ファイアウォール モードおよびセキュリティ コンテキスト モード
FWSMは、次のモードを組み合わせて動作します。
• 透過ファイアウォール モードまたはルーテッド ファイアウォール モード
ファイアウォール モードにより、FWSMがレイヤ 2 ファイアウォールとして動作するかレイヤ 3 ファイアウォールとして動作するかが決まります。
• マルチコンテキスト モードまたはシングルコンテキスト モード
セキュリティ コンテキスト モードにより、FWSMがシングル デバイスとして動作するか、仮想デバイスのようなマルチ セキュリティ コンテキストとして動作するかが決まります。
コマンドによっては、特定のモードでしか使用できないものもあります。
コマンド モードおよびプロンプト
FWSM CLI には、コマンド モードがあります。コマンドによっては、特定のモードでしか使用できないものもあります。たとえば、機密情報を表示するコマンドを入力するには、パスワードを入力して特別なモードに切り替える必要があります。また、誤ってコンフィギュレーションの変更が入力されないようにするには、コンフィギュレーション モードに切り替える必要があります。下位のコマンドは、上位のモードで入力できます。たとえば、イネーブル EXEC コマンドはグローバル コンフィギュレーション モードで入力できます。
システム コンフィギュレーションまたはシングルコンテキスト モードの場合、プロンプトはホスト名から開始されます。
コンテキスト内では、プロンプトのホスト名のあとにコンテキスト名が表示されます。
プロンプトの表示は、アクセス モードによって異なります。
• ユーザ ECEC モード
ユーザ EXEC モードでは、最小限のFWSM設定が表示されます。最初にFWSMにアクセスしたときのユーザ EXEC モードのプロンプトは、次のようになります。
• イネーブル ECEC モード
イネーブル EXEC モードでは、ユーザのイネーブル レベルまでの現在の設定がすべて表示されます。ユーザ EXEC モードのコマンドは、イネーブル EXEC モードで機能します。イネーブル EXEC モードを開始するには、ユーザ EXEC モードで enable コマンドを入力します(パスワードが必要)。プロンプトに、番号記号(#)が追加されます。
• グローバル コンフィギュレーション モード
グローバル コンフィギュレーション モードでは、FWSMの設定を変更することができます。このモードでは、すべてのユーザ EXEC コマンド、イネーブル EXEC コマンド、およびグローバル コンフィギュレーション コマンドを使用できます。グローバル コンフィギュレーション モードを開始するには、イネーブル EXEC モードで configure terminal コマンドを入力します。プロンプトが次のように変わります。
hostname/context(config)#
• コマンド固有コンフィギュレーション モード
一部のコマンドは、グローバル コンフィギュレーション モードからコマンド固有コンフィギュレーション モードに入ります。このモードでは、すべてのユーザ EXEC コマンド、イネーブル EXEC コマンド、グローバル コンフィギュレーション コマンド、およびコマンド固有コンフィギュレーション コマンドを使用できます。たとえば、 interface コマンドを入力するとインターフェイス コンフィギュレーション モードが開始します。プロンプトが次のように変わります。
hostname/context(config-if)#
構文の形式
コマンド構文の記述には、次の表記法を使用しています。
表C-1 構文の表記法
|
|
太字 |
太字の文字は、表示どおりにユーザが入力するコマンドおよびキーワードです。 |
イタリック |
イタリックの文字は、ユーザが値を指定する引数です。 |
[x] |
角カッコで囲まれているものは、省略可能な要素(キーワードまたは引数)です。 |
| |
縦棒で区切られている場合、複数の任意または必須のキーワードまたは引数から、1 つを選択します。 |
[x | y] |
角カッコで囲まれ、縦棒で区切られたキーワードまたは引数は、任意の選択肢です。 |
{x | y} |
波カッコで囲まれ、縦棒で区切られたキーワードまたは引数は、必須の選択肢です。 |
[x {y | z}] |
角カッコまたは波カッコが重複している場合、任意または必須の要素内の、任意または必須の選択肢を示します。角カッコ内の波カッコおよび縦棒は、任意の要素内の必須の選択肢です。 |
コマンドの短縮形
コマンドは、そのコマンドが固有であることを示す最小限の文字数に短縮できます。たとえば、完全形の write terminal コマンドを入力する代わりに wr t と入力してコンフィギュレーションを表示したり、 en と入力してイネーブル モードを開始したり、 con f t と入力してコンフィギュレーション モードを開始できます。また、 0 は、 0.0.0.0 を意味します。
コマンドラインの編集
FWSMのコマンドラインの編集規則は、Cisco IOS ソフトウェアと同じです。show history コマンドを使用すると、入力済みの全コマンドが表示されます。また、上矢印キーまたは ^p コマンドを使用して、前に入力したコマンドを 1 つずつ表示できます。入力したコマンドを確認したあと、下矢印キーまたは ^n コマンドを使用して、表示された内容の中で次に進むことができます。再使用したいコマンドに到達したら、構文を編集するか、Enter キーを押して実行します。 ^w を押すとカーソルの左側の文字が削除され、^u を押すと行全体が消去されます。
FWSMでは、1 つのコマンドに入力できるのは 512 文字までです。これを超えて入力された文字は無視されます。
コマンドの補完
文字列の一部の入力後にコマンドまたはキーワードを補完するには、 Tab キーを押します。FWSMでは、文字列の一部が 1 つのコマンドまたはキーワードにのみ一致する場合だけ、コマンドまたはキーワードが補完されます。たとえば、 s と入力して Tab キーを押した場合、FWSMではコマンドは補完されません。該当するコマンドが複数あるためです。しかし、 dis と入力して Tab キーを押した場合、 disable コマンドが完成します。
コマンド ヘルプ
コマンド ラインでヘルプ情報を利用するには、次のコマンドを入力します。
• help command_name
該当するコマンドのヘルプを表示します。
• help ?
ヘルプが利用できるコマンドを表示します。
• command_name ?
利用可能な引数のリストを表示します。
• string ? (スペースなし)
指定した文字列で始まるコマンドの候補を一覧表示します。
• ? および +?
利用可能なすべてのコマンドを一覧表示します。 ? と入力した場合、FWSMでは現在のモードで利用可能なコマンドのみが表示されます。下位のモード用のものも含めて利用可能なすべてのコマンドを表示するには、 +? と入力します。
(注) コマンド文字列にクエスチョン マーク(?)を含めるには、CLI のヘルプが呼び出されないように、Ctrl-V を押してからクエスチョン マークを入力する必要があります。
show コマンド出力のフィルタリング
showコマンドにフィルタ オプションおよびフィルタリング表現を指定するには、縦棒(|)を使用します。フィルタリングを実行すると、Cisco IOS ソフトウェアと同様に、各出力行が正規表現に対して照合されます。各種のフィルタ オプションを選択することによって、表現と一致するすべての出力を表示または除外できます。また、表現に一致する行で開始されるすべての出力を表示することもできます。
show コマンドでフィルタ オプションを指定する構文は、次のとおりです。
hostname# show command | {include | exclude | begin | grep [-v]} regexp
このコマンド文字列では、最初の縦棒(|)が、このコマンドに必須の演算子です。この演算子により、show コマンドの出力にフィルタが適用されます。構文内の他の縦棒(|)は代替オプションを示すもので、コマンドの一部ではありません。
include オプションを指定すると、正規表現に一致するすべての出力行が含まれます。-v を指定しないで grep オプションを使用する場合も、結果は同じです。exclude オプションを指定すると、正規表現に一致するすべての出力行が除外されます。-v を指定して grep オプションを使用する場合も、結果は同じです。begin オプションを指定すると、正規表現に一致する行で開始されるすべての出力行が表示されます。
regexp に、Cisco IOS の任意の正規表現を指定します。正規表現は引用符または二重引用符で囲まないので、末尾にスペースが含まれていないかどうか注意してください。末尾のスペースは正規表現の一部とみなされます。
正規表現を作成する場合には、照合する任意の文字または数字を使用できます。また、正規表現で使用すると、特別な意味を持つキーボード文字があります。 表C-2 に、特別な意味の文字を示します。
表C-2 正規表現での特殊文字の使用
|
|
|
ピリオド |
. |
空白スペースを含め、任意の 1 文字と一致します。 |
アスタリスク |
* |
パターンの 0 個以上のシーケンスと一致します。 |
プラス符号 |
+ |
パターンの 1 個以上のシーケンスと一致します。 |
クエスチョン マーク |
? |
パターンの 0 または 1 文字と一致します。 |
キャレット |
^ |
入力文字列の先頭と一致します。 |
ドル記号 |
$ |
入力文字列の末尾と一致します。 |
アンダースコア |
_ |
カンマ(,)、左波カッコ、右波カッコ、左丸カッコ、右丸カッコ、入力文字列の先頭、入力文字列の末尾、またはスペースと一致します。 |
角カッコ |
[] |
1 文字のパターンの範囲を指定します。 |
ハイフン |
- |
範囲の終点を区切ります。 |
これらの特殊文字を 1 文字のパターンとして使用するには、各文字の前にバックスラッシュ(\)を付けて特別な意味を消去します。
コマンド出力のページング
help または ?、show、show xlate、または出力行が長い他のコマンドでは、1 画面の情報だけを表示して停止するか、全情報を一度に表示するかを指定できます。pager コマンドを使用すると、何行表示したあとで More プロンプトを表示するかを設定できます。
ページングをイネーブルにすると、次のプロンプトが表示されます。
More プロンプトの使用方法は、UNIX の more コマンドと同様です。
• 次の画面を表示するには、スペースバーを押します。
• 次の行を表示するには、 Enter キーを押します。
• コマンドラインに戻るには q キーを押します。
コメントの追加
コメントを作成するには、行の先頭にコロン(:)を付けます。ただし、コメントが表示されるのはコマンド ヒストリ バッファ内だけで、コンフィギュレーションには表示されません。したがって、コメントを表示するには、show history コマンドを使用するか、または矢印キーを押して前のコマンドを検索します。コメントはコンフィギュレーションには含まれないので、write terminal コマンドを使用しても表示されません。
テキスト コンフィギュレーション ファイル
ここでは、FWSMにダウンロードできるテキスト コンフィギュレーション ファイルの作成方法について説明します。内容は次のとおりです。
• 「テキスト ファイル内の行とコマンドの対応」
• 「コマンド固有コンフィギュレーション モードのコマンド」
• 「自動テキスト エントリ」
• 「行の順序」
• 「テキスト コンフィギュレーションに含まれないコマンド」
• 「パスワード」
• 「複数のセキュリティ コンテキスト ファイル」
テキスト ファイル内の行とコマンドの対応
テキスト コンフィギュレーション ファイルに含まれる行は、このマニュアルに説明されているコマンドに対応しています。
たとえば、コマンドの先頭に CLI プロンプトが記述されます。次に、[hostname (config)#] プロンプトの例を示します。
hostname(config)# context a
テキスト コンフィギュレーション ファイルでは、コマンド入力のプロンプトはないので、プロンプトは省略されます。
コマンド固有コンフィギュレーション モードのコマンド
コマンドラインで入力する場合には、コマンド固有コンフィギュレーション モードのコマンドはメイン コマンドの下にインデントされて表示されます。テキスト ファイルの行では、メイン コマンドのすぐあとにコマンドがあれば、インデントする必要はありません。たとえば、次のインデントなしの前半の 2 行は、インデントされている後半の 2 行と同じ意味です。
interface gigabitethernet0
interface gigabitethernet1
自動テキスト エントリ
FWSMにコンフィギュレーションをダウンロードすると、FWSMにより一部の行が自動的に挿入されます。たとえば、デフォルト設定行または設定変更日時などが、FWSMによって挿入されます。これらの自動エントリの情報は、テキスト ファイルの作成時に入力する必要はありません。
行の順序
ほとんどの場合、ファイルには、任意の順序でコマンドを設定できます。ただし、Access Control Entry(ACE; アクセス制御エントリ)などの行は表示された順序で処理され、この順序が、アクセス リストの動作に影響します。ほかにも、順序が影響するコマンドがあります。たとえば、最初にインターフェイスの nameif コマンドを入力する必要があります。後続の多数のコマンドでそのインターフェイスの名前を使用するからです。また、コマンド固有コンフィギュレーション モードのコマンドは、メイン コマンドのすぐあとに指定する必要があります。
テキスト コンフィギュレーションに含まれないコマンド
一部のコマンドは、コンフィギュレーションの行に挿入されません。たとえば、 show running-config などの実行時コマンドは、テキスト ファイルに対応する行が含まれません。
パスワード
ログイン、イネーブル、およびユーザの各パスワードは、コンフィギュレーションに保存される前に自動的に暗号化されます。たとえば、[cisco] パスワードは、jMorNbK0514fadBh のように暗号化されます。コンフィギュレーションのパスワードは別のFWSMに暗号化された状態でコピーできますが、パスワードの暗号をユーザが解読することはできません。
暗号化されていないパスワードをテキスト ファイルに入力した場合、コンフィギュレーションをFWSMにコピーしても、FWSMによってパスワードが自動的に暗号化されることはありません。FWSMがパスワードを暗号化するのは、 copy running-config startup-config コマンドまたは write memory コマンドを入力して、コマンドラインから実行コンフィギュレーションを保存する場合だけです。
複数のセキュリティ コンテキスト ファイル
セキュリティ コンテキストが複数ある場合、コンフィギュレーション全体が複数のパーツに分割されます。
• セキュリティ コンテキストのコンフィギュレーション
• コンテキストのリストなど、FWSMの基本設定を含むシステム コンフィギュレーション
• システム コンフィギュレーションのネットワーク インターフェイスを提供する admin コンテキスト
システム コンフィギュレーション自体には、インターフェイスまたはネットワーク設定は含まれません。(サーバからコンテキストをダウンロードするなど)ネットワーク リソースにアクセスする必要がある場合、システムは、admin コンテキストとして設定されたコンテキストを使用します。
各コンテキストは、シングルコンテキスト モードの設定と同様です。システム コンフィギュレーションは、コンテキストのコンフィギュレーションとは異なります。システム コンフィギュレーションにはシステム専用コマンド(全コンテキストのリストなど)だけが含まれ、(多数のインターフェイス パラメータなどの)一般的なコマンドは含まれません。