Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
はじめに
はじめに
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

はじめに

コマンドライン インターフェイスへのアクセス

透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

コンフィギュレーションの処理

コンフィギュレーション変更の保存

スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピー

コンフィギュレーションの表示

コンフィギュレーション設定のクリアと削除

テキスト コンフィギュレーション ファイルのオフラインでの作成

はじめに

この章では、コマンドライン インターフェイスへのアクセス方法、ファイアウォール モードの設定方法、およびコンフィギュレーションの処理方法について説明します。次の事項について説明します。

「コマンドライン インターフェイスへのアクセス」

「透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」

「コンフィギュレーションの処理」

コマンドライン インターフェイスへのアクセス

初期コンフィギュレーションでは、コンソール ポートから直接コマンドライン インターフェイスにアクセスします。その後は、「システム アクセスの管理」の方法によって Telnet または SSH を使用してリモートアクセスを設定することができます。システムがすでにマルチコンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。マルチコンテキスト モードの詳細については、「マルチコンテキスト モードのイネーブル化」を参照してください。


) コマンドライン インターフェイスの代わりに、ASDM を使用してセキュリティ アプライアンスを設定する場合、デフォルトの管理アドレス 192.168.1.1 に接続することができます(セキュリティ アプライアンスが工場出荷時のデフォルト コンフィギュレーションの状態にある場合)。ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、ASDM に接続するインターフェイスは Management 0/0 です。PIX 500 シリーズ適応型セキュリティ アプライアンスでは、ASDM に接続するインターフェイスは Ethernet 1 です。工場出荷時のデフォルト コンフィギュレーションになっていない場合は、この項の手順でコマンドライン インターフェイスにアクセスします。そこで、setup コマンドを入力すると、ASDM にアクセスするための最小限のパラメータが設定できます。


コマンドライン インターフェイスにアクセスするには、次の手順を実行します。


ステップ 1 添付品のコンソール ケーブルを使用して PC をコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、セキュリティ アプライアンスに添付されているハードウェア ガイドを参照してください。

ステップ 2 Enter キーを押して、次のプロンプトが表示されることを確認します。

hostname>

このプロンプトは、EXEC モードで作業していることを示します。

ステップ 3 特権 EXEC モードにアクセスするには、次のコマンドを入力します。

hostname> enable
 

次のプロンプトが表示されます。

Password:
 

ステップ 4 プロンプトに対して、イネーブル パスワードを入力します。

デフォルトではパスワードは空白に設定されているため、Enter キーを押して先に進みます。イネーブル パスワードの変更については、「イネーブル パスワードの変更」を参照してください。

プロンプトが次のように変化します。

hostname#
 

特権モードを終了するには、 disable コマンド、 exit コマンド、または quit コマンドを入力します。

ステップ 5 グローバル コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。

hostname# configure terminal
 

プロンプトが次のように変化します。

hostname(config)#
 

グローバル コンフィギュレーション モードを終了するには、 exit コマンド、 quit コマンド、または end コマンドを入力します。


 

透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

セキュリティ アプライアンスは、ルーテッド ファイアウォール モード(デフォルト)または透過ファイアウォール モードで動作するように設定できます。

マルチコンテキスト モードでは、すべてのコンテキストで 1 つのファイアウォール モードしか使用できません。モードの設定は、システム実行スペースで行う必要があります。

モードを変更すると、セキュリティ アプライアンスはコンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。すでに実装済みのコンフィギュレーションがある場合は、モードを変更する前に必ずコンフィギュレーションのバックアップを作成してください。新しくコンフィギュレーションを作成するときにこのバックアップを参照する場合があります。

firewall transparent コマンドでモードを変更するセキュリティ アプライアンスにテキスト コンフィギュレーションをダウンロードする場合は、必ずこのコマンドをコンフィギュレーションの最上部に置いてください。このようにすると、セキュリティ アプライアンスは、このコマンドを読み取り次第すぐにモードを変更し、その後は、ダウンロードしたコンフィギュレーションの読み取りを続けます。このコマンドがコンフィギュレーションの後ろの方にあると、セキュリティ アプライアンスはそれ以前に記述されているコンフィギュレーションの行をすべてクリアします。

透過モードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# firewall transparent
 

このコマンドは、情報提供のためだけに各コンテキスト コンフィギュレーションにも表示されるため、このコマンドをコンテキストに入力することはできません。

ルーテッド モードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# no firewall transparent

コンフィギュレーションの処理

この項では、コンフィギュレーションを処理する方法について説明します。セキュリティ アプライアンスは、スタートアップ コンフィギュレーションと呼ばれるコンフィギュレーションをテキスト ファイルからロードします。このファイルは、デフォルトでは隠しファイルとして内部フラッシュ メモリに常駐しています。しかし、ユーザはスタートアップ コンフィギュレーションに異なるパスを指定することができます(詳細については、「ソフトウェア、ライセンス、およびコンフィギュレーションの管理」を参照してください)。

コマンドを入力すると、メモリ上の実行コンフィギュレーションに対してのみ変更が適用されます。変更内容をリブート後も維持するには、実行コンフィギュレーションを手動でスタートアップ コンフィギュレーションに保存する必要があります。

この項で説明する内容は、特に指定がない限り、シングルモードとマルチモードの両セキュリティ コンテキストに適用されます。コンテキストの詳細については、「マルチコンテキスト モードのイネーブル化」を参照してください。

ここでは、次の項目について説明します。

「コンフィギュレーション変更の保存」

「スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピー」

「コンフィギュレーションの表示」

「コンフィギュレーション設定のクリアと削除」

「テキスト コンフィギュレーション ファイルのオフラインでの作成」

コンフィギュレーション変更の保存

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、次のコマンドを入力します。

hostname# write memory
 

マルチコンテキスト モードの場合は、各コンテキスト内でこのコマンドを入力する必要があります。コンテキストのスタートアップ コンフィギュレーションは、外部サーバに置くことができます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバにセキュリティ アプライアンスによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。


copy running-config startup-config コマンドは、write memory コマンドに相当します。


スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピー

次のいずれかのオプションを使用して、新規スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

実行コンフィギュレーションでスタートアップ コンフィギュレーションをマージするには、次のコマンドを入力します。

hostname(config)# copy startup-config running-config
 

スタートアップ コンフィギュレーションをロードして実行コンフィギュレーションを廃棄するには、次のコマンドを入力してセキュリティ アプライアンスを再起動します。

hostname# reload
 

あるいは、次のコマンドを使用し、リブートを要求せずにスタートアップ コンフィギュレーションをロードして実行コンフィギュレーションを廃棄することができます。

hostname/contexta(config)# clear configure all
hostname/contexta(config)# copy startup-config running-config
 

コンフィギュレーションの表示

実行コンフィギュレーションとスタートアップ コンフィギュレーションを表示するには、次のコマンドを使用します。

実行コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config
 

特定のコマンドの実行コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config command
 

スタートアップ コンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show startup-config
 

コンフィギュレーション設定のクリアと削除

設定を消去するには、次のいずれかのコマンドを入力します。

指定したコマンドのコンフィギュレーションすべてをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure configurationcommand [level2configurationcommand]
 

このコマンドは、指定されたコンフィギュレーション コマンドの現在のコンフィギュレーションを全部クリアします。コマンドの特定バージョンのコンフィギュレーションだけをクリアする場合は、 level2configurationcommand に値を入力します。

たとえば、すべての aaa コマンドのコンフィギュレーションをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa
 

aaa authentication コマンドのコンフィギュレーションだけをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa authentication
 

あるコマンドの特定のパラメータまたはオプションをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no configurationcommand [level2configurationcommand] qualifier
 

この場合、 no コマンドを使用して、 qualifier で特定されるコンフィギュレーションを削除します。

たとえば、特定の nat コマンドを削除するには、次のように、それを一意に識別するのに十分なコマンドを入力します。

hostname(config)# no nat (inside) 1
 

スタートアップ コンフィギュレーションを消去するには、次のコマンドを入力します。

hostname(config)# write erase
 

実行コンフィギュレーションを消去するには、次のコマンドを入力します。

hostname(config)# clear configure all
 

) マルチコンテキスト モードでは、システム コンフィギュレーションから clear configure all を入力すると、すべてのコンテキストを削除し、実行中のコンフィギュレーションを停止することにもなります。


テキスト コンフィギュレーション ファイルのオフラインでの作成

このマニュアルは、セキュリティ アプライアンスを設定するための CLI の使用方法について説明しています。コマンドを保存すると、変更内容はテキスト ファイルに書き込まれます。一方、CLI を使用する代わりに、テキスト ファイルを PC で直接編集して、コンフィギュレーション モードのコマンドライン プロンプトから、コンフィギュレーションを全部または 1 行ずつペーストすることができます。あるいは、テキスト ファイルをセキュリティ アプライアンスの内部フラッシュ メモリにダウンロードすることもできます。コンフィギュレーション ファイルをセキュリティ アプライアンスにダウンロードする方法の詳細については、「ソフトウェア、ライセンス、およびコンフィギュレーションの管理」を参照してください。

ほとんどの場合、このマニュアルで説明するコマンドには、CLI プロンプトが先行します。次の例では、CLI プロンプトは「hostname(config)#」です。

hostname(config)# context a
 

コマンドの入力が要求されないテキスト コンフィギュレーション ファイルの場合は、プロンプトは次のように省略されます。

context a
 

テキスト コンフィギュレーション ファイルのフォーマッティングの詳細については、 付録 C「コマンドライン インターフェイスの使用」 を参照してください。