결에실패한경우 VPN 클라이언트연결이닫히도록 ASA 를구성하려면전역컨피그레이션모드에서 zonelabs-integrity fail-close 명령을사용합니다. Zone Labs 연결실패시 VPN 연결이열린상태로유지되는기본값을복원하려면이명령의 no 형식을사용합니다. zonelabs-integrity fail-close no zonelabs-integrity fail-close 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로연결은실패시열린상태로유지됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 기본 Zone Labs Integrity Firewall Server가 ASA에응답하지않는경우 ASA는기본적으로사설네트워크에대한 VPN 클라이언트연결을설정합니다. 또한기존연결을열린상태로유지합니다. 이는방화벽서버실패로인해엔터프라이즈 VPN이중단되지않도록합니다. 그러나 Zone Labs Integrity Firewall Server 실패시 VPN 연결을작동상태로유지하지않으려면 zonelabs-integrity fail-close 명령을사용합니다. Zone Labs Integrity Firewall Server에대한연결이실패한경우 ASA에서클라이언트 VPN 연결을유지하는기본조건으로돌아가려면 zonelabs-integrity fail-open 명령을사용합니다. 예 다음예에서는 Zone Labs Integrity Firewall Server 가응답하지않거나연결이중단된경우 VPN 클라이언트연결을닫도록 ASA 를구성합니다. ciscoasa(config)# zonelabs-integrity fail-close ciscoasa(config)# 5-35

324 zonelabs-integrity fail-close 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 관련명령 명령 설명 zonelabs-integrity fail-open ASA와 Zone Labs Integrity Firewall Server 간의연결에실패한후에도 ASA에대한 VPN 클라이언트연결이열린상태로유지되도록지정합니다. zonelabs-integrity fail-timeout ASA가응답하지않는 Zone Labs Integrity Firewall Server를연결할수없는것으로선언하기전까지의경과시간 ( 초 ) 을지정합니다. zonelabs-integrity server-address ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를추가합니다. 5-36

325 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity fail-open zonelabs-integrity fail-open ASA 와 Zone Labs Integrity Firewall Server 간의연결에실패한후에도 ASA 에대한원격 VPN 클라이언트연결을열린상태로유지하려면전역컨피그레이션모드에서 zonelabs-integrity fail-open 명령을사용합니다. Zone Labs 서버연결실패시 VPN 클라이언트에대한연결을닫으려면이명령의 no 형식을사용합니다. zonelabs-integrity fail-open no zonelabs-integrity fail-open 구문설명이명령에는인수또는키워드가없습니다. 기본값 기본적으로원격 VPN 연결은 ASA 가 Zone Labs Integrity Firewall Server 에대한연결을설정하거나유지하지않는경우열린상태로유지됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 기본 Zone Labs Integrity Firewall Server 가 ASA 에응답하지않는경우 ASA 는기본적으로사설네트워크에대한 VPN 클라이언트연결을설정합니다. 또한기존연결을열린상태로유지합니다. 이는방화벽서버실패로인해엔터프라이즈 VPN 이중단되지않도록합니다. 그러나 Zone Labs Integrity Firewall Server 실패시 VPN 연결을작동상태로유지하지않으려면 zonelabs-integrity fail-close 명령을사용합니다. 그런다음 Zone Labs Integrity Firewall Server 연결에실패한경우 ASA 에서클라이언트 VPN 연결을유지하는기본조건으로되돌리려면 zonelabs-integrity fail-open 명령또는 no zonelabs-integrity fail-open 명령을사용합니다. 예 다음예에서는 Zone Labs Integrity Firewall Server 연결에실패한경우 VPN 클라이언트연결이열린상태로유지되는기본조건으로복원합니다. ciscoasa(config)# zonelabs-integrity fail-open ciscoasa(config)# 5-37

326 zonelabs-integrity fail-open 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 관련명령 명령 설명 zonelabs-integrity fail-close ASA와 Zone Labs Integrity Firewall Server 간의연결에실패한경우 ASA에서 VPN 클라이언트연결을닫도록지정합니다. zonelabs-integrity fail-timeout ASA가응답하지않는 Zone Labs Integrity Firewall Server를연결할수없는것으로선언하기전까지의경과시간 ( 초 ) 을지정합니다. 5-38

327 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity fail-timeout zonelabs-integrity fail-timeout ASA 가응답하지않는 Zone Labs Integrity Firewall Server 를연결할수없는것으로선언하기전까지의경과시간 ( 초 ) 을지정하려면전역컨피그레이션모드에서 zonelabs-integrity fail-timeout 명령을사용합니다. 기본시간제한 10 초를복원하려면인수없이이명령의 no 형식을사용합니다. zonelabs-integrity fail-timeout timeout no zonelabs-integrity fail-timeout 구문설명 timeout ASA 가응답하지않는 Zone Labs Integrity Firewall Server 를연결할수없는것으로선언하기전까지의경과시간 ( 초 ) 입니다. 허용되는범위는 5~20 초입니다. 기본값기본시간제한값은 10 초입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 ASA 가지정된시간 ( 초 ) 동안 Zone Labs 서버의응답없이대기한경우이서버는응답하지않는것으로선언됩니다. VPN 클라이언트연결은기본적으로또는 zonelabs-integrity fail-open 명령을사용하여구성된경우열린상태로유지됩니다. 그러나 zonelabs-integrity fail-close 명령이실행된경우 ASA 에서무결성서버를응답하지않는것으로선언하면연결이닫힙니다. 예 다음예에서는 12 초후활성 Zone Labs Intergity Server 를연결할수없는것으로선언하도록 ASA 를구성합니다. ciscoasa(config)# zonelabs-integrity fail-timeout 12 ciscoasa(config)# 5-39

328 zonelabs-integrity fail-timeout 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 관련명령 명령 설명 zonelabs-integrity fail-open ASA와 Zone Labs Integrity Firewall Server 간의연결에실패한후에도 ASA에대한 VPN 클라이언트연결이열린상태로유지되도록지정합니다. zonelabs-integrity fail-close ASA와 Zone Labs Integrity Firewall Server 간의연결에실패한경우 ASA에서 VPN 클라이언트연결을닫도록지정합니다. zonelabs-integrity server-address ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를추가합니다. 5-40

329 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity interface zonelabs-integrity interface Zone Labs Integrity Server 와통신할 ASA 인터페이스를지정하려면전역컨피그레이션모드에서 zonelabs-integrity interface 명령을사용합니다. Zone Labs Integrity Firewall Server 인터페이스를기본값인 none 으로재설정하려면이명령의 no 형식을사용합니다. zonelabs-integrity interface interface no zonelabs-integrity interface 구문설명 interface Zone Labs Integrity Firewall Server 가통신하는 ASA 인터페이스를지정합니다. 이는 nameif 명령으로만든인터페이스이름인경우가많습니다. 기본값기본적으로 Zone Labs Integrity Firewall Server 인터페이스는 none 으로설정됩니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 예 다음예에서는 IP 주소범위 ~ 을사용하여세개의 Zone Labs Intergity Server 를구성합니다. 또한포트 300 및 inside 라는인터페이스에서서버를수신대기하도록 ASA 를구성합니다. ciscoasa(config)# zonelabs-integrity server-address ciscoasa(config)# zonelabs-integrity port 300 ciscoasa(config)# zonelabs-integrity interface inside ciscoasa(config)# 관련명령 명령 zonelabs-integrity port zonelabs-integrity server-address zonelabs-integrity ssl-certificate-port zonelabs-integrity ssl-client-authentication 설명 Zone Labs Integrity Firewall Server 와통신할 ASA 의포트를지정합니다. ASA 컨피그레이션에 Zone Labs Integrity Firewall Server 를추가합니다. SSL 인증서를검색할때 Zone Labs Integrity Firewall Server 에서연결할 ASA 포트를지정합니다. ASA에의한 Zone Labs Integrity Firewall Server SSL 인증서인증을활성화합니다. 5-41

330 zonelabs-integrity port 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity port Zone Labs Integrity Firewall Server 와통신할 ASA 의포트를지정하려면전역컨피그레이션모드에서 zonelabs-integrity port 명령을사용합니다. Zone Labs Integrity Firewall Server 의기본포트인 5054 로되돌리려면이명령의 no 형식을사용합니다. zonelabs-integrity port port_number no zonelabs-integrity port port_number 구문설명 port ASA에서 Zone Labs Integrity Firewall Server 포트를지정합니다. port_number Zone Labs Integrity Firewall Server 포트번호입니다. 10에서 사이일 수있습니다. 기본값기본 Zone Labs Integrity Firewall Server 포트는 5054 입니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 ASA 는각각 zonelabs-integrity port 및 zonelabs-integrity interface 명령으로구성된포트및인터페이스에서 Zone Labs Integrity Firewall Server 를수신대기합니다. 참고 사용자인터페이스에서는최대 5 개의무결성서버컨피그레이션을지원하지만현재릴리스의 ASA 는한번에하나의무결성서버를지원합니다. 활성서버가실패한경우 ASA 에서다른무결성서버를구성한다음클라이언트 VPN 세션을다시설정합니다. 예 다음예에서는 IP 주소 를사용하여 Zone Labs Integrity Server 를구성합니다. 또한기본 5054 포트대신포트 300 에서활성 Zone Labs 서버를수신대기하도록 ASA 를구성합니다. ciscoasa(config)# zonelabs-integrity server-address ciscoasa(config)# zonelabs-integrity port 300 ciscoasa(config)# 5-42

331 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity port 관련명령 명령 설명 zonelabs-integrity interface 활성 Zone Labs Integrity Server와통신하는 ASA 인터페이스를지정합니다. zonelabs-integrity server-address ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를추가합니다. zonelabs-integrity ssl-certificate-port SSL 인증서를검색할때 Zone Labs Integrity Firewall Server 에서연결할 ASA 포트를지정합니다. zonelabs-integrity ssl-client-authentication ASA 에의한 Zone Labs Integrity Firewall Server SSL 인증서인증을활성화합니다. 5-43

332 zonelabs-integrity server-address 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity server-address ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를추가하려면전역컨피그레이션모드에서 zonelabs-integrity server-address 명령을사용합니다. IP 주소또는호스트이름으로 Zone Labs 서버를지정합니다. 실행중인컨피그레이션에서 Zone Labs Integrity Firewall Server를제거하려면인수없이이명령의 no 형식을사용합니다. zonelabs-integrity server-address {hostname1 ip-address1} no zonelabs-integrity server-address 참고 사용자인터페이스에서는여러무결성서버컨피그레이션을지원하지만현재릴리스의 ASA 는한번에하나의무결성서버만지원합니다. 구문설명 hostname Zone Labs Integrity Firewall Server의호스트이름을지정합니다. 호스트이름지침은 name 명령을참고하십시오. ip-address Zone Labs Integrity Firewall Server의 IP 주소를지정합니다. 명령기본값기본적으로 Zone Labs Integrity Firewall Server 는구성되지않습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 이릴리스에서는하나의 Zone Labs Integrity Firewall Server를구성할수있습니다. 이서버가실패한경우먼저다른무결성서버를구성한다음클라이언트 VPN 세션을설정합니다. 호스트이름으로서버를지정하려면먼저 name 명령을사용하여 Zone Labs 서버이름을구성해야합니다. name 명령을사용하기전에 names 명령을사용하여활성화합니다. 참고 사용자인터페이스에서는최대 5 개의무결성서버컨피그레이션을지원하지만현재릴리스의보안어플라이언스는한번에하나의무결성서버를지원합니다. 활성서버가실패한경우 ASA 에서다른무결성서버를구성한다음클라이언트 VPN 세션을다시설정합니다. 5-44

333 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity server-address 예 다음예에서는 IP 주소 에서버이름 ZL-Integrity-Svr 을할당하고해당이름을사용하여 Zone Labs Intergity Server 를구성합니다. ciscoasa(config)# names ciscoasa(config)# name ZL-Integrity-Svr ciscoasa(config)# zonelabs-integrity server-address ZL-Integrity-Svr ciscoasa(config)# 관련명령 명령 설명 zonelabs-integrity fail-close ASA와 Zone Labs Integrity Firewall Server 간의연결에실패한경우 ASA에서 VPN 클라이언트연결을닫도록지정합니다. zonelabs-integrity interface 활성 Zone Labs Integrity Server와통신하는 ASA 인터페이스를지정합니다. zonelabs-integrity port Zone Labs Integrity Firewall Server와통신할 ASA의포트를지정합니다. zonelabs-integrity ssl-certificate-port SSL 인증서를검색할때 Zone Labs Integrity Firewall Server에서연결할 ASA 포트를지정합니다. zonelabs-integrity ssl-client-authentication ASA 에의한 Zone Labs Integrity Firewall Server SSL 인증서인증을활성화합니다. 5-45

334 zonelabs-integrity ssl-certificate-port 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity ssl-certificate-port SSL 인증서를검색할때 Zone Labs Integrity Firewall Server 에서연결할 ASA 포트를지정하려면전역컨피그레이션모드에서 zonelabs-integrity ssl-certificate-port 명령을사용합니다. 기본포트번호 (80) 로되돌리려면인수없이이명령의 no 형식을사용합니다. zonelabs-integrity ssl-certificate-port cert-port-number no zonelabs-integrity ssl-certificate-port 구문설명 cert-port-number SSL 인증서를요청할때 Zone Labs Integrity Firewall Server 에서연결해야하는 ASA 의포트번호를지정합니다. 기본값 기본적으로 ASA 에서는 Zone Labs Integrity Firewall Server 가포트 80 에서 SSL 인증서를요청해야합니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 ASA 와 Zone Labs Integrity Firewall Server 간의 SSL 통신에서 ASA 는 SSL 서버이고 Zone Labs 서버는 SSL 클라이언트입니다. SSL 연결을시작할때클라이언트 (Zone Labs 서버 ) 에서 SSL 서버 (ASA) 의인증서를인증해야합니다. zonelabs-integrity ssl-certificate-port 명령은 SSL 서버인증서를요청할때 Zone Labs 서버에서연결할포트를지정합니다. 예 다음예에서는 Zone Labs Integrity Server 의 SSL 인증서요청을받도록 ASA 의포트 30 을구성합니다. ciscoasa(config)# zonelabs-integrity ssl-certificate-port 30 ciscoasa(config)# 5-46

335 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity ssl-certificate-port 관련명령 명령 설명 zonelabs-integrity port Zone Labs Integrity Firewall Server와통신할 ASA의포트를지정합니다. zonelabs-integrity interface 활성 Zone Labs Integrity Server와통신하는 ASA 인터페이스를지정합니다. zonelabs-integrity server-address ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를추가합니다. zonelabs-integrity ssl-client-authentication ASA에의한 Zone Labs Integrity Firewall Server SSL 인증서인증을활성화합니다. 5-47

336 zonelabs-integrity ssl-client-authentication 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity ssl-client-authentication ASA 에의한 Zone Labs Integrity Firewall Server SSL 인증서인증을활성화하려면 enable 인수와함께전역컨피그레이션모드에서 zonelabs-integrity ssl-client-authentication 명령을사용합니다. Zone Labs SSL 인증서인증을비활성화하려면 disable 인수를사용하거나인수없이이명령의 no 형식을사용합니다. zonelabs-integrity ssl-client-authentication {enable disable} no zonelabs-integrity ssl-client-authentication 구문설명 disable Zone Labs Integrity Firewall Server의 IP 주소를지정합니다. enable ASA가 Zone Labs Integrity Firewall Server의 SSL 인증서를인증하도록지 정합니다. 기본값기본적으로 ASA 의 Zone Labs Integrity Firewall Server SSL 인증서인증은비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 다중 라우팅됨 투명 단일 상황 시스템 전역컨피그레이션 예 예 릴리스 수정사항 7.2(1) 이명령이도입되었습니다. 사용지침 ASA 와 Zone Labs Integrity Firewall Server 간의 SSL 통신에서 ASA 는 SSL 서버이고 Zone Labs 서버는 SSL 클라이언트입니다. SSL 연결을시작할때클라이언트 (Zone Labs 서버 ) 에서 SSL 서버 (ASA) 의인증서를인증해야합니다. 그러나클라이언트인증서인증은선택사항입니다. zonelabs-integrity ssl-client-authentication 명령을사용하여 ASA 의 Zone Labs 서버 (SSL 클라이언트 ) 인증서인증을활성화하거나비활성화할수있습니다. 예다음예에서는 Zone Labs Integrity Server 의 SSL 인증서를인증하도록 ASA 를구성합니다. ciscoasa(config)# zonelabs-integrity ssl-client-authentication enable ciscoasa(config)# 5-48

337 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 zonelabs-integrity ssl-client-authentication 관련명령 명령 설명 zonelabs-integrity interface 활성 Zone Labs Integrity Server와통신하는 ASA 인터페이스를지정합니다. zonelabs-integrity port Zone Labs Integrity Firewall Server와통신할 ASA의포트를지정합니다. zonelabs-integrity server-address ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를추가합니다. zonelabs-integrity ssl-certificate-port SSL 인증서를검색할때 Zone Labs Integrity Firewall Server 에서연결할 ASA 포트를지정합니다. 5-49

338 zonelabs-integrity ssl-client-authentication 5 장 wccp through zonelabs integrity ssl-client-authentication 명령 5-50

339 파트 2 ASA 서비스모듈에대한 Cisco IOS 명령

340

341 6 장 ASASM 에대한 Cisco IOS 명령 6-1

342 clear diagnostics loopback 6 장 ASASM 에대한 Cisco IOS 명령 clear diagnostics loopback 온라인진단테스트컨피그레이션을제거하려면특권 EXEC 모드에서 clear diagnostic loopback 명령을사용합니다. clear diagnostics loopback 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 clear diagnostics loopback 명령은온라인진단테스트컨피그레이션을지웁니다. 예다음은 clear diagnostics loopback 명령의샘플출력입니다. ciscoasa# clear diagnostics loopback Port Test Pkts-received Failures 관련명령 명령 설명 show diagnostics loopback PC 루프백테스트, 실행한테스트횟수, 받은루프백패킷수및감 지된실패횟수와관련된정보를표시합니다. 6-2

343 6 장 ASASM 에대한 Cisco IOS 명령 firewall autostate firewall autostate 자동상태메시징을활성화하려면전역컨피그레이션모드에서 firewall autostate 명령을사용합니다. 자동상태를비활성화하려면이명령의 no 형식을사용합니다. firewall autostate no firewall autostate 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로자동상태는비활성화되어있습니다. 전역컨피그레이션 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 자동상태메시징은 ASA가스위치인터페이스의장애또는가동상태를신속하게감지할수있도록해줍니다. 수퍼바이저엔진은 ASA VLAN과연결된물리적인터페이스의상태에대한자동상태메시지를 ASA로보낼수있습니다. 예를들어 VLAN과연결된모든물리적인터페이스가중단된경우자동상태메시지는 ASA에 VLAN이중단되었음을알려줍니다. 이정보를통해 ASA는 VLAN을중단된것으로선언하여일반적으로링크오류가발생한쪽을확인하는데필요한인터페이스모니터링테스트를무시합니다. 자동상태메시징은 ASA가링크오류를감지하는데걸리는시간을대폭 ( 최대 45초에서몇밀리초로 ) 단축합니다. 스위치수퍼바이저는다음과같은경우에 ASA로자동상태메시지를보냅니다. VLAN 에속한마지막인터페이스가중단된경우 VLAN 에속한첫번째인터페이스가가동된경우 예다음예에서는자동상태메시징을활성화합니다. Router(config)# firewall autostate 관련명령 명령 설명 show firewall autostate 자동상태기능의설정을표시합니다. 6-3

344 firewall module 6 장 ASASM 에대한 Cisco IOS 명령 firewall module ASA 에방화벽그룹을할당하려면전역컨피그레이션모드에서 firewall module 명령을입력합니다. 그룹을제거하려면이명령의 no 형식을사용합니다. firewall module module_number vlan-group firewall_group no firewall module module_number vlan-group firewall_group 구문설명 module_number vlan-group firewall_group 모듈번호를지정합니다. show module 명령을사용하여설치된모듈과해당번호를볼수있습니다. firewall vlan-group 명령으로정의된대로하나이상의그룹번호를지정합니다. 단일번호 (n) 범위 (n-x) 번호또는범위를쉼표로구분합니다. 예를들어다음번호를입력합니다. 5,7-10 기본값기본동작또는기본값이없습니다. 전역컨피그레이션 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 각 ASASM에최대 16개의방화벽 VLAN 그룹을할당할수있습니다. Cisco IOS 소프트웨어에서는 16개가넘는 VLAN 그룹을만들수있지만 ASASM당 16개만할당할수있습니다. 그룹을만들려면 firewall vlan-group 명령을참고하십시오. 예를들어모든 VLAN을하나의그룹에할당하거나, 내부그룹과외부그룹을만들거나, 각고객에대한그룹을만들수있습니다. 그룹당 VLAN 수에는제한이없지만 ASASM 에서는 ASASM 시스템제한이내의 VLAN 만사용할수있습니다 ( 자세한내용은 ASASM 라이센싱정보참고 ). 여러방화벽그룹에동일한 VLAN 을할당할수없습니다. 여러 ASASM 에단일방화벽그룹을할당할수있습니다. 예를들어여러 ASASM 에할당하려는 VLAN 이각 ASASM 에고유한 VLAN 과별도의그룹에상주할수있습니다. 동일한스위치섀시내에서 ASASM 장애조치를사용하는경우장애조치및상태저장통신용으로예약된 VLAN 을스위치포트에할당하지마십시오. 그러나섀시간에장애조치를사용하는경우에는섀시간의트렁크포트에 VLAN 을포함해야합니다. 6-4

345 6 장 ASASM 에대한 Cisco IOS 명령 firewall module VLAN 을 ASASM 에할당하기전에스위치에추가하지않은경우에는 VLAN 이수퍼바이저엔진데이터베이스에저장되며, 스위치에추가되는즉시 ASASM 으로전송됩니다. 스위치에할당되기전에 ASASM 컨피그레이션에서 VLAN 을구성할수있습니다. 스위치가 ASASM 으로 VLAN 을보내면 ASASM 컨피그레이션에서종료했는지여부에상관없이기본적으로 ASASM 에서 VLAN 이관리자에의해가동됩니다. 이경우다시종료해야합니다. 예 다음예에서는각 ASA 에대한그룹과두 ASA 에할당된 VLAN 을포함하는그룹, 이렇게 3 개의방화벽 VLAN 그룹을만드는방법을보여줍니다. Router(config)# firewall vlan-group Router(config)# firewall vlan-group Router(config)# firewall vlan-group Router(config)# firewall module 5 vlan-group 50,52 Router(config)# firewall module 8 vlan-group 51,52 다음은 show firewall vlan-group 명령의샘플출력입니다. Router# show firewall vlan-group Group vlans /100 다음은모든 VLAN 그룹을표시하는 show firewall module 명령의샘플출력입니다. Router# show firewall module Module Vlan-groups 5 50, ,52 관련명령 명령 설명 firewall vlan-group VLAN 그룹에 VLAN을할당합니다. show firewall module VLAN 그룹및해당그룹에할당된 VLAN을표시합니다. vlan-group show module 설치된모든모듈을표시합니다. 6-5

346 firewall multiple-vlan-interfaces 6 장 ASASM 에대한 Cisco IOS 명령 firewall multiple-vlan-interfaces 둘이상의 SVI 를 ASA 에추가하도록허용하려면전역컨피그레이션모드에서 firewall multiple-vlan-interfaces 명령을사용합니다. 이기능을비활성화하려면이명령의 no 형식을사용합니다. firewall multiple-vlan-interfaces no firewall multiple-vlan-interfaces 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로여러 SVI 는허용되지않습니다. 전역컨피그레이션 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 MSFC에정의된 VLAN을스위치가상인터페이스라고합니다. SVI에사용된 VLAN을 ASA에할당한경우 MSFC는 ASA와다른계층 3 VLAN 간에라우팅됩니다. 보안상, 기본적으로 MSFC와 ASA 간에는하나의 SVI만존재할수있습니다. 예를들어여러 SVI로시스템을잘못구성한경우내부및외부 VLAN을 MSFC에할당하여실수로트래픽이 ASA를통과하도록허용할수있습니다. 그러나일부네트워크시나리오에서는 ASA를우회해야할수도있습니다. 예를들어동일한이더넷세그먼트의 IPX 호스트를 IP 호스트로사용하는경우여러 SVI가필요합니다. 라우팅된의 ASA는 IP 트래픽만처리하고 IPX와같은다른프로토콜트래픽은삭제하기때문에 ( 투명에서는선택적으로비 IP 트래픽을허용할수있음 ) IPX 트래픽에대해 ASA를우회할수있습니다. IPX 트래픽만 VLAN에서전달되도록허용하는액세스목록을사용하여 MSFC를구성해야합니다. 다중상황모드의투명방화벽에서는각상황에서해당외부인터페이스에고유한 VLAN이있어야하므로여러 SVI를사용해야합니다. 외부인터페이스에대해단일 VLAN을공유하지않아도되도록라우팅모드에서여러 SVI를사용하도록선택할수도있습니다. 예다음예에서는여러 SVI 를사용하는일반적인컨피그레이션을보여줍니다. Router(config)# firewall vlan-group Router(config)# firewall vlan-group Router(config)# firewall module 8 vlan-group Router(config)# firewall multiple-vlan-interfaces Router(config)# interface vlan 55 Router(config-if)# ip address Router(config-if)# no shutdown Router(config-if)# interface vlan 56 Router(config-if)# ip address Router(config-if)# no shutdown 6-6

347 6 장 ASASM 에대한 Cisco IOS 명령 firewall multiple-vlan-interfaces Router(config-if)# end Router# 다음은 show interface 명령의샘플출력입니다. Router# show interface vlan 55 Vlan55 is up, line protocol is up Hardware is EtherSVI, address is de.45ca (bia de.45ca) Internet address is /24 MTU 1500 bytes, BW Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type:arpa, ARP Timeout 04:00:00 Last input never, output 00:00:08, output hang never Last clearing of "show interface" counters never Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0 Queueing strategy:fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec L2 Switched:ucast:196 pkt, bytes - mcast:4 pkt, 256 bytes L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast L3 out Switched:ucast:0 pkt, 0 bytes 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 4 packets output, 256 bytes, 0 underruns 0 output errors, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹을정의합니다. 6-7

348 firewall vlan-group 6 장 ASASM 에대한 Cisco IOS 명령 firewall vlan-group 방화벽그룹에 VLAN 을할당하려면전역컨피그레이션모드에서 firewall vlan-group 명령을입력합니다. VLAN 을제거하려면이명령의 no 형식을사용합니다. firewall [switch {1 2}] vlan-group firewall_group vlan_range no firewall [switch {1 2}] vlan-group firewall_group vlan_range 구문설명 firewall_group 그룹 ID를정수로지정합니다. vlan_range 그룹에할당된 VLAN을지정합니다. vlan_range 값은다음방법중하나로 식별되는하나이상의 VLAN(2~1000 및 1025~4094) 일수있습니다. 단일번호 (n) 범위 (n-x) 번호또는범위를쉼표로구분합니다. 예를들어다음번호를입력합니다. 5,7-10,13, 참고라우팅된포트와 WAN 포트는내부 VLAN을사용하므로 1020~1100 범위의 VLAN이이미사용중일수있습니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 전역컨피그레이션 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 firewall module 명령을사용하여각 ASASM에최대 16개의방화벽 VLAN 그룹을할당할수있습니다. Cisco IOS 소프트웨어에서는 16개가넘는 VLAN 그룹을만들수있지만 ASASM당 16개만할당할수있습니다. 예를들어모든 VLAN을하나의그룹에할당하거나, 내부그룹과외부그룹을만들거나, 각고객에대한그룹을만들수있습니다. 그룹당 VLAN 수에는제한이없지만 ASASM 에서는 ASASM 시스템제한이내의 VLAN 만사용할수있습니다 ( 자세한내용은 ASASM 라이센싱정보참고 ). 여러방화벽그룹에동일한 VLAN 을할당할수없습니다. 여러 ASASM 에단일방화벽그룹을할당할수있습니다. 예를들어여러 ASASM 에할당하려는 VLAN 이각 ASASM 에고유한 VLAN 과별도의그룹에상주할수있습니다. 2~1000 및 1025~4094 의 VLAN ID 를사용합니다. 라우팅된포트와 WAN 포트는내부 VLAN 을사용하므로 1020~1100 범위의 VLAN 이이미사용중일수있습니다. 6-8

349 6 장 ASASM 에대한 Cisco IOS 명령 firewall vlan-group 예약된 VLAN 은사용할수없습니다. VLAN 1 은사용할수없습니다. 동일한스위치섀시내에서 ASASM 장애조치를사용하는경우장애조치및상태저장통신용으로예약된 VLAN 을스위치포트에할당하지마십시오. 그러나섀시간에장애조치를사용하는경우에는섀시간의트렁크포트에 VLAN 을포함해야합니다. VLAN 을 ASASM 에할당하기전에스위치에추가하지않은경우에는 VLAN 이수퍼바이저엔진데이터베이스에저장되며, 스위치에추가되는즉시 ASASM 으로전송됩니다. 스위치에할당되기전에 ASASM 컨피그레이션에서 VLAN 을구성할수있습니다. 스위치가 ASASM 으로 VLAN 을보내면 ASASM 컨피그레이션에서종료했는지여부에상관없이기본적으로 ASASM 에서 VLAN 이관리자에의해가동됩니다. 이경우다시종료해야합니다. 예 다음예에서는각 ASA 에대한그룹과두 ASA 에할당된 VLAN 을포함하는그룹, 이렇게 3 개의방화벽 VLAN 그룹을만드는방법을보여줍니다. Router(config)# firewall vlan-group Router(config)# firewall vlan-group Router(config)# firewall vlan-group Router(config)# firewall module 5 vlan-group 50,52 Router(config)# firewall module 8 vlan-group 51,52 다음은 show firewall vlan-group 명령의샘플출력입니다. Router# show firewall vlan-group Group vlans /100 다음은모든 VLAN 그룹을표시하는 show firewall module 명령의샘플출력입니다. Router# show firewall module Module Vlan-groups 5 50, ,52 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. show firewall vlan-group VLAN 그룹및해당그룹에할당된 VLAN을표시합니다. show module 설치된모든모듈을표시합니다. 6-9

350 service-module session 6 장 ASASM 에대한 Cisco IOS 명령 service-module session 스위치 CLI 에서 ASASM 에대한콘솔액세스권한을얻으려면특권 EXEC 모드에서 service-module session 명령을입력합니다. service-module session [switch {1 2}] slot number 구문설명 slot number ASASM의슬롯번호를지정합니다. 모듈슬롯번호를보려면스위치프롬프트에서 show module 명령을입력합니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 특권 EXEC 릴리스 수정사항 12.2(33)SXJ1 이명령이도입되었습니다. 사용지침 service-module session 명령을사용하면실제콘솔연결의이점및제한이그대로적용하여 ASASM에대한가상콘솔연결을만들수있습니다. 이점은다음과같습니다. 연결이다시로드간에유지되며시간초과되지않습니다. ASASM 다시로드를통해연결된상태를유지하고시작메시지를볼수있습니다. ASASM에서이미지를로드할수없는경우 ROMMON에액세스할수있습니다. 제한사항은다음과같습니다. 연결이느립니다 (9600 보드 ). 한번에하나의콘솔연결만활성상태로유지할수있습니다. 참고 연결의지속성때문에 ASASM 에서올바르게로그아웃하지않은경우연결이의도한것보다오래존재할수있습니다. 다른사람이로그인하려는경우기존연결을중단해야합니다. 자세한내용은 CLI 컨피그레이션가이드를참고하십시오. 예다음예에서는슬롯 3 에서 ASASM 에대한콘솔액세스권한을얻는방법을보여줍니다. Router# service-module session slot 3 ciscoasa> 관련명령 명령 설명 session 백플레인을통해 ASASM으로텔넷합니다. 6-10

351 6 장 ASASM 에대한 Cisco IOS 명령 session session 백플레인을통해스위치 CLI 에서 ASASM 으로텔넷하려면특권 EXEC 모드에서 session 명령을사용합니다. session [switch {1 2}] slot number processor 1 구문설명 processor 1 프로세서번호를지정합니다 ( 항상 1). slot number 슬롯번호를지정합니다. 모듈슬롯번호를보려면스위치프롬프트에서 show module 명령을입력합니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 특권 EXEC 릴리스 수정사항 12.2(14)SX 수퍼바이저엔진 720에서이명령에대한지원이도입되었습니다. 12.2(17d)SXB 수퍼바이저엔진 2에서이명령에대한지원이릴리스 12.2(17d)SXB로 확장되었습니다. 12.2(33)SRA 이명령이 Cisco IOS 릴리스 12.2(33)SRA에통합되었습니다. 사용지침 session 명령을사용하면 ASASM에대한텔넷연결을만들수있습니다. 이점은다음과같습니다. ASASM에대한세션을동시에유지할수있습니다. 텔넷세션은빠른연결입니다. 제한사항은다음과같습니다. ASASM을다시로드하면텔넷세션이종료되고시간초과될수있습니다. 완전히로드할때까지 ASASM에액세스할수없습니다. ROMMON에액세스할수없습니다. 참고다른서비스모듈에서지원되는 session slot processor 0 명령은 ASASM 에서지원되지않습니다. ASASM 에는프로세서 0 이없습니다. 로그인비밀번호를묻는프롬프트가표시됩니다. ASASM에대한로그인비밀번호를입력합니다. 기본적으로비밀번호는 cisco입니다. 사용자 EXEC 모드에액세스할수있습니다. 6-11

352 session 6 장 ASASM 에대한 Cisco IOS 명령 예다음예에서는프로세서 1 에서 ASASM 으로텔넷합니다. Router# session slot number processor 1 ciscoasa passwd: cisco ciscoasa> 관련명령 명령 설명 service-module session 스위치 CLI에서 ASASM에대한콘솔액세스권한을가져옵니다. 6-12

353 6 장 ASASM 에대한 Cisco IOS 명령 show diagnostic loopback show diagnostic loopback 실행한테스트횟수, 받은루프백패킷수, 감지된실패횟수등 PC 루프백테스트와관련된정보를표시하려면특권 EXEC 모드에서 show diagnostics loopback 명령을사용합니다. show diagnostics loopback 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 show diagnostics loopback 명령은실행한테스트횟수, 받은루프백패킷수, 감지된실패횟수등 PC 루프백테스트와관련된정보를제공합니다. 예다음은 show diagnostics loopback 명령의샘플출력입니다. ciscoasa# show diagnostics loopback Port Test Pkts-received Failures 관련명령 명령 설명 clear diagnostics loopback 온라인진단테스트컨피그레이션을지웁니다. firewall autostate 자동상태기능을활성화합니다. 6-13

354 show firewall autostate 6 장 ASASM 에대한 Cisco IOS 명령 show firewall autostate 자동상태기능의설정을보려면특권 EXEC 모드에서 show firewall autostate 명령을사용합니다. show firewall autostate 구문설명이명령에는인수또는키워드가없습니다. 기본값기본적으로자동상태는비활성화되어있습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 사용지침 Cisco IOS 소프트웨어의자동상태메시징은 ASA 가스위치인터페이스의장애또는가동상태를신속하게감지할수있도록해줍니다. 스위치수퍼바이저는다음과같은경우에 ASA 로자동상태메시지를보냅니다. VLAN 에속한마지막인터페이스가중단된경우 VLAN 에속한첫번째인터페이스가가동된경우 관련명령 명령 설명 clear diagnostics loopback 온라인진단테스트컨피그레이션을지웁니다. firewall autostate 자동상태기능을활성화합니다. 6-14

355 6 장 ASASM 에대한 Cisco IOS 명령 show firewall module show firewall module 각 ASA 에할당된 VLAN 그룹을보려면특권 EXEC 모드에서 show firewall module 명령을입력합니다. show firewall [switch {1 2}] module [module_number] 구문설명 module_number ( 선택사항 ) 모듈번호를지정합니다. show module 명령을사용하여설치된모듈과해당번호를볼수있습니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 예다음은모든 VLAN 그룹을표시하는 show firewall module 명령의샘플출력입니다. Router# show firewall module Module Vlan-groups 5 50, ,52 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹에 VLAN을할당합니다. show firewall module VLAN 그룹및해당그룹에할당된 VLAN을표시합니다. vlan-group show module 설치된모든모듈을표시합니다. 6-15

356 show firewall module state 6 장 ASASM 에대한 Cisco IOS 명령 show firewall module state 각 ASA 의상태를보려면특권 EXEC 모드에서 show firewall module state 명령을입력합니다. show firewall [switch {1 2}] module [module_number] state 구문설명 module_number ( 선택사항 ) 모듈번호를지정합니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 예다음은 show firewall module state 명령의샘플출력입니다. Router# show firewall module 11 state Firewall module 11: Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 3,6,7,20-24,40,59,85,87-89,99-115,150, ,200,250, ,913,972 Pruning VLANs Enabled: Vlans allowed on trunk: Vlans allowed and active in management domain: Vlans in spanning tree forwarding state and not pruned: 6-16

357 6 장 ASASM 에대한 Cisco IOS 명령 show firewall module state 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹에 VLAN을할당합니다. show firewall module VLAN 그룹및해당그룹에할당된 VLAN을표시합니다. vlan-group show module 설치된모든모듈을표시합니다. 6-17

358 show firewall module traffic 6 장 ASASM 에대한 Cisco IOS 명령 show firewall module traffic 각 ASA 를통한트래픽흐름을보려면특권 EXEC 모드에서 show firewall module traffic 명령을입력합니다. show firewall [switch {1 2}] module [module_number] traffic 구문설명 module_number ( 선택사항 ) 모듈번호를지정합니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 예다음은 show firewall module traffic 명령의샘플출력입니다. Router# show firewall module 11 traffic Firewall module 11: Specified interface is up line protocol is up (connected) Hardware is EtherChannel, address is cd5.bef6 (bia cd5.bef6) MTU 1500 bytes, BW Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Full-duplex, 1000Mb/s, media type is unknown input flow-control is on, output flow-control is on Members in this channel: Gi11/1 Gi11/2 Gi11/3 Gi11/4 Gi11/5 Gi11/6 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate bits/sec, 17 packets/sec 8709 packets input, bytes, 0 no buffer Received 745 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected packets output, bytes, 0 underruns 6-18

359 6 장 ASASM 에대한 Cisco IOS 명령 show firewall module traffic 0 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹에 VLAN을할당합니다. show firewall module VLAN 그룹및해당그룹에할당된 VLAN을표시합니다. vlan-group show module 설치된모든모듈을표시합니다. 6-19

360 show firewall module vlan-group 6 장 ASASM 에대한 Cisco IOS 명령 show firewall module vlan-group ASA 에할당할수있는 VLAN 그룹을보려면특권 EXEC 모드에서 show firewall module vlan-group 명령을입력합니다. show firewall [switch {1 2}] module [module_number] vlan-group [firewall_group] 구문설명 firewall_group ( 선택사항 ) 그룹 ID를지정합니다. module_number ( 선택사항 ) 모듈번호를지정합니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 12.2(18)SXF5 이명령이도입되었습니다. 예다음은 show firewall module vlan-group 명령의샘플출력입니다. Router# show firewall module vlan-group Group vlans /100 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹을생성합니다. show module 설치된모든모듈을표시합니다. 6-20

361 6 장 ASASM 에대한 Cisco IOS 명령 show firewall multiple-vlan-interfaces show firewall multiple-vlan-interfaces ASASM 에대한여러방화벽 VLAN 인터페이스의상태를보려면특권 EXEC 모드에서 show firewall multiple-vlan-interfaces 명령을입력합니다. show firewall multiple-vlan-interfaces 구문설명이명령에는인수또는키워드가없습니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 릴리스 수정사항 8.5(1) 이명령이도입되었습니다. 예다음은 show firewall multiple-vlan-interfaces 명령의샘플출력입니다. Router# show firewall multiple-vlan-interfaces Multiple firewall vlan interfaces feature is enabled 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹을생성합니다. show module 설치된모든모듈을표시합니다. 6-21

362 show module 6 장 ASASM 에대한 Cisco IOS 명령 show module 스위치에서 ASASM 을인식하고온라인상태로전환했는지확인하려면특권 EXEC 모드에서 show module 명령을사용합니다. show module [switch {1 2}] [mod-num all] 구문설명 all ( 선택사항 ) 모든모듈을지정합니다. mod_num ( 선택사항 ) 모듈번호를지정합니다. switch {1 2} ( 선택사항 ) VSS 컨피그레이션에대해스위치번호를지정합니다. 기본값기본동작또는기본값이없습니다. 다음표에는명령을입력할수있는모드가나와있습니다. 라우팅됨 투명 단일 다중상황 시스템 특권 EXEC 예다음은 show module 명령의샘플출력입니다. Router# show module Mod Ports Card Type Model Serial No ASA Service Module WS-SVC-ASA-SM1 SAD143502E8 4 3 ASA Service Module WS-SVC-ASA-SM1 SAD135101Z9 5 5 Supervisor Engine GE (Active) VS-S720-10G SAL12426KB CEF port 10GE WS-X GE SAL1442WZD1 Mod MAC addresses Hw Fw Sw Status bdd4.016f to 0022.bdd4.017e ( ( Ok bdd3.f64e to 0022.bdd3.f ( ( PwrDown e8bb.7b0c to 0019.e8bb.7b (2) 12.2( Ok 6 f866.f to f866.f f (18r)S1 12.2( Ok Mod Sub-Module Model Serial Hw Status /0 ASA Application Processor SVC-APP-PROC-1 SAD D Other 4/0 ASA Application Processor SVC-APP-INT-1 SAD141002AK PwrDown 5 Policy Feature Card 3 VS-F6K-PFC3C SAL12437BM2 1.0 Ok 5 MSFC3 Daughterboard VS-F6K-MSFC3 SAL12426DE3 1.0 Ok 6 Distributed Forwarding Card WS-F6700-DFC3C SAL1443XRDC 1.4 Ok Base PID: Mod Model Serial No WS-SVC-APP-HW-1 SAD143502E8 6-22

363 6 장 ASASM 에대한 Cisco IOS 명령 show module 4 TRIFECTA SAD135101Z9 Mod Online Diag Status Pass 2/0 Not Applicable 4 Not Applicable 4/0 Not Applicable 5 Pass 6 Pass 관련명령 명령 설명 firewall module VLAN 그룹을 ASA에할당합니다. firewall vlan-group VLAN 그룹을생성합니다. 6-23

364 show module 6 장 ASASM 에대한 Cisco IOS 명령 6-24

365 파트 3 참조

366

367 7 장 커맨드라인인터페이스 (CLI) 사용 이장에서는 ASA에서 CLI를사용하는방법을설명하며, 다음섹션으로구성되어있습니다. 7-1페이지의및모드 7-2페이지의및프롬프트 7-3페이지의구문형식지정 7-3페이지의명령축약 7-3페이지의커맨드라인수정 7-4페이지의명령완성 7-4페이지의명령도움말 7-4페이지의실행중인컨피그레이션보기 7-5페이지의 show 및 more 명령출력필터링 7-5페이지의명령출력페이징 7-6페이지의주석추가 7-6페이지의텍스트컨피그레이션파일 7-8페이지의지원되는문자집합 참고 CLI 는 Cisco IOS CLI 와유사한구문및규칙을사용하지만 ASA 운영체제는 Cisco IOS 소프트웨어버전이아닙니다. Cisco IOS CLI 명령이 ASA 와함께작동하거나동일한기능을갖추었다고가정하지마십시오. 및모드 ASA 는다음모드의조합에서실행됩니다. 투명방화벽또는라우팅된는 ASA가계층 2 방화벽으로실행되는지또는계층 3 방화벽으로실행되는지를결정합니다. 다중상황또는단일상황모드모드는 ASA가단일장치로실행되는지또는가상장치와같은역할을하는다중으로실행되는지를결정합니다. 일부명령은특정모드에서만사용할수있습니다. 7-1