关于 FXOS CLI

对于设备模式下的 Firepower 1000 和 2100,只能从 FXOS CLI 中使用 show 命令和高级故障排除命令。

对于平台模式下的 Firepower 2100,必须使用 FXOS 配置基本操作参数和硬件接口设置。有关使用 FXOS 配置 ASA 的详细信息,请参阅 Firepower 2100 ASA 平台模式 FXOS 配置指南

FXOS CLI 受管对象模型

(FXOS) 使用受管对象模型(受管对象为可管理的物理或逻辑实体的抽象表示形式)。例如,机箱、网络模块、端口和处理器是表示为受管对象的物理实体,许可证、用户角色和平台策略是表示为受管对象的逻辑实体。

四个通用命令可用于对象管理:

  • create object

  • delete object

  • enter object

  • scope object


对于设备模式,create delete 命令不可用。

可以将 scope 命令用于任何受管对象(无论是永久对象,还是用户实例化对象)。其他命令用于创建和管理用户实例化对象。对于每个 create object 命令,都存在一个对应的 delete object and enter object 命令。您可以使用 enter object 命令创建新对象和编辑现有对象,因此您可以使用它代替 create object 命令,如果对象已存在,则会出现错误。

您可以随时键入 ? 字符来显示在命令语法的当前状态下可用的选项。

在设备模式下访问 ASA 和 FXOS CLI

您可以使用 ASA CLI(而非 ASDM)对 ASA 进行故障排除或配置。可以连接到控制台端口以访问 CLI。您可以稍后在任何接口上配置对 ASA 的 SSH 访问;在默认情况下,SSH 访问是禁用的。有关更多信息,请参阅 ASA 一般操作配置指南

也可以从 ASA CLI 访问 FXOS CLI,以便进行故障排除。

过程

步骤 1

将管理计算机连接到控制台端口。Firepower 1000 随附了一根 USB A 转 B 串行电缆。Firepower 2100 配有一条 DB-9 转 RJ-45 串行线缆,所以您需要第三方串行转 USB 线缆进行连接。确保为您的操作系统安装必要的 USB 串行驱动程序(请参阅 Firepower 1010 硬件指南Firepower 1100 硬件指南。使用以下串行设置:

  • 9600 波特率

  • 8 个数据位

  • 无奇偶校验

  • 1 个停止位

连接到 ASA CLI。默认情况下,访问控制台时不需要提供用户凭证。
步骤 2

访问特权 EXEC 模式。

enable

第一次输入 enable 命令时,系统会提示您更改密码。

示例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

如果 ASA 无法启动,并且您进入 FXOS 故障保护模式,则您在 ASA 上设置的启用密码也是 FXOS 管理员用户密码。

在特权 EXEC 模式中,所有非配置命令均可用。还可从特权 EXEC 模式进入 配置模式。

要退出特权 EXEC 模式,请输入 disable exit quit 命令。

步骤 3

访问全局配置模式。

configure terminal

示例:


ciscoasa# configure terminal
ciscoasa(config)#

可从全局配置模式开始配置 ASA。要退出全局配置模式,请输入 exit quit end 命令。

步骤 4

(可选) 连接到 FXOS CLI。

connect fxos [admin]

  • admin - 提供管理员级的访问权限。如果不选择此选项,用户将拥有只读访问权限。请注意,即使在管理员模式下,也没有任何配置命令可用。

系统不会提示您提供用户凭证。当前的 ASA 用户名将传递给 FXOS,无需其他登录。要返回到 ASA CLI,请输入 exit 或键入 Ctrl-Shift-6x

在 FXOS 中,您可以使用 scope security/show audit-logs 命令查看用户活动。

示例:


ciscoasa# connect fxos admin
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
firepower# 
firepower# exit
Connection with FXOS terminated.
Type help or '?' for a list of available commands.
ciscoasa#

在平台模式下访问 ASA 和 FXOS CLI

本节介绍如何连接到 FXOS 和 ASA 控制台,以及如何使用 SSH 连接到 FXOS。

使用 SSH 连接到 FXOS

您可以使用默认 IP 地址 192.168.45.45 连接到管理 1/1 上的 FXOS。如果配置远程管理,还可以连接到非标准端口(默认情况下为 3022)上的数据接口 IP 地址。

要使用 SSH 连接到 ASA,必须首先根据 ASA 通用操作配置指南配置 SSH 访问。

您可以从 FXOS 连接到 ASA CLI,反之亦然。

FXOS 最多允许 8 条 SSH 连接。

过程

步骤 1

在连接到管理 1/1 的管理计算机上,将 SSH 连接到管理 IP 地址(默认情况下为 https://192.168.45.45,使用用户名:admin 和密码:Admin123)。

如果在 FXOS 中添加了用户,则可以使用任何用户名登录。如果配置远程管理,则将 SSH 连接到端口 3022 上的 ASA 数据接口 IP 地址(默认端口)。
步骤 2

连接到 ASA CLI。

connect asa

要返回到 FXOS CLI,请输入 Ctrl+a, d

示例:


firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>
步骤 3

如果您将 SSH 连接到 ASA(在 ASA 中配置 SSH 访问后),请连接到 FXOS CLI。

connect fxos

系统会提示您对 FXOS 进行身份验证;使用默认用户名:admin 和密码:Admin123。要返回到 ASA CLI,请输入 exit 或键入 Ctrl-Shift-6, x

示例:


ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.

FXOS 2.2(2.32) kp2110

firepower-2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software

[…]

firepower-2110# 
firepower-2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#

连接到控制台端口以访问 FXOS 和 ASA CLI

Firepower 2100 控制台端口会将您连接到 FXOS CLI。您可以从 FXOS CLI 中连接到 ASA 控制台,然后再次返回。

每次只能使用一个控制台连接。当您从 FXOS 控制台连接到 ASA 控制台时,此连接是一个持久控制台连接,而不像 Telnet 或 SSH 连接那样。

过程

步骤 1

将管理计算机连接到控制台端口。Firepower 2100 配有一条 DB-9 转 RJ-45 串行线缆,所以您需要第三方串行转 USB 线缆进行连接。确保为操作系统安装任何必要的 USB 串行驱动程序。使用以下串行设置:

  • 9600 波特率

  • 8 个数据位

  • 无奇偶校验

  • 1 个停止位

您将连接到 FXOS CLI。输入用户凭证;默认情况下,您可以使用用户 admin 和默认密码 Admin123 登录。首次登录时,系统会提示您更改 admin 密码。

步骤 2

连接到 ASA:

connect asa

示例:


firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>
步骤 3

要返回到 FXOS 控制台,请输入 Ctrl+a, d

保存并过滤 show 命令输出

您可以通过将输出重定向到文本文件来保存 show 命令的输出。您可以通过将输出传送给过滤命令来过滤 show 命令的输出。

保存和过滤输出可搭配所有 show 命令使用,但搭配产生大量文本的命令使用时最为有用。例如,您可以使用 show configuration 命令显示全部或部分配置。复制配置输出是备份和恢复配置的一种方式。


show 命令不显示密钥(密码字段),所以如果要将配置粘贴到新的设备中,必须修改 show 输出以包括实际的密码。

过滤 show 命令输出

要过滤 show 命令的输出,请使用以下子命令。请注意,在以下语法说明中,show 命令后的初始竖线 | 是管道字符,属于命令,而不属于语法说明。过滤选项在命令的初始 | 字符后输入。

show 命令 | { begin 表达式| count| cut 表达式| egrep 表达式| end 表达式| exclude 表达式| grep 表达式| head| include 表达式| last| less| no-more| sort 表达式| tr 表达式| uniq 表达式| wc}

过滤选项

以下是过滤子命令:

  • begin - 查找包含指定模式的第一行,并显示该行和所有后续行。

  • count - 计算行数。

  • cut - 删除(“剪切”)每行的部分。

  • egrep - 仅显示与扩展类型模式匹配的行。

  • end - 以匹配该模式的行结尾。

  • exclude - 排除匹配该模式的所有行并显示所有其他行。

  • grep - 仅显示匹配该模式的那些行。

  • head - 显示前几行。

  • include - 仅显示匹配该模式的那些行。

  • last - 显示最后几行。

  • less - 分页过滤器。

  • no-more - 关闭命令输出分页。

  • sort - 对行排序(流排序器)。

  • tr - 转换、挤压和/或删除字符。

  • uniq - 丢弃所有连续的相同行,只保留一行。

  • wc - 显示行数、字数和字符数。

表达式

表达式(或模式)通常是简单的文本字符串。不要将表达式括在单引号或双引号中,这些引号将被视为表达式的一部分。此外,尾随空格也会包含在表达式中。


这些子命令中有些具有额外的选项,可让您进一步控制过滤。例如,对于 show configuration | headshow configuration | last,您可以使用 lines 关键字更改显示的行数;默认值为 10。再比如,对于 show configuration | sort,您可以添加选项 -u 从输出中删除重复的行。(这些选项的完整说明超出了本文档的范围;有关详细信息,请参阅各种命令的 FXOS 帮助输出和相应的 Linux 帮助。)

示例

以下示例展示了如何确定系统事件日志中的当前行数: 


FP9300-A# show sel 1/1 | count
3008
FP9300-A#

以下示例展示了如何显示系统事件日志中包含字符串“error”的行: 


FP9300-A# show sel 1/1 | include error
968 | 05/15/2016 16:46:25 | CIMC | System Event DDR4_P2_H2_EC
C #0x99 | Upper critical - going high | Asserted | Reading 20
000 >= Threshold 20000 error 
FP9300-A#

相关主题

保存 show 命令输出

保存 show 命令输出

您可以通过将输出重定向到文本文件来保存 show 命令的输出。

show 命令 [ > { ftp:| scp:| sftp:| tftp:| volatile: | workspace:} ] | [ >> { volatile: | workspace:} ]

Syntax Description

> { ftp:| scp:| sftp:| tftp:| volatile: | workspace:}

使用所选的传输协议将 show 命令输出重定向到指定的文本文件。

输入命令后,系统会询问您的远程服务器名称或 IP 地址、用户名、文件路径等等。

如果此时按 Enter 键,输出将保存在本地。

>> { volatile: | workspace:}

show 命令输出附加到相应的文本文件,该文件必须已经存在。

示例

以下示例尝试将当前配置保存到系统工作区;配置文件已存在,您可以选择覆盖或不覆盖。 

FP9300-A# show configuration > workspace
File already exists, overwrite (y/n)?[n]n
Reissue command with >> if you want to append to existing file

FP9300-A#

相关主题

过滤 show 命令输出