Cisco Identity Services Engine CLI リファレンス ガイド、リリース 1.2
Cisco ISE コマンドライン インターフェイスの使用
Cisco ISE コマンドライン インターフェイスの使用
発行日;2013/10/16 | 英語版ドキュメント(2013/08/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco ISE コマンドライン インターフェイスの使用

Cisco ISE CLI にアクセスする前に

Cisco ISE を設定するためのセットアップの実行

Cisco ISE CLI へのアクセス

サポートされるハードウェアおよびソフトウェアのプラットフォーム

セキュア シェルによる Cisco ISE CLI へのアクセス

ローカル PC を使用した Cisco ISE CLI へのアクセス

CLI コマンドの使用方法

ヘルプの利用方法

コマンドの no 形式と default 形式の使用

コマンド ラインの表記法

コマンドライン編集キーの表記法

コマンド ラインのコンプリート機能

--More-- プロンプトでの出力続行

次の作業

Cisco ISE コマンドライン インターフェイスの使用

この章では、コマンドライン インターフェイス(CLI)を使用して Cisco Identity Services Engine を理解および設定するのに役立つヒントを紹介します。Cisco ISE は、小規模、中規模、および大規模な導入で展開でき、さまざまなプラットフォームで使用したり、VMware で実行できるソフトウェアとして使用したりすることができます。

この章は、次の内容で構成されています。

「Cisco ISE CLI にアクセスする前に」

「Cisco ISE CLI へのアクセス」

「CLI コマンドの使用方法」

「次の作業」

Cisco ISE CLI にアクセスする前に

Cisco ISE CLI にログインする前に、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.2 』に指定されているインストール タスクを完了したことを確認してください。

Cisco ISE を設定するためのセットアップの実行

Cisco ISE アプライアンスの電源を初めて投入すると、セットアップ ユーティリティを実行してアカウントを設定するようメッセージが表示されます。 setup コマンドを使用してユーティリティを実行する前に、次のネットワーク コンフィギュレーション プロンプトに対して値が設定されていることを確認します。

ホスト名

IP アドレス:イーサネット インターフェイスのアドレス

ネットマスク

デフォルト ゲートウェイ

DNS ドメイン名

プライマリ ネーム サーバ

プライマリ NTP サーバ(任意)

システム時間帯

ユーザ名

パスワード

次の例は、 setup コマンドのサンプル出力を示します。

**********************************************
Please type 'setup' to configure the appliance
**********************************************
localhost login: setup
Press 'Ctrl-C' to abort setup
Enter hostname[]: ise
Enter IP address[]: 172.16.90.183
Enter IP default netmask[]: 255.255.0.0
Enter IP default gateway[]: 172.16.90.1
Enter default DNS domain[]: mydomain.com
Enter primary nameserver[]: 172.16.168.183
Add/Edit another nameserver? Y/N : n
Enter primary NTP server[time.nist.gov]:
Add/Edit secondary NTP server? Y/N : n
Enter system timezone[UTC] :
Enter username[admin]:
Enter password:
Enter password again:
Bringing up network interface...
Pinging the gateway...
Pinging the primary nameserver...
Do not use 'Ctrl-C' from this point on...
Appliance is configured
 

必要な情報を入力すると、自動的に Cisco ISE アプライアンスがリブートされ、次のログイン プロンプトが表示されます。

machine_name login:
 

machine_name setup コマンドを実行したときに指定したホスト名を指定します。

この例では、次のプロンプトが表示されます。

ise login:
 

ログインには、セットアップ プロセスで作成した admin ユーザ アカウントおよび対応するパスワードを使用します。また Cisco ISE CLI に最初にログインするときにも、この Admin アカウントを使用する必要があります。管理者として CLI にアクセスすると、コンフィギュレーション モードで username コマンドを実行して、Cisco ISE CLI への SSH アクセスを持つ admin および operator ユーザ アカウントを作成できます。


) 初期セットアップ ウィザード中に作成した admin ユーザ アカウントおよび対応するパスワード(CLI ユーザ アカウント)は、CLI を使用して Cisco ISE アプリケーションを管理するために使用できます。CLI ユーザは、Cisco ISE アプリケーション ソフトウェアの開始と停止、Cisco ISE アプリケーション データのバックアップと復元、Cisco ISE アプリケーション ソフトウェアへのソフトウェア パッチとアップグレードの適用、すべてのシステムとアプリケーション ログの参照、Cisco ISE アプライアンスのリロードまたはシャットダウンを行う特権を持っています。CLI のユーザ クレデンシャルを保護するには、CLI へのアクセス権を持つユーザを明示的に作成します。


「Cisco ISE CLI へのアクセス」を参照してください。


) Cisco ISE Web インターフェイスから作成するユーザは Cisco ISE CLI に自動的にログインできません。CLI へのアクセス権を明示的に付与してユーザを作成する必要があります。このようなユーザを作成するには、セットアップ時に作成した admin ユーザ アカウントを使用して CLI にログインした後、コンフィギュレーション モードを開始し、username コマンドを実行する必要があります。


Cisco ISE CLI へのアクセス

Cisco ISE CLI にログインする前に、「Cisco ISE CLI にアクセスする前に」のハードウェアのインストールとコンフィギュレーションのプロセスを完了していることを確認します。

Cisco ISE サーバにログインし、CLI にアクセスするには、セキュア シェル(SSH)クライアントまたはコンソール ポートを使用します。


) Cisco ISE CLI にアクセスするには、SSH v2 をサポートする SSH クライアントを使用します。


ログインは、次のマシンから実行できます。

Windows XP または Vista の PC。

Linux OS の PC。

Mac OS X 10.4 以降のアップル コンピュータ。

VT100 または ANSI 互換の端末デバイス。VT100 タイプ デバイスおよび ANSI デバイスでは、左矢印、右矢印、上矢印、下矢印、Delete および Backspace キーを含むカーソル制御キーおよびカーソル移動キーを使用できます。CLI は、カーソル制御キーの使用を検出し、自動的に最適なデバイス特質を使用します(「サポートされるハードウェアおよびソフトウェアのプラットフォーム」を参照)。

CLI を終了するには、EXEC モードで exit コマンドを使用します。現在、別のコンフィギュレーション モードになっている場合に CLI を終了するには、 end、exit または Ctrl-z コマンドを入力して EXEC モードに戻ってから exit コマンドを入力します(「EXEC モード」を参照)。

サポートされるハードウェアおよびソフトウェアのプラットフォーム

Cisco ISE CLI には、次の有効な端末タイプからアクセスできます。

1178

2621

5051

6053

8510

altos5

amiga

ansi

apollo

Apple_Terminal

att5425

ibm327x

kaypro

vt100

有効な全タイプの一覧については、terminfo データベースを参照してください。

セキュア シェルによる Cisco ISE CLI へのアクセス


) Cisco ISE CLI にアクセスするには、SSH v2 をサポートする SSH クライアントを使用します。


次の例では、Wondows XP を使用して、PC からセキュア シェル(SSH)クライアント(有線 WAN に接続)でログインする方法を示します。この例では、セットアップ ユーティリティを使用して、admin(管理者)ユーザを受け入れるように Cisco ISE をあらかじめ設定し、admin としてログインしていることを前提とします。


ステップ 1 任意の SSH クライアントを使用して SSH セッションを開始します。

SSH ウィンドウが表示されます。

ステップ 2 Enter キーまたは スペースバー を押して接続します。

[リモートホストへの接続(Connect to Remote Host)] ウィンドウが表示されます。

ステップ 3 ホスト名、ユーザ名、ポート番号、および認証方式を入力します。

この例では、ホスト名に ise 、ユーザ名に admin 、ポート番号に 22 を入力し、認証方式として、ドロップダウン リストから [パスワード(Password)] を選択します。

ステップ 4 [接続(Connect)] をクリックするか、 Enter キーを押します。

[パスワードの入力(Enter Password)] ウィンドウが表示されます。

ステップ 5 割り当てられた管理者パスワードを入力します。

[SSH:プロファイルの追加(SSH with the Add Profile)] ウィンドウが表示されます。

ステップ 6 (任意)テキスト ボックスにプロファイル名を入力し、[プロファイルへの追加(Add to Profile)] をクリックします。

ステップ 7 [プロファイルの追加(Add Profile)] ウィンドウで [閉じる(Close)] をクリックします。

Cisco ISE プロンプト ise/admin# が表示されます。これで、Cisco ISE CLI コマンドを入力できます。


 

ローカル PC を使用した Cisco ISE CLI へのアクセス

(有線 LAN に接続せずに)Cisco ISE をローカルに設定する必要がある場合は、ヌルモデム ケーブルを使用して、PC を Cisco ISE アプライアンスのコンソール ポートに接続できます。

シリアル コンソール コネクタ(ポート)は、コンソール ポートに端末を接続することで、CLI にローカル アクセス可能にします。端末は、ターミナル エミュレーション ソフトウェアまたは ASCII 端末を実行する PC です。コンソール ポート(EIA/TIA-232 非同期)で必要なのは、ヌルモデム ケーブルのみです。

ターミナルエミュレーション ソフトウェアを実行する PC をコンソール ポートに接続するには、DB-9 メス型 - DB-9 メス型のヌルモデム ケーブルを使用します。

ASCII 端末をコンソール ポートに接続するには、片方が DB-9 メスでもう一方が DB-25 オスのストレート ケーブルと、DB-25 メスから DB-25 メスへの変換アダプタを使用します。

コンソール ポートのデフォルト パラメータは、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、およびハードウェア フロー制御なしです。


) 接続の相手側が Cisco Switch の場合、スイッチ ポートを duplex auto、speed auto(デフォルト)に設定します。


コンソール ポートに接続し、CLI を開くには、次の手順を実行します。


ステップ 1 Cisco ISE アプライアンスのコンソール ポートと PC の COM ポートをヌルモデム ケーブルで接続します。

ステップ 2 Cisco ISE と通信するようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。ハードウェアのフロー制御はなしです。

ステップ 3 ターミナル エミュレータが起動したら、Enter を押します。

ステップ 4 ウィンドウでユーザ名を入力して、Enter を押します。

ステップ 5 パスワードを入力し、Enter を押します。

CLI が起動したら、Cisco ISE を設定する CLI コマンドを入力できます。


 

CLI コマンドの使用方法

「ヘルプの利用方法」

「コマンドの no 形式と default 形式の使用」

「コマンド ラインの表記法」

ヘルプの利用方法

疑問符(?)と上矢印キーおよび下矢印キーを使用して、コマンド入力に役立てます。

使用可能なコマンドの一覧を表示するには、次のように疑問符( ? )を入力します。

ise/admin# ?
 

コマンドを完成させるには、既知の文字をいくつか入力し、続けて疑問符( ? )を入力します (スペース無し)。

ise/admin# s?
 

コマンドのキーワードおよび引数を表示するには、プロンプトが表示されたときに、またはコマンドの一部とそれに続けてスペースを入力した後に、疑問符( ? ) を入力します。

ise/admin# show ?
 

Cisco ISE には、使用可能なキーワードおよび引数のリストと簡単な説明が表示されます。


) コマンドのヘルプの <cr> 記号は「復帰」を表しています。これは、Enter を押すことを意味します。コマンド ヘルプ出力の最後の <cr> は、Enter を押してコマンドを完成させるオプションがあること、および <cr> 記号に先行するリスト内の引数およびキーワードはオプションであることを示します。<cr> 記号だけの場合は、使用可能な引数またはキーワードが他に存在せず、Enter キーを押してコマンドを完成させる必要があることを示します。


以前に入力したコマンドを再表示するには、 上矢印 キーを押します。さらに多くのコマンドを表示するには、続けて 上矢印 キーを押します。

コマンドの no 形式と default 形式の使用

一部の EXEC コマンドおよびコンフィギュレーション コマンドには no 形式があります。一般に、機能をディセーブルにするには、no 形式のコマンドを使用します。たとえば、IP アドレスはデフォルトでイネーブルです。IP アドレスをディセーブルにするには no ip address コマンドを使用し、その IP アドレスを再びイネーブルにするには ip address コマンドを使用します。

コンフィギュレーション コマンドには、default 形式があることがあります。この形式は、コマンド設定をデフォルト値に戻します。ほとんどのコマンドはデフォルトがディセーブルであるため、そのような場合に default 形式を使用すると、コマンドの no 形式を使用した場合と同じ結果になります。ただし、デフォルトでイネーブルに設定されていて、なおかつ変数が特定のデフォルト値に設定されているコマンドもあります。そのような場合に default 形式のコマンドを使用すると、コマンドがイネーブルになり、変数がデフォルト値に設定されます。

no および default 形式のコマンドを含む、コンフィギュレーション コマンドの完全な構文については、 付録 A「Cisco ISE コマンド リファレンス」 を参照してください。

コマンド ラインの表記法

ここでは、CLI を使用するときの基本規則について説明します。

「コマンドライン編集キーの表記法」

「コマンド ラインのコンプリート機能」

「--More-- プロンプトでの出力続行」

コマンドライン編集キーの表記法

Cisco ISE には、入力した行を編集するためのキーボード ショートカットが数多く用意されています。

Tab

現在のコマンドを終了するには、 Tab キーを押します。

Tab キーを押した場合:

行の先頭に、オプションの短縮形すべてが一覧表示されます。

コマンドの一部を入力すると、それらの文字で始まるオプションの短縮形すべてが一覧表示されます。

使用可能なオプションの候補が 1 つだけの場合は、そのオプションが自動的に取り込まれます。

Ctrl+C

シーケンスを中断するには、Ctrl+C を押します。実行中のコマンドすべてを中止し、前のモードに戻ります。

Ctrl+Z

コンフィギュレーション モードを終了し、前のコンフィギュレーション モードに戻るには、Ctrl+Z を押します。

?

使用できるコマンドをリストするには、プロンプトで疑問符(?)を入力します(「ヘルプの利用方法」を参照)。

コマンド ラインのコンプリート機能

コマンド ライン コンプリート機能を使用すると、Cisco ISE CLI の操作性が向上します。余分なキー入力を行う必要がなくなり、コマンドの構文を思い出せなくてもコマンドが入力できます。

たとえば、次のように show running-configuration コマンドを入力するとします。

ise/admin# show running-config
 

このとき、次のように入力します。

ise/admin# sh run
 

Cisco ISE は、コマンド sh run を show running-config に拡張します。

もう 1 つのショートカットは sh の入力後に Tab キーを押します。Cisco ISE CLI が、残りのコマンド(この場合は show)を入力します。

Cisco ISE CLI は、コマンドを認識できない場合、コマンドライン全体を繰り返して表示し、コマンドを解析できなかった位置にカレット記号(^)を挿入します。

次に例を示します。

ise/admin# show unning-configuration
^
% Invalid input detected at ‘^’ marker.
 

カレット記号(^)は、Cisco ISE が認識できなかったコマンド ラインの最初の文字を指します。通常、これはコマンドを完成させるために引数を追加する必要があるか、またはコマンドのスペルに誤りがあることを意味します。この場合、「running」コマンドから「r」が欠落しています。エラーを修正するには、コマンドを再入力します。

別の形式のコマンドライン コンプリート機能では、コマンドの先頭の数文字を入力し、それから Tab キーを押します。1 つのコマンドと合致すると、Cisco ISE CLI はそのコマンドを完成させます。たとえば、sh と入力して Tab キーを押すと、Cisco ISE は、sh に続けて show を完成させます。Cisco ISE がコマンドを完成できない場合は、さらに数文字を追加して Tab キーを押します。詳細については、「Tab」を参照してください。

--More-- プロンプトでの出力続行

Cisco ISE CLI を使用する場合に、出力が画面の表示可能域を超えることがよくあります。多くの ? や show コマンドの出力などで画面の下端を超えて出力が続く場合は、出力が中断し、画面の最後の行に --More-- プロンプトが表示されます。出力を再開するには、 Enter を押して 1 行スクロール ダウンするか、 Space を押して次の 1 画面分の出力を表示します。


ヒント 画面上の出力が停止しても --More-- プロンプトが表示されない場合は、EXEC モードで terminal length コマンドを使用して画面長に入力する値を小さくしてみてください。長さの値をゼロ(0)に設定すると、コマンドの出力は中断しません。

次の作業

これで Cisco ISE CLI の基本的な使用方法についての説明は終わりです。CLI を使用して Cisco ISE を実際に設定してください。

次の事項を確認してください。

コマンドの入力支援として、疑問符(?)、矢印キー、および Tab を使用できます。

各コマンド モードは、一定のコマンド セットに制限されています。コマンドの入力に問題がある場合は、プロンプトを確認し、疑問符(?)を入力して使用可能なコマンドのリストを表示します。

機能をディセーブルにするには、コマンドの no 形式を入力します。例:no ip address。

コンフィギュレーションの変更内容を保存して、システムのリロードや停電時に変更内容が失われないようにする必要があります。

コマンドの一覧、説明、構文、使用上のガイドライン、および出力例については、 付録 A「Cisco ISE コマンド リファレンス」 を参照してください。