Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
はじめに
はじめに
発行日;2012/05/10 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

はじめに

アプライアンス コマンドライン インターフェイスへのアクセス

工場出荷時のデフォルト コンフィギュレーション

工場出荷時のデフォルト コンフィギュレーションの復元

ASA 5505 のデフォルト コンフィギュレーション

ASA 5510 以降のデフォルト コンフィギュレーション

コンフィギュレーションの処理

コンフィギュレーションの変更の保存

シングル コンテキスト モードでのコンフィギュレーションの変更の保存

マルチ コンテキスト モードでのコンフィギュレーションの変更の保存

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

コンフィギュレーションの表示

コンフィギュレーション設定のクリアと削除

テキスト コンフィギュレーション ファイルのオフラインでの作成

接続に対するコンフィギュレーションの変更の適用

アプライアンス コマンドライン インターフェイスへのアクセス

初期コンフィギュレーションでは、コンソール ポートから直接 CLI にアクセスします。その後は、「管理アクセスの設定」の方法によって Telnet または SSH を使用してリモート アクセスを設定できます。システムがすでにマルチ コンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。マルチ コンテキスト モードの詳細については、「マルチ コンテキスト モードの設定」を参照してください。

手順の詳細


ステップ 1 付属のコンソール ケーブルを使用して PC をコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、ASAに添付されているハードウェア ガイドを参照してください。

ステップ 2 Enter キーを押して、次のプロンプトが表示されることを確認します。

hostname>

このプロンプトは、ユーザ EXEC モードで作業していることを示します。

ステップ 3 特権 EXEC モードにアクセスするには、次のコマンドを入力します。

hostname> enable
 

次のプロンプトが表示されます。

Password:
 

ステップ 4 プロンプトに対して、イネーブル パスワードを入力します。

デフォルトではパスワードは空白に設定されているため、Enter キーを押して先に進みます。イネーブル パスワードの変更については、「ホスト名、ドメイン名、およびパスワードの設定」を参照してください。

プロンプトが次のように変化します。

hostname#
 

特権モードを終了するには、 disable コマンド、 exit コマンド、または quit コマンドを入力します。

ステップ 5 グローバル コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。

hostname# configure terminal
 

プロンプトは、次のように変化します。

hostname(config)#
 

グローバル コンフィギュレーション モードを終了するには、 exit コマンド、 quit コマンド、または end コマンドを入力します。


 

工場出荷時のデフォルト コンフィギュレーション

出荷時のデフォルトのコンフィギュレーションは、シスコが新しいASAに適用しているコンフィギュレーションです。

ASA 5510 以降のASAの場合、工場出荷時のデフォルト コンフィギュレーションにより管理用のインターフェイスが設定され、ASDM を使用して接続できます。これで設定は完了です。

ASA 5505 の場合、工場出荷時のデフォルト コンフィギュレーションにより、インターフェイスと NAT が設定され、ASA をすぐにネットワークで使用できます。

工場出荷時のデフォルト コンフィギュレーションは、ルーテッド ファイアウォール モードとシングル コンテキスト モードだけで使用できます。マルチ コンテキスト モードの詳細については、「マルチ コンテキスト モードの設定」を参照してください。ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの詳細については、「トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定」を参照してください。


) イメージ ファイルと(隠された)デフォルト コンフィギュレーションに加え、log/、crypto_archive/、および coredumpinfo/coredump.cfg がフラッシュ メモリ内の標準のフォルダとファイルです。フラッシュ メモリ内で、これらのファイルの日付は、イメージ ファイルの日付と一致しない場合があります。これらのファイルは、トラブルシューティングに役立ちますが、障害が発生したことを示すわけではありません。


この項は、次の内容で構成されています。

「工場出荷時のデフォルト コンフィギュレーションの復元」

「ASA 5505 のデフォルト コンフィギュレーション」

「ASA 5510 以降のデフォルト コンフィギュレーション」

工場出荷時のデフォルト コンフィギュレーションの復元

この項では、工場出荷時のデフォルト コンフィギュレーションを復元する方法について説明します。

制限事項

この機能は、ルーテッド ファイアウォール モードでのみ使用できます。トランスペアレント モードの場合、インターフェイスの IP アドレスがサポートされません。さらに、この機能はシングル コンテキスト モードでのみ使用できます。コンフィギュレーションがクリアされたASAには、この機能を使用して自動的に設定する定義済みのコンテキストがありません。

手順の詳細

 

 
コマンド
目的

ステップ 1

configure factory-default [ ip_address [ mask ]]

 

 

hostname(config)# configure factory-default 10.1.1.1 255.255.255.0

工場出荷時のデフォルト コンフィギュレーションを復元します。

ip_address を指定する場合は、デフォルトの IP アドレス 192.168.1.1 を使用する代わりに、お使いのモデルに応じて、内部または管理インターフェイスの IP アドレスを設定します。 http コマンドでは、指定するサブネットが使用されます。同様に、 dhcpd address コマンドの範囲は、指定したサブネット内のアドレスで構成されます。

を使用すると、外部フラッシュ メモリ カードのイメージを含む特定のイメージからブートできます。出荷時のコンフィギュレーションに戻した後、次回 ASA をリロードすると、ASA は、内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合、ASA はブートしません。

ステップ 2

write memory
 
 
active(config)# write memory

デフォルト コンフィギュレーションをフラッシュ メモリに保存します。このコマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

次の作業

ASA の設定を開始するには、「コンフィギュレーションの処理」を参照してください。

ASA 5505 のデフォルト コンフィギュレーション

ASA 5505 の工場出荷時のデフォルト設定は、次のとおりです。

イーサネット 0/1 ~ 0/7 スイッチ ポートを含む内部 VLAN 1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定していない場合、VLAN 1 の IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。

イーサネット 0/0 スイッチ ポートを含む外部 VLAN 2 インターフェイス。VLAN 2 は、DHCP を使用してその IP アドレスを取得します。

デフォルトのルートも DHCP から取得されます。

すべての内部 IP アドレスが、外部にアクセスするときにインターフェイス PAT によって変換されます。

デフォルトでは、内部ユーザは外部にアクセスできますが、外部ユーザは内部にアクセスできません。

ASAで DHCP サーバがイネーブルになっているため、VLAN 1 インターフェイスに接続している PC は、192.168.1.2 ~ 192.168.1.254 のアドレスを受け取ります。

ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。

interface Ethernet 0/0
switchport access vlan 2
no shutdown
interface Ethernet 0/1
switchport access vlan 1
no shutdown
interface Ethernet 0/2
switchport access vlan 1
no shutdown
interface Ethernet 0/3
switchport access vlan 1
no shutdown
interface Ethernet 0/4
switchport access vlan 1
no shutdown
interface Ethernet 0/5
switchport access vlan 1
no shutdown
interface Ethernet 0/6
switchport access vlan 1
no shutdown
interface Ethernet 0/7
switchport access vlan 1
no shutdown
interface vlan2
nameif outside
no shutdown
ip address dhcp setroute
interface vlan1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100
no shutdown
object network obj_any
subnet 0 0
nat (inside,outside) dynamic interface
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
 

ASA 5510 以降のデフォルト コンフィギュレーション

ASA 5510 以上の出荷時のデフォルトのコンフィギュレーションによって、次のように設定されます。

管理インターフェイスは Management 0/0 です。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。

ASAでは DHCP サーバがイネーブルにされているため、このインターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。

ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。

interface management 0/0
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management
 

コンフィギュレーションの処理

この項では、コンフィギュレーションを処理する方法について説明します。ASAは、スタートアップ コンフィギュレーションと呼ばれるコンフィギュレーションをテキスト ファイルからロードします。このファイルは、デフォルトでは隠しファイルとして内部フラッシュ メモリに常駐しています。ただし、ユーザはスタートアップ コンフィギュレーションに異なるパスを指定することができます (詳細については、「ソフトウェアとコンフィギュレーションの管理」を参照してください)。

コマンドを入力すると、メモリ上の実行コンフィギュレーションに対してだけ変更が適用されます。変更内容をリブート後も維持するには、実行コンフィギュレーションを手動でスタートアップ コンフィギュレーションに保存する必要があります。

この項で説明する内容は、特に指定がない限り、シングル モードとマルチ モードの両セキュリティ コンテキストに適用されます。コンテキストの詳細については、「マルチ コンテキスト モードの設定」を参照してください。

この項は、次の内容で構成されています。

「コンフィギュレーションの変更の保存」

「スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー」

「コンフィギュレーションの表示」

「コンフィギュレーション設定のクリアと削除」

「テキスト コンフィギュレーション ファイルのオフラインでの作成」

コンフィギュレーションの変更の保存

この項では、コンフィギュレーションを保存する方法について説明します。次の項目を取り上げます。

「シングル コンテキスト モードでのコンフィギュレーションの変更の保存」

「マルチ コンテキスト モードでのコンフィギュレーションの変更の保存」

シングル コンテキスト モードでのコンフィギュレーションの変更の保存

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、次のコマンドを入力します。

 

コマンド
目的

write memory

 

 

hostname# write memory

実行中の設定をスタートアップ コンフィギュレーションに保存します。

コマンドに相当します。

マルチ コンテキスト モードでのコンフィギュレーションの変更の保存

各コンテキスト(およびシステム)コンフィギュレーションを個別に保存することも、すべてのコンテキスト コンフィギュレーションを同時に保存することもできます。この項は、次の内容で構成されています。

「各コンテキストとシステムの個別保存」

「すべてのコンテキスト コンフィギュレーションの同時保存」

各コンテキストとシステムの個別保存

システムまたはコンテキスト コンフィギュレーションを保存するには、システムまたはコンテキスト内で次のコマンドを入力します。

 

コマンド
目的

write memory

 

 

hostname# write memory

実行中の設定をスタートアップ コンフィギュレーションに保存します。

マルチ コンテキスト モードでは、コンテキストのスタートアップ コンフィギュレーションを外部サーバに置くことができます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバにASAによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。

コマンドに相当します。

すべてのコンテキスト コンフィギュレーションの同時保存

すべてのコンテキスト コンフィギュレーション、およびシステム コンフィギュレーションを同時に保存するには、システム実行スペースで次のコマンドを入力します。

 

コマンド
目的

write memory all [ /noconfirm ]

 

 

hostname# write memory all /noconfirm

すべてのコンテキストおよびシステム コンフィギュレーションのスタートアップ コンフィギュレーションに実行コンフィギュレーションを保存します。

/noconfirm キーワードを入力しない場合、次のプロンプトが表示されます。

Are you sure [Y/N]:
 

Y を入力すると、ASAによってシステム コンフィギュレーションと各コンテキストが保存されます。コンテキストのスタートアップ コンフィギュレーションは、外部サーバに配置できます。この場合、そのコンフィギュレーションは、コンテキスト URL(HTTP URL および HTTPS URL を除く)に指定されているサーバにASAによって戻され、保存されるため、サーバにコンフィギュレーションを保存する必要はありません。

ASAによって各コンテキストが保存されると、次のメッセージが表示されます。

'Saving context 'b' ... ( 1/3 contexts saved ) '
 

エラーのためにコンテキストが保存されない場合もあります。エラーについては、次の情報を参照してください。

メモリ不足のためにコンテキストが保存されない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unavailability of resources
 

リモートの宛先に到達できないためにコンテキストが保存されない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to non-reachability of destination
 

コンテキストがロックされているために保存されない場合は、次のメッセージが表示されます。

Unable to save the configuration for the following contexts as these contexts are locked.
context 'a' , context 'x' , context 'z' .
 

コンテキストがロックされるのは、別のユーザがすでにコンフィギュレーションを保存している場合、またはコンテキストを削除している場合のみです。

スタートアップ コンフィギュレーションが読み取り専用であるために(たとえば、HTTP サーバで)コンテキストが保存されない場合は、他のすべてのメッセージの最後に次のメッセージ レポートが出力されます。

Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context 'a' , context 'b' , context 'c' .
 

フラッシュ メモリのセクターが壊れているためコンテキストを保存できない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unknown errors
 

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

次のいずれかのオプションを使用して、新規スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

 

コマンド
目的
copy startup-config running-config

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。このマージでは、新しいコンフィギュレーションの新しいすべてのコマンドが実行コンフィギュレーションに追加されます。コンフィギュレーションが同一であれば、変更はありません。コマンドが競合しているか、コマンドがコンテキストの実行に影響する場合、マージの影響はコマンドによって異なります。エラーが出される場合もあれば、予期しない結果になる場合もあります。

reload

ASAをリロードします。その結果、スタートアップ コンフィギュレーションがロードされ、実行コンフィギュレーションが破棄されます。

clear configure all
copy startup-config running-config

スタートアップ コンフィギュレーションをロードし、実行コンフィギュレーションを破棄します。リロードは不要です。

コンフィギュレーションの表示

実行コンフィギュレーションとスタートアップ コンフィギュレーションを表示するには、次のコマンドを使用します。

 

コマンド
目的
show running-config

実行コンフィギュレーションを表示します。

show running-config command

特定のコマンドの実行コンフィギュレーションを表示します。

show startup-config

スタートアップ コンフィギュレーションを表示します。

コンフィギュレーション設定のクリアと削除

設定を消去するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

clear configure configurationcommand [ level2configurationcommand ]

 
hostname(config)# clear configure aaa

指定されたコマンドのすべてのコンフィギュレーションをクリアします。コマンドの特定バージョンのコンフィギュレーションだけをクリアする場合は、 level2configurationcommand に値を入力します。

たとえば、すべての aaa コマンドのコンフィギュレーションをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa
 

aaa authentication コマンドのコンフィギュレーションだけをクリアするには、次のコマンドを入力します。

hostname(config)# clear configure aaa authentication

no configurationcommand [ level2configurationcommand ] qualifier

 
hostname(config)# no nat (inside) 1

コマンドの特定のパラメータまたはオプションをディセーブルにします。この場合、 no コマンドを使用して、 qualifier で特定されるコンフィギュレーションを削除します。

たとえば、特定の nat コマンドを削除するには、次のように、それを一意に識別するのに十分なコマンドを入力します。

hostname(config)# no nat (inside) 1

write erase

 
hostname(config)# write erase

スタートアップ コンフィギュレーションを消去します。

clear configure all

 
hostname(config)# clear configure all

実行コンフィギュレーションを消去します。

を入力すると、すべてのコンテキストを削除し、実行中のコンフィギュレーションを停止することにもなります。コンテキスト コンフィギュレーション ファイルは消去されず、元の場所に保持されます。

テキスト コンフィギュレーション ファイルのオフラインでの作成

このマニュアルでは、ASAを設定するための CLI の使用方法について説明しています。コマンドを保存すると、変更内容はテキスト ファイルに書き込まれます。一方、CLI を使用する代わりに、テキスト ファイルを PC で直接編集して、コンフィギュレーション モードのコマンドライン プロンプトから、コンフィギュレーションを全部または 1 行ずつペーストすることができます。または、テキスト ファイルを ASA 内部フラッシュ メモリにダウンロードすることもできます。コンフィギュレーション ファイルをASAにダウンロードする方法の詳細については、「ソフトウェアとコンフィギュレーションの管理」を参照してください。

ほとんどの場合、このマニュアルで説明するコマンドには、CLI プロンプトが先行します。次の例では、CLI プロンプトは「hostname(config)#」です。

hostname(config)# context a
 

コマンドの入力が要求されないテキスト コンフィギュレーション ファイルの場合は、プロンプトは次のように省略されます。

context a
 

テキスト コンフィギュレーション ファイルのフォーマッティングの詳細については、 付録 A「コマンドライン インターフェイスの使用」 を参照してください。

接続に対するコンフィギュレーションの変更の適用

コンフィギュレーションに対してセキュリティ ポリシーの変更を加えた場合は、すべての 新しい 接続で新しいセキュリティ ポリシーが使用されます。既存の接続では、その接続が確立された時点で設定されていたポリシーの使用が続行されます。すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。接続を解除するには、次のいずれかのコマンドを入力します。

 

コマンド
目的
clear local-host [ ip_address ] [ all ]
 
hostname(config)# clear local-host all

このコマンドは、接続制限値や初期接続の制限など、クライアントごとのランタイム ステートを再初期化します。これにより、このコマンドは、これらの制限を使用しているすべての接続を削除します。現在のすべての接続をホスト別に表示するには、 show local-host all コマンドを参照してください。

引数を指定しないと、このコマンドは、影響を受けるすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには(現在の管理セッションを含む)、 all キーワードを使用します。特定の IP アドレスへの、または特定の IP アドレスからの接続をクリアするには、 ip_address 引数を使用します。

clear conn [ all ] [ protocol { tcp | udp }] [ address src_ip [ - src_ip ] [ netmask mask ]] [ port src_port [ - src_port ]] [ address dest_ip [ - dest_ip ] [ netmask mask ]] [ port dest_port [ - dest_port ]]
 
hostname(config)# clear conn all

このコマンドは、すべての状態の接続を終了します。現在のすべての接続を表示するには、 show conn コマンドを参照してください。

引数を指定しないと、このコマンドはすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには(現在の管理セッションを含む)、 all キーワードを使用します。送信元 IP アドレス、宛先 IP アドレス、ポート、プロトコルに基づいて特定の接続をクリアするには、必要なオプションを指定できます。

clear xlate [ arguments ]
 
hostname(config)# clear xlate

このコマンドは、ダイナミック NAT セッションをクリアします。スタティック セッションは影響を受けません。その結果、これらの NAT セッションを使用するすべての接続が削除されます。

引数を指定しないと、このコマンドはすべての NAT セッションをクリアします。使用可能な引数の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。