ファイアウォール モードおよびセキュリティ コンテキスト モード
FWSM は、次のモードの組み合わせで稼働します。
• トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モード
ファイアウォール モードは、セキュリティ アプライアンスがレイヤ 2 またはレイヤ 3 ファイアウォールのどちらで稼働しているかを判別します。
• マルチ コンテキスト モードまたはシングル コンテキスト モード
セキュリティ コンテキスト モードは、FWSM が単一のデバイス、または複数のセキュリティ コンテキスト(仮想デバイスのように機能する)のどちらで稼働しているかを判別します。
コマンドの中には、特定のモードでしか利用できないものがあります。
コマンド モードおよびプロンプト
FWSM の CLI には、コマンド モードがあります。コマンドの中には、特定のモードでしか入力できないものがあります。たとえば、第三者に知られたくない情報を表示するコマンドを入力するには、パスワードを入力して、さらに権限が上のモードを開始する必要があります。その後、誤って設定の変更を入力していないことを確定するために、コンフィギュレーション モードを開始する必要があります。下位のすべてのコマンドを上位のモードで入力することができます。たとえば、グローバル コンフィギュレーション モードで特権 EXEC コマンドを入力できます。
システム コンフィギュレーションまたはシングル コンテキスト モードを開始している場合、プロンプトはホスト名から開始します。
コンテキスト内にいる場合、プロンプトのホスト名のあとにコンテキスト名が表示されます。
プロンプトは、アクセス モードによって変わります。
• ユーザ EXEC モード
ユーザ EXEC モードでは、最小限の FWSM の設定が表示されます。FWSM に初めてアクセスする場合、ユーザ EXEC モードのプロンプトが次のように表示されます。
• 特権 EXEC モード
特権 EXEC モードでは、特権レベルまでの現在のすべての設定を表示できます。ユーザ EXEC モードのコマンドはすべて特権 EXEC モードで使用できます。ユーザ EXEC モードで enable コマンドを入力します。この場合、特権 EXEC モードを開始するのにパスワードが必要になります。プロンプトには、番号記号(#)が表示されます。
• グローバル コンフィギュレーション モード
グローバル コンフィギュレーション モードでは、FWSM の設定を変更できます。このモードでは、ユーザ EXEC モード、特権 EXEC モード、およびグローバル コンフィギュレーション モードのすべてのコマンドを使用できます。グローバル コンフィギュレーション モードを開始するには、特権 EXEC モードで configure terminal コマンドを入力します。プロンプトが次のように変わります。
hostname/context(config)#
• コマンド固有のコンフィギュレーション モード
グローバル コンフィギュレーション モードからは、一部のコマンドがコマンド固有のコンフィギュレーション モードを開始します。このモードでは、ユーザ EXEC モード、特権 EXEC モード、グローバル コンフィギュレーション モード、およびコマンド固有のコンフィギュレーション モードのすべてのコマンドを使用できます。たとえば、 interface コマンドは、インターフェイス コンフィギュレーション モードを開始します。プロンプトが次のように変わります。
hostname/context(config-if)#
構文の形式
コマンド構文の説明では、次の表記法を使用しています。
表1-1 構文の表記法
|
|
太字 |
太字の文字は、表示どおりにユーザが入力するコマンドおよびキーワードを示します。 |
イタリック体 |
イタリックの文字は、ユーザが値を指定する引数を示します。 |
[x] |
角カッコで囲まれているものは、省略可能な要素(キーワードまたは引数)です。 |
| |
縦棒で区切られている場合、複数の任意または必須のキーワードまたは引数から、1 つを選択します。 |
[x | y] |
角カッコで囲まれ、縦棒で区切られたキーワードまたは引数は、任意の選択肢です。 |
{x | y} |
波カッコで囲まれ、縦棒で区切られたキーワードまたは引数は、必須の選択肢です。 |
[x {y | z}] |
角カッコまたは波カッコが重複している場合、任意または必須の要素内の、任意または必須の選択肢を示します。角カッコ内の波カッコおよび縦棒は、任意の要素内の必須の選択肢を示します。 |
コマンドの短縮形
コマンドは、そのコマンドが固有であることを示す最小限の文字数に短縮できます。たとえば、完全形の write terminal コマンドを入力する代わりに wr t と入力してコンフィギュレーションを表示したり、 en と入力してイネーブル モードを開始したり、 conf t と入力してコンフィギュレーション モードを開始できます。また、 0 は、 0.0.0.0 を意味します。
コマンドラインの編集
FWSM のコマンドラインの編集規定は、Cisco IOS ソフトウェアと同じです。show history コマンドを使用すると、入力済みの全コマンドが表示されます。また、上矢印キーまたは ^p コマンドを使用して、前に入力したコマンドを 1 つずつ表示できます。入力したコマンドを確認したあと、下矢印キーまたは ^n コマンドを使用して、表示された内容の中で次に進むことができます。再使用したいコマンドに到達したら、構文を編集するか、Enter キーを押して実行します。 ^w を押すとカーソルの左側の文字が削除され、^u を押すと行全体が消去されます。
FWSM では、1 つのコマンドに入力できるのは 512 文字までです。これを超えて入力された文字は無視されます。
コマンドの完成機能
一部の文字列を入力してコマンドまたはキーワードを完成させるには、 Tab キーを押します。FWSM では、一部の文字列が 1 つのコマンドまたはキーワードと一致する場合にだけ、コマンドまたはキーワードを完成させます。たとえば、 s を入力して Tab キーを押した場合、FWSM はコマンドを完成させません。複数のコマンドが一致するからです。ただし、 dis を入力すると、 Tab キーによって、完全形の disable コマンドになります。
コマンド ヘルプ
次のコマンドを入力して、コマンドラインからヘルプ情報を表示できます。
• help command_name
特定のコマンドのヘルプを表示します。
• help ?
ヘルプが存在するコマンドを表示します。
• command_name ?
使用可能な引数のリストを表示します。
• string ? (スペースなし)
文字列で開始するコマンドを表示します。
• ? および +?
使用可能なすべてのコマンドを表示します。 ? を入力すると、FWSM は、現在のモードで使用可能なコマンドだけを表示します。下位モードのコマンドを含む、使用可能なすべてのコマンドを表示するには、 +? を入力します。
(注) コマンド文字列に疑問符(?)を加える場合は、CLI ヘルプを誤って起動しないように Ctrl-V を押してから、疑問符を入力する必要があります。
show コマンド出力のフィルタリング
縦棒(|)を使用して、show コマンドにフィルタ オプションおよびフィルタリング文字列を指定できます。フィルタリングを実行すると、Cisco IOS ソフトウェアと同様に、各出力行がこの正規表現に対して照合されます。各種のフィルタ オプションを選択することによって、文字列と一致するすべての出力を表示または除外できます。また、文字列に一致する行で開始されるすべての出力を表示することもできます。
show コマンドでフィルタリング オプションを使用している構文は、次のとおりです。
hostname# show command | {include | exclude | begin | grep [-v]} regexp
このコマンド文字列では、最初の縦棒(|)は、このコマンドに必須の演算子です。この演算子により、show コマンドの出力にフィルタが適用されます。構文内のほかの縦棒(|)は代替オプションを示すもので、コマンドの一部ではありません。
include オプションを指定すると、正規表現に一致するすべての出力行が含まれます。-v を指定しないで grep オプションを使用する場合も、結果は同じです。exclude オプションを指定すると、正規表現に一致するすべての出力行が除外されます。-v を指定して grep オプションを使用する場合も、結果は同じです。begin オプションを指定すると、正規表現に一致する行で開始されるすべての出力行が表示されます。
regexp に、Cisco IOS の任意の正規表現を指定します。正規表現は引用符または二重引用符で囲まないので、末尾にスペースが含まれていないかどうか注意してください。末尾のスペースは正規表現の一部とみなされます。
正規表現を作成する場合には、照合する任意の文字または数字を使用できます。正規表現で使用する場合は、特別な意味を持つキーボード文字もあります。 表1-2 に、特別な意味を持つキーボード文字を示します。
表1-2 正規表現での特殊文字の使用
|
|
|
ピリオド |
. |
空白スペースを含め、任意の 1 文字と一致します。 |
アスタリスク |
* |
パターンの 0 個または複数のシーケンスと一致します。 |
プラス記号 |
+ |
パターンの 1 個または複数のシーケンスと一致します。 |
疑問符 |
? |
0 または 1 回のパターンと一致します。 |
キャレット |
^ |
入力文字列の先頭と一致します。 |
ドル記号 |
$ |
入力文字列の末尾と一致します。 |
アンダースコア |
_ |
カンマ(,)、左波カッコ({)、右波カッコ(})、左丸カッコ、右丸カッコ、入力文字列の先頭、入力文字列の末尾、またはスペースと一致します。 |
角カッコ |
[] |
1 文字のパターンの範囲を指定します。 |
ハイフン |
- |
範囲の終点を区切ります。 |
これらの特殊文字を単一文字パターンとして使用する場合は、各文字の前にバックスラッシュ(\)を置いて特別の意味を持たないようにしてください。
コマンド出力のページング
help または ?、show、show xlate または出力行が長いほかのコマンドでは、1 画面の情報だけを表示して停止するか、全情報を一度に表示するかを指定できます。pager コマンドを使用すると、何行表示したあとで More プロンプトを表示するかを設定できます。
ページングをイネーブルにすると、次のプロンプトが表示されます。
More プロンプトでは、UNIX more コマンドと類似した構文を使用します。
• 別の画面を表示するには、Space バーを押します。
• 次の行を表示するには、 Enter キーを押します。
• コマンド ラインに戻るには、q キーを押します。
コメントの追加
コメントを作成するには、行の先頭にコロン( : )を付けます。ただし、コメントが表示されるのはコマンド ヒストリ バッファ内だけで、コンフィギュレーションには表示されません。したがって、コメントを表示するには、show history コマンドを使用するか、または矢印キーを押して前のコマンドを検索します。コメントはコンフィギュレーションには含まれないので、write terminal コマンドを使用しても表示されません。
テキスト コンフィギュレーション ファイル
ここでは、FWSM にダウンロードできるテキスト コンフィギュレーション ファイルのフォーマット方法について説明します。内容は次のとおりです。
• 「テキスト ファイル内の行とコマンドの対応」
• 「コマンド固有のコンフィギュレーション モード コマンド」
• 「自動テキスト エントリ」
• 「行の順序」
• 「テキスト コンフィギュレーションに含まれないコマンド」
• 「パスワード」
• 「複数のセキュリティ コンテキスト ファイル」
テキスト ファイル内の行とコマンドの対応
テキスト コンフィギュレーション ファイルに含まれる行は、このマニュアルに説明されているコマンドに対応しています。
たとえば、コマンドの先頭には CLI プロンプトがあります。プロンプトの例は、次のようになります。
hostname(config)# context a
テキスト コンフィギュレーション ファイルでは、コマンド入力のプロンプトはないので、プロンプトは省略されます。
コマンド固有のコンフィギュレーション モード コマンド
コマンドラインで入力する場合には、コマンド固有のコンフィギュレーション モード コマンドはメイン コマンドの下にインデントされて表示されます。テキスト ファイルの行では、メイン コマンドのすぐあとにコマンドがあれば、インデントする必要はありません。たとえば、次のインデントなしのテキストは、インデントされているテキストと同じ意味です。
interface gigabitethernet0/0
interface gigabitethernet0/1
自動テキスト エントリ
FWSM にコンフィギュレーションをダウンロードすると、FWSM により一部の行が自動的に挿入されます。たとえば、デフォルト設定行または設定変更時間などが、FWSM によって挿入されます。これらの自動エントリの情報は、テキスト ファイルの作成時に入力する必要はありません。
行の順序
ほとんどの場合、ファイルには、任意の順序でコマンドを設定できます。ただし、ACE などの行は表示された順序で処理され、この順序がアクセス リストの動作に影響します。ほかにも、順序が影響するコマンドがあります。たとえば、後続のコマンドの多くがインターフェイス名を使用するため、まずインターフェイスに nameif コマンドを入力する必要があります。また、コマンド固有のコンフィギュレーション モード コマンドはメイン コマンドの直後に入力する必要があります。
テキスト コンフィギュレーションに含まれないコマンド
一部のコマンドは、コンフィギュレーションの行に挿入されません。たとえば、 show running-config などのランタイム コマンドには、テキスト ファイルに対応する行が含まれません。
パスワード
ログイン、イネーブル、およびユーザの各パスワードは、コンフィギュレーションに保存される前に自動的に暗号化されます。たとえば、[cisco] パスワードは、jMorNbK0514fadBh のように暗号化されます。コンフィギュレーションのパスワードは別の FWSM に暗号化された状態でコピーできますが、パスワードの暗号をユーザが解読することはできません。
暗号化されていないパスワードをテキスト ファイルに入力した場合、コンフィギュレーションを FWSM にコピーしても、FWSM によってパスワードが自動的に暗号化されることはありません。FWSM がパスワードを暗号化するのは、 copy running-config startup-config コマンドまたは write memory コマンドを使用して、コマンドラインから実行コンフィギュレーションを保存する場合だけです。
複数のセキュリティ コンテキスト ファイル
セキュリティ コンテキストが複数ある場合、コンフィギュレーション全体が複数のパーツに分割されます。
• セキュリティ コンテキストのコンフィギュレーション
• コンテキストのリストなど、FWSM の基本設定を識別するシステム コンフィギュレーション
• システム コンフィギュレーションのネットワーク インターフェイスを提供する管理コンテキスト
システム コンフィギュレーション自体には、インターフェイスまたはネットワーク設定は含まれません。(サーバからコンテキストをダウンロードするなど)ネットワーク リソースにアクセスする必要がある場合、システムは、管理コンテキストとして指定されたコンテキストを使用します。
各コンテキストは、シングル コンテキスト モードのコンフィギュレーションと同様です。システム コンフィギュレーションは、コンテキストのコンフィギュレーションとは異なります。システム コンフィギュレーションにはシステム専用コマンド(全コンテキストのリストなど)だけが含まれ、(多数のインターフェイス パラメータなどの)一般的なコマンドは含まれません。