Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
コマンドライン インターフェイスの使用
コマンドライン インターフェイスの使用
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

コマンドライン インターフェイスの使用

ファイアウォール モードとセキュリティ コンテキスト モード

コマンドのモードとプロンプト

シンタックスの書式

コマンドの省略形

コマンドラインの編集

コマンドの完成

コマンドのヘルプ

show コマンド出力のフィルタリング

コマンド出力のページング

コメントの追加

テキスト コンフィギュレーション ファイル

テキスト ファイルでコマンドと行が対応する仕組み

コマンド固有のコンフィギュレーション モード コマンド

自動テキスト入力

行の順序

テキスト コンフィギュレーションに含まれないコマンド

パスワード

マルチセキュリティ コンテキスト ファイル

コマンドライン インターフェイスの使用

この付録では、適応型セキュリティ アプライアンスでの CLI の使用方法について説明します。この章には、次の項があります。

「ファイアウォール モードとセキュリティ コンテキスト モード」

「コマンドのモードとプロンプト」

「シンタックスの書式」

「コマンドの省略形」

「コマンドラインの編集」

「コマンドの完成」

「コマンドのヘルプ」

「show コマンド出力のフィルタリング」

「コマンド出力のページング」

「コメントの追加」

「テキスト コンフィギュレーション ファイル」


) CLI は、Cisco IOS CLI と類似したシンタックスおよび異なる表記法を使用しますが、適応型セキュリティ アプライアンスのオペレーティング システムが、Cisco IOS ソフトウェアのバージョンの 1 つとは限りません。Cisco IOS CLI コマンドは、適応型セキュリティ アプライアンスで動作する、またはと同じ機能を持っているとは限らないことに注意してください。


ファイアウォール モードとセキュリティ コンテキスト モード

適応型セキュリティ アプライアンスは、次のモードの組み合せで動作します。

透過ファイアウォール モードまたはルーテッド ファイアウォール モード

ファイアウォール モードは、セキュリティ アプライアンスがレイヤ 2 ファイアウォールまたはレイヤ 3 ファイアウォールとして動作するかどうかを決定します。

マルチコンテキスト モードまたはシングルコンテキスト モード

セキュリティ コンテキスト モードは、適応型セキュリティ アプライアンスが単一のデバイスとして動作するか、またはマルチセキュリティ コンテキストとして動作する(仮想デバイスのように動作する)かを決定します。

特定のモードでしか使用できないコマンドもあります。

コマンドのモードとプロンプト

適応型セキュリティ アプライアンスの CLI にはコマンド モードが含まれています。特定のモードでしか使用できないコマンドもあります。たとえば、機密情報を表示するコマンドを使用するには、パスワードを入力して特権モードにアクセスする必要があります。次に、コンフィギュレーション変更が誤って入力されないようにするために、コンフィギュレーション モードにアクセスする必要があります。下位のコマンドはすべて、高位のモードで入力できます。たとえば、グローバル コンフィギュレーション モードで特権 EXEC コマンドを入力できます。


) さまざまなタイプのプロンプトは、すべてデフォルトのプロンプトです。これらのプロンプトは別のプロンプトに設定できます。


システム コンフィギュレーション モードまたはシングルコンテキスト モードに入っている場合、プロンプトはホスト名で始まります。

hostname
 

プロンプト文字列を印刷する際には、プロンプト コンフィギュレーションが解析され、設定されたキーワード値が promptコマンドを設定した順に印刷されます。キーワード引数は、ホスト名、ドメイン、コンテキスト、プライオリティ、状態のいずれかで、任意の順になります。

asa(config)# prompt hostname context priority state
 

コンテキスト内に入っている場合、プロンプトはホスト名で始まり、その後にコンテキスト名が続きます。

hostname/context
 

プロンプトは、アクセス モードに応じて変化します。

ユーザ EXEC モード

ユーザ EXEC モードでは、最小限の適応型セキュリティ アプライアンス設定が表示されます。初めて適応型セキュリティ アプライアンスにアクセスしたとき、次に示すユーザ EXEC モード プロンプトが表示されます。

hostname>
 
hostname/context>
 

特権 EXEC モード

特権 EXEC モードでは、ユーザの特権レベルまでの現在の設定がすべて表示されます。すべてのユーザ EXEC モード コマンドは、特権 EXEC モードで動作します。特権 EXEC モードを開始するには、ユーザ EXEC モードで enable コマンドを入力します。これにはパスワードが必要です。プロンプトにはシャープ記号(#)が含まれています。

hostname#
 
hostname/context#
 

グローバル コンフィギュレーション モード

グローバル コンフィギュレーション モードでは、適応型セキュリティ アプライアンス コンフィギュレーションを変更できます。このモードでは、ユーザ EXEC、特権 EXEC、およびグローバル コンフィギュレーションのコマンドをすべて使用できます。グローバル コンフィギュレーション モードを開始するには、特権 EXEC モードで configure terminal コマンドを入力します。プロンプトが次のように変化します。

hostname(config)#
 
hostname/context(config)#
 

コマンド固有のコンフィギュレーション モード

いくつかのコマンドは、グローバル コンフィギュレーション モードから、コマンド固有のコンフィギュレーション モードに移行します。このモードでは、ユーザ EXEC、特権 EXEC、グローバル コンフィギュレーション、およびコマンド固有のコンフィギュレーションのコマンドをすべて使用できます。たとえば、 interface コマンドを使用すると、インターフェイス コンフィギュレーション モードに入ります。プロンプトが次のように変化します。

hostname(config-if)#
 
hostname/context(config-if)#
 

シンタックスの書式

表 C-1 では、コマンドのシンタックスに使用される表記法について説明します。

 

表 C-1 シンタックスの表記法

表記法
説明

太字

記載されているとおりに入力するコマンドおよびキーワードは、太字で示しています。

イタリック体

ユーザが値を指定する引数は、イタリック体で示しています。

[x]

省略可能な要素(キーワードまたは引数)は、角カッコで囲んで示しています。

|

省略可能または必須のキーワードや引数の中から選択する場合は、縦棒で区切って示しています。

[x | y]

いずれか 1 つを選択できる省略可能なキーワードや引数は、角カッコで囲み、縦棒で区切って示しています。

{x | y}

必ずいずれか 1 つを選択しなければならない必須キーワードや引数は、波カッコで囲み、縦棒で区切って示しています。

[x {y | z}]

省略可能または必須の要素内に、さらに省略可能または必須の選択肢を含める場合は、角カッコや波カッコを入れ子にして示しています。角カッコ内の波カッコと縦棒は、省略可能な要素内で選択すべき必須の要素を示しています。

コマンドの省略形

ほとんどのコマンドは、コマンドに固有の最小文字数まで短縮できます。たとえば、コンフィギュレーションを表示するには、完全なコマンド write terminal を入力する代わりに、 wr t と入力できます。または、イネーブル モードを開始するには en 、コンフィギュレーション モードを開始するには con f t と入力できます。さらに、 0 を入力して、 0.0.0.0 を表すことができます。

コマンドラインの編集

適応型セキュリティ アプライアンスでは、Cisco IOS ソフトウェアと同じコマンドライン編集規則が使用されます。show history コマンドを使用して以前入力した全コマンドを表示することも、↑キーまたは ^p コマンドで 1 つずつ前のコマンドを表示することもできます。前に入力したコマンドを確認したら、↓キーまたは ^n コマンドでリスト内で前に進むことができます。再利用するコマンドに到達したら、そのコマンドを編集することも、Enter キーを押して実行することもできます。 ^w でカーソルの左側にある単語を削除することも、^u でカーソルのある行を消去することもきます。

適応型セキュリティ アプライアンスでは、1 つのコマンドに 512 文字まで入力できます。512 文字を超えて入力した文字は無視されます。

コマンドの完成

部分的なストリングを入力してからコマンドまたはキーワードを完成させるには、 Tab キーを押します。適応型セキュリティ アプライアンスは、部分的なストリングがコマンドまたはキーワード 1 つだけと一致する場合だけ、コマンドまたはキーワードを完成させます。たとえば、 s と入力して Tab キーを押した場合は、一致するコマンドが複数あるため、適応型セキュリティ アプライアンスはコマンドを完成させません。一方、 dis と入力して Tab キーを押すと、コマンド disable が完成します。

コマンドのヘルプ

次のコマンドを入力すると、コマンドラインからヘルプ情報を利用できます。

help command_name

特定のコマンドのヘルプを表示します。

command_name ?

使用可能な引数のリストを表示します。

string ? (スペースなし)

そのストリングで始まるコマンドをリストします。

? および +?

使用できるすべてのコマンドをリストします。 ? と入力すると、適応型セキュリティ アプライアンスは現在のモードで使用できるコマンドだけを表示します。下位モードのコマンドも含め、使用できるすべてのコマンドを表示するには、 +? と入力します。


コマンド ストリングに疑問符(?)を組み込む場合は、誤って CLI ヘルプを起動しないよう、疑問符を入力する前に Ctrl+V キーを押す必要があります。


show コマンド出力のフィルタリング

垂直バー(|)はどの show コマンドでも使用できます。これには、フィルタ オプションとフィルタリング式を組み込むことができます。フィルタリングは、Cisco IOS ソフトウェアと同様に、各出力行を正規表現と照合することによって行われます。選択するフィルタ オプションによって、正規表現に一致するすべての出力を含めたり除外したりできます。また、正規表現に一致する行で始まるすべての出力を表示することもできます。

show コマンドでフィルタリング オプションを使用する場合のシンタックスは、次のとおりです。

hostname# show command | {include | exclude | begin | grep [-v]} regexp
 

このコマンド文字列の最初の垂直バー(|)は演算子であり、コマンド内に含める必要があります。この演算子は、show コマンドの出力をフィルタに誘導します。シンタックス ダイアグラムのその他の垂直バー(|)は、代替オプションを示しており、コマンドの一部ではありません。

include オプションを指定すると、正規表現に一致するすべての出力行が表示されます。-v を付けずに grep オプションを使用する場合も、同じ結果となります。exclude オプションを指定すると、正規表現に一致するすべての出力行が除外されます。-v を付けて grep オプションを使用する場合も、同じ結果となります。begin オプションを指定すると、正規表現に一致する行で始まるすべての出力行が表示されます。

regexp には、Cisco IOS の正規表現を指定します。正規表現は一重引用符または二重引用符で囲まれていません。したがって、末尾の空白スペースが正規表現の一部と解釈されるため、末尾の空白スペースに注意してください。

正規表現を作成する場合は、照合する任意の文字または数字を使用できます。また、正規表現で使用すると特別な意味を持つ メタ文字 と呼ばれるキーボード文字もあります。

Ctrl+V キーを使用して、疑問符(?)やタブなど、CLI 内のすべての特殊文字をエスケープします。たとえば、 d[Ctrl+V]?g とタイプして、コンフィギュレーション内に d?g と入力します。

表 C-2 には特殊な意味を持つメタ文字を一覧表示しています。

 

表 C-2 regex コマンドのメタ文字

文字
説明
注意

.

ドット

1 個の文字と照合します。たとえば、 d.g は、doggonnit など、これらの文字を含む単語、dog、dag、dtg と一致します。

exp

サブ表現

サブ表現はカッコと文字を分離するので、サブ表現の他のメタ文字を使用できます。たとえば、 d(o|a)g は dog と dag と一致し、 do|ag は do と ag と一致します。サブ表現は繰り返しの数量詞とともに使用され、繰り返し用の文字を区別します。たとえば、 ab(xy){3}z は abxyxyxyz と一致します。

|

二者択一

この記号により分けられるいずれかの表現と照合します。たとえば、 dog|cat は dog または cat のいずれかと一致します。

?

疑問符

この記号よりも前の表現が 0 または 1 つあることを示す数量詞です。たとえば、 lo?se は lse または lose と一致します。

キー、疑問符の順に押してください。ヘルプ機能が起動します。

*

アスタリスク

この記号よりも前の表現が 0、1、またはそれ以上あることを示す数量詞です。たとえば、 lo*se は lse、lose、loose、などと一致します。

+

プラス記号

この記号よりも前の表現が少なくとも 1 つあることを示す数量詞です。たとえば、 lo+se は lose および loose と一致しますが、lse とは一致しません。

{ x } または { x ,}

最小の繰り返しの数量詞です。

少なくとも x 回繰り返します。たとえば、 ab(xy){2,}z は abxyxyz、abxyxyxyz などと一致します。

[ abc ]

文字クラス

カッコ内の文字と照合します。たとえば、 [abc] は、a、b、または c と一致します。

[^ abc ]

否定の文字クラスです。

カッコ内に含まれない 1 個の文字と照合します。たとえば、 [^abc] は a、b、c 以外の文字と一致します。 [^A-Z] は、大文字でない 1 個の文字と一致します。

[ a - c ]

文字の範囲クラス

指定された範囲内の文字と照合します。 [a-z] は小文字の文字と一致します。文字と範囲を混合させることができます。 [abcq-z] は a、b、c、q、r、s、t、u、v、w、x、y、z と一致し、[ a-cq-z] も同じように一致します。

ダッシュ(-)は、 [abc-] または [-abc] などのように、カッコ内の最後または最初の文字である場合にだけ、ダッシュを示します。

""

引用符

文字列内の末尾または冒頭にスペースを維持します。たとえば、 " test" は照合する際に冒頭のスペースを維持します。

^

カレット

行の冒頭を指定します。

\

エスケープ文字

メタ文字と併用されている場合は、文字通りの文字と一致します。たとえば、 \[ は、左角カッコと一致します。

char

文字

文字がメタ文字でない場合、文字通りの文字と一致します。

\r

復帰

復帰 0x0d と一致します。

\n

改行

改行 0x0a と一致します。

\t

タブ

タブ 0x09 と一致します。

\f

改ページ

改ページ 0x0c と一致します。

\x NN

エスケープされた 16 進数値

16 進数を使用する ASCII 文字(2 桁だけ)と一致します。

\ NNN

エスケープされた 8 進数値

8 進数を使用する ASCII 文字(3 桁だけ)と一致します。たとえば、040 はスペースを表します。

コマンド出力のページング

help または ?、show、show xlate など、長いリストが出力されるコマンドでは、1 画面分ずつ表示して停止させるか、リストの最後まで表示させるかを決めることができます。pager コマンドを使用すると、画面上に表示する行数を選択して、その行数を表示した後に More プロンプトを表示するようにできます。

ページングがイネーブルになっているときには、次のプロンプトが表示されます。

<--- More --->
 

More プロンプトのシンタックスは、UNIX の more コマンドと似ています。

次の 1 画面分の情報を表示するには、 スペース バーを押します。

次の行を表示するには、 Enter キーを押します。

コマンドラインに戻るには、q キーを押します。

コメントの追加

行の先頭にコロン( :)を置いて、コメントを作成できます。 しかし、コメントが表示されるのはコマンド ヒストリ バッファだけで、コンフィギュレーションには表示されません。したがって、コメントは、show history コマンドを使用するか、矢印キーを押して前のコマンドを取得することによって表示できますが、コンフィギュレーションには含まれないので、write terminal コマンドを入力しても表示できません。

テキスト コンフィギュレーション ファイル

この項では、適応型セキュリティ アプライアンスにダウンロードできるテキスト コンフィギュレーション ファイルをフォーマットする方法について説明します。次の項目を取り上げます。

「テキスト ファイルでコマンドと行が対応する仕組み」

「コマンド固有のコンフィギュレーション モード コマンド」

「自動テキスト入力」

「行の順序」

「テキスト コンフィギュレーションに含まれないコマンド」

「パスワード」

「マルチセキュリティ コンテキスト ファイル」

テキスト ファイルでコマンドと行が対応する仕組み

テキスト コンフィギュレーション ファイルには、このガイドで説明するコマンドに対応する行が含まれています。

例では、コマンドの前に CLI プロンプトがあります。次の例では、CLI プロンプトは「hostname(config)#」です。

hostname(config)# context a
 

テキスト コンフィギュレーション ファイルでは、コマンドの入力を求めるプロンプトが表示されないので、プロンプトは省略されています。

context a
 

コマンド固有のコンフィギュレーション モード コマンド

コマンド固有のコンフィギュレーション モード コマンドは、コマンドラインで入力されたときに、メイン コマンドの下に字下げして表示されます。テキスト ファイルの行は、コマンドがメイン コマンドのすぐ後に表示される限り、字下げする必要はありません。たとえば、次のテキストは字下げされていませんが、字下げしたテキストと同じように読み取られます。

interface gigabitethernet0/0
nameif inside
interface gigabitethernet0/1
nameif outside
 

自動テキスト入力

コンフィギュレーションを適応型セキュリティ アプライアンスにダウンロードすると、適応型セキュリティ アプライアンスによっていくつかの行が自動的に挿入されます。たとえば、適応型セキュリティ アプライアンスは、デフォルト設定のため、またはコンフィギュレーションが変更されたときのための行を挿入します。テキスト ファイルを作成するときは、これらの自動入力を行う必要はありません。

行の順序

通常、コマンドはファイル内で任意の順序に置くことができます。ただし、ACE などいくつかの行は表示された順に処理されるので、順序がアクセスリストの機能に影響する場合があります。その他のコマンドでも、順序の要件がある場合があります。たとえば、あるインターフェイスの名前を多数の後続コマンドが使用する場合は、そのインターフェイスの nameif コマンドをまず入力する必要があります。また、コマンド固有のコンフィギュレーション モードのコマンドは、メイン コマンドの直後に置く必要があります。

テキスト コンフィギュレーションに含まれないコマンド

いくつかのコマンドは、コンフィギュレーションに行を挿入しません。たとえば、 show running-config などのランタイム コマンドは、テキスト ファイル内に対応する行があります。

パスワード

ログイン パスワード、イネーブル パスワード、およびユーザ パスワードは、コンフィギュレーションに保存される前に自動的に暗号化されます。たとえば、パスワード「cisco」の暗号化された形式は jMorNbK0514fadBh のようになります。コンフィギュレーション パスワードを暗号化された形式で別の適応型セキュリティ アプライアンスにコピーできますが、パスワードの暗号を自分で解除できません。

暗号を解除したパスワードをテキスト ファイルに入力すると、コンフィギュレーションを適応型セキュリティ アプライアンスにコピーしたときに、適応型セキュリティ アプライアンスはパスワードを自動的に暗号化しません。適応型セキュリティ アプライアンスがパスワードを暗号化するのは、コマンドラインから copy running-config startup-config コマンドまたは write memory コマンドを使用して実行コンフィギュレーションを保存したときだけです。

マルチセキュリティ コンテキスト ファイル

マルチセキュリティ コンテキストでは、コンフィギュレーション全体が次の複数の部分で構成されます。

セキュリティ コンテキスト コンフィギュレーション

コンテキストのリストなど、適応型セキュリティ アプライアンスの基本設定を示すシステム コンフィギュレーション

システム コンフィギュレーション用のネットワーク インターフェイスを提供する管理コンテキスト

システム コンフィギュレーションには、システムに固有のインターフェイスまたはネットワーク設定は含まれていません。代わりに、システムは管理コンテキストを使用してネットワーク リソースにアクセスします(サーバからのコンテキストのダウンロードなど)。

各コンテキストは、シングルコンテキスト モード コンフィギュレーションに似ています。システム コンフィギュレーションにはシステムだけのコマンド(全コンテキストのリストなど)が含まれており、その他の一般的なコマンド(多数のインターフェイス パラメータなど)は使用できない点で、システム コンフィギュレーションは、コンテキスト コンフィギュレーションとは異なっています。