Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
基本設定
基本設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

基本設定

イネーブル パスワードの変更

ホスト名の設定

ドメイン名の設定

日付と時刻の設定

時間帯と夏時間の日付範囲の設定

NTP サーバを使用する日付と時刻の設定

手動での日付と時刻の設定

透過ファイアウォールの管理 IP アドレスの設定

基本設定

この章では、セキュリティ アプライアンス上で機能を果たすコンフィギュレーションに通常必要とされる基本設定を行う方法について説明します。次の事項について説明します。

「イネーブル パスワードの変更」

「ホスト名の設定」

「ドメイン名の設定」

「日付と時刻の設定」

「透過ファイアウォールの管理 IP アドレスの設定」

イネーブル パスワードの変更

イネーブル パスワードを使用すると、特権 EXEC モードに入ることができます。デフォルトでは、イネーブル パスワードは空白に設定されています。イネーブル パスワードを変更するには、次のコマンドを入力します。

hostname(config)# enable password password
 

password は、最大 16 文字の英数字および特殊文字からなるパスワードで、大文字と小文字は区別されます。パスワードには疑問符(?)とスペースを除く任意の文字を使用できます。

このコマンドは最高の特権レベルにパスワードを変更します。ローカル コマンド認可を設定すると、0 ~ 15 の各特権レベルにイネーブル パスワードを設定できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードを指定せずに enable password コマンドを入力すると、パスワードはデフォルトの空白に設定されます。

ホスト名の設定

セキュリティ アプライアンスのホスト名を設定すると、そのホスト名がコマンドラインのプロンプトに表示されます。このホスト名によって、複数の装置とのセッションを確立する場合に、コマンドを入力する場所が常に把握できます。デフォルトのホスト名は、プラットフォームの種類によって決まります。

マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンドライン プロンプトに表示されます。コンテキスト内にオプションで設定したホスト名はコマンドラインに表示されませんが、 banner コマンドの $(hostname) トークンで使用できます。

セキュリティ アプライアンスまたはコンテキストのホスト名を指定するには、次のコマンドを入力します。

hostname(config)# hostname name
 

名前には、63 文字以下の文字を使用できます。ホスト名は英字または数字で始まり英字または数字で終わる必要があります。中の文字として使用できるのは、英字、数字、ハイフンだけです。

この名前がコマンドライン プロンプトに表示されます。次の例を参考にしてください。

hostname(config)# hostname farscape
farscape(config)#
 

ドメイン名の設定

セキュリティ アプライアンスは、ドメイン名を未修飾名に拡張子として追加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバに未修飾名「jupiter」を指定すると、セキュリティ アプライアンスは、この名前を「jupiter.example.com」に限定します。

デフォルトのドメイン名は、default.domain.invalid です。

マルチコンテキスト モードでは、システム実行スペース内と同様、各コンテキストにドメイン名を設定することができます。

セキュリティ アプライアンスのドメイン名を指定するには、次のコマンドを入力します。

hostname(config)# domain-name name
 

たとえば、ドメインに example.com という名前を指定するには、次のコマンドを入力します。

hostname(config)# domain-name example.com

日付と時刻の設定

この項では、日付と時刻の設定方法として、手動で行う方法と NTP サーバを使用するダイナミックな方法について説明します。手動で設定した時刻はすべて、NTP サーバから取得された時刻によって上書きされます。この項では、時間帯および夏時間の日付範囲の設定方法についても説明します。


) マルチコンテキスト モードでは、時刻はシステム コンフィギュレーションのみに設定してください。


ここでは、次の項目について説明します。

「時間帯と夏時間の日付範囲の設定」

「NTP サーバを使用する日付と時刻の設定」

「手動での日付と時刻の設定」

時間帯と夏時間の日付範囲の設定

デフォルトでは、時間帯は UTC(世界標準時)であり、夏時間の日付範囲は 4 月の第一日曜日の午前 2 時~ 10 月の最終日曜日の午前 2 時です。時間帯および夏時間の日付範囲を変更するには、次の手順を実行します。


ステップ 1 時間帯を設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# clock timezone zone [-]hours [minutes]
 

ここで、 zone 値は、時間帯を文字列で指定します。たとえば、 PST は太平洋標準時(Pacific Standard Time)を表します。

[ - ] hours 値は、UTC との時差を時間で設定します。たとえば、PST は -8 時間です。

minutes 値は、UTC との時差を分で設定します。

ステップ 2 夏時間の日付範囲をデフォルトから変更するには、次のいずれかのコマンドを入力します。

定期的な日付範囲のデフォルト値は、4 月の第一日曜日の午前 2 時~ 10 月の最終日曜日の午前 2 時です。

夏時間の開始日と終了日を特定の年の特定の日付に設定するには、次のコマンドを入力します。

hostname(config)# clock summer-time zone date {day month | month day} year hh:mm {day month | month day} year hh:mm [offset]
 

このコマンドを使用する場合は、日付を毎年再設定する必要があります。

zone 値は、時間帯を文字列で指定します。たとえば、 PDT は太平洋夏時間(Pacific Daylight Time)を表します。

day 値は、月の日付として 1 ~ 31 を設定します。使用している標準日付形式に合せて月日を April 1 または 1 April のように入力することができます。

month 値は、月を文字列で設定します。使用する標準日付形式に合せて月日を April 1 または 1 April のように入力することができます。

year 値は、4 桁で年を設定します( 2004 など)。西暦年の範囲は 1993 ~ 2035 です。

hh:mm 値は、24 時間形式で、時間と分を設定します。

offset 値は、夏時間用に時間を変更する分数を設定します。デフォルトでは、60 分です。

夏時間の開始日と終了日を、ある月の日付および時刻という形式で指定し、ある年の特定の日付としては指定しない場合は、次のコマンドを入力します。

hostname(config)# clock summer-time zone recurring [week weekday month hh:mm week weekday month hh:mm] [offset]
 

このコマンドによって定期的な日付範囲が設定されるため、毎年変更する必要はありません。

zone 値は、時間帯を文字列で指定します。たとえば、 PDT は太平洋夏時間(Pacific Daylight Time)を表します。

week 値は、月の特定の週を 1 から 4 までの整数で指定するか、 first または last という単語で指定します。たとえば、日付が半端な第 5 週にあたる場合は、 last と指定します。

weekday 値は、 Monday Tuesday Wednesday などのように曜日を指定します。

month 値は、月を文字列で設定します。

hh:mm 値は、24 時間形式で、時間と分を設定します。

offset 値は、夏時間用に時間を変更する分数を設定します。デフォルトでは、60 分です。


 

NTP サーバを使用する日付と時刻の設定

NTP サーバから日付と時刻を取得するには、次の手順を実行します。


ステップ 1 NTP サーバを使用して認証を設定するには、次の手順を実行します。

a. 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config)# ntp authenticate
 

b. 認証キー ID が信頼できるキーであると指定するには、次のコマンドを入力します。この信頼できるキーは、NTP サーバに関する認証に必要です。

hostname(config)# ntp trusted-key key_id
 

ここで、 key_id は、1 ~ 4294967295 の数字です。複数のサーバで使用する場合は複数の信頼できるキーを入力することができます。

c. NTP サーバで認証を行うためのキーを設定するには、次のコマンドを入力します。

hostname(config)# ntp authentication-key key_id md5 key
 

ここで、 key_id には、 ntp trusted-key コマンドを実行して手順 1b で設定した ID を指定し、key には最大 32 文字の文字列を指定します。

ステップ 2 NTP サーバを識別するには、次のコマンドを入力します。

hostname(config)# ntp server ip_address [key key_id] [source interface_name] [prefer]
 

ここで、 key_id には、ステップ 1 b ntp trusted-key コマンドを使用して設定した ID を指定します。

source interface_name には、ルーティング テーブル内のデフォルトのインターフェイスを使用しない場合に、NTP パケットを転送する発信インターフェイスを指定します。システムにはマルチコンテキスト モードのインターフェイスが含まれていないため、管理コンテキストに定義されているインターフェイス名を指定します。

prefer キーワードは、精度が類似する複数のサーバがある場合に、この NTP サーバを優先サーバに設定します。NTP は、アルゴリズムを使用して最も精度の高いサーバを判別し、そのサーバに同期します。複数のサーバの精度が類似している場合は、 prefer キーワードを使用して使用するサーバを指定します。ただし、優先サーバよりはるかに精度の高いサーバがある場合は、セキュリティ アプライアンスはその精度の高いサーバを使用します。たとえば、セキュリティ アプライアンスは、優先サーバの stratum 3 の代わりに、サーバ stratum 2 を使用します。

サーバは複数指定することができ、セキュリティ アプライアンスがその中から最も精度の高いサーバを使用します。


 

手動での日付と時刻の設定

手動で日付と時刻を設定するには、次のコマンドを入力します。

hostname# clock set hh:mm:ss {month day | day month} year
 

ここで、 hh : mm : ss には、24 時間形式で、時間、分、秒を設定します。たとえば、午後 8 時 54 分は 20:54:00 と設定します。

day 値は、月の日付として 1 ~ 31 を設定します。使用している標準日付形式に合せて月日を april 1 または 1 april のように入力することができます。

month 値は、月を設定します。使用する標準日付形式に合せて、月日を april 1 または 1 april のように入力することができます。

year 値は、4 桁で年を設定します( 2004 など)。西暦年の範囲は 1993 ~ 2035 です。

デフォルトの時間帯は UTC です。 clock set コマンドを使用した後に、 clock timezone コマンドを使用して時間帯を変更すると、設定した時刻は新しい時間帯に自動的に合せられます。

このコマンドは時刻をハードウェア チップに設定し、コンフィギュレーション ファイルには時刻を保存しません。この時刻はリブートしても保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックを再設定するには、 clock set コマンドに新しい時刻を設定する必要があります。

透過ファイアウォールの管理 IP アドレスの設定

透過ファイアウォール モードのみ

透過ファイアウォールは、IP ルーティングに参加しません。セキュリティ アプライアンスで必要とされる唯一の IP コンフィギュレーションは、管理 IP アドレスの設定です。このアドレスは、システム メッセージまたは AAA サーバとの通信など、セキュリティ アプライアンス上で発信されるトラフィックの送信元アドレスとしてセキュリティ アプライアンスが使用するために必要です。このアドレスは、リモート管理アクセスにも使用できます。

マルチコンテキスト モードでは、管理 IP アドレスを各コンテキスト内に設定します。

管理 IP アドレスを設定するには、次のコマンドを入力します。

hostname(config)# ip address ip_address [mask] [standby ip_address]
 

このアドレスは、アップストリーム ルータおよびダウンストリーム ルータと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。このアドレスは IPv4 でなければなりません。これは、透過ファイアウォールが IPv6 をサポートしていないためです。

フェールオーバーには、 standby キーワードおよびアドレスを使用します。詳細については、「フェールオーバーの設定」を参照してください。