ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
スタートアップ ガイド
スタートアップ ガイド
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

スタートアップ ガイド

アプライアンスのコマンドライン インターフェイスへのアクセス

アプライアンス用の ASDM アクセスの設定

工場出荷時のデフォルト設定を使用した ASDM へのアクセス

デフォルト以外の設定を使用した ASDM へのアクセス(ASA 5505)

デフォルト以外の設定を使用した ASDM へのアクセス(ASA 5510 以降)

ASDM の起動

ASDM への初回の接続方法

ASDM-IDM ランチャからの ASDM の起動

Java Web Start アプリケーションからの ASDM の起動

デモ モードでの ASDM の使用

工場出荷時のデフォルト設定

工場出荷時のデフォルト設定の復元

ASA 5505 のデフォルト コンフィギュレーション

ASA 5505 ルーテッド モードのデフォルト設定

ASA 5505 トランスペアレント モードのサンプル設定

ASA 5510 以降のデフォルト コンフィギュレーション

設定を開始する前に

ASDM でのコマンドライン インターフェイス ツールの使用方法

コマンドライン インターフェイス ツールの使用

コマンド エラーの処理

インタラクティブ コマンドの使用

管理者間の競合の回避

で無視された、サポートされていないコマンドをデバイスで表示する

アプライアンスのコマンドライン インターフェイスへのアクセス

ASDM アクセスの基本的な設定を、CLI を使用して行う必要がある場合があります。CLI を使用する必要があるかどうかを判別するには、「アプライアンス用の ASDM アクセスの設定」を参照してください。

初期設定を行うには、コンソール ポートから直接 CLI にアクセスします。その後は、「管理アクセスの設定」の方法によって Telnet または SSH を使用してリモート アクセスを設定できます。システムがすでにマルチ コンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。マルチ コンテキスト モードの詳細については、「マルチ コンテキスト モードの設定」を参照してください。

手順の詳細


ステップ 1 付属のコンソール ケーブルを使用して PC をコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、ご使用の ASA のハードウェア ガイドを参照してください。

ステップ 2 Enter キーを押して、次のプロンプトが表示されることを確認します。

hostname>

このプロンプトは、ユーザ EXEC モードで作業していることを示します。ユーザ EXEC モードでは、基本コマンドのみを使用できます。

ステップ 3 特権 EXEC モードにアクセスするには、次のコマンドを入力します。

hostname> enable
 

次のプロンプトが表示されます。

Password:
 

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

ステップ 4 プロンプトに対して、イネーブル パスワードを入力します。

デフォルトではパスワードは空白に設定されているため、Enter キーを押して先に進みます。イネーブル パスワードの変更については、「ホスト名、ドメイン名、およびパスワードの設定」を参照してください。

プロンプトが次のように変化します。

hostname#
 

特権モードを終了するには、 disable コマンド、 exit コマンド、または quit コマンドを入力します。

ステップ 5 グローバル コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。

hostname# configure terminal
 

プロンプトが次のように変化します。

hostname(config)#
 

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、 exit コマンド、 quit コマンド、または end コマンドを入力します。


 

アプライアンス用の ASDM アクセスの設定

ASDM アクセスでは、管理インターフェイスを使用してネットワーク経由で通信するための、最小限の設定を行う必要があります。この項は、次の内容で構成されています。

「工場出荷時のデフォルト設定を使用した ASDM へのアクセス」

「デフォルト以外の設定を使用した ASDM へのアクセス(ASA 5505)」

「デフォルト以外の設定を使用した ASDM へのアクセス(ASA 5510 以降)」

工場出荷時のデフォルト設定を使用した ASDM へのアクセス

工場出荷時のデフォルト設定を使用する場合(「工場出荷時のデフォルト設定」を参照)、ASDM 接続はデフォルトのネットワーク設定で事前設定されています。次のインターフェイスおよびネットワーク設定を使用して ASDM に接続します。

管理インターフェイスは、ご使用のモデルによって異なります。

ASA 5505:ASDM への接続に使用するスイッチ ポートは Ethernet 0/0 以外であればどのポートでもかまいません。

ASA 5510 以降:ASDM に接続するインターフェイスは Management 0/0 です。

デフォルトの管理アドレスは 192.168.1.1 です。

ASDM へのアクセスを許可されるクライアントは、192.168.1.0/24 ネットワーク上にある必要があります。デフォルト設定により DHCP がイネーブルにされるため、管理ステーションにはこの範囲内の IP アドレスを割り当てることができます。他のクライアント IP アドレスから ASDM にアクセスできるようにするには、「ASDM、Telnet、または SSH の ASA アクセスの設定」を参照してください。

ASDM を起動するには、「ASDM の起動」を参照してください。


) マルチ コンテキスト モードを変更するには、「マルチ コンテキスト モードのイネーブル化とディセーブル化」を参照してください。マルチ コンテキスト モードに変更すると、管理コンテキストから上記のネットワーク設定を使用して ASDM にアクセスできるようになります。


デフォルト以外の設定を使用した ASDM へのアクセス(ASA 5505)

工場出荷時のデフォルト設定がない場合、またはトランスペアレント ファイアウォール モードに変更する場合は、次の手順を実行します。「ASA 5505 のデフォルト コンフィギュレーション」のサンプル設定も参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

(任意)

firewall transparent

 

hostname(config)# firewall transparent

トランスペアレント ファイアウォール モードをイネーブルにします。このコマンドは、設定をクリアします。詳細については、「ファイアウォール モードの設定」を参照してください。

ステップ 2

ご使用のモードに応じて、次のいずれかの操作を行って管理インターフェイスを設定します。

 

ルーテッド モード:

interface vlan number

ip address ip_address [ mask ]

nameif name

security-level level

 

hostname(config)# interface vlan 1

hostname(config-if)# ip address 192.168.1.1 255.255.255.0

hostname(config-if)# nameif inside

hostname(config-if)# security-level 100

ルーテッド モードでインターフェイスを設定します。 security-level は、1 ~ 100 の数字です。100 が最も安全です。

 

トランスペアレント モード:

interface bvi number

ip address ip_address [ mask ]

 

interface vlan number

bridge-group bvi_number

nameif name

security-level level

 

hostname(config)# interface bvi 1

hostname(config-if)# ip address 192.168.1.1 255.255.255.0

 

hostname(config)# interface vlan 1

hostname(config-if)# bridge-group 1

hostname(config-if)# nameif inside

hostname(config-if)# security-level 100

ブリッジ仮想インターフェイスを設定し、ブリッジ グループに管理 VLAN を割り当てます。 security-level は、1 ~ 100 の数字です。100 が最も安全です。

ステップ 3

interface ethernet 0/ n

switchport access vlan number

no shutdown

 

hostname(config)# interface ethernet 0/1

hostname(config-if)# switchport access vlan 1

hostname(config-if)# no shutdown

管理スイッチポートをイネーブルにして、管理 VLAN に割り当てます。

ステップ 4

dhcpd address ip_address - ip_address

interface_name

dhcpd enable interface_name

 

hostname(config)# dhcpd address 192.168.1.5-192.168.1.254 inside

hostname(config)# dhcpd enable inside

管理インターフェイス ネットワーク上の管理ホストに対して DHCP をイネーブルにします。この範囲内には管理アドレスを含めないでください。

(注) IPS モジュールがインストールされている場合、IPS モジュールはデフォルトで 192.168.1.2 を内部管理アドレス用に使用します。そのため、このアドレスは DHCP 範囲内に含めないでください。必要に応じて、ASA を使用して IPS モジュール管理アドレスを後から変更できます。

ステップ 5

http server enable

 

hostname(config)# http server enable

ASDM 用に HTTP サーバをイネーブルにします。

ステップ 6

http ip_address mask interface_name

 

hostname(config)# http 192.168.1.0 255.255.255.0 inside

管理ホストが ASDM にアクセスできるようにします。

ステップ 7

write memory

 

hostname(config)# write memory

設定を保存します。

ステップ 8

ASDM を起動するには、「ASDM の起動」を参照してください。

ASDM を起動します。

次の設定では、ファイアウォール モードがトランスペアレント モードに変換され、VLAN 1 インターフェイスが設定されて BVI 1 に割り当てられ、スイッチポートがイネーブルにされ、管理ホストに対して ASDM がイネーブルにされます。

firewall transparent

interface bvi 1

ip address 192.168.1.1 255.255.255.0
interface vlan 1
bridge-group 1
nameif inside
security-level 100

interface ethernet 0/1

switchport access vlan 1
no shutdown

dhcpd address 192.168.1.5-192.168.1.254 inside

dhcpd enable inside

http server enable

http 192.168.1.0 255.255.255.0 inside

 

デフォルト以外の設定を使用した ASDM へのアクセス(ASA 5510 以降)

工場出荷時のデフォルト設定がない場合、またはファイアウォール モードまたはコンテキスト モードに変更する場合は、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

(任意)

firewall transparent

 

hostname(config)# firewall transparent

トランスペアレント ファイアウォール モードをイネーブルにします。このコマンドは、設定をクリアします。詳細については、「ファイアウォール モードの設定」を参照してください。

ステップ 2

interface management 0/0

ip address ip_address mask

nameif name

security-level number

no shutdown

 

hostname(config)# interface management 0/0

hostname(config-if)# ip address 192.168.1.1 255.255.255.0

hostname(config-if)# nameif management

hostname(config-if)# security-level 100

hostname(config-if)# no shutdown

Management 0/0 インターフェイスを設定します。 security-level は、1 ~ 100 の数字です。100 が最も安全です。

ステップ 3

dhcpd address ip_address - ip_address

interface_name

dhcpd enable interface_name

 

hostname(config)# dhcpd address 192.168.1.2-192.168.1.254 management

hostname(config)# dhcpd enable management

管理インターフェイス ネットワーク上の管理ホストに対して DHCP をイネーブルにします。この範囲内には Management 0/0 アドレスを含めないでください。

ステップ 4

http server enable

 

hostname(config)# http server enable

ASDM 用に HTTP サーバをイネーブルにします。

ステップ 5

http ip_address mask interface_name

 

hostname(config)# http 192.168.1.0 255.255.255.0 management

管理ホストが ASDM にアクセスできるようにします。

ステップ 6

write memory

 

hostname(config)# write memory

設定を保存します。

ステップ 7

(任意)

mode multiple
 
hostname(config)# mode multiple

モードをマルチ モードに設定します。プロンプトが表示されたら、既存の設定を管理コンテキストに変換することを承認します。ASASM をリロードするよう求められます。詳細については、「マルチ コンテキスト モードの設定」を参照してください。

ステップ 8

ASDM を起動するには、「ASDM の起動」を参照してください。

ASDM を起動します。

次の設定では、ファイアウォール モードがトランスペアレント モードに変換され、Management 0/0 インターフェイスが設定され、管理ホストに対して ASDM がイネーブルにされます。

firewall transparent

interface management 0/0

ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd enable management

http server enable

http 192.168.1.0 255.255.255.0 management

 

ASDM の起動

ASDM は、次の 2 つの方法で起動できます。

ASDM-IDM ランチャ(Windows のみ):ランチャは、Web ブラウザを使用して ASA からダウンロードするアプリケーションです。これを使用して、任意の ASA IP アドレスに接続できます。他の ASA に接続する場合に、ランチャを再度ダウンロードする必要はありません。またランチャでは、ローカルでダウンロードされたファイルを使用して、仮想 ASDM をデモ モードで実行することもできます。

Java Web Start:管理する ASA ごとに、Web ブラウザに接続して、Java Web Start アプリケーションを保存または起動する必要があります。オプションで、ご使用の PC にアプリケーションを保存することもできます。ただし、ASA IP アドレスごとに個別のアプリケーションが必要です。


) ASDM 内で、管理対象の異なる ASA IP アドレスを選択できます。ランチャと Java Web Start アプリケーションの機能の主な違いは、最初に ASA に接続して ASDM を起動する方法にあります。


この項では、最初に ASDM に接続する方法と、その後ランチャまたは Java Web Start アプリケーションを使用して ASDM を起動する方法について説明します。この項は、次の内容で構成されています。

「ASDM への初回の接続方法」

「ASDM-IDM ランチャからの ASDM の起動」

「Java Web Start アプリケーションからの ASDM の起動」

「デモ モードでの ASDM の使用」


) ASDM では複数の PC やワークステーションでそれぞれブラウザ セッションを開き、同じASA ソフトウェアを使用できます。1 つのASAで、シングル ルーテッド モードの ASDM 並行セッションを 5 つまでサポートできます。PC またはワークステーションはそれぞれ、指定したASAのセッションを 1 つだけブラウザで実行できます。マルチ コンテキスト モードの場合、コンテキストあたり 5 つの ASDM 並行セッションを実行でき、ASA あたり合計 32 セッションまで接続できます。


ASDM への初回の接続方法

ASDM に初めて接続し、ASDM-IDM ランチャまたは Java Web Start アプリケーションをダウンロードするには、次の手順を実行します。


ステップ 1 ASA ネットワーク上のサポートされる Web ブラウザで、次の URL を入力します。

https://interface_ip_address/admin
 

ここで interface_ip_address は ASA の管理 IP アドレスです。管理アクセスの詳細については、 「アプライアンス用の ASDM アクセスの設定」を参照してください。

ASDM の実行要件については、お使いのリリースの ASDM リリース ノートを参照してください。

次のボタンを持つ ASDM 起動ページが表示されます。

Install ASDM Launcher and Run ASDM (Windows のみ)

Run ASDM

Run Startup Wizard

ステップ 2 ランチャをダウンロードするには、次の手順を実行します。

a. [Install ASDM Launcher and Run ASDM] をクリックします。

b. ユーザ名とパスワードを入力し、[OK] をクリックします。工場出荷時のデフォルト設定では、これらのフィールドを空のままにします。HTTPS 認証が設定されていない場合は、ユーザ名および イネーブル パスワード(デフォルトで空白)を入力しないで ASDM にアクセスできます。HTTPS 認証がイネーブルの場合は、ユーザ名および関連付けられているパスワードを入力します。

c. インストーラを PC に保存して、インストーラを起動します。インストールが完了すると、ASDM-IDM ランチャが自動的に開きます。

d. ランチャを使用して ASDM に接続するには、「ASDM-IDM ランチャからの ASDM の起動」を参照してください。

ステップ 3 Java Web Start アプリケーションを使用するには、次の手順を実行します。

a. [Run ASDM] または [Run Startup Wizard] をクリックします。

b. プロンプトが表示されたら、アプリケーションを PC に保存します。オプションで、アプリケーションを保存せずに開くこともできます。

c. Java Web Start アプリケーションを使用して ASDM に接続するには、「Java Web Start アプリケーションからの ASDM の起動」を参照してください。


 

ASDM-IDM ランチャからの ASDM の起動

ASDM-IDM ランチャから ASDM を起動するには、次の手順を実行します。

前提条件

「ASDM への初回の接続方法」に従って、ASDM-IDM ランチャをダウンロードします。

手順の詳細


ステップ 1 ASDM-IDM ランチャ アプリケーションを起動します。

ステップ 2 接続先として ASA の IP アドレスまたはホスト名を入力するか選択します。IP アドレスのリストをクリアするには、[Device/IP Address/Name] フィールドの横にあるゴミ箱アイコンをクリックします。

ステップ 3 ユーザ名とパスワードを入力し、[OK] をクリックします。

工場出荷時のデフォルト設定では、これらのフィールドを空のままにします。HTTPS 認証が設定されていない場合は、ユーザ名および イネーブル パスワード(デフォルトで空白)を入力しないで ASDM にアクセスできます。HTTPS 認証がイネーブルの場合は、ユーザ名および関連付けられているパスワードを入力します。

新しいバージョンの ASDM が ASA にある場合、ASDM ランチャは自動的に新しいバージョンをダウンロードし、ASDM を起動する前に現在のバージョンをアップデートするようにユーザに要求します。

メイン ASDM ウィンドウが表示されます。


 

Java Web Start アプリケーションからの ASDM の起動

Java Web Start アプリケーションから ASDM を起動するには、次の手順を実行します。

前提条件

「ASDM への初回の接続方法」に従って、Java Web Start アプリケーションをダウンロードします。

手順の詳細


ステップ 1 Java Web Start アプリケーションを起動します。

ステップ 2 表示されたダイアログボックスに従って、任意の証明書を受け入れます。Cisco ASDM-IDM Launcher が表示されます。

ステップ 3 ユーザ名とパスワードを入力し、[OK] をクリックします。工場出荷時のデフォルト設定では、これらのフィールドを空のままにします。HTTPS 認証が設定されていない場合は、ユーザ名および イネーブル パスワード(デフォルトで空白)を入力しないで ASDM にアクセスできます。HTTPS 認証がイネーブルの場合は、ユーザ名および関連付けられているパスワードを入力します。

メイン ASDM ウィンドウが表示されます。


 

デモ モードでの ASDM の使用

アプリケーション ASDM Demo Mode を別途インストールして使用すると、実デバイスを使用せずに ASDM を実行できます。このモードでは、次の操作を実行できます。

実デバイス接続時と同じように、ASDM から設定と選択した監視タスクを実行する。

ASDM インターフェイスによる ASDM またはASA機能のデモを実行する。

CSC SSM を使用して設定および監視タスクを実行する。

リアルタイムの syslog メッセージを含む、シミュレーションしたモニタリング データやロギング データを取得する。表示データはランダムに生成されますが、実デバイスに接続しているような体験ができます。

このモードは、次の機能をサポートするようにアップデートされています。

グローバル ポリシーに対し、シングル ルーテッド モードの ASA および侵入防御。

オブジェクト NAT に対し、シングル ルーテッド モードの ASA およびファイアウォール DMZ。

ボットネット トラフィック フィルタに対し、シングル ルーテッド モードの ASA およびセキュリティ コンテキスト。

IPv6 を使用するサイトツーサイト VPN(クライアントレス SSL VPN および IPsec VPN)

無差別 IDS(侵入防御)

Unified Communication Wizard

このモードでは、次の機能はサポートされません。

GUI に表示されたコンフィギュレーションに加えた変更内容の保存

ファイルまたはディスクの操作

履歴モニタリングデータ

非管理ユーザ

次の機能

[File] メニュー

Save Running Configuration to Flash

Save Running Configuration to TFTP Server

Save Running Configuration to Standby Unit

Save Internal Log Buffer to Flash

内部ログ バッファのクリア

[Tools] メニュー

Command Line Interface

ping

File Management

Update Software

File Transfer

Upload Image from Local PC

System Reload

ツールバー/ステータスバー > [Save]

[Configuration] > [Interface] > [Edit Interface] > [Renew DHCP Lease]

フェールオーバー後のスタンバイ デバイスの設定

コンフィギュレーションの再読み込みが発生する操作。再読み込みが行われると GUI が元のコンフィギュレーションに戻ります。

コンテキストの切り換え

[Interface] ペインの変更

[NAT] ペインの変更

[Clock] ペインの変更

ASDM のデモ モードを実行するには、次の手順を実行します。


ステップ 1 ASDM Demo Mode インストーラの asdm-demo- version .msi を、次の場所からダウンロードします。 http://www.cisco.com/cisco/web/download/index.html

ステップ 2 インストーラをダブルクリックして、ソフトウェアをインストールします。

ステップ 3 デスクトップ上の Cisco ASDM Launcher のショートカットをダブルクリックするか、または、[Start] メニューから開きます。

ステップ 4 [Run in Demo Mode] チェックボックスをオンにします。

[Demo Mode] ウィンドウが表示されます。


 

工場出荷時のデフォルト設定

出荷時のデフォルトのコンフィギュレーションは、シスコが新しいASAに適用しているコンフィギュレーションです。

ASA 5505:工場出荷時のデフォルト設定によりインターフェイスと NAT が設定されているため、ASA をすぐにネットワークで使用できます。

ASA 5510 以降:工場出荷時のデフォルト設定により管理用のインターフェイスが設定されており、ASDM を使用してこれに接続できます。このインターフェイスを使用して、設定を完了できます。

工場出荷時のデフォルト コンフィギュレーションは、ルーテッド ファイアウォール モードとシングル コンテキスト モードだけで使用できます。マルチ コンテキスト モードの詳細については、「マルチ コンテキスト モードの設定」を参照してください。ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの詳細については、「トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定」を参照してください。ASA 5505 のトランスペアレント モードのサンプル設定は、この項に示されています。


) イメージ ファイルと(隠された)デフォルト コンフィギュレーションに加え、log/、crypto_archive/、および coredumpinfo/coredump.cfg がフラッシュ メモリ内の標準のフォルダとファイルです。フラッシュ メモリ内で、これらのファイルの日付は、イメージ ファイルの日付と一致しない場合があります。これらのファイルは、トラブルシューティングに役立ちますが、障害が発生したことを示すわけではありません。


この項は、次の内容で構成されています。

「工場出荷時のデフォルト設定の復元」

「ASA 5505 のデフォルト コンフィギュレーション」

「ASA 5510 以降のデフォルト コンフィギュレーション」

工場出荷時のデフォルト設定の復元

この項では、工場出荷時のデフォルト コンフィギュレーションを復元する方法について説明します。

制限事項

この機能は、ルーテッド ファイアウォール モードでのみ使用できます。トランスペアレント モードの場合、インターフェイスの IP アドレスがサポートされません。さらに、この機能はシングル コンテキスト モードでのみ使用できます。コンフィギュレーションがクリアされたASAには、この機能を使用して自動的に設定する定義済みのコンテキストがありません。

手順の詳細

CLI の使用:

 

 
コマンド
目的

ステップ 1

configure factory-default [ ip_address [ mask ]]

 

 

hostname(config)# configure factory-default 10.1.1.1 255.255.255.0

工場出荷時のデフォルト コンフィギュレーションを復元します。

ip_address を指定する場合は、デフォルトの IP アドレス 192.168.1.1 を使用する代わりに、お使いのモデルに応じて、内部または管理インターフェイスの IP アドレスを設定します。 http コマンドでは、指定するサブネットが使用されます。同様に、 dhcpd address コマンドの範囲は、指定したサブネット内のアドレスで構成されます。

コマンドを使用すると、外部フラッシュ メモリ カードに保存されているイメージなどの、特定のイメージからブートできます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合、ASA はブートしません。

ステップ 2

write memory
 
 
active(config)# write memory

デフォルト設定をフラッシュ メモリに保存します。このコマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

ASDM の使用:


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[File] > [Reset Device to the Factory Default Configuration] の順に選択します。

[Reset Device to the Default Configuration] ダイアログボックスが表示されます。

 

ステップ 2 (任意)デフォルト アドレスの 192.168.1.1 を使用する代わりに、管理インターフェイスの管理 IP アドレスを入力します。(専用の管理インターフェイスを持つ ASA の場合、このインターフェイスは「Management 0/0」と呼ばれます)。

ステップ 3 (任意)ドロップダウン リストから [Management Subnet Mask] を選択します。

ステップ 4 [OK] をクリックします。

確認ダイアログボックスが表示されます。

 


) この操作により、ブート イメージが存在する場合はその場所も、他の設定とともにクリアされます。[Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration] ペインでは、外部メモリ上のイメージを含む、特定のイメージからブートできます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合、ASA はブートしません。


ステップ 5 [Yes] をクリックします。

ステップ 6 デフォルト設定を復元したら、この設定を内部フラッシュ メモリに保存します。[File] > [Save Running Configuration to Flash] を選択します。

このオプションを選択すると、以前に別の場所を設定している場合でも、実行コンフィギュレーションがスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションをクリアした場合は、このパスもクリアされています。


 

次の作業

ASA の設定を開始するには、「設定を開始する前に」を参照してください。

ASA 5505 のデフォルト コンフィギュレーション

デフォルト設定は、ルーテッド モードでのみ使用できます。この項では、デフォルト設定について説明するほか、コピーして貼り付け、出発点として使用できるトランスペアレント モードのサンプル設定も紹介します。この項は、次の内容で構成されています。

「ASA 5505 ルーテッド モードのデフォルト設定」

「ASA 5505 トランスペアレント モードのサンプル設定」

ASA 5505 ルーテッド モードのデフォルト設定

ASA 5505 の工場出荷時のデフォルト設定は、次のとおりです。

インターフェイス:内部(VLAN 1)および外部(VLAN 2)。

イネーブルにされ割り当てられているスイッチポート:Ethernet 0/1 ~ 0/7 スイッチポートが内部に割り当てられています。Ethernet 0/0 は外部に割り当てられています。

IP アドレス:外部アドレスは DHCP から取得されます。内部アドレスは手動で 192.168.1.1/24 に設定します。

ネットワーク アドレス変換(NAT):すべての内部 IP アドレスが、外部にアクセスするときにインターフェイス PAT によって変換されます。

トラフィック フロー:内部から外部への IPv4 および IPv6 トラフィックが許可されます(この動作は ASA で暗黙的に行われます)。外部ユーザが内部にアクセスすることはできません。

DHCP サーバ:内部ホストでは DHCP サーバがイネーブルにされているため、内部インターフェイスに接続する PC には、192.168.1.5 ~ 192.168.1.254 の間のアドレスが割り当てられます。外部インターフェイス上の DHCP クライアントから取得される DNS、WINS、およびドメイン情報は、内部インターフェイス上の DHCP クライアントに渡されます。

デフォルト ルート:DHCP から取得されます。

ASDM アクセス:内部ホストに許可されます。

図 2-1 に、ルーテッド モードの ASA 5505 のトラフィック フローを示します。

図 2-1 ASA 5505 ルーテッド モード

 

このコンフィギュレーションは次のコマンドで構成されています。

interface Ethernet 0/0
switchport access vlan 2
no shutdown
interface Ethernet 0/1
switchport access vlan 1
no shutdown
interface Ethernet 0/2
switchport access vlan 1
no shutdown
interface Ethernet 0/3
switchport access vlan 1
no shutdown
interface Ethernet 0/4
switchport access vlan 1
no shutdown
interface Ethernet 0/5
switchport access vlan 1
no shutdown
interface Ethernet 0/6
switchport access vlan 1
no shutdown
interface Ethernet 0/7
switchport access vlan 1
no shutdown
interface vlan2
nameif outside
no shutdown
ip address dhcp setroute
interface vlan1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100
no shutdown
object network obj_any
subnet 0 0
nat (inside,outside) dynamic interface
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.5-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
 

) テストのために、ICMP インスペクションをイネーブルにして、内部から外部への ping を許可できます。次のコマンドをデフォルト設定に追加します。

policy-map global_policy
class inspection_default
inspect icmp
 


 

ASA 5505 トランスペアレント モードのサンプル設定

モードをトランスペアレント モードに変更すると、設定が消去されます。設定を始めるには、まず CLI で次のサンプル設定をコピーして貼り付けます。この設定では、デフォルト設定を出発点として使用しています。次の部分は変更する必要がある場合があります。

IP アドレス:設定されている IP アドレスは、接続しているネットワークに一致するよう変更する必要があります。

スタティック ルート:トラフィックの種類によっては、スタティック ルートが必要です。「MAC アドレス ルックアップと ルート ルックアップ」を参照してください。

図 2-2 に、トランスペアレント モードの ASA 5505 のトラフィック フローを示します。

図 2-2 ASA 5505 トランスペアレント モード

 

firewall transparent
interface Ethernet 0/0
switchport access vlan 2
no shutdown
interface Ethernet 0/1
switchport access vlan 1
no shutdown
interface Ethernet 0/2
switchport access vlan 1
no shutdown
interface Ethernet 0/3
switchport access vlan 1
no shutdown
interface Ethernet 0/4
switchport access vlan 1
no shutdown
interface Ethernet 0/5
switchport access vlan 1
no shutdown
interface Ethernet 0/6
switchport access vlan 1
no shutdown
interface Ethernet 0/7
switchport access vlan 1
no shutdown
interface bvi 1
ip address 192.168.1.1 255.255.255.0
interface vlan2
nameif outside
security-level 0
bridge-group 1
no shutdown
interface vlan1
nameif inside
security-level 100
bridge-group 1
no shutdown
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.5-192.168.1.254 inside
dhcpd enable inside

) テストのために、ICMP インスペクションをイネーブルにして、内部から外部への ping を許可できます。次のコマンドをサンプル設定に追加します。

policy-map global_policy
class inspection_default
inspect icmp
 


 

ASA 5510 以降のデフォルト コンフィギュレーション

ASA 5510 以降の工場出荷時のデフォルト設定は、次のとおりです。

管理インターフェイス:Management 0/0(管理)。

IP アドレス:管理アドレスは 192.168.1.1/24 です。

DHCP サーバ:管理ホストでは DHCP サーバがイネーブルにされているため、管理インターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。

ASDM アクセス:管理ホストに許可されます。

このコンフィギュレーションは次のコマンドで構成されています。

interface management 0/0
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management
 

設定を開始する前に

ASA を設定およびモニタするには、次の手順を実行します。


ステップ 1 Startup Wizard を使用して初期設定を行うには、[Wizards] > [Startup Wizard] を選択します。

ステップ 2 IPsec VPN Wizard を使用して IPsec VPN 接続を設定するには、[Wizards] > [IPsec VPN Wizard] を選択して、表示される各画面で設定を行います。

ステップ 3 SSL VPN Wizard を使用して SSL VPN 接続を設定するには、[Wizards] > [SSL VPN Wizard] を選択して、表示される各画面で設定を行います。

ステップ 4 高可用性とスケーラビリティに関する設定値を設定するには、[Wizards] > [High Availability and Scalability Wizard] を選択します。詳細については、「High Availability and Scalability Wizard を使用したフェールオーバーの設定」を参照してください。

ステップ 5 Packet Capture Wizard を使用してパケット キャプチャを設定するには、[Wizards] > [Packet Capture Wizard] を選択します。

ステップ 6 ASDM GUI で使用できるさまざまな色とスタイルを表示するには、[View] > [Office Look and Feel] を選択します。

ステップ 7 機能を設定するには、ツールバーの [Configuration] ボタンをクリックし、いずれかの機能ボタンをクリックして、関連する設定ペインを表示します。


) [Configuration] 画面が空白の場合は、ツールバーで [Refresh] をクリックして、画面のコンテンツを表示します。


ステップ 8 ASA をモニタするには、ツールバーの [Monitoring] ボタンをクリックし、機能ボタンをクリックして、関連するモニタリング ペインを表示します。


 


) ASDM では、最大 512 KB の設定をサポートしています。このサイズを超えると、パフォーマンスの問題が生じることがあります。


ASDM でのコマンドライン インターフェイス ツールの使用方法

この項では、ASDM を使用してコマンドを入力する方法および CLI の使用方法について説明します。この項は、次の内容で構成されています。

「コマンドライン インターフェイス ツールの使用」

「コマンド エラーの処理」

「インタラクティブ コマンドの使用」

「管理者間の競合の回避」

「ASDM で無視された、サポートされていないコマンドをデバイスで表示する」

コマンドライン インターフェイス ツールの使用

この機能には、コマンドをASAに送信して結果を表示する、テキストベースのツールが用意されています。

CLI ツールによって入力可能なコマンドは、ユーザ権限によって異なります。詳細については、 「認可について」 を参照してください。 メイン ASDM アプリケーション ウィンドウの下部にあるステータスバーの権限レベルを見て、CLI 特権コマンドを実行するために必要な特権があるかどうかを確認してください。


) ASDM の CLI ツールから入力したコマンドは、ASAの接続ターミナルから入力したコマンドと異なる動作をする場合があります。


CLI ツールを使用するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Command Line Interface] の順に選択します。

[Command Line Interface] ダイアログボックスが表示されます。

ステップ 2 必要なコマンドのタイプ(1 行または複数行)を選択し、ドロップダウン リストからコマンドを選択するか、または表示されたフィールドにコマンドを入力します。

ステップ 3 [Send] をクリックしてコマンドを実行します。

ステップ 4 新しいコマンドを入力するには、[Clear Response] をクリックしてから、実行する別のコマンドを選択(または入力)します。

ステップ 5 この機能の状況依存ヘルプを表示するには、[Enable context-sensitive help (?)] チェックボックスをオンにします。文脈依存ヘルプをディセーブルにするには、このチェックボックスをオフにします。

ステップ 6 設定を変更した場合は、[Command Line Interface] ダイアログボックスを閉じた後に、[Refresh] をクリックして ASDM での変更内容を表示します。


 

コマンド エラーの処理

誤った入力コマンドによってエラーが発生した場合、その誤ったコマンドはスキップされ、その他のコマンドは処理されます。[Response] 領域には、他の関連情報とともに、エラーが発生したかどうかについての情報を示すメッセージが表示されます。


) ASDM は、ほとんどすべての CLI コマンドをサポートしています。コマンドのリストについては、コマンド リファレンスを参照してください。


インタラクティブ コマンドの使用

インタラクティブ コマンドは、CLI ツールではサポートされていません。これらのコマンドを ASDM で使用するには、次のコマンドに示すように、 noconfirm キーワード(使用できる場合)を使用します。

crypto key generate rsa modulus 1024 noconfirm

管理者間の競合の回避

管理者権限を持つ複数のユーザが、ASAの実行コンフィギュレーションをアップデートできます。ASDM の CLI ツールでコンフィギュレーションを変更する場合は、アクティブな管理セッションが他にないことを事前に確認してください。複数のユーザが同時にASAを設定する場合は、最新の変更が有効になります。

同じ ASA で現在アクティブな他の管理セッションを表示するには、[Monitoring] > [Properties] > [Device Access] の順に選択します。

ASDM で無視された、サポートされていないコマンドをデバイスで表示する

この機能により、ASDM がサポートしていないコマンドの一覧を表示できます。通常 ASDM は、これらのコマンドを無視します。ASDM は、ユーザの実行コンフィギュレーションのコマンドを変更、削除することはありません。詳細については、 「サポート対象外のコマンド」 を参照してください。

ASDM でサポートされていないコマンドの一覧を表示するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Show Commands Ignored by ASDM on Device] の順に選択します。

ステップ 2 完了したら、[OK] をクリックします。