Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
CLI の使用
CLI の使用
発行日;2012/02/01 | 英語版ドキュメント(2010/04/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

CLI の使用

ファイアウォール モードおよびセキュリティ コンテキスト モード

コマンド モードおよびプロンプト

構文の形式

コマンドの短縮形

コマンドラインの編集

コマンドの補完

コマンド ヘルプ

show コマンド出力のフィルタリング

コマンド出力のページング

コメントの追加

テキスト コンフィギュレーション ファイル

テキスト ファイル内の行とコマンドの対応

コマンド固有コンフィギュレーション モードのコマンド

自動テキスト エントリ

行の順序

テキスト コンフィギュレーションに含まれないコマンド

パスワード

マルチセキュリティ コンテキスト ファイル

CLI の使用

この付録では、FWSM 上での CLI の使用方法について説明します。内容は次のとおりです。

「ファイアウォール モードおよびセキュリティ コンテキスト モード」

「コマンド モードおよびプロンプト」

「構文の形式」

「コマンドの短縮形」

「コマンドラインの編集」

「コマンドの補完」

「コマンド ヘルプ」

「show コマンド出力のフィルタリング」

「コマンド出力のページング」

「コメントの追加」

「テキスト コンフィギュレーション ファイル」


) この CLI の構文およびその他の規則は Cisco IOS CLI と同様ですが、FWSM の Operating System(OS; オペレーティング システム)は、Cisco IOS ソフトウェアのバージョンではありません。Cisco IOS CLI のコマンドを FWSM でそのまま使用できたり、または FWSM OS の CLI 機能が Cisco IOS CLI と同様の機能を持つとはかぎりません。


ファイアウォール モードおよびセキュリティ コンテキスト モード

FWSM は、次のモードを組み合わせて動作します。

トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モード

ファイアウォール モードにより、FWSM がレイヤ 2 ファイアウォールとして動作するかレイヤ 3 ファイアウォールとして動作するかが決まります。

マルチコンテキスト モードまたはシングルコンテキスト モード

セキュリティ コンテキスト モードにより、FWSM がシングル デバイスとして動作するか、仮想デバイスのようなマルチセキュリティ コンテキストとして動作するかが決まります。

コマンドによっては、特定のモードでしか使用できないものもあります。

コマンド モードおよびプロンプト

FWSMCLI には、コマンド モードがあります。コマンドによっては、特定のモードでしか使用できないものもあります。たとえば、機密情報を表示するコマンドを入力するには、パスワードを入力して特別なモードに切り替える必要があります。また、誤ってコンフィギュレーションの変更が入力されないようにするには、コンフィギュレーション モードに切り替える必要があります。下位のコマンドは、上位のモードで入力できます。たとえば、イネーブル EXEC コマンドはグローバル コンフィギュレーション モードで入力できます。

システム コンフィギュレーションまたはシングルコンテキスト モードの場合、プロンプトはホスト名から開始されます。

hostname
 

コンテキスト内では、プロンプトのホスト名のあとにコンテキスト名が表示されます。

hostname/context
 

プロンプトの表示は、アクセス モードによって異なります。

ユーザ ECEC モード

ユーザ EXEC モードでは、最小限の FWSM 設定が表示されます。最初に FWSM にアクセスしたときのユーザ EXEC モードのプロンプトは、次のようになります。

hostname>
 
hostname/context>
 

イネーブル EXEC モード

イネーブル EXEC モードでは、ユーザのイネーブル レベルまでの現在の設定がすべて表示されます。ユーザ EXEC モードのコマンドは、イネーブル EXEC モードで機能します。イネーブル EXEC モードを開始するには、ユーザ EXEC モードで enable コマンドを入力します(パスワードが必要)。プロンプトに、番号記号(#)が追加されます。

hostname#
 
hostname/context#
 

グローバル コンフィギュレーション モード

グローバル コンフィギュレーション モードでは、FWSM のコンフィギュレーションを変更することができます。このモードでは、すべてのユーザ EXEC コマンド、イネーブル EXEC コマンド、およびグローバル コンフィギュレーション コマンドを使用できます。グローバル コンフィギュレーション モードを開始するには、イネーブル EXEC モードで configure terminal コマンドを入力します。プロンプトが次のように変わります。

hostname(config)#
 
hostname/context(config)#
 

コマンド固有コンフィギュレーション モード

一部のコマンドは、グローバル コンフィギュレーション モードからコマンド固有コンフィギュレーション モードを開始します。このモードでは、すべてのユーザ EXEC コマンド、イネーブル EXEC コマンド、グローバル コンフィギュレーション コマンド、およびコマンド固有コンフィギュレーション コマンドを使用できます。たとえば、 interface コマンドを入力するとインターフェイス コンフィギュレーション モードが開始します。プロンプトが次のように変わります。

hostname(config-if)#
 
hostname/context(config-if)#
 

構文の形式

コマンド構文の記述には、次の表記法を使用しています。

 

表 C-1 構文の表記法

表記法
説明

太字

太字の文字は、表示どおりにユーザが入力するコマンドおよびキーワードです。

イタリック体

イタリックの文字は、ユーザが値を指定する引数です。

[x]

角カッコで囲まれているものは、省略可能な要素(キーワードまたは引数)です。

|

縦棒で区切られている場合、複数の任意または必須のキーワードまたは引数から、
1 つを選択します。

[x | y]

角カッコで囲まれ、縦棒で区切られたキーワードまたは引数は、任意の選択肢です。

{x | y}

波カッコで囲まれ、縦棒で区切られたキーワードまたは引数は、必須の選択肢です。

[x {y | z}]

角カッコまたは波カッコが重複している場合、任意または必須の要素内の、任意または必須の選択肢を示します。角カッコ内の波カッコおよび縦棒は、任意の要素内の
必須の選択肢です。

コマンドの短縮形

コマンドは、そのコマンドが固有であることを示す最小限の文字数に短縮できます。たとえば、完全形の write terminal コマンドを入力する代わりに wr t と入力してコンフィギュレーションを表示したり、 en と入力してイネーブル モードを開始したり、 con f t と入力してコンフィギュレーション モードを開始できます。また、 0 は、 0.0.0.0 を意味します。

コマンドラインの編集

FWSM のコマンドラインの編集規則は、Cisco IOS ソフトウェアと同じです。show history コマンドを使用すると、入力済みの全コマンドが表示されます。また、上矢印キーまたは ^p コマンドを使用して、前に入力したコマンドを 1 つずつ表示できます。入力したコマンドを確認したあと、下矢印キーまたは ^n コマンドを使用して、表示された内容の中で次に進むことができます。再使用したいコマンドに到達したら、構文を編集するか、Enter キーを押して実行します。 ^w を押すとカーソルの左側の文字が削除され、^u を押すと行全体が消去されます。

FWSM では、1 つのコマンドに入力できるのは 512 文字までです。これを超えて入力された文字は無視されます。

コマンドの補完

文字列の一部の入力後にコマンドまたはキーワードを補完するには、 Tab キーを押します。FWSM では、文字列の一部が 1 つのコマンドまたはキーワードにだけ一致する場合だけ、コマンドまたはキーワードが補完されます。たとえば、 s と入力して Tab キーを押した場合、FWSM ではコマンドは補完されません。該当するコマンドが複数あるためです。しかし、 dis と入力して Tab キーを押した場合、 disable コマンドが完成します。

コマンド ヘルプ

コマンドラインでヘルプ情報を利用するには、次のコマンドを入力します。

help command_name

該当するコマンドのヘルプを表示します。

help ?

ヘルプが利用できるコマンドを表示します。

command_name ?

利用可能な引数のリストを表示します。

string ? (スペースなし)

指定した文字列で始まるコマンドの候補を一覧表示します。

? および +?

利用可能なすべてのコマンドを一覧表示します。 ? と入力した場合、FWSM では現在のモードで利用可能なコマンドだけが表示されます。下位のモード用のものも含めて利用可能なすべてのコマンドを表示するには、 +? と入力します。


) コマンド文字列にクエスチョン マーク(?)を含めるには、CLI のヘルプが呼び出されないように、Ctrl-V を押してからクエスチョン マークを入力する必要があります。


show コマンド出力のフィルタリング

show コマンドにフィルタ オプションおよびフィルタリング表現を指定するには、縦棒(|)を使用します。フィルタリングを実行すると、Cisco IOS ソフトウェアと同様に、各出力行が正規表現に対して照合されます。各種のフィルタ オプションを選択することによって、表現と一致するすべての出力を表示または除外できます。また、表現に一致する行で開始されるすべての出力を表示することもできます。

show コマンドでフィルタ オプションを指定する構文は、次のとおりです。

hostname# show command | {include | exclude | begin | grep [-v]} regexp
 

このコマンド文字列では、最初の縦棒(|)が、このコマンドに必須の演算子です。この演算子により、show コマンドの出力にフィルタが適用されます。構文内の他の縦棒(|)は代替オプションを示すもので、コマンドの一部ではありません。

include オプションを指定すると、正規表現に一致するすべての出力行が含まれます。-v を指定しないで grep オプションを使用する場合も、結果は同じです。exclude オプションを指定すると、正規表現に一致するすべての出力行が除外されます。-v を指定して grep オプションを使用する場合も、結果は同じです。begin オプションを指定すると、正規表現に一致する行で開始されるすべての出力行が表示されます。

Cisco IOS の任意の正規表現を regexp に指定します。正規表現は引用符または二重引用符で囲まないので、末尾にスペースが含まれていないかどうか注意してください。末尾のスペースは正規表現の一部と見なされます。

正規表現を作成する場合には、照合する任意の文字または数字を使用できます。また、正規表現で使用すると、特別な意味を持つキーボード文字があります。 表 C-2 に、特別な意味の文字を示します。

 

表 C-2 正規表現での特殊文字の使用

文字タイプ
文字
特別な意味

ピリオド

.

空白スペースを含め、任意の 1 文字と一致します。

アスタリスク

*

パターンの 0 個以上のシーケンスと一致します。

プラス符号

+

パターンの 1 個以上のシーケンスと一致します。

クエスチョン マーク

?1

パターンの 0 または 1 文字と一致します。

キャレット

^

入力文字列の先頭と一致します。

ドル記号

$

入力文字列の末尾と一致します。

アンダー
スコア

_

カンマ(,)、左波カッコ、右波カッコ、左丸カッコ、右丸カッコ、入力文字列の先頭、入力文字列の末尾、またはスペースと一致します。

角カッコ

[]

1 文字のパターンの範囲を指定します。

ハイフン

-

範囲の終点を区切ります。

1.クエスチョン マークがヘルプ コマンドとして解釈されないようにするため、クエスチョン マークを入力する前に Ctrl-V を押します。

これらの特殊文字を 1 文字のパターンとして使用するには、各文字の前にバックスラッシュ(\)を付けて特別な意味を消去します。

コマンド出力のページング

help または ?、show、show xlate、または出力行が長い他のコマンドでは、1 画面の情報だけを表示して停止するか、全情報を一度に表示するかを指定できます。pager コマンドを使用すると、何行表示したあとで More プロンプトを表示するかを設定できます。

ページングをイネーブルにすると、次のプロンプトが表示されます。

<--- More --->
 

More プロンプトの使用方法は、UNIX の more コマンドと同様です。

次の画面を表示するには、スペースバーを押します。

次の行を表示するには、 Enter キーを押します。

コマンドラインに戻るには、q キーを押します。

コメントの追加

コメントを作成するには、行の先頭にコロン( : )を付けます。ただし、コメントが表示されるのはコマンド ヒストリ バッファ内だけで、コンフィギュレーションには表示されません。したがって、コメントを表示するには、show history コマンドを使用するか、または矢印キーを押して前のコマンドを検索します。コメントはコンフィギュレーションには含まれないので、write terminal コマンドを使用しても表示されません。

テキスト コンフィギュレーション ファイル

ここでは、FWSM にダウンロードできるテキスト コンフィギュレーション ファイルの作成方法について説明します。内容は次のとおりです。

「テキスト ファイル内の行とコマンドの対応」

「コマンド固有コンフィギュレーション モードのコマンド」

「自動テキスト エントリ」

「行の順序」

「テキスト コンフィギュレーションに含まれないコマンド」

「パスワード」

「マルチセキュリティ コンテキスト ファイル」

テキスト ファイル内の行とコマンドの対応

テキスト コンフィギュレーション ファイルに含まれる行は、このマニュアルに説明されているコマンドに対応しています。

たとえば、コマンドの先頭に CLI プロンプトが記述されます。次に、「hostname(config)#」プロンプトの例を示します。

hostname(config)# context a
 

テキスト コンフィギュレーション ファイルでは、コマンド入力のプロンプトはないので、プロンプトは省略されます。

context a
 

コマンド固有コンフィギュレーション モードのコマンド

コマンドラインで入力する場合には、コマンド固有コンフィギュレーション モードのコマンドはメイン コマンドの下にインデントされて表示されます。テキスト ファイルの行では、メイン コマンドのすぐあとにコマンドがあれば、インデントする必要はありません。たとえば、次のインデントなしの前半の 2 行は、インデントされている後半の 2 行と同じ意味です。

interface gigabitethernet0
nameif inside
interface gigabitethernet1
nameif outside
 

自動テキスト エントリ

FWSM にコンフィギュレーションをダウンロードすると、FWSM により一部の行が自動的に挿入されます。たとえば、デフォルト設定行またはコンフィギュレーション変更日時などが、FWSM によって挿入されます。これらの自動エントリの情報は、テキスト ファイルの作成時に入力する必要はありません。

行の順序

ほとんどの場合、ファイルには、任意の順序でコマンドを設定できます。ただし、Access Control Entry(ACE; アクセス制御エントリ)などの行は表示された順序で処理され、この順序が、アクセス リストの動作に影響します。ほかにも、順序が影響するコマンドがあります。たとえば、最初にインターフェイスの nameif コマンドを入力する必要があります。後続の多数のコマンドでそのインターフェイスの名前を使用するからです。また、コマンド固有コンフィギュレーション モードのコマンドは、メイン コマンドのすぐあとに指定する必要があります。

テキスト コンフィギュレーションに含まれないコマンド

一部のコマンドは、コンフィギュレーションの行に挿入されません。たとえば、 show running-config などの実行時コマンドは、テキスト ファイルに対応する行が含まれません。

パスワード

ログイン、イネーブル、およびユーザの各パスワードは、コンフィギュレーションに保存される前に自動的に暗号化されます。たとえば、「cisco」というパスワードは、jMorNbK0514fadBh のように暗号化されます。コンフィギュレーションのパスワードは別の FWSM に暗号化された状態でコピーできますが、パスワードの暗号をユーザが解読することはできません。

暗号化されていないパスワードをテキスト ファイルに入力した場合、コンフィギュレーションを FWSM にコピーしても、FWSM によってパスワードが自動的に暗号化されることはありません。FWSM がパスワードを暗号化するのは、 copy running-config startup-config コマンドまたは write memory コマンドを入力して、コマンドラインから実行コンフィギュレーションを保存する場合だけです。

マルチセキュリティ コンテキスト ファイル

マルチセキュリティ コンテキストの場合、コンフィギュレーション全体が複数のパーツに分割されます。

セキュリティ コンテキストのコンフィギュレーション

コンテキストのリストなど、FWSM の基本設定を含むシステム コンフィギュレーション

システム コンフィギュレーションのネットワーク インターフェイスを提供する admin コンテキスト

システム コンフィギュレーション自体には、インターフェイスまたはネットワーク設定は含まれません。(サーバからコンテキストをダウンロードするなど)ネットワーク リソースにアクセスする必要がある場合、システムは、admin コンテキストとして設定されたコンテキストを使用します。

各コンテキストは、シングルコンテキスト モードのコンフィギュレーションと同様です。システム コンフィギュレーションは、コンテキストのコンフィギュレーションとは異なります。システム コンフィギュレーションにはシステム専用コマンド(全コンテキストのリストなど)だけが含まれ、(多数のインターフェイス パラメータなどの)一般的なコマンドは含まれません。