FXOS CLI について

アプライアンスモードの Firepower 1000、2100 および Cisco Secure Firewall 1200/3100/4200 の場合、Secure Firewall eXtensible オペレーティングシステム(FXOS)CLI で使用できるのは show コマンドと高度なトラブルシューティング コマンドのみです。

プラットフォームモードの Firepower 2100 では、FXOS を使用して基本的な動作パラメータとハードウェア インターフェイスを設定する必要があります。FXOS を使用した Cisco Secure Firewall ASA の設定の詳細については、『Firepower 2100 ASA Platform Mode FXOS Configuration Guide』を参照してください。

FXOS CLI 管理対象オブジェクトモデル

FXOS は管理対象オブジェクトモデルを使用します。このモデルでは、管理対象オブジェクトは管理可能な物理エンティティまたは論理エンティティを抽象的に表現したものです。たとえば、シャーシ、ネットワークモジュール、ポート、プロセッサは、管理対象オブジェクトとして表現される物理エンティティです。また、ユーザーロールやプラットフォームポリシーは、管理対象オブジェクトとして表現される論理エンティティです。

オブジェクト管理用に 4 つの一般的なコマンドがあります。

  • create object

  • delete object

  • enter object

  • scope object


(注)  


アプライアンスモードでは、create および delete コマンドは使用できません。


scope コマンドは、永続的オブジェクトでもユーザ イスタンス化オブジェクトでも、すべての管理対象オブジェクトで使用できます。その他のコマンドを使用して、ユーザ インスタンス化オブジェクトを作成および管理できます。すべての create object コマンドには、それぞれに対応する delete object および enter object コマンドが存在します。enter object コマンドを使用して、新しいオブジェクトを作成したり既存のオブジェクトを編集したりできます。そのため、オブジェクトがすでに存在する場合にエラーとなる create object コマンドの代わりに使用できます。

? 文字を入力すれば、いつでもコマンド構文の現在の状態で使用可能なオプションを表示できます。

アプライアンスモードの ASA および FXOS CLI へのアクセス

ASDM を使用する代わりに、ASA CLI を使用して ASA のトラブルシューティングや設定を行うことができます。CLI には、コンソール ポートに接続してアクセスできます。後で任意のインターフェイスで ASA への SSH アクセスを設定できます。SSH アクセスはデフォルトで無効になっています。詳細については、ASA の一般的な操作の設定ガイドを参照してください。

トラブルシューティングのために、ASA CLI からも FXOS CLI にアクセスできます。

手順


ステップ 1

管理コンピュータをコンソール ポートに接続します。ご使用のオペレーティングシステムに必要なシリアルドライバを必ずインストールしてください。次のシリアル設定を使用します。

  • 9600 ボー

  • 8 データ ビット

  • パリティなし

  • 1 ストップ ビット

ASA CLI に接続します。デフォルトでは、コンソール アクセスに必要なユーザー クレデンシャルはありません。

ステップ 2

特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

ASA で設定したイネーブルパスワードは、FXOS 管理者のユーザーパスワードでもあり、ASA の起動に失敗した場合は、FXOS フェールセーフ モードに移行します。

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権 EXEC モードを終了するには、disable exit 、または quit コマンドを入力します。

ステップ 3

グローバル コンフィギュレーション モードにアクセスします。

configure terminal

例:


ciscoasa# configure terminal
ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit quit 、または end コマンドを入力します。

ステップ 4

(任意) FXOS CLI に接続します。

connect fxos [admin]

  • admin :管理者レベルのアクセスを提供します。このオプションを指定しないと、ユーザーのアクセス権は読み取り専用アクセスになります。管理者モードであっても、コンフィギュレーション コマンドは使用できないことに注意してください。

ユーザーはクレデンシャルの入力を求められません。現在の ASA ユーザー名が FXOS に渡されるため、追加のログインは必要ありません。ASA CLI に戻るには、exit と入力するか、Ctrl+Shift+6 を押し、x と入力します。

FXOS 内では、scope security/show audit-logs コマンドを使用してユーザーアクティビティを表示できます。

例:


ciscoasa# connect fxos admin
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
firepower# 
firepower# exit
Connection with FXOS terminated.
Type help or '?' for a list of available commands.
ciscoasa#


プラットフォームモードでの ASA および FXOS CLI へのアクセス

ここでは、FXOS および ASA コンソールに接続する方法と、SSH を使用して FXOS に接続する方法について説明します。

SSHで FXOS に接続

デフォルトの IP アドレス 192.168.45.45 を使用して管理 1/1 の FXOS に接続できます。リモート管理を設定する場合、非標準ポート(デフォルトでは 3022)でデータインターフェイス IP アドレスに接続することもできます。

SSH を使用して ASA に接続するには、まず、ASA の一般的な操作の設定ガイドに従って SSH アクセスを設定する必要があります。

ASA CLI から FXOS、およびその逆方向に接続することができます。

FXOS は最大 8 個の SSH 接続を許可します。

手順


ステップ 1

管理 1/1 に接続している管理コンピュータで、管理 IP アドレスに SSH 接続します(デフォルトでは、https://192.168.45.45、ユーザー名:admin、パスワード:Admin123)。

FXOS でユーザーを追加した場合は、任意のユーザー名でログインできます。リモート管理を設定する場合、ASA データ インターフェイス IP にポート 3022(デフォルトのポート)で SSH 接続します。

ステップ 2

ASA CLI に接続します。

connect asa

FXOS CLI に戻るには、Ctrl+ad と入力します。

例:


firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

ステップ 3

ASA に SSH 接続する場合(ASA で SSH アクセスを設定した後)、FXOS CLI に接続します。

connect fxos

FXOS への認証を求められます。デフォルトのユーザー名:admin およびパスワード:Admin123 を使用します。ASA CLI に戻るには、exit と入力するか、または Ctrl-Shift-6x と入力します。

例:


ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.

FXOS 2.2(2.32) kp2110

firepower-2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software

[…]

firepower-2110# 
firepower-2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#


コンソールポートに接続して FXOS および ASA CLI にアクセスする

Firepower 2100 コンソール ポートで FXOS CLI に接続します。次に、FXOS CLI から ASA コンソールに接続し、再度戻ることができます。

一度に保持できるコンソール接続は 1 つだけです。FXOS コンソールから ASA のコンソールに接続する場合、Telnet または SSH 接続の場合とは異なり、この接続は永続的接続です。

手順


ステップ 1

管理コンピュータをコンソール ポートに接続します。Firepower 2100 には DB-9 to RJ-45 シリアル ケーブルが付属しているため、接続するためにはサード パーティ製のシリアル to USB ケーブルが必要です。ご使用のオペレーティング システムに必要な USB シリアル ドライバを必ずインストールしてください。次のシリアル設定を使用します。

  • 9600 ボー

  • 8 データ ビット

  • パリティなし

  • 1 ストップ ビット

FXOS CLI に接続します。ユーザー クレデンシャルを入力します。デフォルトでは、admin ユーザーとデフォルトのパスワード Admin123 を使用してログインできます。初めてログインすると、admin パスワードを変更するように求められます。

ステップ 2

ASA に接続します。

connect asa

例:


firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

ステップ 3

FXOS コンソールに戻るには、Ctrl+ad と入力します。


show コマンド出力の保存とフィルタリング

出力をテキスト ファイルにリダイレクトすると、show コマンドの出力を保存できます。出力をフィルタリング コマンドにパイピングすると、show コマンドの出力をフィルタリングできます。

出力の保存とフィルタリングはすべての show コマンドで使用できますが、大量のテキストを生成するコマンドを処理する場合に最も役立ちます。たとえば、show configuration コマンドを使用して、設定のすべてまたは一部を表示できます。設定の出力をコピーすると、設定をバックアップおよび復元できます。


(注)  


show コマンドではシークレット(パスワードフィールド)が表示されないため、新しいデバイスに設定を貼り付ける場合は、実際のパスワードを含めるように show 出力を変更する必要があります。


show コマンド出力のフィルタリング

show コマンドの出力をフィルタリングするには、次のサブコマンドを使用します。次の構文の説明で、 show コマンドの後の最初の縦棒 | はパイプ文字であり、コマンドに含まれ、構文の説明の一部ではありません。フィルタリング オプションはコマンドの最初の | 文字の後に入力します。

show command | { begin expression| count| cut expression| egrep expression| end expression| exclude expression| grep expression| head| include expression| last| less| no-more| sort expression| tr expression| uniq expression| wc}

フィルタリング オプション

フィルタリング サブコマンドは次のとおりです。

  • begin :指定されたパターンを含む最初の行を検索し、その行と後続のすべての行を表示します。

  • count :行数をカウントします。

  • cut :各行の一部分を削除(「カット」)します。

  • egrep :拡張タイプのパターンと一致する行のみを表示します。

  • end :パターンと一致する行で終了します。

  • exclude :パターンと一致するすべての行を除外し、その他のすべての行を表示します。

  • grep :パターンと一致する行のみを表示します。

  • head :最初の行を表示します。

  • include :パターンと一致する行のみを表示します。

  • last :最後の行を表示します。

  • less :ページングのフィルタです。

  • no-more :コマンド出力の改ページをオフにします。

  • sort :行をソートします(ストリーム ソーター)。

  • tr :文字を変換、スクイーズ、および削除します。

  • uniq :連続した同一行の 1 つを除くすべてを破棄します。

  • wc :行、単語、および文字の数を表示します。

expression

通常、式、つまりパターンは単純なテキスト文字列です。式を一重引用符または二重引用符で囲まないでください。式の一部として表示されます。また、末尾のスペースは式に含まれます。


(注)  


次のサブコマンドのいくつかには、フィルタリングを詳細に制御できる追加オプションがあります。たとえば、show configuration | head および show configuration | last と指定すると、 lines キーワードを使用して表示される行数を変更できます。デフォルトは 10 です。さらに、show configuration | sort と指定すると、出力から重複行を削除するためのオプション -u を追加できます。(このオプションの詳細な説明は本ドキュメントの対象外です。さまざまなコマンドについては、FXOS のヘルプ出力を参照してください。詳細については、該当する Linux のヘルプを参照してください。)


次の例では、システム イベント ログ内の現在の行数を確認する方法を示します。


FP9300-A# show sel 1/1 | count
3008
FP9300-A# 

次の例では、文字列「error」を含むシステム イベント ログの行を表示する方法を示します。


FP9300-A# show sel 1/1 | include error
968 | 05/15/2016 16:46:25 | CIMC | System Event DDR4_P2_H2_EC
C #0x99 | Upper critical - going high | Asserted | Reading 20
000 >= Threshold 20000 error 
FP9300-A# 

関連項目

show コマンド出力の保存

show コマンド出力の保存

出力をテキスト ファイルにリダイレクトすると、show コマンドの出力を保存できます。

show command [ > { ftp:| scp:| sftp:| tftp:| volatile: | workspace:} ] | [ >> { volatile: | workspace:} ]

構文の説明

> { ftp:| scp:| sftp:| tftp:| volatile: | workspace:}

選択したトランスポート プロトコルを使用して指定されたテキスト ファイルに show コマンド出力をリダイレクトします。

コマンドを入力すると、リモート サーバ名、IP アドレス、ユーザ名、ファイル パスなどがクエリされます。

この時点で Enter を押すと、出力がローカルに保存されます。

>> { volatile: | workspace:}

show コマンド出力を適切なテキスト ファイルに追加します。このファイルはすでに存在している必要があります。

次の例では、現在の設定をシステム ワークスペースに保存しようとしています。設定ファイルがすでに存在しており、上書きするかどうかを選択できます。

FP9300-A# show configuration > workspace
File already exists, overwrite (y/n)?[n]n
Reissue command with >> if you want to append to existing file

FP9300-A#

関連項目

show コマンド出力のフィルタリング