はじめに

この章では、ASA の使用を開始する方法について説明します。

コマンドライン インターフェイス(CLI)のコンソールへのアクセス

初期設定を行うには、コンソール ポートから直接 CLI にアクセスします。その後、管理アクセスに従って Telnet または SSH を使用して、リモート アクセスを設定できます。システムがすでにマルチ コンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。

コンソールポートに接続したときに、読み取れない文字が表示される場合は、ポートの設定を確認してください。設定が正しい場合は、同じ設定を使用して別のデバイスでそのケーブルを試します。ケーブルに問題がない場合は、コンソールポートのハードウェアを交換する必要がある可能性があります。別のワークステーションでの接続を試みることも検討してください。


(注)  

ASA 仮想 のコンソールアクセスについては、ASA 仮想 のクイックスタートガイドを参照してください。

ISA 3000 コンソールへのアクセス

アプライアンス コンソールにアクセスするには、次の手順に従います。

手順

ステップ 1

付属のコンソール ケーブルを使用してコンピュータをコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。

ステップ 2

Enter キーを押して、次のプロンプトが表示されることを確認します。 


ciscoasa>

このプロンプトは、ユーザー EXEC モードで作業していることを示します。ユーザー EXEC モードでは、基本コマンドのみを使用できます。

ステップ 3

特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権モードを終了するには、disable コマンド、exit コマンド、または quit コマンドを入力します。

ステップ 4

グローバル コンフィギュレーション モードにアクセスします。

configure terminal

例:


ciscoasa# configure terminal
ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit コマンド、quit コマンド、または end コマンドを入力します。

Firepower 1000および Cisco Secure Firewall 1200/3100/4200 コンソールへのアクセス

Firepower 1000、および Cisco Secure Firewall 1200/3100/4200 コンソールポートを使用して、ASA CLI に接続します。ASA CLI から、トラブルシューティングのために Telnet を使用して FXOS CLI に接続できます。

手順

ステップ 1

管理コンピュータをコンソール ポートに接続します。ご使用のオペレーティングシステムに必要なシリアルドライバを必ずインストールしてください。次のシリアル設定を使用します。

  • 9600 ボー

  • 8 データ ビット

  • パリティなし

  • 1 ストップ ビット

ASA CLI に接続します。デフォルトでは、コンソール アクセスに必要なユーザー クレデンシャルはありません。

ステップ 2

特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

ASA で設定したイネーブルパスワードは、FXOS 管理者のユーザーパスワードでもあり、ASA の起動に失敗した場合は、FXOS フェールセーフ モードに移行します。

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権 EXEC モードを終了するには、disable exit 、または quit コマンドを入力します。

ステップ 3

グローバル コンフィギュレーション モードにアクセスします。

configure terminal

例:


ciscoasa# configure terminal
ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit quit 、または end コマンドを入力します。

ステップ 4

(任意) FXOS CLI に接続します。

connect fxos [admin]

  • admin :管理者レベルのアクセスを提供します。このオプションを指定しないと、ユーザーのアクセス権は読み取り専用アクセスになります。管理者モードであっても、コンフィギュレーション コマンドは使用できないことに注意してください。

ユーザーはクレデンシャルの入力を求められません。現在の ASA ユーザー名が FXOS に渡されるため、追加のログインは必要ありません。ASA CLI に戻るには、exit と入力するか、Ctrl+Shift+6 を押し、x と入力します。

FXOS 内では、scope security/show audit-logs コマンドを使用してユーザーアクティビティを表示できます。

例:


ciscoasa# connect fxos admin
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
firepower# 
firepower# exit
Connection with FXOS terminated.
Type help or '?' for a list of available commands.
ciscoasa#

Firepower 4100/9300 シャーシ 上の ASA コンソールへのアクセス

初期設定の場合、Firepower 4100/9300 シャーシ スーパバイザに(コンソール ポートに、あるいは Telnet または SSH を使用してリモートで)接続してコマンドライン インターフェイスにアクセスし、ASA セキュリティ モジュールに接続します。

手順

ステップ 1

Firepower 4100/9300 シャーシ スーパバイザ CLI(コンソールまたは SSH)に接続し、次に ASA にセッション接続します。

connect module slot { console | telnet}

Telnet 接続を使用する利点は、モジュールに同時に複数のセッションを設定でき、接続速度が速くなることです。

初めてモジュールにアクセスするときは、FXOS モジュールの CLI にアクセスします。その後 ASA アプリケーションに接続する必要があります。

connect asa

例:


Firepower# connect module 1 console
Firepower-module1> connect asa

asa>

ステップ 2

最高の特権レベルである特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


asa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
asa#

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権モードを終了するには、disable コマンド、exit コマンド、または quit コマンドを入力します。

ステップ 3

グローバル コンフィギュレーション モードを開始します。

configure terminal

例:


asa# configure terminal
asa(config)#

グローバル コンフィギュレーション モードを終了するには、disable exit 、または quit コマンドを入力します。

ステップ 4

Ctrl-a、d と入力し、アプリケーション コンソールを終了して FXOS モジュール CLI に移動します。

トラブルシューティングのために FXOS モジュールの CLI を使用する場合があります。

ステップ 5

FXOS CLI のスーパバイザ レベルに戻ります。

コンソールを終了します。

  1. ~ と入力

    Telnet アプリケーションに切り替わります。

  2. Telnet アプリケーションを終了するには、次を入力します。

    telnet>quit

Telnet セッションを終了します。

  1. Ctrl-], . と入力

ASDM アクセスの設定

ここでは、デフォルト設定で ASDM にアクセスする方法、およびデフォルト設定がない場合にアクセスを設定する方法について説明します。

ASDM アクセスの工場出荷時のデフォルト設定の使用

工場出荷時のデフォルト コンフィギュレーションでは、ASDM 接続はデフォルトのネットワーク設定で事前設定されています。

手順

次のインターフェイスおよびネットワーク設定を使用して ASDM に接続します。

  • 管理インターフェイスは、ご使用のモデルによって異なります。

    • Firepower 1010、Secure Firewall 1210/1220:管理用ネットワークインターフェース1/1(IPアドレス:192.168.45.1)、または内部イーサネットインターフェース1/2~1/8(1010および1210)または1/10(1220)(IPアドレス:192.168.1.1)。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。

    • Firepower 1100、 Secure Firewall 1230/1240/1250/、3100、4200:内部イーサネット1/2(192.168.1.1)または管理用ポート1/1(DHCP経由)を使用。内部ホストは 192.168.1.0/24 ネットワークに限定されます。管理ホストは任意のネットワークからアクセスできます。

    • Firepower 4100/9300:展開時に定義された管理タイプ インターフェイスと IP アドレス。管理ホストは任意のネットワークからアクセスできます。

    • ASA 仮想:管理 0/0(展開時に設定)。管理ホストは管理ネットワークに限定されます。

    • ISA 3000:管理 1/1(192.168.1.1)。管理ホストは 192.168.1.0/24 ネットワークに限定されます。

(注)  

 

マルチ コンテキスト モードに変更すると、上記のネットワーク設定を使用して管理コンテキストから ASDM にアクセスできるようになります。

ASDM アクセスのカスタマイズ

次の条件に 1 つ以上当てはまる場合は、この手順を使用します。

  • 工場出荷時のデフォルト コンフィギュレーションがない。

  • 管理 IP アドレスを変更したい。

  • トランスペアレント ファイアウォール モードに変更したい。

  • マルチ コンテキスト モードに変更したい。

シングル ルーテッド モードの場合、ASDM に迅速かつ容易にアクセスするために、独自の管理 IP アドレスを設定できるオプションを備えた工場出荷時のデフォルト コンフィギュレーションを適用することを推奨します。この項に記載されている手順は、特別なニーズ(トランスペアレント モードやマルチ コンテキスト モードの設定など)がある場合や、他の設定を維持する必要がある場合にのみ使用してください。


(注)  

ASAv の場合、導入時にトランスペアレント モードを設定できるため、この手順は、設定をクリアする必要がある場合など、導入後に特に役立ちます。

手順

ステップ 1

コンソール ポートで CLI にアクセスします。

ステップ 2

(オプション)トランスペアレント ファイアウォール モードをイネーブルにします。

このコマンドは、設定をクリアします。

firewall transparent

ステップ 3

管理インターフェイスを設定します。 


interface interface_id    
   nameif name 
   security-level level    
   no shutdown    
   ip address ip_address mask

例:


ciscoasa(config)# interface management 0/0
ciscoasa(config-if)# nameif management
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

security-level は、1 ~ 100 の数字です。100 が最も安全です。

ステップ 4

(直接接続された管理ホスト用)管理ネットワークの DHCP プールを設定します。 


dhcpd address ip_address-ip_address interface_name
dhcpd enable interface_name

例:


ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 management
ciscoasa(config)# dhcpd enable management

その範囲にインターフェイス アドレスが含まれていないことを確認します。

ステップ 5

(リモート管理ホスト用)管理ホストへのルートを設定します。

route management_ifc management_host_ip mask gateway_ip 1

例:


ciscoasa(config)# route management 10.1.1.0 255.255.255.0 192.168.1.50 1

ステップ 6

ASDM の HTTP サーバーをイネーブルにします。

http server enable

ステップ 7

管理ホストの ASDM へのアクセスを許可します。

http ip_address mask interface_name

例:


ciscoasa(config)# http 192.168.1.0 255.255.255.0 management

ステップ 8

設定を保存します。

write memory

ステップ 9

(オプション)モードをマルチ モードに設定します。

mode multiple

プロンプトが表示されたら、既存の設定を管理コンテキストに変換することを承認します。ASA をリロードするよう求められます。

次の設定では、ファイアウォール モードがトランスペアレント モードに変換され、Management 0/0 インターフェイスが設定され、管理ホストに対して ASDM がイネーブルにされます。 


firewall transparent
interface management 0/0

ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown

dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
http server enable
http 192.168.1.0 255.255.255.0 management

ASDM の起動

ASDM-IDM ランチャを使用して ASDM を起動します。ランチャは、ASA から Web ブラウザを使用してダウンロードされるアプリケーションです。これを使用すると、任意の ASA IP アドレスに接続できます。他の ASA に接続する場合、ランチャを再度ダウンロードする必要はありません。

ASDM では、管理のために別の ASA IP アドレスを選択できます。

ここでは、まず ASDM に接続する方法について説明し、次にランチャ

ASDM はローカルの \Users\<user_id>\.asdm ディレクトリ内にキャッシュ、ログ、設定などのファイルを保存し、Temp ディレクトリ内にも セキュアクライアント プロファイルなどのファイルを保存します。

手順

ステップ 1

ASDM クライアントとして指定したコンピュータで次の URL を入力します。

https://asa_ip_address/admin

(注)  

 

http:// や IP アドレス(デフォルトは HTTP)ではなく、必ず https:// を指定してください。 ASA は、HTTP 要求を HTTPS に自動的に転送しません。

次のボタン

ASDM Launcher のインストール

ステップ 2

ランチャをダウンロードして、ASDM を起動するには、次の手順を実行します。

  1. [ASDM をインストールして、 をクリックします。

    図 1. ASDM Launcher のインストール
    ASDM Launcher のインストール

  2. ユーザー名とパスワードのフィールドを空のままにし(新規インストールの場合)、[OK] をクリックします。

    HTTPS 認証が設定されていない場合は、ユーザー名およびイネーブル パスワード(デフォルトで空白)を入力しないで ASDM にアクセスできます。CLI で enable コマンドを最初に入力したときに、パスワードを変更するように求められます。ASDM にログインしたときには、この動作は適用されません。空白のままにしないように、できるだけ早くイネーブル パスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定を参照してください。:HTTPS 認証をイネーブルにした場合、ユーザー名と関連付けられたパスワードを入力します。認証が有効でない場合でも、ログイン画面で(ユーザー名をブランクのままにしないで)ユーザー名とパスワードを入力すると、ASDM によってローカル データベースで一致がチェックされます。

  3. インストーラをコンピュータに保存して、インストーラを起動します。インストールが完了すると、ASDM-IDM ランチャが自動的に開きます。

  4. 管理 IP アドレス、および同じユーザー名とパスワード(新規インストールの場合は空白)を入力し、[OK] をクリックします。

工場出荷時のデフォルト設定

工場出荷時のデフォルト設定とは、シスコが新しい ASA に適用したコンフィギュレーションです。

  • Firepower 1010:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部スイッチ ポートから ASDM を使用して管理できます。

  • Firepower 1100:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。

  • Secure Firewall 1210/1220:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部スイッチ ポートから ASDM を使用して管理できます。

  • Secure Firewall 1230/1240/1250:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。

  • Secure Firewall 3100:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、Management 1/1 インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。

  • Secure Firewall 4200:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、Management 1/1 インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。

  • Firepower 4100/9300 シャーシ:ASA のスタンドアロンまたはクラスタを展開する場合、管理用のインターフェイスは工場出荷時のデフォルト設定によって設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。

  • ASA 仮想:ハイパーバイザによっては、展開の一環として、展開設定(初期の仮想展開設定)によって管理用のインターフェイスが設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。フェールオーバー IP アドレスも設定できます。また、必要に応じて、「工場出荷時のデフォルト」コンフィギュレーションを適用することもできます。

  • ISA 3000:工場出荷時のデフォルト設定は、同じネットワーク上のすべての内部および外部インターフェイスを使用した、ほぼ完全なトランスペアレント ファイアウォール モード設定です。ASDM を使用して管理インターフェイスに接続し、ネットワークの IP アドレスを設定できます。ハードウェアバイパスは 2 つのインターフェイスペアに対して有効になっていて。

アプライアンス の場合、工場出荷時のデフォルト設定は、工場出荷時のデフォルト設定がトランスペアレントモードでのみ使用可能な ISA 3000 を除き、ルーテッド ファイアウォール モードとシングルコンテキストモードのみで使用できます。ASA 仮想 および Firepower 4100/9300 シャーシ の場合、展開時にトランスペアレントモードまたはルーテッドモードを選択できます。


(注)  

イメージ ファイルと(隠された)デフォルト コンフィギュレーションに加え、log/、crypto_archive/、および coredumpinfo/coredump.cfg がフラッシュ メモリ内の標準のフォルダとファイルです。フラッシュ メモリ内で、これらのファイルの日付は、イメージ ファイルの日付と一致しない場合があります。これらのファイルは、トラブルシューティングに役立ちますが、障害が発生したことを示すわけではありません。

工場出荷時のデフォルト設定の復元

この項では、工場出荷時のデフォルト コンフィギュレーションを復元する方法について説明します。ASA 仮想 では、この手順を実行することで展開設定が消去され、次の設定が適用されます。 


interface management 0/0
  ip address 192.168.1.1 255.255.255.0
  nameif management
  security-level 100
  no shutdown
!
asdm logging informational
asdm history enable
!
http server enable
http 192.168.1.0 255.255.255.0 management
!
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management

(注)  

Firepower 4100/9300 では、工場出荷時のデフォルト設定を復元すると単に設定が消去されるだけです。 デフォルト設定を復元するには、スーパバイザから ASA をもう一度展開する必要があります。

始める前に

この機能は、ISA 3000 を除き、ルーテッド ファイアウォール モードでのみ使用できます(ISA 3000 では、このコマンドはトランスペアレントモードでのみサポートされます)。さらに、この機能はシングルコンテキストモードでのみ使用できます。コンフィギュレーションがクリアされた ASA には、この機能を使用して自動的に設定する定義済みコンテキストがありません。

手順

ステップ 1

工場出荷時のデフォルト コンフィギュレーションを復元します。

configure factory-default [ip_address [mask]]

例:


ciscoasa(config)# configure factory-default 10.1.1.1 255.255.255.0

ip_address を指定する場合は、デフォルトの IP アドレスを使用する代わりに、お使いのモデルに応じて、内部または管理インターフェイスの IP アドレスを設定します。ip_address オプションで設定されているインターフェイスについては、次のモデルのガイドラインを参照してください。

  • Firepower 1010:管理インターフェイスの IP アドレスを設定します。

  • Firepower 1100:内部インターフェイスの IP アドレスを設定します。

  • Secure Firewall 1210/1220:管理インターフェイスの IP アドレスを設定します。

  • Secure Firewall 1230/1240/1250:内部インターフェイスの IP アドレスを設定します。

  • Secure Firewall 3100:内部インターフェイスの IP アドレスを設定します。

  • Secure Firewall 4200:内部インターフェイスの IP アドレスを設定します。

  • Firepower 4100/9300:効果はありません。

  • ASA 仮想管理インターフェイスの IP アドレスを設定します。

  • ISA 3000:管理インターフェイスの IP アドレスを設定します。

http コマンドでは、ユーザーが指定するサブネットが使用されます。同様に、dhcpd address コマンドの範囲は、指定した IP アドレスよりも大きい使用可能なすべてのアドレスで構成されます。たとえば、サブネットマスク 255.255.255.0 で 10.5.6.78 を指定した場合、DHCP アドレスの範囲は 10.5.6.79 ~ 10.5.6.254 になります。

Firepower 1000、および Secure Firewall 1200, 3100, 4200の場合:このコマンドは、残りの設定とともに boot system コマンドをクリアします(存在する場合)。この設定変更は、ブートアップ時のイメージには影響を与えず、現在ロードされているイメージが引き続き使用されます。

その他すべてのモデルの場合:このコマンドは、残りの設定とともに boot system コマンドをクリアします(存在する場合)。boot system コマンドを使用すると、特定のイメージから起動できます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合、ASA はブートしません。

例:


docs-bxb-asa3(config)# configure factory-default 10.86.203.151 255.255.254.0
Based on the management IP address and mask, the DHCP address
pool size is reduced to 103 from the platform limit 256

WARNING: The boot system configuration will be cleared.
The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
not boot.

Begin to apply factory-default configuration:
Clear all configuration
WARNING: The new maximum-session limit will take effect after the running-config is saved and the system boots next time. Command accepted
WARNING: Local user database is empty and there are still 'aaa' commands for 'LOCAL'.
Executing command: interface management0/0
Executing command: nameif management
INFO: Security level for "management" set to 0 by default.
Executing command: ip address 10.86.203.151 255.255.254.0
Executing command: security-level 100
Executing command: no shutdown
Executing command: exit
Executing command: http server enable
Executing command: http 10.86.202.0 255.255.254.0 management
Executing command: dhcpd address 10.86.203.152-10.86.203.254 management
Executing command: dhcpd enable management
Executing command: logging asdm informational
Factory-default configuration is completed
ciscoasa(config)#

ステップ 2

デフォルト コンフィギュレーションをフラッシュ メモリに保存します。

write memory

このコマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

ASA 仮想 導入設定の復元

この項では、ASA 仮想 の導入(0 日)設定を復元する方法について説明します。

手順

ステップ 1

フェールオーバーを行うために、スタンバイ装置の電源を切ります。

スタンバイ ユニットがアクティブになることを防ぐために、電源をオフにする必要があります。電源を入れたままにした場合、アクティブ装置の設定を消去すると、スタンバイ装置がアクティブになります。以前のアクティブ ユニットをリロードし、フェールオーバー リンクを介して再接続すると、古い設定は新しいアクティブ ユニットから同期し、必要な導入コンフィギュレーションが消去されます。

ステップ 2

リロード後に導入設定を復元します。フェールオーバーを行うために、アクティブ装置で次のコマンドを入力します。

write erase

(注)  

 

ASA 仮想 が現在の実行イメージをブートするため、元のブート イメージには戻りません。元のブート イメージを使用するには、boot image コマンドを参照してください。

コンフィギュレーションは保存しないでください。

ステップ 3

ASA 仮想 をリロードし、導入設定をロードします。

reload

ステップ 4

フェールオーバーを行うために、スタンバイ装置の電源を投入します。

アクティブ装置のリロード後、スタンバイ装置の電源を投入します。導入設定がスタンバイ装置と同期されます。

Firepower 1010 のデフォルト設定

Firepower 1010 の工場出荷時のデフォルト設定は、次のとおりです。

  • ハードウェア スイッチ:イーサネット 1/2 ~ 1/8 は VLAN 1 に属しています。

  • 内部から外部へのトラフィック フロー:イーサネット 1/1(外部)、VLAN 1(内部)

  • 管理:管理 1/1(管理)、IP アドレス:192.168.45.1

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 内部インターフェイスの DHCP サーバー、管理インターフェイス

  • 外部 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
!
interface Management1/1
managment-only
nameif management
no shutdown
security-level 100
ip address 192.168.45.1 255.255.255.0
!
interface Ethernet1/1
nameif outside
ip address dhcp setroute
no shutdown
!
interface Ethernet1/2
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/3
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/4
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/5
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/6
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/7
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/8
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
object network obj_any
   subnet 0.0.0.0 0.0.0.0
   nat (any,outside) dynamic interface
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd address 192.168.45.10-192.168.45.12 management
dhcpd enable inside
dhcpd enable management
!
http server enable
http 192.168.45.0 255.255.255.0 management
http 192.168.1.0 255.255.255.0 inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 1100 のデフォルト設定

Firepower 1100 の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 管理:Management 1/1(管理)、DHCP からの IP アドレス

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP、管理 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Cisco Secure Firewall 1210/1220 のデフォルト設定

Cisco Secure Firewall 1210/1220 の工場出荷時のデフォルト設定は、次のとおりです。

  • ハードウェアスイッチ:Ethernet 1/2 ~ 1/8 または 1/2 ~ 1/10(1220)は VLAN 1 に属しています。

  • 内部から外部へのトラフィック フロー:イーサネット 1/1(外部)、VLAN 1(内部)

  • 管理:管理 1/1(管理)、IP アドレス:192.168.45.1

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 内部インターフェイスの DHCP サーバー、管理インターフェイス

  • 外部 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
!
interface Management1/1
managment-only
nameif management
no shutdown
security-level 100
ip address 192.168.45.1 255.255.255.0
!
interface Ethernet1/1
nameif outside
ip address dhcp setroute
no shutdown
!
interface Ethernet1/2
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/3
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/4
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/5
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/6
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/7
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/8
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
! 1220
interface Ethernet1/9
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
! 1220
interface Ethernet1/10
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
object network obj_any
   subnet 0.0.0.0 0.0.0.0
   nat (any,outside) dynamic interface
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd address 192.168.45.10-192.168.45.12 management
dhcpd enable inside
dhcpd enable management
!
http server enable
http 192.168.45.0 255.255.255.0 management
http 192.168.1.0 255.255.255.0 inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Secure Firewall 1230/1240/1250 のデフォルト設定

Cisco Secure Firewall 1230/1240/1250 の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 管理:Management 1/1(管理)、DHCP からの IP アドレス

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP、管理 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Cisco Secure Firewall 3100 デフォルト設定

Cisco Secure Firewall 3100 の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 管理:Management 1/1(管理)、DHCP からの IP アドレス

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP、管理 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Cisco Secure Firewall 4200 のデフォルト設定

Cisco Secure Firewall 4200 の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 管理:Management 1/1(管理)、DHCP からの IP アドレス

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP、管理 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 4100/9300 シャーシ デフォルト設定

Firepower 4100/9300 シャーシ 上に ASA を展開した場合、ASDM を使用して管理インターフェイスへの接続が可能になる多くのパラメータを事前設定できます。一般的な構成には次の設定があります。

  • 管理インターフェイス:

    • Firepower 4100/9300 シャーシ スーパバイザ上で定義された任意の管理タイプ インターフェイス

    • 名前は「management」

    • 任意の IP アドレス

    • セキュリティ レベル 0

    • 管理専用

  • 管理インターフェイス内のデファルト ルート

  • ASDM アクセス:すべてのホストが許可されます。

スタンドアロン ユニットの設定は、次のコマンドで構成されます。クラスタ ユニットの追加の設定については、ASA クラスタの作成 を参照してください。 


interface <management_ifc>
  management-only
  ip address <ip_address> <mask>
  ipv6 address <ipv6_address>
  ipv6 enable
  nameif management
  security-level 0
  no shutdown
!
http server enable
http 0.0.0.0 0.0.0.0 management
http ::/0 management
!
route management 0.0.0.0 0.0.0.0 <gateway_ip> 1
ipv6 route management ::/0 <gateway_ipv6>

ISA 3000 のデフォルト設定

ISA 3000 の工場出荷時のデフォルト設定は、次のとおりです。

  • トランスペアレント ファイアウォール モード:トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルスファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータホップとしては認識されません。

  • 1 ブリッジ仮想インターフェイス:すべてのメンバーインターフェイスは同じネットワーク内に存在しています(IP アドレスは事前設定されていません。ネットワークと一致するように設定する必要があります):GigabitEthernet 1/1 (outside1)、GigabitEthernet 1/2(inside1)、GigabitEthernet 1/3(outside2)、GigabitEthernet 1/4(inside2)

  • すべての内部および外部インターフェイスは相互通信できます。

  • 管理 1/1 インターフェイス:ASDM アクセスの 192.168.1.1/24。

  • 管理上のクライアントに対する DHCP

  • ASDM アクセス:管理ホストに許可されます。

  • ハードウェアバイパスは、次のインターフェイスペアで有効になっています。GigabitEthernet 1/1 および 1/2。GigabitEthernet 1/3 および 1/4


    (注)  

    ISA 3000 への電源が切断され、ハードウェア バイパス モードに移行すると、通信できるのは上記のインターフェイス ペアのみになります。inside1 と inside2 および outside1 と outside2 は通信できなくなります。これらのインターフェイス間の既存の接続がすべて失われます。電源が再投入されると、ASA がフローを引き継ぐため、接続が短時間中断されます。

このコンフィギュレーションは次のコマンドで構成されています。 


firewall transparent

interface GigabitEthernet1/1
 	bridge-group 1
 	nameif outside1
 	security-level 0
		no shutdown
interface GigabitEthernet1/2
	 bridge-group 1
 	nameif inside1
 	security-level 100
 	no shutdown
interface GigabitEthernet1/3
	 bridge-group 1
	 nameif outside2
	 security-level 0
 	no shutdown
interface GigabitEthernet1/4
 	bridge-group 1
 	nameif inside2
 	security-level 100
 	no shutdown
interface Management1/1
		management-only
		no shutdown
		nameif management
		security-level 100
		ip address 192.168.1.1 255.255.255.0
interface BVI1
		no ip address

access-list allowAll extended permit ip any any
access-group allowAll in interface outside1
access-group allowAll in interface outside2

same-security-traffic permit inter-interface

hardware-bypass GigabitEthernet 1/1-1/2
hardware-bypass GigabitEthernet 1/3-1/4

http server enable
http 192.168.1.0 255.255.255.0 management

dhcpd address 192.168.1.5-192.168.1.254 management
dhcpd enable management

ASA 仮想 による展開の設定

ASA 仮想 を導入すると、ASDM を使用して、Management 0/0 インターフェイスへの接続を可能にする多数のパラメータをプリセットできます。一般的な構成には次の設定があります。

  • ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モード

  • Management 0/0 インターフェイス:

    • 名前は「management」

    • IP アドレスまたは DHCP

    • セキュリティ レベル 0

  • 管理ホスト IP アドレスのスタティック ルート(管理サブネット上にない場合)

  • HTTP サーバーの有効または無効

  • 管理ホスト IP アドレス用の HTTP アクセス

  • (オプション)GigabitEthernet 0/8 用のフェールオーバー リンク IP アドレス、Management0/0 のスタンバイ IP アドレス

  • DNS サーバー

  • スマート ライセンス ID トークン

  • スマートライセンスのスループットレベルおよびEssentials機能階層

  • スマートトランスポート URL(https://smartreceiver.cisco.com/licservice/license)およびポート 80。

  • (オプション)Smart スマート トランスポート プロキシ URL およびポート

  • (オプション)SSH 管理設定:

    • クライアント IP アドレス

    • ローカル ユーザー名とパスワード

    • ローカル データベースを使用する SSH に必要な認証

  • (オプション)REST API の有効または無効


(注)  

Cisco Licensing Authority に ASA 仮想 を正常に登録するには、ASA 仮想 にインターネットアクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。

スタンドアロン ユニットについては、次の設定例を参照してください。 


interface Management0/0
  nameif management
  security-level 0
  ip address ip_address
  
  no shutdown
http server enable
http managemment_host_IP mask management
route management management_host_IP mask gateway_ip 1
dns server-group DefaultDNS
  name-server ip_address
call-home
  http-proxy ip_address port port
license smart
  feature tier standard
  throughput level {100M | 1G | 2G}
  license smart register idtoken id_token
aaa authentication ssh console LOCAL
username username password password
ssh source_IP_address mask management
rest-api image boot:/path
rest-api agent

(注)  

Essentials ライセンスは、以前は「標準」ライセンスと呼ばれていました。

フェールオーバー ペアのプライマリ ユニットについては、次の設定例を参照してください。 


nameif management
  security-level 0
  ip address ip_address standby standby_ip
  
  no shutdown
route management management_host_IP mask gateway_ip 1
http server enable
http managemment_host_IP mask management
dns server-group DefaultDNS
  name-server ip_address
call-home
  http-proxy ip_address port port
license smart
  feature tier standard
  throughput level {100M | 1G | 2G}
  license smart register idtoken id_token
aaa authentication ssh console LOCAL
username username password password
ssh source_IP_address mask management
rest-api image boot:/path
rest-api agent
failover 
failover lan unit primary
failover lan interface fover gigabitethernet0/8
failover link fover gigabitethernet0/8
failover interface ip fover primary_ip mask standby standby_ip

コンフィギュレーション作業

この項では、コンフィギュレーションを処理する方法について説明します。この項で説明する内容は、特に指定がない限り、シングル モードとマルチ モードの両セキュリティ コンテキストに適用されます。

スタートアップ コンフィギュレーションおよび実行コンフィギュレーションについて

スタートアップ コンフィギュレーション

ASA は、起動時に、「スタートアップ コンフィギュレーション」と呼ばれるコンフィギュレーションをテキストファイルからロードします。このファイルは、デフォルトでは隠しファイルとして内部フラッシュ メモリに常駐しています。ただし、表示されるファイルシステムに存在するスタートアップ コンフィギュレーションに別のファイルを指定することができます。新しいスタートアップ コンフィギュレーションを指定するには、次のコマンドを使用します。

boot config {disk0:/ | disk1:/} [path/]filename

新しい場所を保存します。

write memory

次に例を示します。


ciscoasa (config)# boot config disk0:/startup.cfg
ciscoasa (config)# write memory

大規模な設定の使用

隠しスタートアップディレクトリの容量は限られています。設定が非常に大きい場合(たとえば、16 MB を超える場合)、スタートアップ コンフィギュレーションを保存できません。この場合は、boot config コマンドを使用して、表示されるファイルシステムにスタートアップ コンフィギュレーションを保存する必要があります。たとえば、大規模な設定を実行メモリにロードして保存するために write memory コマンドを入力した場合、設定が大きすぎると、次のエラーメッセージが表示されることがあります。

%Error writing. nvram:/startup-config (No space left on device:)

この場合は、ASA をリロードする前に、必ず、実行コンフィギュレーションを新しいファイルの場所に再保存してください。そうしないと、ASA が完全な設定をロードしない可能性があります。

実行コンフィギュレーション

コマンドを入力すると、メモリ上の実行コンフィギュレーションに対してだけ変更が適用されます。変更内容をリロード後も維持するには、実行コンフィギュレーションを手動でスタートアップ コンフィギュレーションに保存する必要があります。

コンフィギュレーションの変更の保存

この項では、コンフィギュレーションを保存する方法について説明します。

シングル コンテキスト モードでのコンフィギュレーションの変更の保存

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、次の手順を実行します。

手順

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write memory

(注)  

 

copy running-config startup-config コマンドは、write memory コマンドに相当します。

マルチ コンテキスト モードでのコンフィギュレーションの変更の保存

各コンテキスト(およびシステム)コンフィギュレーションを個別に保存することも、すべてのコンテキスト コンフィギュレーションを同時に保存することもできます。

各コンテキストとシステムの個別保存

システムまたはコンテキストのコンフィギュレーションを保存するには、次の手順を使用します。

手順

コンテキストまたはシステム内から、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write memory

マルチ コンテキスト モードでは、コンテキストのスタートアップ コンフィギュレーションを外部サーバーに置くことができます。この場合、ASA は、コンテキスト URL で指定したサーバにコンフィギュレーションを戻して保存します。ただし HTTP URL および HTTPS URL の場合は例外で、サーバにコンフィギュレーションを保存できません。

(注)  

 

copy running-config startup-config コマンドは、write memory コマンドに相当します。

すべてのコンテキスト コンフィギュレーションの同時保存

すべてのコンテキスト コンフィギュレーションとシステム コンフィギュレーションを同時に保存するには、次の手順を使用します。

手順

システム実行スペースから、すべてのコンテキストとシステム コンフィギュレーションの実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write memory all [/noconfirm]

/noconfirm キーワードを入力しない場合、次のプロンプトが表示されます。 


Are you sure [Y/N]:

Y を入力すると、ASA によってシステム コンフィギュレーションと各コンテキストが保存されます。コンテキストのスタートアップ コンフィギュレーションは、外部サーバーに配置できます。この場合、ASA は、コンテキスト URL で指定したサーバーにコンフィギュレーションを戻して保存します。ただし HTTP URL および HTTPS URL の場合は例外で、サーバーにコンフィギュレーションを保存できません。

ASA によって各コンテキストが保存された後、次のメッセージが表示されます。 


‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’

エラーのためにコンテキストが保存されない場合もあります。エラーについては、次の情報を参照してください。

  • メモリ不足のためにコンテキストが保存されない場合は、次のメッセージが表示されます。 

    
The context 'context a' could not be saved due to Unavailability of resources

  • リモートの宛先に到達できないためにコンテキストが保存されない場合は、次のメッセージが表示されます。 

    
The context 'context a' could not be saved due to non-reachability of destination

  • コンテキストがロックされているために保存されない場合は、次のメッセージが表示されます。 

    
Unable to save the configuration for the following contexts as these contexts are locked.
context ‘a’ , context ‘x’ , context ‘z’ .

    コンテキストがロックされるのは、別のユーザがすでにコンフィギュレーションを保存している場合、またはコンテキストを削除している場合のみです。

  • スタートアップ コンフィギュレーションが読み取り専用であるために(たとえば、HTTP サーバで)コンテキストが保存されない場合は、他のすべてのメッセージの最後に次のメッセージ レポートが出力されます。 

    
Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context ‘a’ , context ‘b’ , context ‘c’ .

  • フラッシュ メモリのセクターが壊れているためコンテキストを保存できない場合は、次のメッセージが表示されます。 

    
The context 'context a' could not be saved due to Unknown errors

スタートアップ コンフィギュレーションの実行コンフィギュレーションへのコピー

新しいスタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーするには、次のいずれかのコマンドを使用します。

  • copy startup-config running-config

    スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。

  • reload

    ASA をリロードします。その結果、スタートアップ コンフィギュレーションがロードされ、実行コンフィギュレーションが破棄されます。

  • clear configure all、続いて thencopy startup-config running-config

    スタートアップ コンフィギュレーションをロードし、実行コンフィギュレーションを破棄します。リロードは不要です。

設定の表示

実行コンフィギュレーションとスタートアップ コンフィギュレーションを表示するには、次のコマンドを使用します。

  • show running-config

    実行コンフィギュレーションを表示します。

  • show running-config command

    特定のコマンドの実行コンフィギュレーションを表示します。

  • show startup-config

    スタートアップ コンフィギュレーションを表示します。

コンフィギュレーション設定のクリアおよび削除

設定を消去するには、次のいずれかのコマンドを入力します。

  • clear configure configurationcommand [level2configurationcommand]

    指定されたコマンドのすべてのコンフィギュレーションをクリアします。コマンドの特定バージョンのコンフィギュレーションだけをクリアする場合は、level2configurationcommand に値を入力します。

    たとえば、すべての aaa コマンドのコンフィギュレーションをクリアするには、次のコマンドを入力します。 

     
ciscoasa(config)# clear configure aaa

    aaa authentication コマンドのコンフィギュレーションだけをクリアするには、次のコマンドを入力します。 

     
ciscoasa(config)# clear configure aaa authentication

  • no configurationcommand [level2configurationcommand] qualifier

    コマンドの特定のパラメータまたはオプションをディセーブルにします。この場合、no コマンドを使用して、qualifier で識別される特定のコンフィギュレーションを削除します。

    たとえば、特定の access-list コマンドを削除するには、それを一意に特定するのに十分なコマンドを入力します。コマンド全体を入力しなければならない場合もあります。 

     
ciscoasa(config)# no access-list abc extended permit icmp any any object-group obj_icmp_1

  • write erase

    スタートアップ コンフィギュレーションを消去します。


    (注)  

    ASA 仮想 の場合、このコマンドはリロード後に導入設定を復元します。コンフィギュレーションを完全に消去するには、clear configure all コマンドを使用します。

  • clear configure all

    実行コンフィギュレーションを消去します。


    (注)  

    マルチ コンテキスト モードでは、システム コンフィギュレーションから clear configure all を入力すると、すべてのコンテキストを削除し、実行中のコンフィギュレーションを停止することにもなります。コンテキスト コンフィギュレーション ファイルは消去されず、元の場所に保持されます。


    (注)  

    Firepower 1000、および Secure Firewall 1200, 3100, 4200の場合:このコマンドは、残りの設定とともに boot system コマンドをクリアします(存在する場合)。この設定変更は、ブートアップ時のイメージには影響を与えず、現在ロードされているイメージが引き続き使用されます。

    その他すべてのモデルの場合:このコマンドは、残りの設定とともに boot system コマンドをクリアします(存在する場合)。boot system コマンドは、外部フラッシュ メモリ カードのイメージを含む、特定のイメージからの起動を可能にします。ASA を次回リロードすると、内部フラッシュ メモリの最初のイメージから起動します。内部フラッシュ メモリにイメージがない場合、ASA は起動しません。

オフラインでテキスト コンフィギュレーション ファイルの作成

このガイドは、CLI を使用した ASA の設定方法について説明します。コマンドを保存すると、変更がテキスト ファイルに書き込まれます。一方、CLI を使用する代わりに、テキスト ファイルをコンピュータで直接編集して、コンフィギュレーション モードのコマンドライン プロンプトから、コンフィギュレーションを全部または 1 行ずつペーストすることができます。別の方法として、ASA 内部フラッシュ メモリにテキスト ファイルをダウンロードします。ASA への設定ファイルのダウンロードについては、ソフトウェアおよびコンフィギュレーション を参照してください。

ほとんどの場合、このマニュアルで説明するコマンドには、CLI プロンプトが先行します。次の例でのプロンプトは「ciscoasa(config)#」です。 

 
ciscoasa(config)# context a

コマンドの入力が要求されないテキスト コンフィギュレーション ファイルの場合は、プロンプトは次のように省略されます。 


context a

ファイルのフォーマットの詳細については、コマンドライン インターフェイスの使用を参照してください。

接続の設定変更の適用

コンフィギュレーションに対してセキュリティ ポリシーの変更を加えた場合は、すべての新しい接続で新しいセキュリティ ポリシーが使用されます。既存の接続では、その接続が確立された時点で設定されていたポリシーの使用が続行されます。古い接続に対する show コマンドの出力は古いコンフィギュレーションを反映しており、場合によっては古い接続に関するデータが含まれないことがあります。

たとえば、インターフェイスから QoS service-policy を削除し、修正バージョンを再度追加する場合、show service-policy コマンドには、新しいサービス ポリシーと一致する新規接続と関連付けられている QoS カウンタのみ表示されます。古いポリシーの既存の接続はコマンド出力には表示されません。

すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。

接続を解除するには、次のコマンドを入力します。

  • clear conn[all] [protocol {tcp |udp}] [ address src_ip [-src_ip] [ netmask mask] [ port src_port [-src_port] [ address dest_ip [-dest_ip] [ netmask mask] [ port dest_port [-dest_port]

    このコマンドは、すべての状態の接続を終了します。現在のすべての接続を表示するには、show conn コマンドを参照してください。

    引数を指定しないと、このコマンドはすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには(現在の管理セッションを含む)、all キーワードを使用します。送信元 IP アドレス、宛先 IP アドレス、ポート、プロトコルに基づいて特定の接続をクリアするには、必要なオプションを指定できます。

ASA のリロード

ASA をリロードするには、次の手順を実行します。

reload コマンドは、クラスタリング用のデータノードやフェールオーバー用のスタンバイ/セカンダリユニットには複製されません。

マルチ コンテキスト モードでは、システム実行スペース以外からはリロードできません。

手順

ASA をリロードします。

reload