Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
はじめに
はじめに
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

はじめに

工場出荷時のデフォルト コンフィギュレーション

工場出荷時のデフォルト コンフィギュレーションの復元

ASA 5505 のデフォルト コンフィギュレーション

ASA 5510 以降のデフォルト コンフィギュレーション

コマンドライン インターフェイスへのアクセス

コンフィギュレーションの処理

コンフィギュレーションの変更の保存

シングルコンテキスト モードでのコンフィギュレーションの変更の保存

マルチコンテキスト モードでのコンフィギュレーションの変更の保存

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

コンフィギュレーションの表示

コンフィギュレーション設定のクリアと削除

テキスト コンフィギュレーション ファイルのオフラインでの作成

接続に対するコンフィギュレーションの変更の適用

はじめに

この章では、適応型セキュリティ アプライアンスの使用を開始する方法について説明します。この章には、次の項があります。

「工場出荷時のデフォルト コンフィギュレーション」

「コマンドライン インターフェイスへのアクセス」

「コンフィギュレーションの処理」

「接続に対するコンフィギュレーションの変更の適用」

工場出荷時のデフォルト コンフィギュレーション

工場出荷時のデフォルト コンフィギュレーションは、シスコによって新しい適応型セキュリティ アプライアンスに適用される設定です。

ASA 5510 以降の適応型セキュリティ アプライアンスの場合、工場出荷時のデフォルト コンフィギュレーションにより管理用のインターフェイスが設定され、ASDM を使用して接続できます。これで設定は完了です。

ASA 5505 適応型セキュリティ アプライアンスの場合、工場出荷時のデフォルト コンフィギュレーションにより、インターフェイスと NAT が設定され、適応型セキュリティ アプライアンスをすぐにネットワークで使用できます。

工場出荷時のデフォルト コンフィギュレーションは、ルーテッド ファイアウォール モードとシングルコンテキスト モードだけで使用できます。マルチコンテキスト モードの詳細については、「マルチコンテキスト モードの管理」を参照してください。ルーテッド ファイアウォール モードと透過ファイアウォール モードの詳細については、「透過ファイアウォールまたはルーテッド ファイアウォールの設定」を参照してください。


) イメージ ファイルと(隠された)デフォルト コンフィギュレーションに加え、log/、crypto_archive/、および coredumpinfo/coredump.cfg がフラッシュ メモリ内の標準のフォルダとファイルです。フラッシュ メモリ内で、これらのファイルの日付は、イメージ ファイルの日付と一致しない場合があります。これらのファイルは、トラブルシューティングに役立ちますが、障害が発生したことを示すわけではありません。


この項は、次の内容で構成されています。

「工場出荷時のデフォルト コンフィギュレーションの復元」

「ASA 5505 のデフォルト コンフィギュレーション」

「ASA 5510 以降のデフォルト コンフィギュレーション」

工場出荷時のデフォルト コンフィギュレーションの復元

この項では、工場出荷時のデフォルト コンフィギュレーションを復元する方法について説明します。

制限事項

この機能は、ルーテッド ファイアウォール モードでのみ使用できます。トランスペアレント モードの場合、インターフェイスの IP アドレスがサポートされません。さらに、この機能はシングルコンテキスト モードでのみ使用できます。コンフィギュレーションがクリアされた適応型セキュリティ アプライアンスには、この機能を使用して自動的に設定する定義済みのコンテキストがありません。

手順の詳細

 

 
コマンド
目的

ステップ 1

configure factory-default [ ip_address [ mask ]]

 

例:

hostname(config)# configure factory-default 10.1.1.1 255.255.255.0

工場出荷時のデフォルト コンフィギュレーションを復元します。

ip_address を指定する場合は、デフォルトの IP アドレス 192.168.1.1 を使用する代わりに、お使いのモデルに応じて、内部または管理インターフェイスの IP アドレスを設定します。 http コマンドでは、指定するサブネットが使用されます。同様に、 dhcpd address コマンドの範囲は、指定するサブネット内のアドレスで構成されます。

コマンドを使用すると、外部フラッシュ メモリ カード上のイメージを含む、特定のイメージからブートすることができます。工場出荷時のデフォルト コンフィギュレーションを復元した後、次回適応型セキュリティ アプライアンスを再ロードするときには、内部フラッシュ メモリ内の最初のイメージからブートされます。内部フラッシュ メモリ内にイメージがない場合は、適応型セキュリティ アプライアンスはブートされません。

ステップ 2

write memory

 

例:

active(config)# write memory

デフォルト コンフィギュレーションをフラッシュ メモリに保存します。このコマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

次の作業

完全なコンフィギュレーションに役立つ追加設定を設定するには、 setup コマンドを参照してください。

ASA 5505 のデフォルト コンフィギュレーション

ASA 5505 適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションは、次のように設定されています。

Ethernet 0/1 ~ 0/7 スイッチ ポートを含む、内部 VLAN 1 インターフェイス。 configure factory-default コマンドに IP アドレスを設定していない場合、VLAN 1 IP アドレスとマスクは 192.168.1.1 と 255.255.255.0 になります。

Ethernet 0/0 スイッチ ポートを含む外部 VLAN 2 インターフェイス。VLAN 2 は、その IP アドレスを DHCP を使用して取得します。

デフォルト ルートも DHCP から取得されます。

すべての内部 IP アドレスは、インターフェイス PAT を使用して外部にアクセスするときに変換されます。

デフォルトでは、内部ユーザは外部にアクセスできますが、外部ユーザは内部にアクセスできません。

DHCP サーバは適応型セキュリティ アプライアンスに対してイネーブルになっているため、VLAN 1 インターフェイスに接続している PC は、192.168.1.2 から 192.168.1.254 の間のアドレスを受信します。

HTTP サーバは ASDM に対してイネーブルになっており、192.168.1.0 ネットワーク上でユーザにアクセスにできます。

コンフィギュレーションは、次のコマンドで構成されています。

interface Ethernet 0/0
switchport access vlan 2
no shutdown
interface Ethernet 0/1
switchport access vlan 1
no shutdown
interface Ethernet 0/2
switchport access vlan 1
no shutdown
interface Ethernet 0/3
switchport access vlan 1
no shutdown
interface Ethernet 0/4
switchport access vlan 1
no shutdown
interface Ethernet 0/5
switchport access vlan 1
no shutdown
interface Ethernet 0/6
switchport access vlan 1
no shutdown
interface Ethernet 0/7
switchport access vlan 1
no shutdown
interface vlan2
nameif outside
no shutdown
ip address dhcp setroute
interface vlan1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100
no shutdown
object network obj_any
subnet 0 0
nat (inside,outside) dynamic interface
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
 

ASA 5510 以降のデフォルト コンフィギュレーション

ASA 5510 以降の適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションは、次のように設定されています。

管理インターフェイスは Management 0/0 です。 configure factory-default コマンドに IP アドレスを設定していない場合、IP アドレスとマスクは 192.168.1.1 と 255.255.255.0 になります。

DHCP サーバは適応型セキュリティ アプライアンスに対してイネーブルになっているため、インターフェイスに接続している PC は、192.168.1.2 から 192.168.1.254 の間のアドレスを受信します。

HTTP サーバは ASDM に対してイネーブルになっており、192.168.1.0 ネットワーク上でユーザにアクセスにできます。

コンフィギュレーションは、次のコマンドで構成されています。

interface management 0/0
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management
 

コマンドライン インターフェイスへのアクセス

初期コンフィギュレーションでは、コンソール ポートから直接コマンドライン インターフェイスにアクセスします。その後は、「管理アクセスの設定」の方法によって Telnet または SSH を使用してリモート アクセスを設定できます。システムがすでにマルチコンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。マルチコンテキスト モードの詳細については、「マルチコンテキスト モードの管理」を参照してください。


) コマンドライン インターフェイスの代わりに、ASDM を使用して適応型セキュリティ アプライアンスを設定する場合、デフォルトの管理アドレス 192.168.1.1 に接続することができます(適応型セキュリティ アプライアンスに工場出荷時のデフォルト コンフィギュレーションが含まれている場合。「工場出荷時のデフォルト コンフィギュレーション」を参照してください)。ASA 5510 以降の適応型セキュリティ アプライアンスでは、ASDM と接続するインターフェイスは Management 0/0 です。ASA 5505 適応型セキュリティ アプライアンスの場合、ASDM で接続するスイッチ ポートは Ethernet 0/0 を除く任意のポートです。工場出荷時のデフォルト コンフィギュレーションになっていない場合は、この項の手順に従い、コマンドライン インターフェイスにアクセスします。ここで setup コマンドを入力すると、ASDM にアクセスするための最小限のパラメータを設定できます。


コマンドライン インターフェイスにアクセスするには、次の手順を実行します。


ステップ 1 付属のコンソール ケーブルを使用して PC をコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、適応型セキュリティ アプライアンスに添付されているハードウェア ガイドを参照してください。

ステップ 2 Enter キーを押して、次のプロンプトが表示されることを確認します。

hostname>

このプロンプトは、ユーザ EXEC モードで作業していることを示します。

ステップ 3 特権 EXEC モードにアクセスするには、次のコマンドを入力します。

hostname> enable
 

次のプロンプトが表示されます。

Password:
 

ステップ 4 プロンプトに対して、イネーブル パスワードを入力します。

デフォルトではパスワードは空白に設定されているため、Enter キーを押して先に進みます。イネーブル パスワードの変更については、「イネーブル パスワードの変更」を参照してください。

プロンプトが次のように変化します。

hostname#
 

特権モードを終了するには、 disable コマンド、 exit コマンド、または quit コマンドを入力します。

ステップ 5 グローバル コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。

hostname# configure terminal
 

プロンプトが次のように変化します。

hostname(config)#
 

グローバル コンフィギュレーション モードを終了するには、 exit コマンド、 quit コマンド、または end コマンドを入力します。


 

コンフィギュレーションの処理

この項では、コンフィギュレーションを処理する方法について説明します。適応型セキュリティ アプライアンスは、スタートアップ コンフィギュレーションと呼ばれるコンフィギュレーションをテキスト ファイルからロードします。このファイルは、デフォルトでは隠しファイルとして内部フラッシュ メモリに常駐しています。ただし、ユーザはスタートアップ コンフィギュレーションに異なるパスを指定することができます(詳細については、「ソフトウェアとコンフィギュレーションの管理」を参照してください)。

コマンドを入力すると、メモリ上の実行コンフィギュレーションに対してだけ変更が適用されます。変更内容をリブート後も維持するには、実行コンフィギュレーションを手動でスタートアップ コンフィギュレーションに保存する必要があります。

この項で説明する内容は、特に指定がない限り、シングルモードとマルチモードの両セキュリティ コンテキストに適用されます。コンテキストの詳細については、「マルチコンテキスト モードの管理」を参照してください。

この項は、次の内容で構成されています。

「コンフィギュレーションの変更の保存」

「スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー」

「コンフィギュレーションの表示」

「コンフィギュレーション設定のクリアと削除」

「テキスト コンフィギュレーション ファイルのオフラインでの作成」

コンフィギュレーションの変更の保存

この項では、コンフィギュレーションを保存する方法について説明します。次の項目を取り上げます。

「シングルコンテキスト モードでのコンフィギュレーションの変更の保存」

「マルチコンテキスト モードでのコンフィギュレーションの変更の保存」

シングルコンテキスト モードでのコンフィギュレーションの変更の保存

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、次のコマンドを入力します。

 

コマンド
目的

write memory

 

例:

hostname# write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

コマンドに相当します。

マルチコンテキスト モードでのコンフィギュレーションの変更の保存

各コンテキスト(およびシステム)コンフィギュレーションを個別に保存することも、すべてのコンテキスト コンフィギュレーションを同時に保存することもできます。この項は、次の内容で構成されています。

「各コンテキストとシステムの個別保存」

「すべてのコンテキスト コンフィギュレーションの同時保存」

各コンテキストとシステムの個別保存

システムまたはコンテキスト コンフィギュレーションを保存するには、システムまたはコンテキスト内で次のコマンドを入力します。

 

コマンド
目的

write memory

 

例:

hostname# write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

マルチコンテキスト モードでは、コンテキストのスタートアップ コンフィギュレーションを外部サーバに置くことができます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバに適応型セキュリティ アプライアンスによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。

コマンドに相当します。

すべてのコンテキスト コンフィギュレーションの同時保存

すべてのコンテキスト コンフィギュレーション、およびシステム コンフィギュレーションを同時に保存するには、システム実行スペースで次のコマンドを入力します。

 

コマンド
目的

write memory all [ /noconfirm ]

 

例:

hostname# write memory all /noconfirm

すべてのコンテキストおよびシステム コンフィギュレーションのスタートアップ コンフィギュレーションに実行コンフィギュレーションを保存します。

/noconfirm キーワードを入力しない場合、次のプロンプトが表示されます。

Are you sure [Y/N]:
 

Y を入力すると、適応型セキュリティ アプライアンスによってシステム コンフィギュレーションと各コンテキストが保存されます。コンテキストのスタートアップ コンフィギュレーションは、外部サーバに置くことができます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバに適応型セキュリティ アプライアンスによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。

適応型セキュリティ アプライアンスによって各コンテキストが保存されると、次のメッセージが表示されます。

‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’
 

エラーが発生して、コンテキストが保存されない場合もあります。エラーについては、次の情報を参照してください。

メモリ不足のためにコンテキストが保存されない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unavailability of resources
 

リモートの宛先に到達できないためにコンテキストが保存されない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to non-reachability of destination
 

コンテキストがロックされているためにコンテキストが保存されない場合は、次のメッセージが表示されます。

Unable to save the configuration for the following contexts as these contexts are locked.
context 'a' , context 'x' , context 'z' .
 

コンテキストは、他のユーザがすでにコンフィギュレーションを保存している場合、またはコンテキストを削除中の場合に限りロックされます。

スタートアップ コンフィギュレーションが読み取り専用である(たとえば、HTTP サーバ上にある)ためにコンテキストが保存されない場合、その他のすべてのメッセージの最後に次のメッセージ レポートが出力されます。

Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context 'a' , context 'b' , context 'c' .
 

フラッシュ メモリ内に不良セクタがあるためにコンテキストが保存されない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unknown errors
 

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

次のいずれかのオプションを使用して、新規スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

 

コマンド
目的
copy startup-config running-config

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。

reload

適応型セキュリティ アプライアンスをリロードします。その結果、スタートアップ コンフィギュレーションがロードされ、実行コンフィギュレーションが破棄されます。

clear configure all
copy startup-config running-config

スタートアップ コンフィギュレーションをロードし、実行コンフィギュレーションを破棄します。リロードは不要です。

コンフィギュレーションの表示

実行コンフィギュレーションとスタートアップ コンフィギュレーションを表示するには、次のコマンドを使用します。

 

コマンド
目的
show running-config

実行コンフィギュレーションを表示します。

show running-config command

特定のコマンドの実行コンフィギュレーションを表示します。

show startup-config

スタートアップ コンフィギュレーションを表示します。

コンフィギュレーション設定のクリアと削除

設定を消去するには、次のいずれかのコマンドを入力します。

 

コマンド
目的
clear configure configurationcommand [ level2configurationcommand ]

指定されたコマンドのすべてのコンフィギュレーションをクリアします。コマンドの特定バージョンのコンフィギュレーションだけをクリアする場合は、 level2configurationcommand に値を入力します。

たとえば、すべての aaa コマンドのコンフィギュレーションをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa
 

aaa authentication コマンドのコンフィギュレーションだけをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa authentication
no configurationcommand [ level2configurationcommand ] qualifier

コマンドの特定のパラメータまたはオプションをディセーブルにします。この場合、 no コマンドを使用して、 qualifier で特定されるコンフィギュレーションを削除します。

たとえば、特定の nat コマンドを削除するには、次のように、それを一意に識別するのに十分なコマンドを入力します。

hostname(config)# no nat (inside) 1
write erase

スタートアップ コンフィギュレーションを消去します。

clear configure all

実行コンフィギュレーションを消去します。

を入力すると、すべてのコンテキストを削除し、実行中のコンフィギュレーションを停止することにもなります。コンテキスト コンフィギュレーション ファイルは消去されず、元の場所に保持されます。

テキスト コンフィギュレーション ファイルのオフラインでの作成

このマニュアルでは、適応型セキュリティ アプライアンスを設定するための CLI の使用方法について説明しています。コマンドを保存すると、変更内容はテキスト ファイルに書き込まれます。一方、CLI を使用する代わりに、テキスト ファイルを PC で直接編集して、コンフィギュレーション モードのコマンドライン プロンプトから、コンフィギュレーションを全部または 1 行ずつペーストすることができます。または、テキスト ファイルを適応型セキュリティ アプライアンス の内部フラッシュ メモリにダウンロードすることもできます。コンフィギュレーション ファイルを適応型セキュリティ アプライアンスにダウンロードする方法の詳細については、「ソフトウェアとコンフィギュレーションの管理」を参照してください。

ほとんどの場合、このマニュアルで説明するコマンドには、CLI プロンプトが先行します。次の例では、CLI プロンプトは「hostname(config)#」です。

hostname(config)# context a
 

コマンドの入力が要求されないテキスト コンフィギュレーション ファイルの場合は、プロンプトは次のように省略されます。

context a
 

テキスト コンフィギュレーション ファイルのフォーマッティングの詳細については、 付録 A「コマンドライン インターフェイスの使用」 を参照してください。

接続に対するコンフィギュレーションの変更の適用

コンフィギュレーションにセキュリティ ポリシーの変更を加えると、すべての 新しい 接続で新しいセキュリティ ポリシーを使用するようになります。既存の接続は、接続の確立時に設定されたポリシーを使用し続けます。すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。接続を解除するには、次のいずれかのコマンドを入力します。

 

コマンド
目的
clear local-host [ ip_address ] [ all ]

このコマンドは、接続制限値や初期接続の制限など、クライアントごとのランタイム ステートを再初期化します。その結果、このコマンドはこれらの制限を使用するすべての接続を削除します。現在のすべての接続をホスト別に表示するには、 show local-host all コマンドを参照してください。

引数を指定しないと、このコマンドは、影響を受けるすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには(現在の管理セッションを含む)、 all キーワードを使用します。特定の IP アドレスへの、または特定の IP アドレスからの接続をクリアするには、 ip_address 引数を使用します。

clear conn [ all ] [ protocol { tcp | udp }] [ address src_ip [ - src_ip ] [ netmask mask ]] [ port src_port [ - src_port ]] [ address dest_ip [ - dest_ip ] [ netmask mask ]] [ port dest_port [ - dest_port ]]

このコマンドは、すべての状態の接続を終了します。現在のすべての接続を表示するには、 show conn コマンドを参照してください。

引数を指定しないと、このコマンドはすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには(現在の管理セッションを含む)、 all キーワードを使用します。送信元 IP アドレス、宛先 IP アドレス、ポート、プロトコルに基づいて特定の接続をクリアするには、必要なオプションを指定できます。

clear xlate [ arguments ]

このコマンドは、ダイナミック NAT セッションをクリアします。スタティック セッションは影響を受けません。その結果、これらの NAT セッションを使用するすべての接続が削除されます。

引数を指定しないと、このコマンドはすべての NAT セッションをクリアします。使用可能な引数の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。