Cisco ASA サービス モジュール CLI コンフィギュレーション ガイド ソフトウェア バージョン 8.5
基本設定
基本設定
発行日;2012/09/24 | 英語版ドキュメント(2012/05/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

基本設定

ホスト名、ドメイン名、およびパスワードの設定

ログイン パスワードの変更

イネーブル・パスワードの変更

ホスト名の設定

ドメイン名の設定

マスター パスフレーズの設定

マスター パスフレーズに関する情報

マスター パスフレーズのライセンス要件

ガイドラインと制限事項

マスター パスフレーズの追加または変更

マスター パスフレーズのディセーブル化

マスター パスフレーズの回復

マスター パスフレーズの機能履歴

DNS サーバの設定

DNS キャッシュのモニタリング

DNS キャッシュ モニタリング コマンド

DNS キャッシュの機能履歴

基本設定

この章では、ASASM 上で機能を果たすコンフィギュレーションに通常必要とされる基本設定を行う方法について説明します。この章は、次の項で構成されています。

「ホスト名、ドメイン名、およびパスワードの設定」

「マスター パスフレーズの設定」

「DNS サーバの設定」

ホスト名、ドメイン名、およびパスワードの設定

この項では、デバイス名とパスワードの変更方法を説明します。次の項目を取り上げます。

「ログイン パスワードの変更」

「イネーブル・パスワードの変更」

「ホスト名の設定」

「ドメイン名の設定」

ログイン パスワードの変更

ログイン パスワードを変更するには、次のコマンドを入力します。

 

コマンド
目的
{ passwd | password } password

ログイン パスワードを変更します。ログイン パスワードは Telnet 接続と SSH 接続に使用されます。デフォルトのログイン パスワードは「cisco」です。

passwd または password と入力します。パスワードは、最大 16 文字の英数字および特殊文字で、大文字と小文字の区別があります。パスワードには、疑問符とスペースを除いて、任意の文字を使用できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードをデフォルト設定に戻すには、 no password コマンドを使用します。

イネーブル・パスワードの変更

イネーブル パスワードを変更するには、次のコマンドを入力します。

 

コマンド
目的

enable password password

 
hostname(config)# passwd Pa$$w0rd

特権 EXEC モードを開始できるようにイネーブル パスワードを変更します。デフォルトでは、イネーブル パスワードは空白です。

password 引数は、最大 16 文字の英数字および特殊文字からなるパスワードで、大文字と小文字は区別されます。パスワードには、疑問符とスペースを除いて、任意の文字を使用できます。

このコマンドは最高の特権レベルにパスワードを変更します。ローカル コマンド認可を設定すると、0 ~ 15 の各特権レベルにイネーブル パスワードを設定できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードを指定せずに enable password コマンドを入力すると、パスワードはデフォルトの空白に設定されます。

ホスト名の設定

ホスト名を設定するには、次のコマンドを入力します。

 

コマンド
目的

hostname name

 
hostname(config)# hostname farscape

farscape(config)#

ASASM またはコンテキストのホスト名を指定します。

名前には、63 文字以下の文字を使用できます。ホスト名はアルファベットまたは数字で開始および終了する必要があり、間の文字にはアルファベット、数字、またはハイフンのみを使用する必要があります。

ASASM のホスト名を設定すると、そのホスト名がコマンド ラインのプロンプトに表示されます。このホスト名によって、複数のデバイスとのセッションを確立する場合に、コマンドを入力する場所が常に把握できます。デフォルトのホスト名はプラットフォームによって異なります。

マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンド ラインのプロンプトに表示されます。コンテキスト内にオプションで設定したホスト名はコマンド ラインに表示されませんが、 banner コマンドの $(hostname) トークンで使用できます。

ドメイン名の設定

ドメイン名を設定するには、次のコマンドを入力します。

 

コマンド
目的

domain-name name

 

hostname(config)# domain-name example.com

ASASM のドメイン名を指定します。

ASASM は、修飾子を持たない名前のサフィクスとして、ドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバに非修飾名「jupiter」を指定する場合、ASASM には「jupiter.example.com」という名前が与えられます。

デフォルト ドメイン名は default.domain.invalid です。

マルチ コンテキスト モードでは、システム実行スペース内だけではなく、各コンテキストに対してドメイン名を設定できます。

マスター パスフレーズの設定

この項では、マスター パスフレーズの設定方法について説明します。次の項目を取り上げます。

「マスター パスフレーズに関する情報」

「マスター パスフレーズのライセンス要件」

「ガイドラインと制限事項」

「マスター パスフレーズの追加または変更」

「マスター パスフレーズのディセーブル化」

「マスター パスフレーズの回復」

「マスター パスフレーズの機能履歴」

マスター パスフレーズに関する情報

マスター パスフレーズ機能を利用すると、プレーン テキスト パスワードを暗号化された形式で安全に保存できます。マスター パスフレーズは、機能を変更することなく、すべてのパスワードを一般的に暗号化またはマスキングするために使用するキーです。マスター パスフレーズを実装する機能として次のものがあります。

OSPF

EIGRP

VPN ロード バランシング

VPN (リモート アクセスおよびサイトツーサイト)

フェールオーバー

AAA サーバ

ロギング

共有ライセンス

マスター パスフレーズのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マスター パスフレーズの追加または変更

この項では、マスター パスフレーズを追加または変更する方法について説明します。

前提条件

フェールオーバーがイネーブルで、フェールオーバー共有キーが設定されていない場合、マスター パスフレーズを変更すると、エラー メッセージが表示されます。このメッセージには、マスター パスフレーズの変更がプレーン テキストとして送信されないようにフェールオーバー共有キーを入力する必要があることが示されます。

この手順を実行できるのは、HTTPS を介したコンソール、SSH、ASDM などによるセキュア セッションにおいてのみです。

マスター パスフレーズを追加または変更するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

key config-key password-encryption [ new_passphrase [ old_passphrase ]]

 
hostname(config)# key config-key password-encryption
Old key: bumblebee
New key: haverford
Confirm key: haverford

暗号キーの生成に使用されるパスフレーズを設定します。パスフレーズの長さは、8 ~ 128 文字にする必要があります。パスフレーズには、バック スペースと二重引用符を除くすべての文字を使用できます。

コマンドに新しいパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。

パスフレーズを変更する際は、現在のパスフレーズも入力する必要があります。

インタラクティブ プロンプトの例については、「例」を参照してください。

(注) インタラクティブ プロンプトを使用してパスワードを入力し、パスワードがコマンド履歴バッファに記録されないようにします。

暗号化されたパスワードがプレーン テキスト パスワードに変換されるため、no key config-key password-encrypt コマンドは注意して使用してください。パスワードの暗号化がサポートされていないソフトウェア バージョンにダウングレードするときは、このコマンドの no 形式を使用できます。

ステップ 2

password encryption aes
 
hostname(config)# password encryption aes

パスワードの暗号化をイネーブルにします。パスワードの暗号化が有効になり、マスター パスワードが使用可能になると、ただちにすべてのユーザ パスワードが暗号化されます。実行コンフィギュレーションには、パスワードは暗号化された形式で表示されます。

パスワードの暗号化をイネーブルにしたときに、パスフレーズが設定されていない場合、パスフレーズが将来的に使用可能になるものとしてコマンドは正常に実行されます。

後から no password encryption aes コマンドを使用してパスワードの暗号化をディセーブルにすると、暗号化された既存のパスワードは変更されず、マスター パスフレーズが存在する限り、暗号化されたパスワードはアプリケーションによって必要に応じて復号化されます。

ステップ 3

write memory

 
hostname(config)# write memory

マスター パスフレーズのランタイム値と結果のコンフィギュレーションを保存します。このコマンドを入力せず、以前に暗号化で保存されていない場合、スタートアップ コンフィギュレーションのパスワードは引き続き表示されます。

また、マルチ コンテキスト モードでは、マスター パスフレーズはシステム コンテキスト コンフィギュレーション内で変更されます。その結果、すべてのコンテキスト内のパスワードが影響を受けます。すべてのユーザ コンテキストではなく、システム コンテキスト モードで write memory コマンドを入力しないと、ユーザ コンテキストで暗号化されたパスワードは失効する可能性があります。また、すべての設定を保存するには、システム コンテキストで write memory all コマンドを使用します。

次の設定例には、以前のキーがありません。

hostname (config)# key config-key password-encryption 12345678
 

次の設定例には、キーがすでに存在しています。

Hostname (config)# key config-key password-encryption 23456789
Old key: 12345678
hostname (config)#
 

次の設定例では、対話形式の入力を求めていますが、キーはすでに存在しています。 key config-key password-encryption コマンドを入力して、 Enter キーを押し、インタラクティブ モードに入ると、[Old key]、[New key]、および [Confirm key] のプロンプトが画面に表示されます。

hostname (config)# key config-key password-encryption
Old key: 12345678
New key: 23456789
Confirm key: 23456789
 

次の例では、対話形式の入力を求めていますが、キーは存在しません。インタラクティブ モードに入ると、[New key] および [Confirm key] のプロンプトが表示されます。

hostname (config)# key config-key password-encryption
New key: 12345678
Confirm key: 12345678

マスター パスフレーズのディセーブル化

マスター パスフレーズをディセーブルにすると、暗号化されたパスワードがプレーン テキスト パスワードに戻ります。暗号化されたパスワードをサポートしていない以前のソフトウェア バージョンにダウングレードする場合は、パスフレーズを削除しておくと便利です。

前提条件

ディセーブルにする現在のマスター パスフレーズがわかっていなければなりません。パスフレーズが不明の場合は、「マスター パスフレーズの回復」を参照してください。

この手順を実行できるのは、HTTPS を介した Telnet、SSH、または ASDM によるセキュア セッションだけです。

手順の詳細

 

コマンド
目的

ステップ 1

no key config-key password-encryption [ old_passphrase ]]

 
hostname(config)# no key config-key password-encryption
 
Warning! You have chosen to revert the encrypted passwords to plain text. This operation will expose passwords in the configuration and therefore exercise caution while viewing, storing, and copying configuration.
 
Old key: bumblebee

マスター パスフレーズを削除します。

コマンドにパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。

ステップ 2

write memory

 
hostname(config)# write memory

マスター パスフレーズのランタイム値と結果のコンフィギュレーションを保存します。パスフレーズを含む不揮発性メモリは消去され、0xFF パターンで上書きされます。

マルチ モードでは、システム コンテキスト コンフィギュレーション内のマスター パスフレーズが変更されます。その結果、すべてのコンテキスト内のパスワードが影響を受けます。すべてのユーザ コンテキストではなく、システム コンテキスト モードで write memory コマンドを入力しないと、ユーザ コンテキストで暗号化されたパスワードは失効する可能性があります。また、すべての設定を保存するには、システム コンテキストで write memory all コマンドを使用します。

マスター パスフレーズの回復

マスター パスフレーズは回復できません。

マスター パスフレーズが失われたか、不明な場合は、reload コマンドに続いて、write erase コマンドを使用して削除できます。これらのコマンドは、暗号化されたパスワードを含むコンフィギュレーションとマスター キーを削除します。

マスター パスフレーズの機能履歴

表 9-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 9-1 マスター パスフレーズの機能履歴

機能名
プラットフォーム リリース
機能情報

マスター パスフレーズ

8.3(1)

この機能が導入されました。

key config-key password-encryption password encryption aes clear configure password encryption aes show running-config password encryption aes、show password encryption コマンドが導入されました。

パスワード暗号化の可視性

8.4(1)

show password encryption コマンドが変更されました。

DNS サーバの設定

一部の ASASM 機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。他の機能( ping コマンドや traceroute コマンドなど)では、トレースルートのために ping する名前を入力できます。ASASM では、DNS サーバと通信してこの名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。


) ASASM では、機能に応じて DNS サーバの使用が限定的にサポートされます。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できるのは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用して名前の使用をイネーブルにした場合だけです。


ダイナミック DNS の詳細については、「DDNS の設定」を参照してください。

前提条件

DNS ドメイン ルックアップをイネーブルにするすべてのインターフェイスに対して適切なルーティングを設定し、DNS サーバに到達できるようにしてください。ルーティングの詳細については、「ルーティングに関する情報」を参照してください。

手順の詳細

 

コマンド
目的

ステップ 1

dns domain-lookup interface_name
 

hostname(config)# dns domain-lookup inside

サポートされているコマンドに対してネーム ルックアップを実行するために、ASASM が DNS サーバに DNS 要求を送信できるようにします。

ステップ 2

dns server-group DefaultDNS
 
hostname(config)# dns server-group DefaultDNS

ASASM が発信要求に使用する DNS サーバ グループを指定します。

PN トンネル グループ用に他の DNS サーバ グループを設定できます。詳細については、コマンド リファレンスの tunnel-group コマンドを参照してください。

ステップ 3

name-server ip_address [ip_address2] [...] [ip_address6]
 
hostname(config-dns-server-group)# name-server 10.1.1.5 192.168.1.67 209.165.201.6

1 つまたは複数の DNS サーバを指定します。同じコマンドで 6 つの IP アドレスすべてをスペースで区切って入力するか、各コマンドを別々に入力できます。ASASM では、応答を受信するまで各 DNS サーバを順に試します。

DNS キャッシュのモニタリング

ASASM では、特定のクライアントレス SSL VPN および certificate コマンドに送信された外部 DNS クエリーの DNS 情報にローカル キャッシュを提供します。各 DNS 変換要求は、ローカル キャッシュで最初に検索されます。ローカル キャッシュに情報がある場合、結果の IP アドレスが戻されます。ローカル キャッシュで要求を解決できない場合、設定されているさまざまな DNS サーバに DNS クエリーが送信されます。外部 DNS サーバによって要求が解決された場合、結果の IP アドレスと、対応するホスト名が一緒にローカル キャッシュに格納されます。

DNS キャッシュ モニタリング コマンド

DNS キャッシュをモニタするには、次のコマンドを入力します。

 

コマンド
目的

show dns-hosts

 

DNS キャッシュが表示されます。これには、DNS サーバからダイナミックに学習したエントリと name コマンドを使用して手動で入力された名前および IP アドレスが含まれます。

DNS キャッシュの機能履歴

表 9-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 9-2 DNS キャッシュの機能履歴

機能名
プラットフォーム リリース
機能情報

DNS Cache

7.0(1)

DNS キャッシュは、DNS サーバがより迅速にクエリーに応答できるように応答を格納します。

show dns host コマンドが導入されました。