Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
はじめに
はじめに
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

はじめに

工場出荷時のデフォルト コンフィギュレーション

工場出荷時のデフォルト コンフィギュレーションの復元

ASA 5580 デフォルト コンフィギュレーション

コマンドライン インターフェイスへのアクセス

透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

コンフィギュレーションの処理

コンフィギュレーションの変更内容の保存

シングルコンテキスト モードでのコンフィギュレーションの変更内容の保存

マルチコンテキスト モードでのコンフィギュレーションの変更内容の保存

スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピー

コンフィギュレーションの表示

コンフィギュレーション設定のクリアと削除

テキスト コンフィギュレーション ファイルのオフラインでの作成

はじめに

この章では、コマンドライン インターフェイスへのアクセス方法、ファイアウォール モードの設定方法、およびコンフィギュレーションの処理方法について説明します。この章は、次の項で構成されています。

「工場出荷時のデフォルト コンフィギュレーション」

「コマンドライン インターフェイスへのアクセス」

「透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」

「コンフィギュレーションの処理」

工場出荷時のデフォルト コンフィギュレーション

工場出荷時のデフォルト コンフィギュレーションは、シスコが新しいadaptive security applianceに適用するコンフィギュレーションです。工場出荷時のデフォルト コンフィギュレーションにより、ASDMを使用してこれに接続できるように、管理用のインターフェイスが設定されます。この設定により、コンフィギュレーションを完了できます。

工場出荷時のデフォルト コンフィギュレーションは、ルーテッド ファイアウォール モードおよびシングルコンテキスト モードでだけ利用可能です。マルチコンテキスト モードの詳細については、 第 3 章「マルチ コンテキスト モードのイネーブル化」 を参照してください。ルーテッド ファイアウォール モードと透過ファイアウォール モードの詳細については、「透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」 を参照してください。

この項は、次の内容で構成されています。

「工場出荷時のデフォルト コンフィギュレーションの復元」

「ASA 5580 デフォルト コンフィギュレーション」

工場出荷時のデフォルト コンフィギュレーションの復元

工場出荷時のデフォルト コンフィギュレーションを復元するには、次のコマンドを入力します。

hostname(config)# configure factory-default [ip_address [mask]]
 

ip_address を指定する場合、デフォルト IP アドレスの 192.168.1.1 を使用するのではなく、ご使用のモデルに応じた内部または管理インターフェイスの IP アドレスを設定してください。 http は、指定されたサブセットを使用します。同様に、 dhcpd address コマンドの処理範囲は、指定されたサブセット内のアドレスで構成されます。

工場出荷時のデフォルト コンフィギュレーションの復元後、 write memory コマンドでinternal Flash memoryにこれを保存します。 write memory コマンドは、実行中のコンフィギュレーションをスタートアップ コンフィギュレーションのデフォルトの場所に保存します。別の場所を設定するために boot config コマンドを事前に設定した場合でも同様です。コンフィギュレーションをクリアした場合、このパスもクリアされます。


) また、このコマンドは、boot system コマンドが存在する場合、コンフィギュレーションの残りの部分とともにこのコマンドをクリアします。boot system コマンドを使用すると、external Flash memory card上のイメージなど、特定のイメージからブートできます。工場出荷時のデフォルト コンフィギュレーションの復元後に、adaptive security applianceをリロードすると、internal Flash memoryの最初のイメージからブートします。internal Flash memoryにイメージがない場合、adaptive security applianceはブートしません。


フル コンフィギュレーションに役立つ補助的な設定を行うには、 setup コマンドを参照してください。

ASA 5580 デフォルト コンフィギュレーション

ASA 5510 以降の適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションは、次のように設定されています。

管理インターフェイスは Management 0/0 です。 configure factory-default コマンドに IP アドレスを設定していない場合は、IP アドレスとマスクは 192.168.1.1 と 255.255.255.0 です。

DHCP サーバはadaptive security appliance上でイネーブルになっているので、インターフェイスに接続している PC は 192.168.1.2 と 192.168.1.254 間のアドレスを受信します。

HTTP サーバは ASDM に対してイネーブルになっており、ユーザは 192.168.1.0 ネットワーク上で HTTP サーバにアクセスできます。

このコンフィギュレーションは、次のコマンドで構成されています。

interface management 0/0
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management
 

コマンドライン インターフェイスへのアクセス

初期コンフィギュレーションでは、コンソール ポートから直接コマンドライン インターフェイスにアクセスします。その後は、 第 37 章「システム アクセスの管理」 の方法によって Telnet または SSH を使用してリモートアクセスを設定できます。システムがすでにマルチコンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。マルチコンテキスト モードの詳細については、 第 3 章「マルチ コンテキスト モードのイネーブル化」 を参照してください。


) コマンドライン インターフェイスの代わりに、ASDM を使用してadaptive security applianceを設定する場合、デフォルトの管理アドレス 192.168.1.1 に接続できます(adaptive security applianceが工場出荷時のデフォルト コンフィギュレーションの状態にある場合。「工場出荷時のデフォルト コンフィギュレーション」を参照してください)。ASDM で接続するインターフェイスは Management 0/0 です。工場出荷時のデフォルト コンフィギュレーションになっていない場合は、この項の手順でコマンドライン インターフェイスにアクセスします。そこで、setup コマンドを入力すると、ASDM にアクセスするための最小限のパラメータが設定できます。


コマンドライン インターフェイスにアクセスするには、次の手順を実行します。


ステップ 1 添付品のコンソール ケーブルを使用して PC をコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、adaptive security applianceに添付されているハードウェア ガイドを参照してください。

ステップ 2 Enter キーを押して、次のプロンプトが表示されることを確認します。

hostname>

このプロンプトは、EXEC モードで作業していることを示します。

ステップ 3 特権 EXEC モードにアクセスするには、次のコマンドを入力します。

hostname> enable
 

次のプロンプトが表示されます。

Password:
 

ステップ 4 プロンプトに対して、イネーブル パスワードを入力します。

デフォルトではパスワードは空白に設定されているため、Enter キーを押して先に進みます。イネーブル パスワードの変更については、「イネーブル パスワードの変更」を参照してください。

プロンプトが次のように変化します。

hostname#
 

特権モードを終了するには、 disable コマンド、 exit コマンド、または quit コマンドを入力します。

ステップ 5 グローバル コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。

hostname# configure terminal
 

プロンプトが次のように変化します。

hostname(config)#
 

グローバル コンフィギュレーション モードを終了するには、 exit コマンド、 quit コマンド、または end コマンドを入力します。


 

透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

adaptive security applianceは、ルーテッド ファイアウォール モード(デフォルト)または透過ファイアウォール モードで動作するように設定できます。

マルチコンテキスト モードでは、すべてのコンテキストで 1 つのファイアウォール モードしか使用できません。モードの設定は、システム実行スペースで行う必要があります。

モードを変更すると、adaptive security applianceはコンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。すでに実装済みのコンフィギュレーションがある場合は、モードを変更する前に必ずコンフィギュレーションのバックアップを作成してください。新しくコンフィギュレーションを作成するときにこのバックアップを参照する場合があります。「コンフィギュレーション ファイルのバックアップ」を参照してください。マルチコンテキスト モードの場合は、システム コンフィギュレーションが消去されます。このアクションでは、実行中のコンテキストが削除されます。その後、別のモード用に作成された既存のコンフィギュレーションを持つコンテキストを再度追加しても、コンテキスト コンフィギュレーションは正常に動作しません。再度追加する前に、コンテキスト コンフィギュレーションを正しいモード用に作成するか、新規のコンフィギュレーション用の新しいパスを指定して、コンテキストを新たに追加してください。

firewall transparent コマンドでモードを変更するadaptive security applianceにテキスト コンフィギュレーションをダウンロードする場合は、必ずこのコマンドをコンフィギュレーションの最上部に置いてください。このようにすると、adaptive security applianceは、このコマンドを読み取り次第すぐにモードを変更し、その後は、ダウンロードしたコンフィギュレーションの読み取りを続けます。このコマンドがコンフィギュレーションの後ろの方にあると、adaptive security applianceはそれ以前に記述されているコンフィギュレーションの行をすべてクリアします。テキスト ファイルのダウンロードについては、「フラッシュ メモリへのソフトウェアまたはコンフィギュレーションのダウンロード」を参照してください。

透過モードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# firewall transparent
 

このコマンドは、情報提供のためだけに各コンテキスト コンフィギュレーションにも表示されるため、このコマンドをコンテキストに入力することはできません。

ルーテッド モードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# no firewall transparent

コンフィギュレーションの処理

この項では、コンフィギュレーションを処理する方法について説明します。adaptive security applianceは、スタートアップ コンフィギュレーションと呼ばれるコンフィギュレーションをテキスト ファイルからロードします。このファイルは、デフォルトでは隠しファイルとしてinternal Flash memoryに常駐しています。しかし、ユーザはスタートアップ コンフィギュレーションに異なるパスを指定できます (詳細については、 第 38 章「ソフトウェア、ライセンス、およびコンフィギュレーションの管理」 を参照してください)。

コマンドを入力すると、メモリ上の実行コンフィギュレーションに対してだけ変更が適用されます。変更内容をリブート後も維持するには、実行コンフィギュレーションを手動でスタートアップ コンフィギュレーションに保存する必要があります。

この項で説明する内容は、特に指定がない限り、シングルモードとマルチモードの両セキュリティ コンテキストに適用されます。コンテキストの詳細については、 第 3 章「マルチ コンテキスト モードのイネーブル化」 を参照してください。

この項は、次の内容で構成されています。

「コンフィギュレーションの変更内容の保存」

「スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピー」

「コンフィギュレーションの表示」

「コンフィギュレーション設定のクリアと削除」

「テキスト コンフィギュレーション ファイルのオフラインでの作成」

コンフィギュレーションの変更内容の保存

この項では、コンフィギュレーションを保存する方法について説明します。次の項目を取り上げます。

「シングルコンテキスト モードでのコンフィギュレーションの変更内容の保存」

「マルチコンテキスト モードでのコンフィギュレーションの変更内容の保存」

シングルコンテキスト モードでのコンフィギュレーションの変更内容の保存

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、次のコマンドを入力します。

hostname# write memory
 

copy running-config startup-config コマンドは、write memory コマンドに相当します。


マルチコンテキスト モードでのコンフィギュレーションの変更内容の保存

各コンテキスト(およびシステム)のコンフィギュレーションを個別に保存でき、また、すべてのコンフィギュレーションを同時に保存することもできます。この項は、次の内容で構成されています。

「各コンテキストおよびシステムの個別保存」

「すべてのコンテキスト コンフィギュレーションの同時保存」

各コンテキストおよびシステムの個別保存

システムまたはコンテキストのコンフィギュレーションを保存するには、システムまたはコンテキスト内で次のコマンドを入力します。

hostname# write memory
 

copy running-config startup-config コマンドは、write memory コマンドに相当します。


マルチコンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションを外部サーバに置くことができます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバにadaptive security applianceによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。

すべてのコンテキスト コンフィギュレーションの同時保存

すべてのコンテキスト コンフィギュレーションおよびシステム コンフィギュレーションを同時に保存するには、次のコマンドをシステム実行スペースに入力します。

hostname# write memory all [/noconfirm]
 

/noconfirm キーワードを入力しない場合、次のプロンプトが表示されます。

Are you sure [Y/N]:
 

Y を入力すると、adaptive security applianceによってシステム コンフィギュレーションと各コンテキストが保存されます。コンテキストのスタートアップ コンフィギュレーションは、外部サーバに置くことができます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバにadaptive security applianceによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。

各コンテキストがadaptive security applianceに保存されると、次のメッセージが表示されます。

‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’
 

エラーが発生して、コンテキストが保存されない場合もあります。エラーについては、次の情報を参照してください。

メモリ不足でコンテキストが保存できない場合、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unavailability of resources
 

リモートの宛先が到達不能でコンテキストが保存できない場合、次のメッセージが表示されます。

The context 'context a' could not be saved due to non-reachability of destination
 

コンテキストがロックされているために保存できない場合、次のメッセージが表示されます。

Unable to save the configuration for the following contexts as these contexts are locked.
context ‘a’ , context ‘x’ , context ‘z’ .
 

コンテキストがロックされるのは、別のユーザがすでにコンフィギュレーションを保存した場合やコンテキストを削除中の場合だけです。

スタートアップ コンフィギュレーションが読み取り専用(HTTPサーバ上にある場合など)であるためにコンテキストが保存できない場合、次のメッセージがその他すべてのメッセージの後に表示されます。

Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context ‘a’ , context ‘b’ , context ‘c’ .
 

フラッシュ メモリに不良セクタがあるためにコンテキストが保存できない場合、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unknown errors
 

スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピー

次のいずれかのオプションを使用して、新規スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

実行コンフィギュレーションでスタートアップ コンフィギュレーションをマージするには、次のコマンドを入力します。

hostname(config)# copy startup-config running-config
 

マージは、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドを追加します。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。

スタートアップ コンフィギュレーションをロードして実行コンフィギュレーションを廃棄するには、次のコマンドを入力してadaptive security applianceを再起動します。

hostname# reload
 

あるいは、次のコマンドを使用し、リブートを要求せずにスタートアップ コンフィギュレーションをロードして実行コンフィギュレーションを廃棄できます。

hostname/contexta(config)# clear configure all
hostname/contexta(config)# copy startup-config running-config
 

コンフィギュレーションの表示

実行コンフィギュレーションとスタートアップ コンフィギュレーションを表示するには、次のコマンドを使用します。

実行コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config
 

特定のコマンドの実行コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config command
 

スタートアップ コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show startup-config
 

コンフィギュレーション設定のクリアと削除

設定を消去するには、次のいずれかのコマンドを入力します。

指定したコマンドのコンフィギュレーションすべてをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure configurationcommand [level2configurationcommand]
 

このコマンドは、指定されたコンフィギュレーション コマンドの現在のコンフィギュレーションを全部クリアします。コマンドの特定バージョンのコンフィギュレーションだけをクリアする場合は、 level2configurationcommand に値を入力します。

たとえば、すべての aaa コマンドのコンフィギュレーションをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa
 

aaa authentication コマンドのコンフィギュレーションだけをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa authentication
 

あるコマンドの特定のパラメータまたはオプションをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no configurationcommand [level2configurationcommand] qualifier
 

この場合、 no コマンドを使用して、 qualifier で特定されるコンフィギュレーションを削除します。

たとえば、特定の nat コマンドを削除するには、次のように、それを一意に識別するのに十分なコマンドを入力します。

hostname(config)# no nat (inside) 1
 

スタートアップ コンフィギュレーションを消去するには、次のコマンドを入力します。

hostname(config)# write erase
 

実行コンフィギュレーションを消去するには、次のコマンドを入力します。

hostname(config)# clear configure all
 

) マルチコンテキスト モードでは、システム コンフィギュレーションから clear configure all を入力すると、すべてのコンテキストを削除し、実行中のコンフィギュレーションを停止することにもなります。


テキスト コンフィギュレーション ファイルのオフラインでの作成

このマニュアルは、adaptive security applianceを設定するための CLI の使用方法について説明しています。コマンドを保存すると、変更内容はテキスト ファイルに書き込まれます。一方、CLI を使用する代わりに、テキスト ファイルを PC で直接編集して、コンフィギュレーション モードのコマンドライン プロンプトから、コンフィギュレーションを全部または 1 行ずつペーストできます。あるいは、テキスト ファイルをadaptive security appliance のinternal Flash memoryにダウンロードすることもできます。コンフィギュレーション ファイルを 第 38 章「ソフトウェア、ライセンス、およびコンフィギュレーションの管理」 にダウンロードする方法の詳細については、adaptive security applianceを参照してください。

ほとんどの場合、このマニュアルで説明するコマンドには、CLI プロンプトが先行します。次の例では、CLI プロンプトは「hostname(config)#」です。

hostname(config)# context a
 

コマンドの入力が要求されないテキスト コンフィギュレーション ファイルの場合は、プロンプトは次のように省略されます。

context a
 

テキスト コンフィギュレーション ファイルのフォーマッティングの詳細については、 付録 C「コマンドライン インターフェイスの使用」 を参照してください。