Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド Release 3.1(1)
Firewall Services Module の接続およ び設定の管理
Firewall Services Module の接続および設定の管理
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

Firewall Services Module の接続および設定の管理

Firewall Services Module との接続

FWSM へのログイン

FWSM からのログアウト

設定の管理

変更した設定の保存

変更した設定の保存(シングルコンテキスト モードの場合)

変更した設定の保存(マルチコンテキスト モードの場合)

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

設定の表示

設定内の設定値の消去および削除

テキスト コンフィギュレーション ファイルをオフラインで作成する方法

Firewall Services Module の接続および設定の管理

この章では、コマンドライン インターフェイスへのアクセス方法および設定の管理方法について説明します。この章で説明する内容は、次のとおりです。

「Firewall Services Module との接続」

「設定の管理」

Firewall Services Module との接続

ここでは、スイッチのコマンドラインから FWSM に接続または「セッション」を開始する方法について説明します。FWSM からログアウトしてスイッチの CLI にアクセスする方法についても説明します。ここでは、次の内容について説明します。

「FWSM へのログイン」

「FWSM からのログアウト」

FWSM へのログイン

FWSM には外部コンソール ポートがないので、FWSM とのセッションを開始して初期設定を行う必要があります。FWSM 本体のインターフェイスと IP アドレスを設定してからであれば、FWSM のインターフェイスを介して FWSM の CLI にリモート アクセスできます。詳細については、 第 21 章「管理アクセスの設定」 を参照してください。

ユーザ認証に関する他の設定がない場合、ログイン方式はデフォルト ユーザとしてのログインです。

1. ログイン パスワードを使用してユーザ EXEC モードにアクセスします。

2. コンフィギュレーション コマンドにアクセスするには、イネーブル EXEC モードを開始する必要があります。それには、第 2 パスワードが必要です。

3. イネーブル EXEC モードからグローバル コンフィギュレーション モードにアクセスできます。この場合、パスワードは不要です。


注意 FWSM への管理アクセスの実行は、パフォーマンスが低下する原因になります。高いネットワーク パフォーマンスを保持する必要がある場合には、FWSM にアクセスしないことを推奨します。

スイッチから FWSM とのセッションを開始してログインし、イネーブル モードにアクセスし、コンフィギュレーション モードを開始する手順は次のとおりです。


ステップ 1 スイッチの OS(オペレーティング システム)に応じたコマンドを使用して、スイッチから FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

マルチコンテキスト モードの場合、FWSM とのセッションを開始すると、システム コンフィギュレーションにアクセスすることになります。詳細については、 第 4 章「セキュリティ コンテキストの設定」 を参照してください。

ステップ 2 次のプロンプトにログイン パスワードを入力して、FWSM にログインします。

hostname passwd:
 

デフォルトのパスワードは、 cisco です。

パスワードの変更については、「パスワードの変更」を参照してください。

ステップ 3 次のコマンドを入力して、イネーブル EXEC モードにアクセスします。

hostname> enable
 

このコマンドによって、最上位の権限レベルにアクセスできます。

次のプロンプトが表示されます。

Password:
 

ステップ 4 プロンプトにイネーブル パスワードを入力します。

パスワードはデフォルトでブランクです。Enter キーを押すと、処理を継続します。イネーブル パスワードの変更については、「パスワードの変更」を参照してください。

プロンプトが次のように変わります。

hostname#
 

イネーブル モードを終了する場合は、 disable を入力します。 exit または quit を入力して現在のアクセス モード(イネーブル EXEC モード、グローバル コンフィギュレーション モードなど)を終了することもできます。

ステップ 5 次のコマンドを入力して、コンフィギュレーション モードにアクセスします。

hostname# configure terminal
 

プロンプトが次のように変わります。

hostname(config)#
 


 

FWSM からのログアウト

FWSM セッションを終了してスイッチの CLI にアクセスするには、次のコマンドを入力します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードを使用している場合、 exit コマンドを複数回入力しなければならないことがあります。

設定の管理

ここでは、設定の管理方法について説明します。FWSM は、スタートアップ コンフィギュレーションというテキスト ファイルから設定をロードします。

コマンドを入力したときに変更されるのは、メモリ内の実行コンフィギュレーションだけです。再起動後も変更を維持するには、スタートアップ コンフィギュレーションに実行コンフィギュレーションを手動で保存する必要があります。

この項の情報は、シングル セキュリティ コンテキストとマルチセキュリティ コンテキストの両方に当てはまります。例外については、そのつど明記します。コンテキストの詳細については、 第 4 章「セキュリティ コンテキストの設定」 を参照してください。

ここでは、次の内容について説明します。

「変更した設定の保存」

「スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー」

「設定の表示」

「設定内の設定値の消去および削除」

「テキスト コンフィギュレーション ファイルをオフラインで作成する方法」

変更した設定の保存

ここでは、設定の保存方法について説明します。内容は次のとおりです。

「変更した設定の保存(シングルコンテキスト モードの場合)」

「変更した設定の保存(マルチコンテキスト モードの場合)」

変更した設定の保存(シングルコンテキスト モードの場合)

スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存するには、次のコマンドを入力します。

hostname# write memory
 

copy running-config startup-config コマンドは write memory コマンドと同じです。


変更した設定の保存(マルチコンテキスト モードの場合)

各コンテキスト(およびシステム)コンフィギュレーションを別々に保存することも、すべてのコンテキスト コンフィギュレーションを同時に保存することもできます。次のコマンドを参照してください。

システムまたはコンテキスト コンフィギュレーションを保存するには、システムまたはコンテキスト内に次のコマンドを入力します。

hostname# write memory
 

copy running-config startup-config コマンドは write memory コマンドと同じです。


マルチコンテキスト モードでは、コンテキストのスタートアップ コンフィギュレーションを外部サーバに保管できます。その場合、FWSM はコンテキストの URL で指定されたサーバに設定を戻します。ただし、HTTP または HTTPS URL の場合は、サーバに設定を保存できません。

すべてのコンテキスト コンフィギュレーションおよびシステム コンフィギュレーションを同時に保存するには、システム実行スペースに次のコマンドを入力します。

hostname# write memory all [/noconfirm]
 

/noconfirm キーワードを入力しないと、次のプロンプトが表示されます。

Are you sure [Y/N]:
 

Y を入力すると、FWSM はシステム コンフィギュレーションおよび各コンテキストを保存します。コンテキストのスタートアップ コンフィギュレーションを外部サーバに保管できます。その場合、FWSM はコンテキストの URL で指定されたサーバに設定を戻します。ただし、HTTP または HTTPS URL の場合は、サーバに設定を保存できません。

FWSM が各コンテキストを保存すると、次のメッセージが表示されます。

‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’
 

エラーによりコンテキストが保存されないことがあります。次のエラー情報を参照してください。

メモリ不足のためにコンテキストを保存できない場合、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unavailability of resources
 

リモートの宛先に到達できないためにコンテキストを保存できない場合、次のメッセージが表示されます。

The context 'context a' could not be saved due to non-reachability of destination
 

コンテキストがロックされているためにコンテキストを保存できない場合、次のメッセージが表示されます。

Unable to save the configuration for the following contexts as these contexts are locked.
context ‘a’ , context ‘x’ , context ‘z’ .
 

コンテキストがロックされるのは、他のユーザがすでに設定を保存している場合またはコンテキスト削除プロセスを実行している場合だけです。

スタートアップ コンフィギュレーションが読み取り専用(HTTP サーバ上にある場合など)であるためにコンテキストを保存できない場合、他のすべてのメッセージの最後に次のメッセージ レポートが印刷されます。

Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context ‘a’ , context ‘b’ , context ‘c’ .
 

フラッシュ メモリの不良セクタが原因でコンテキストを保存できない場合、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unknown errors
 

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

次のいずれかのオプションを使用して、新しいスタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

スタートアップ コンフィギュレーションを現在の実行コンフィギュレーションに結合するには、次のコマンドを入力します。

hostname(config)# copy startup-config running-config
 

実行コンフィギュレーションを廃棄してスタートアップ コンフィギュレーションをロードするには、次のコマンドを入力して、FWSM を再起動します。

hostname# reload
 

次のコマンドを使用してスタートアップ コンフィギュレーションをロードし、再起動せずに実行コンフィギュレーションを廃棄することもできます。

hostname(config)# clear configure all
hostname(config)# copy startup-config running-config
 

設定の表示

次のコマンドを使用すると、実行コンフィギュレーションとスタートアップ コンフィギュレーションを表示できます。

実行コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config
 

特定コマンドの実行コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config command
 

スタートアップ コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show startup-config
 

設定内の設定値の消去および削除

設定値を削除するには、次のいずれかのコマンドを入力します。

指定したコマンドのすべての設定を消去するには、次のコマンドを入力します。

hostname(config)# clear configure configurationcommand [level2configurationcommand]
 

このコマンドによって、指定したコンフィギュレーション コマンドの現在のすべての設定が消去されます。特定バージョンのコマンドの設定のみを消去する場合、 level2configurationcommand の値を入力できます。

たとえば、すべての aaa コマンドの設定を消去するには、次のコマンドを入力します。

hostname(config)# clear configure aaa
 

aaa authentication コマンドの設定だけを消去するには、次のコマンドを入力します。

hostname(config)# clear configure aaa authentication
 

コマンドの特定のパラメータまたはオプションをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no configurationcommand [level2configurationcommand] qualifier
 

この場合、 no コマンドを使用して、 qualifier で指定した特定の設定を削除します。

たとえば、特定の nat コマンドを削除するには、次のように、固有のものとして識別できるだけのコマンドを入力します。

hostname(config)# no nat (inside) 1
 

スタートアップ コンフィギュレーションを削除するには、次のコマンドを入力します。

hostname(config)# write erase
 

実行コンフィギュレーションを削除するには、次のコマンドを入力します。

hostname(config)# clear configure all
 

) マルチコンテキスト モードでは、システム コンフィギュレーションから clear configure all を入力すると、すべてのコンテキストが削除されて実行が中止されます。


テキスト コンフィギュレーション ファイルをオフラインで作成する方法

このマニュアルでは、CLI を使用して FWSM を設定する方法について説明しています。この場合、コマンドを保存すると、変更内容がテキスト ファイルに書き込まれます。ただし、CLI を使用する代わりに、テキスト ファイルを自分の PC で直接編集し、コンフィギュレーション モードのコマンドライン プロンプトに、設定全体をペーストしたり、1 行ずつペーストしたりすることもできます。FWSM の内部フラッシュ メモリにテキスト ファイルをダウンロードすることもできます。FWSM にコンフィギュレーション ファイルをダウンロードする場合の詳細については、 第 22 章「ソフトウェア、ライセンス、および設定の管理」 を参照してください。

このマニュアルに記載されているコマンドは、ほとんどの場合、先頭に CLI プロンプトがあります。次に、「hostname(config)#」プロンプトの例を示します。

hostname(config)# context a
 

テキスト コンフィギュレーション ファイルでは、コマンド入力が要求されないので、プロンプトは次のように省略されます。

context a
 

ファイルのフォーマットの詳細については、 付録 C「CLI の使用」 を参照してください。