Cisco Intercloud Fabric ファイアウォール コンフィギュレーショ
ン ガイド、リリース 5.2(1)VSG2(2.1)
初版:2015 年 04 月 15 日
シスコシステムズ合同会社
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先:シスコ コンタクトセンター
0120-092-255 (フリーコール、携帯・PHS含む)
電話受付時間:平日 10:00~12:00、13:00~17:00
http://www.cisco.com/jp/go/contactcenter/
【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/ )
をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま
しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され
ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容
については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販
売パートナー、または、弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。 このマニュアルに記載されている表現、情報、および推奨
事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。 このマニュアルに記載されている製品の使用
は、すべてユーザ側の責任になります。
対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。 添付されていない場合には、代理店にご連絡く
ださい。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version
of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。 シスコお
よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証
をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、
間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと
します。
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。 マニュアル内の例、コマンド出力、ネット
ワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。 説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意
図的なものではなく、偶然の一致によるものです。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: http://
www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
© 2015
Cisco Systems, Inc. All rights reserved.
目次
Intercloud Fabric ファイアウォールの概要 1
Intercloud Fabric ファイアウォールに関する情報 1
Intercloud Fabric ファイアウォール 1
概要 1
Intercloud Fabric ファイアウォールの設定 2
製品のアーキテクチャ 3
高速パスの接続タイムアウト 4
信頼できるアクセス 6
ダイナミック(仮想化対応)動作 6
Intercloud Fabric ファイアウォールの導入シナリオ 7
レイヤ 3 モードの Intercloud Fabric ファイアウォール用の VEM インターフェイ
ス 7
Cisco vPath 7
Intercloud Fabric ファイアウォール ネットワーク仮想サービス 7
ネットワークの Intercloud Fabric ファイアウォール設定 7
Intercloud Fabric ファイアウォール設定の概要 7
Intercloud Fabric スイッチ VSM 8
Port Profile 8
Security Profile 8
ファイアウォール ポリシー 9
オブジェクト グループ 9
ゾーン 9
ルール 10
処理 10
サービス ファイアウォールのロギング 10
Intercloud Fabric ファイアウォールの設定の手順 10
ファイアウォール プロファイルおよびポリシー オブジェクトの設定 13
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
iii
目次
Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報 13
Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォー
ル プロファイルに関する情報 13
Intercloud Fabric ファイアウォール ポリシー オブジェクトの設定の前提条
件 13
Intercloud Fabric ファイアウォール設定時の注意事項および制約事項 14
デフォルト設定 14
ゾーン 14
ゾーンの例 14
オブジェクト グループ 15
オブジェクト グループの例 15
ルール 15
ルールの例 15
ポリシー 16
ポリシー例 16
Intercloud Fabric ファイアウォール属性 16
属性名表記に関する情報 16
方向属性 16
ニュートラル属性 17
属性クラス 17
ニュートラル属性 17
VM 属性 17
ゾーン属性 19
セキュリティ プロファイル 19
グローバル ポリシーエンジン ロギングのイネーブル化 20
Intercloud Fabric ファイアウォール設定の確認 20
コマンドライン インターフェイスの使用 23
CLI プロンプトの概要 23
特殊文字 24
キーストローク ショートカット 24
コマンドの短縮形 26
ヘルプの使用 27
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
iv
目次
構文エラーの分離および状況依存ヘルプ 27
システム管理の設定 29
Intercloud Fabric ファイアウォール設定の確認 29
インターフェイス コンフィギュレーションの表示 31
ファイル システム内の移動 32
ファイル システムの指定 32
ディレクトリの変更 32
ファイル システム内のファイルの一覧表示 33
ファイルをコピーするために使用できるファイル システムの特定 34
ファイルのコピーとバックアップ 35
ディレクトリの作成 36
既存のディレクトリの削除 36
ファイルの移動 37
ファイルまたはディレクトリの削除 38
ファイルの圧縮 39
ファイルの圧縮解除 40
コマンド出力のファイル保存 41
ファイルの表示 41
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
v
目次
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
vi
第
1
章
Intercloud Fabric ファイアウォールの概要
この章の内容は、次のとおりです。
• Intercloud Fabric ファイアウォールに関する情報, 1 ページ
• ネットワークの Intercloud Fabric ファイアウォール設定, 7 ページ
Intercloud Fabric ファイアウォールに関する情報
Intercloud Fabric ファイアウォール
Intercloud Fabric(ICF)ファイアウォール(VSG)は、仮想データセンターおよびクラウド環境へ
信頼できるアクセスを提供する仮想ファイアウォールアプライアンスです。管理者はホスト上で
サービス VM として ICF ファイアウォールをインストールし、セキュリティ プロファイルとファ
イアウォール ポリシーで設定できます。これにより、VM セグメンテーションおよび他のファイ
アウォール機能を提供し、VM へのアクセスを保護します。
概要
Cisco Intercloud Fabric(ICF)ファイアウォールは、動的なポリシーベース操作、トランスペアレ
ント モビリティの強化および高密度マルチテナント機能のスケールアウト展開の要件を満たしな
がら、クラウド プロバイダー環境でセキュアな仮想化データセンターへの信頼できるアクセスを
提供する仮想アプライアンスです。 ICF ファイアウォールによって、信頼ゾーンへのアクセスが
確立されたセキュリティ ポリシーにより確実に制御および監視されるようになります。 ICF ファ
イアウォールにより、ワークロード仮想化、企業のセキュリティ ポリシーおよび業界規制の順守
の強化、および簡素化されたセキュリティ監査機能といったメリットが提供されます。
Cisco ICF ファイアウォール リリース 5.2(1)VSG2(2.1) 以降では、ICF ファイアウォールを以下に
配置できます。
• Amazon Web Services(AWS)
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
1
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォールの設定
• Microsoft Azure
• シスコ のハイブリッド クラウド バンドル:Dimension Data との組み合わせ
ICF ファイアウォールは、クラウド サービス ルータ(CSR)またはクラウド VM のパブリック イ
ンターフェイスを介して VM にアクセスしようとする認可されていないインターネット ユーザな
どの潜在的に有害なネットワーク トラフィックや、サイト間のセキュアなトンネル経由でアクセ
スしようとする認可されていない内部ユーザからクラウド環境の仮想マシン(VM)を保護しま
す。
Intercloud 環境で ICF ファイアウォールを導入することで、顧客は企業のセキュリティ ポリシーを
拡張してパブリッククラウドで動作しているアプリケーションワークロードを保護することがで
きます。 また、ICF ファイアウォールは、Intercloud 環境の 3 階層型アプリケーションのサポート
を通じて、VM グループ間の論理的な分離も提供します。 セキュリティ要件に基づいて、VM を
論理グループの一部として定義することができ、ICF ファイアウォールを VM グループに適用す
ることができます。
Intercloud 環境の ICF ファイアウォールは、クラウド アプリケーションの仮想マシン(VM)およ
び eVM と cVM 間の通信をセキュリティで保護します。 ICF ファイアウォールは、次の利点を提
供します。
• 信頼できるマルチテナント アクセス:マルチテナント(スケールアウト)環境でコンテキス
ト認識型セキュリティ ポリシーに基づくゾーンベースの管理およびモニタリングにより、法
規制の遵守を強化し、監査を簡略化します。 セキュリティ ポリシーは、セキュリティ プロ
ファイル テンプレートへと組織され、多くの ICF ファイアウォールの管理および配置を簡素
化します。
• ダイナミック操作:VM がインスタンス化する間のセキュリティ テンプレートおよび信頼
ゾーンのオンデマンド プロビジョニングと、プライベート クラウドとパブリック クラウド
間で VM の移行が発生するときのトランスペアレント モビリティの強化およびモニタリン
グ。
• 中断しない管理:セキュリティ全体およびサーバ チーム全体における管理分離。コラボレー
ションを提供し、管理者によるエラーを削除し、監査を簡素化します。
ICF ファイアウォールでは次のことが実行されます。
• 仮想化データセンターの仮想マシンのセキュアなセグメンテーション。
• ダイナミックなデータセンターのセキュリティを維持します。
• 仮想化環境の監査プロセスを簡略化します。
• プライベート/パブリック クラウド コンピューティング環境で仮想化ワークロードを安全に
導入することによりコストを削減します。
Intercloud Fabric ファイアウォールの設定
Intercloud Fabric(ICF)ファイアウォールは、次の設定で使用可能です。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
2
Intercloud Fabric ファイアウォールの概要
製品のアーキテクチャ
表 1:ICF ファイアウォール設定
ICF ファイア
ウォール モ
デル
メモリ
CPU 速度
仮想 CPU の数
ネットワーク アダプ
タ
Medium
4 GB
1.0 GHz
1
2
製品のアーキテクチャ
Intercloud Fabric(ICF)ファイアウォールは、クラウド環境(Amazon やその他の ICFPP を使用す
るサポート対象クラウド プロバイダー)で Intercloud スイッチとともに動作し、ICS で動作する
Intercloud スイッチ仮想イーサネット モジュール(VEM)に組み込まれる Cisco 仮想ネットワーク
サービス データパス(vPath)を利用します。
Cisco vPath は、保護された VM トラフィックをテナントの ICF ファイアウォールにリダイレクト
します。 ICF ファイアウォールでは初期パケットの処理が行われ、ポリシーが評価および適用さ
れます。 ポリシーに関する決定が下されると、ICF ファイアウォールは、残りのパケットのポリ
シーの適用を Cisco vPath にオフロードします。 Cisco vPath は次の機能をサポートします。
• インターセプションとリダイレクション:指定された ICF ファイアウォール テナントへのテ
ナント対応フロー分類とその後のリダイレクション
• 高速パスのオフロード:ICF ファイアウォールによって vPath へオフロードされるフローの
テナントごとのポリシーの適用
ICF ファイアウォールと Intercloud スイッチ仮想イーサネット モジュール(VEM)には次の利点
があります。
• 効率的な配置:各 ICF ファイアウォールは、クラウド VM へのアクセスと、Intercloud スイッ
チでのクラウド VM 間のトラフィックを保護します。
• パフォーマンスの最適化:高速パスを 1 つ以上の Intercloud スイッチ VEM vPath モジュール
にオフロードすることで、ICF ファイアウォールは分散型 Cisco vPath ベースの適用により
ネットワーク パフォーマンスを向上させます。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
3
Intercloud Fabric ファイアウォールの概要
高速パスの接続タイムアウト
• 運用の簡素化:ICF ファイアウォールは、icfCloud 1 つあたり 1 つのファイアウォールでワン
アーム モードで透過的に挿入できます。 ゾーン拡張は、仮想アプライアンスに限定されて
いる vNIC ではなく、セキュリティ プロファイルに基づきます。
図 1:Intercloud Fabric ファイアウォールの配置トポロジ
高速パスの接続タイムアウト
保護された VM のパケットを初めて受信すると VEM は、Intercloud Fabric(ICF)ファイアウォー
ルにそのパケットをリダイレクトし、実行するアクションを決定します(例:許可、ドロップ、
リセットなど)。 アクションが決定された後、ICF ファイアウォールと VEM の両方が接続情報
およびアクションを一定期間保存します。 この間、この接続のためのパケットは、追加のポリ
シー検索なしで同じアクションに従います。 VEM/vPath の接続は、ICF ファイアウォールへのパ
ケットのリダイレクションを回避するため、高速パス接続と呼ばれます。 トラフィックとアク
ションに応じて、接続が高速パス モードを継続する時間は異なります。 次の表に、高速パス モー
ド接続のタイムアウトの詳細を示します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
4
Intercloud Fabric ファイアウォールの概要
高速パスの接続タイムアウト
表 2:高速パスの接続タイムアウト
プロトコル
接続状態
タイムアウト
TCP
FIN および ACKACK で閉じる VEM:4 秒
ファイアウォール:4 秒
RST で閉じる
VEM:4 秒
ファイアウォール:4 秒
アクションのドロップ
VEM:4 秒
ファイアウォール:4 秒
アクションのリセット
VEM:4 秒
ファイアウォール:4 秒
Idle
VEM:36 ~ 60 秒
ファイアウォール:630 ~ 930
秒
UDP
アクションのドロップ
VEM:4 秒
ファイアウォール:4 秒
アクションのリセット
VEM:4 秒
ファイアウォール:4 秒
Idle
VEM:8 ~ 12 秒
ファイアウォール:240 ~ 360
秒
宛先到達不能
VEM:4 秒
ファイアウォール:4 秒
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
5
Intercloud Fabric ファイアウォールの概要
信頼できるアクセス
プロトコル
接続状態
タイムアウト
L3/ICMP
アクションのドロップ
VEM:2 秒
ファイアウォール:2 秒
アクションのリセット
VEM:2 秒
ファイアウォール:2 秒
Idle
VEM:8 ~ 12 秒
ファイアウォール:16 ~ 24 秒
信頼できるアクセス
Intercloud スイッチが導入されたクラウド環境に Intercloud Fabric(ICF)ファイアウォールを透過
的に挿入できます。 ICF ファイアウォールの 1 つ以上のインスタンスは、テナントごとに配置さ
れます。これにより多くのテナントからなる大規模な配置が可能になります。 テナントは分離さ
れるので、トラフィックがテナントの境界を越えることはありません。 テナント レベルで ICF
ファイアウォールを配置できます。
VM は特定のテナントについてインスタンス化されるため、VM とセキュリティ プロファイルお
よびゾーン メンバーシップとの関連付けは、Intercloud スイッチ ポート プロファイルとのバイン
ディングを介してただちに実行されます。 各 VM は、インスタンス化が行われると論理的信頼
ゾーンに配置されます。セキュリティプロファイルには、各ゾーンを出入りするトラフィックの
アクセス ポリシーを設定するコンテキストアウェアなルール セットが含まれます。 ゾーンから
ゾーンへのトラフィックに加え、外部からゾーン(およびゾーンから外部)へのトラフィックに
もセキュリティ プロファイルが適用されます。 ゾーンベースの適用は VLAN 内でも行うことが
でき、VLAN は頻繁にテナントの境界を識別します。 ICF ファイアウォールはアクセス コント
ロール ルールを評価し、設定されている場合は、Intercloud スイッチ VEM vPath モジュールへの
適用をオフロードします。 ICF ファイアウォールはアクセスを許可または拒否できます。また、
オプションのアクセス ログが生成される場合もあります。 ICF ファイアウォールは、アクセス ロ
グを使用したポリシーベースのトラフィック モニタリング機能も提供します。
ダイナミック(仮想化対応)動作
仮想化環境はダイナミックです。つまり、追加、削除、変更の操作がテナント間、および VM 間
で頻繁に行われます。 Intercloud スイッチ(および vPath)と動作する Intercloud Fabric(ICF)ファ
イアウォールは、ダイナミック VM 環境をサポートします。 通常、ICF ファイアウォールを備え
た ICF サービス コントローラでテナントを作成すると、信頼ゾーン定義およびアクセス コント
ロール ルールを含む関連セキュリティ プロファイルが定義されます。 各セキュリティ プロファ
イルは、Intercloud スイッチ ポート プロファイルにバインドされます。 ポート プロファイルが一
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
6
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォールの導入シナリオ
意にセキュリティ プロファイルと VM ゾーン メンバーシップを参照するため、セキュリティ制御
はただちに適用されます。
Intercloud Fabric ファイアウォールの導入シナリオ
現在のリリースは、レイヤ 3 モードでの Intercloud Fabric(ICF)ファイアウォールの導入をサポー
トしています。 VEM と ICF ファイアウォールは、Intercloud Fabric サービス インターフェイスと
呼ばれる特別な仮想ネットワーク インターフェイスを介して互いに通信します。
レイヤ 3 モードの Intercloud Fabric ファイアウォール用の VEM インターフェイス
サービス インターフェイスは、レイヤ 3 モードの Intercloud Fabric ファイアウォールと通信するた
めに Intercloud スイッチで作成されます。
ICF ファイアウォール宛てのカプセル化されたトラフィックが L3 インターフェイス以外の別のサ
ブネットに接続されている場合、VEM はホスト ルーティング テーブルを使用しません。 代わり
に、L3 サービス インターフェイスは、ICF ファイアウォールの IP アドレスに対して ARP を開始
します。
Cisco vPath
vPath は、Intercloud スイッチ VEM に組み込まれます。 これは VM から VM へのトラフィックを
代行受信して、このトラフィックを Intercloud Fabric ファイアウォールにリダイレクトします。 詳
細については、『Cisco vPath and vServices Reference Guide for Intercloud Fabric』を参照してくださ
い。
Intercloud Fabric ファイアウォール ネットワーク仮想サービス
Intercloud Fabric ネットワーク仮想サービス(vservice)は、vPath を使用して Intercloud スイッチに
よりサポートされます。 信頼できるマルチテナント アクセスが提供されます。 詳細については、
『Cisco vPath and vServices Reference Guide for Intercloud Fabric』を参照してください。
ネットワークの Intercloud Fabric ファイアウォール設定
Intercloud Fabric ファイアウォール設定の概要
クラウド VSM で Intercloud Fabric(ICF)ファイアウォールを適用する場合は、クラウド VSM を
設定する必要があります。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
7
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォール設定の概要
(注)
ICF ファイアウォールを設定する方法については、『Cisco vPath and vServices Reference Guide
for Intercloud Fabric』を参照してください。
Intercloud Fabric スイッチ VSM
VSM は、論理的なモジュラ スイッチです。1 つの VSM が複数の VEM を制御します。 VSM は、
物理的なラインカードではなく、ICS 内のソフトウェアで実行される VEM をサポートします。
ICS のすべての VEM の設定は VSM を通して実行され、自動的に VEM に伝播されます。
Port Profile
Intercloud Fabric スイッチのポート プロファイルは、各 VM に対するネットワーク パラメータを
動的にプロビジョニングします。 Intercloud Fabric スイッチで、ポート プロファイルはインター
フェイスを設定するために使用されます。ポートプロファイルは、複数のインターフェイスに割
り当てることができ、すべてのインターフェイスは同じポート プロファイル設定を継承します。
ポート プロファイルに対する変更は、そのポート プロファイルに関連付けられた VM インター
フェイスに自動的に伝播されます。
vservice および org コマンドを使用してセキュリティ プロファイルおよび Intercloud Fabric ファイ
アウォール ノードとバインドする場合、VM ポート プロファイルは Intercloud Fabric ファイア
ウォールによって提供される(VM セグメンテーションなどのための)セキュリティ サービスを
設定するために使用できます。
Security Profile
Intercloud Fabric スイッチのポート プロファイルは、各 VM に対するネットワーク パラメータを
動的にプロビジョニングします。 同じポリシーのプロビジョニングは、VM がポート プロファイ
ルに接続された場合、各 VM がネットワーク サービス ポリシーとダイナミックにプロビジョニン
グされるようにネットワークサービスの設定情報を伝達します。このプロセスは、関連している
アクセス コントロール リスト(ACL)またはポート プロファイルの Quality of Service(QoS)ポ
リシーと同様です。 ネットワーク サービスの設定に関する情報は、セキュリティ プロファイル
と呼ばれる独立したプロファイル内に作成され、ポートプロファイルに接続されます。セキュリ
ティ管理者は、Cisco Prime NSC にセキュリティ プロファイルを作成し、これをネットワーク管理
者が VSM の適切なポート プロファイルに関連付けます。
セキュリティプロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。特定の
ポート プロファイルに関連付けられたすべての VM は、そのポート プロファイルに関連付けられ
たセキュリティプロファイルで定義されたファイアウォールポリシーおよびカスタム属性を継承
します。 各カスタム属性は state = CA のように名前と値のペアで設定されます。 ネットワーク管
理者はまた、特定のポート プロファイルに関連付けられている Intercloud Fabric(ICF)ファイア
ウォールをバインドします。 ポート プロファイルに関連付けられた ICF ファイアウォールは、そ
のポート プロファイルにバインドされるアプリケーション VM のネットワーク トラフィックに対
してファイアウォール ポリシーを適用します。 トラフィックがサービス プロファイルにバイン
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
8
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォール設定の概要
ドされている場合、そのサービス プロファイルに関連付けられたポリシーが実行されるように、
サービス プロファイル固有のポリシーをバインドすることもできます。 サービス プレーンおよ
び管理プレーンは、両方ともマルチテナント機能の要件をサポートします。 異なるテナントは、
独自の ICF ファイアウォールを設定できます。
ファイアウォール ポリシー
Intercloud Fabric(ICF)ファイアウォールの主要コンポーネントはポリシー エンジンです。 ポリ
シー エンジンは、ICF ファイアウォールで受信したネットワーク トラフィックをフィルタリング
する設定としてポリシーを使用します。
ポリシーは、一連の間接的な関連付けを使用して ICF ファイアウォールにバインドされます。 セ
キュリティ管理者は、セキュリティプロファイルを設定すると、セキュリティプロファイル内の
ポリシー名を参照できます。 セキュリティ プロファイルは、ICF ファイアウォールへのリファレ
ンスを持つポート プロファイルに関連付けられます。
ポリシーは、次のポリシー オブジェクトのセットを使用して構築されます。
• オブジェクト グループ
• ゾーン
• ルール
• アクション
オブジェクト グループ
オブジェクト グループは、属性に関連する条件のセットです。 オブジェクト グループおよびゾー
ンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用され
る属性は、方向付けされず、ニュートラルである必要があります。 オブジェクト グループは、
ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。 ルール条件
は、演算子を使用することによりオブジェクト グループを参照できます。
ゾーン
ゾーンは、VM の論理グループまたはホストです。 ゾーンは、ゾーン名を使用したゾーン属性に
基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。 ゾーン定義に
より、ゾーンに VM がマッピングされます。 論理グループの定義は、VM に関連付けられた属性
に基づくことができます。 ゾーン定義は条件ベースのサブネットおよびエンドポイントの IP アド
レスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、ゾー
ンで使用される属性は、方向付けされず、ニュートラルである必要があります。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
9
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォールの設定の手順
ルール
ファイアウォール ルールは複数の条件とアクショで構成できます。 ルールは、トラフィックを
フィルタリングする条件としてポリシーで定義できます。 ポリシー エンジンは、Intercloud Fabric
ファイアウォールで受信したネットワーク トラフィックをフィルタリングする設定としてポリ
シーを使用します。 ポリシー エンジンは、ネットワーク トラフィックをフィルタリングする 2
種類の条件一致モデルを使用します。
AND モデル:ルール内のすべての属性が一致する場合、ルールは matched に設定されます。
OR モデル:属性は 5 つの異なるタイプのカラムに分類されます。 true になるルールの場合は、各
カラムで少なくとも 1 つの条件が true である必要があります。 OR モデルの 5 つのカラムは下記
のとおりです。
• 送信元カラム:送信元ホストを識別するための属性。
• 宛先カラム:宛先ホストを識別するための属性。
• サービス カラム:宛先ホストでサービスを識別するための属性。
• Ether タイプ カラム:リンク レベル プロトコルを識別するための属性。
• 送信元ポート カラム:送信元ポートを識別するための属性。
処理
アクションはポリシー評価の結果です。 指定したルール内で、次のアクションを 1 つまたは複数
定義して関連付けることができます。
• Permit
• ドロップ
• Reset
• Log
• インスペクション
サービス ファイアウォールのロギング
サービスファイアウォールのログは、ポリシーのテストおよびデバッグを行うツールです。ポリ
シーの評価中に、ポリシーエンジンによりポリシー評価のポリシー結果が表示されます。また、
show logging message all コマンドを使用して、ポリシー評価の結果を表示することもできます。
Intercloud Fabric ファイアウォールの設定の手順
ここでは、Intercloud Fabric(ICF)ファイアウォールを設定する際に管理者が従うべき手順の概要
を説明します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
10
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォールの設定の手順
1 ICF をインストールしセットアップします。
2 ICF を介してインフラストラクチャ ウィザードを実行し、ICF サービス コントローラと cVSM
を起動します。
3 ICF から icfCloud を導入します。 [ICF Firewall services] チェックボックスをオンにして、サー
ビス インターフェイスの詳細を指定します。
4 オブジェクト グループ、ゾーン、ルール、条件、アクション、ポリシーなどのポリシー オブ
ジェクトを使用して、ICF サービス コントローラ上でファイアウォール ポリシーを記述しま
す。
5 ファイアウォール ポリシーを作成した後で、先に Cisco Prime NSCCisco Prime NSC で作成され
たセキュリティ プロファイルにポリシーをバインドします。
6 ICF サービス コントローラで ICF ファイアウォールを導入します。
7 ICF を介して ICS 上でサービス インターフェイスを設定します。
8 同じ VLAN/ネットワークに Intercloud Fabric データおよびサービス インターフェイスを設定し
ます。
9 セキュリティ プロファイルとファイアウォール ポリシーが設定されると、ICF 上のポート プ
ロファイル管理インターフェイスを介して ICF ファイアウォール提供のアクセス保護を要求す
る VM ポート プロファイルに、セキュリティ プロファイルとサービス ノードをバインドでき
ます。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
11
Intercloud Fabric ファイアウォールの概要
Intercloud Fabric ファイアウォールの設定の手順
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
12
第
2
章
ファイアウォール プロファイルおよびポリ
シー オブジェクトの設定
この章の内容は、次のとおりです。
• Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報, 13 ページ
• グローバル ポリシーエンジン ロギングのイネーブル化, 20 ページ
• Intercloud Fabric ファイアウォール設定の確認, 20 ページ
Intercloud Fabric ファイアウォール ポリシー オブジェク
トに関する情報
ここでは、Cisco Prime ネットワーク サービス コントローラ(Prime NSC)を使用して、Intercloud
Fabric ファイアウォールでファイアウォール ポリシー オブジェクトを設定し管理する方法につい
て説明します。
(注)
Cisco PNSC を通じてのみ、Intercloud Fabric ファイアウォールを設定できます。 現在は、ファ
イアウォール ポリシー オブジェクトの帯域外の設定と管理はサポートしていません。
Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファ
イアウォール プロファイルに関する情報
Intercloud Fabric ファイアウォール ポリシー オブジェクトの設定の前提条件
Intercloud Fabric(ICF)ファイアウォール ポリシー オブジェクトには次の前提条件があります。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
13
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォール プロファイルに関する
情報
• ICF からデータと管理ポート プロファイルを作成する。
• PNSC から Intercloud Fabric ファイアウォールをインスタンス化する。
Intercloud Fabric ファイアウォール設定時の注意事項および制約事項
Intercloud Fabric(ICF)ファイアウォール(VSG)ポリシー オブジェクトおよびファイアウォー
ル ポリシーには次の設定時の注意事項と制限事項があります。
• 管理 VLAN はクラウドに拡張する必要があります。
• 異なる IP サブネットで ICF ファイアウォールの管理およびデータ インターフェイスを設定
します。
デフォルト設定
表 3: Intercloud Fabric ファイアウォール(VSG)のデフォルトのパラメータ設定
パラメータ
デフォルト
ルール ポリシー オブジェクト
drop
ゾーン
ゾーンは、VM の論理グループまたはホストです。 ゾーンは、ゾーン名を使用したゾーン属性に
基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。 ゾーン定義に
より、ゾーンに VM がマッピングされます。 論理グループの定義は、VM 属性やネットワーク属
性など、VM に関連付けられた属性に基づくことができます。 ゾーン定義は条件ベースのサブネッ
トおよびエンドポイントの IP アドレスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、ゾー
ンで使用される属性は、方向付けされず、ニュートラルである必要があります。
ゾーンの例
次に、ネットワークのゾーンを表示する例を示します。
vsg# show running-config zone zone1
zone zone1
cond-match-criteria: match-any
condition 1 net.ip-address eq 1.1.1.1
condition 2 net.port eq 80
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
14
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォール プロファイルに関する
情報
オブジェクト グループ
オブジェクト グループは、属性に関連する条件のセットです。 オブジェクト グループおよびゾー
ンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用され
る属性は、方向付けされず、ニュートラルである必要があります。 オブジェクト グループは、
ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。 ルール条件
は、演算子を使用することによりオブジェクト グループを参照できます。
オブジェクト グループの例
次に、ネットワークのオブジェクト グループを表示する例を示します。
vsg# show running-config object-group g1
object-group g1 net.port
match 10 in-range protocol 6 port 10 30
match 11 eq protocol 6 port 21 inspect ftp
ルール
ファイアウォール ルールは複数の条件とアクショで構成できます。 ルールは、トラフィックを
フィルタリングする条件としてポリシーで定義できます。 ポリシー エンジンは、Intercloud Fabric
ファイアウォール(VSG)で受信したネットワーク トラフィックをフィルタリングする設定とし
てポリシーを使用します。 ポリシー エンジンは、ネットワーク トラフィックをフィルタリング
する 2 種類の条件一致モデルを使用します。
AND モデル:ルール内のすべての属性が一致する場合、ルールは matched に設定されます。
OR モデル:属性は 5 つの異なるタイプのカラムに分類されます。 true になるルールの場合は、各
カラムで少なくとも 1 つの条件が true である必要があります。 OR モデルの 5 つのカラムは下記
のとおりです。
• 送信元カラム:送信元ホストを識別するための属性。
• 宛先カラム:宛先ホストを識別するための属性。
• サービス カラム:宛先ホストでサービスを識別するための属性。
• Ether タイプ カラム:リンク レベル プロトコルを識別するための属性。
• 送信元ポート カラム:送信元ポートを識別するための属性。
ルールの例
次に、ネットワークのルールを表示する例を示します。
vsg# show running-config rule r2
rule r2
cond-match-criteria: match-all
dst-attributes
condition 10 dst.zone.name eq z1@r2
service/protocol-attribute
condition 11 net.service eq protocol 6 port 21 inspect ftp
action permit
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
15
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール属性
ポリシー
ポリシーは Intercloud Fabric(ICF)ファイアウォール(VSG)でネットワーク トラフィックに適
用されます。 ICF ファイアウォールで動作する主要コンポーネントはポリシー エンジンです。 ポ
リシー エンジンは、ICF ファイアウォールで受信されるネットワーク トラフィックに対して適用
された場合に、ポリシーを設定として取得し、実行します。ポリシーは、次のポリシーオブジェ
クトのセットを使用して構築されます。
• ルール
• 条件
• Actions
• オブジェクト グループ
• ゾーン
ポリシーは、一連の間接的な関連付けを使用して ICF ファイアウォールにバインドされます。 セ
キュリティ管理者は、セキュリティプロファイルを設定すると、セキュリティプロファイル内の
ポリシー名を参照できます。 セキュリティ プロファイルは、ICF ファイアウォールへのリファレ
ンスを持つポート プロファイルに関連付けられます。
ポリシー例
次に、show running-config コマンド出力にポリシーが表示される例を示します。
vsg# show running-config policy p2@root/T1
policy p2@root/T1
rule r2 order 10
次に、show running-config コマンド出力に条件が表示される例を示します。
condition 1 dst.net.ip-address eq 2.2.2.2
condition 2 src.net.ip-address eq 1.1.1.1
次に、show running-config コマンド出力にアクションが表示される例を示します。
action permit
Intercloud Fabric ファイアウォール属性
ここでは、Intercloud Fabric ファイアウォール(VSG)属性について説明します。
属性名表記に関する情報
方向属性
ファイアウォール ポリシーは、着信パケットまたは発信パケットに対して方向付けられていま
す。 ルール条件内の属性は、送信元または宛先のいずれかに関連するように指定されたものが必
要です。 src.、dst.のようなプレフィックス、または属性名は、方向付けに使用されます。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
16
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール属性
ニュートラル属性
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾー
ンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの
方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト
グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address
のような異なるルールで使用される方向属性と関連付けることができます。
属性クラス
属性は、ポリシー ルールおよび条件の設定、またはゾーン定義で使用されます。
ニュートラル属性
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾー
ンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの
方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト
グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address
のような異なるルールで使用される方向属性と関連付けることができます。
VM 属性
VM 属性は VM インフラストラクチャに関連し、次のクラスの VM 属性があります。
• 仮想インフラストラクチャ属性:これらの属性は Intercloud Fabric から取得され、名前にマッ
ピングされます。
• ポート プロファイル属性:これらの属性は、ポート プロファイルに関連付けられます。
• カスタム属性:これらの属性は、サービス プロファイルで設定できます。
次の表に、Intercloud Fabric ファイアウォール(VSG)によってサポートされる VM 属性を示しま
す。
説明
名前
VM の名前
src.vm.name
dst.vm.name
vm.name
(注)
vm.name はニュートラル属性で
す。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
17
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール属性
説明
名前
ゲスト OS のフルネーム(バージョン含む)
src.vm.os-fullname
dst.vm.os-fullname
vm.os-fullname
(注)
vm.os-fullname はニュートラル属性で
す。
特定の vNIC に関連付けられたポート プロファ src.vm.portprofile-name
イルの名前
dst.vm.portprofile-name
vm.portprofile-name
(注)
vm.portprofile-name はニュートラル属
性です。
関連付けられたポート グループのセキュリティ src.vm.custom.xxx
プロファイルからのカスタム属性。
dst.vm.custom.xxx
(注)
一意のカスタム属性 xxx ごとに、合 vm.custom.xxx
成された属性名は src.vm.custom.xxx (注)
vm.custom.xxx はニュートラル属性で
または dst.vm.custom.xxx となります。
す。
ポリシーは合成された属性名を使用
します。
カスタム VM 属性は、サービス プロファイルの下で設定できるユーザ定義の属性です。
次に、ICF ファイアウォールの VM 属性を確認する例を示します。
firewall(config)# show vsg vm
VM uuid
: 47592090-c9c2-5e67-f044-9d6a39dc1696
VM attributes :
name
: didata1-cvm
os-fullname
: rhel 6.2 (64bit)
Zone(s) :
-------------------------------------------------------------------------------VM uuid
: 503ee75f-437b-1fa0-f0f4-fe0da53bab7a
VM attributes :
host-name
: 10.36.6.9
name
: windowsvm-migrate
os-fullname
: microsoft windows server 2003 (32-bit)
os-hostname
: sg-w2k-rv-1
resource-pool
: resources
tools-status
: installed
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
18
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
セキュリティ プロファイル
ゾーン属性
表 4: Intercloud Fabric ファイアウォールでサポートされるゾーン属性
説明
名前
ゾーン名を指定します。 これは複数値属性で、 src.zone.name
複数のゾーンに同時に属することができます。 dst.zone.name
zone.name
(注)
zone.name はニュートラル属性で
す。
セキュリティ プロファイル
セキュリティプロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。特定の
ポート プロファイルのタグが付いたすべての VM は、そのポート プロファイルに関連付けられた
セキュリティプロファイルで定義されたファイアウォールポリシーおよびカスタム属性を継承し
ます。 各カスタム属性は、state = CA のように名前と値のペアとして設定されます。
次に、Intercloud Fabric(ICF)ファイアウォールのセキュリティ プロファイルを確認する例を示
します。
firewall(config-vnm-policy-agent)# show vsg security-profile table
-------------------------------------------------------------------------------Security-Profile Name VNSP ID Policy Name
-------------------------------------------------------------------------------default@root 1 default@root
sp10@root/tenant_d3338 9 ps9@root/tenant_d3338
sp9@root/tenant_d3338 10 ps9@root/tenant_d3338
sp2@root/tenant_d3338 11 ps1@root/tenant_d3338
sp1@root/tenant_d3338 12 ps1@root/tenant_d3338
次に、ICF ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile
VNSP : sp10@root/tenant_d3338
VNSP id : 9
Policy Name : ps9@root/tenant_d3338
Policy id : 3
Custom attributes :
vnsporg : root/tenant_d3338
VNSP : default@root
VNSP id : 1
Policy Name : default@root
Policy id : 1
Custom attributes :
vnsporg : root
VNSP : sp1@root/tenant_d3338
VNSP id : 12
Policy Name : ps1@root/tenant_d3338
Policy id : 2
Custom attributes :
vnsporg : root/tenant_d3338
location : losangeles
color9 : test9
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
19
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
グローバル ポリシーエンジン ロギングのイネーブル化
color8 : test8
color7 : test7
color6 : test6
color5 : test5
color4 : test4
color3 : test3
color2 : test2
color13 : test13
color12 : test12
color11 : test11
color10 : test10
color1 : test1
color : red
VNSP : sp2@root/tenant_d3338
VNSP id : 11
Policy Name : ps1@root/tenant_d3338
Policy id : 2
Custom attributes :
vnsporg : root/tenant_d3338
location : sanjose
color : blue
VNSP : sp9@root/tenant_d3338
VNSP id : 10
Policy Name : ps9@root/tenant_d3338
Policy id : 3
Custom attributes :
vnsporg : root/tenant_d3338
グローバル ポリシーエンジン ロギングのイネーブル化
ロギングを使用すると、モニタしている VM を通過するトラフィックを確認できます。 このロギ
ングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするの
に役立ちます。
ステップ 1
Cisco Prime NSC にログインします。
ステップ 2
[Cisco Prime NSC] ウィンドウで、[Policy Management ]>[Device Configurations]>[root]>[Device Profiles]>[default]
を選択します。> [default - Device Profile] ウィンドウが開きます。
ステップ 3
[default] ペインで、次の手順を実行します。
a) [Work] ペインで、[General] タブをクリックします。
b) [Policy Engine Logging] フィールドで、[Enabled] オプション ボタンをオンにします。
ステップ 4
[Save(保存)] をクリックします。
Intercloud Fabric ファイアウォール設定の確認
Intercloud Fabric(ICF)ファイアウォール(VSG)設定を表示するには、show running-config コマ
ンドを使用します。
firewall-40# show running-config
!Generating configuration........
!version 1.0.1h.4.4
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
20
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール設定の確認
hostname firewall-40
interface mgmt 0
ip address 10.2.77.40 255.255.0.0
interface tunnel 0
ip address 70.10.10.10 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.2.0.1
ntp server 0.ubuntu.pool.ntp.org
ntp server 1.ubuntu.pool.ntp.org
ntp server 2.ubuntu.pool.ntp.org
ntp server 3.ubuntu.pool.ntp.org
ntp server ntp.ubuntu.com
no ip domain-lookup
ip domain-name cisco.com
ip domain-list cisco.com
nsc-policy-agent
registration-ip 10.2.77.14
shared-secret **********
policy-agent-image install
log-level info
security-profile sp1@root/T1
policy ps1@root/T1
security-profile default@root
policy default@root
Policy default@root
rule default/default-rule@root order 2
Policy ps1@root/T1
rule pol1/vm_attr@root/T1 order 101
rule permit_all/all@root/T1 order 202
rule default/default-rule@root
cond-match-criteria: match-all
action drop
rule permit_all/all@root/T1
cond-match-criteria: match-all
action permit
rule pol1/vm_attr@root/T1
cond-match-criteria: match-any
dst-attributes
condition 13 dst.vm.portprofile-name contains csw
src-attributes
condition 14 src.vm.portprofile-name contains csw
service/protocol-attribute
condition 10 net.service eq protocol 6 port 22
condition 11 net.service in-range protocol 17 port 0 65535
condition 12 net.service in-range protocol 6 port 0 65535
action permit
firewall-40#
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
21
ファイアウォール プロファイルおよびポリシー オブジェクトの設定
Intercloud Fabric ファイアウォール設定の確認
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
22
第
3
章
コマンドライン インターフェイスの使用
この章の内容は、次のとおりです。
• CLI プロンプトの概要, 23 ページ
• 特殊文字, 24 ページ
• キーストローク ショートカット, 24 ページ
• コマンドの短縮形, 26 ページ
• ヘルプの使用, 27 ページ
CLI プロンプトの概要
Intercloud Fabric ファイアウォールにアクセスするには、管理 IP に SSH できます。 システムに正
常にアクセスした後、リモート ワークステーションのターミナル ウィンドウに、次のような CLI
プロンプトが表示されます。
firewall#
(注)
スイッチの既存のホスト名を表示するには、show host name コマンドを使用します。
CLI プロンプトから、次の方法を実行できます。
• 機能を設定するための CLI コマンドを使用する。
• コマンド履歴にアクセスする。
• コマンド解析機能を使用する。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
23
コマンドライン インターフェイスの使用
特殊文字
特殊文字
次の表に、テキスト文字列で特別な意味を持つ文字を示します。正規表現あるいはその他の特有
なコンテキストでのみ使用します。
表 5:特殊文字
文字
説明
|
縦線
<>
より小さい、またはより大きい
キーストローク ショートカット
次の表に、EXEC モードおよびコンフィギュレーション モードの両方で使用されるコマンド キー
の組み合わせを示します。
キー
説明
Ctrl+A
カーソルを行の先頭に移動します。
Ctrl+B
カーソルを 1 文字左に移動します。 複数行にわ
たってコマンドを入力するときは、左矢印キー
または Ctrl+B キーを繰り返し押してシステム
プロンプトまでスクロール バックして、コマン
ド エントリの先頭まで移動できます。あるいは
Ctrl+A キーを押してコマンド エントリの先頭に
移動します。
Ctrl+C
コマンドを取り消して、コマンド プロンプトに
戻ります。
Ctrl+D
カーソル位置にある文字を削除します。
Ctrl+E
カーソルを行の末尾に移動します。
Ctrl+F
カーソルを 1 文字右に移動します。
Ctrl+G
コマンド ストリングを削除せずに、コマンド
モードを終了して以前のコマンド モードに戻り
ます。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
24
コマンドライン インターフェイスの使用
キーストローク ショートカット
キー
説明
Ctrl+K
カーソル位置からコマンド ラインの末尾までの
すべての文字を削除します。
Ctrl+L
現在のコマンド ラインを再表示します。
Ctrl-R
現在のコマンド ラインを再表示します。
Ctrl+T
カーソルの左にある文字を、カーソルの右にあ
る文字と置き換えます。
Ctrl+U
カーソル位置からコマンド ラインの先頭までの
すべての文字を削除します。
Ctrl+W
カーソルの左にある単語を削除します。
Ctrl+X、H
履歴を表示します。
このキーの組み合わせを使用するときは、Ctrl
キーと X キーを同時に押してリリースしてか
ら、H を押します。
Ctrl+Y
バッファ内の最新のエントリを呼び出します
(キーを同時に押します)。
Ctrl-Z
コンフィギュレーション セッションを終了し
て、EXEC モードに戻ります。
有効なコマンドを入力してから、コマンドライ
ンの最後で Ctrl+Z を使用すると、コマンドの結
果の設定がまず実行コンフィギュレーション
ファイルに追加されます。
↑キー
コマンド履歴の前のコマンドを表示します。
下矢印キー
コマンド履歴の次のコマンドを表示します。
→キーと←キー
コマンド履歴内でカーソルを移動して、コマン
ド ストリングを見つけます。
?
使用可能なコマンドのリストを表示します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
25
コマンドライン インターフェイスの使用
コマンドの短縮形
キー
説明
タブ
ワードの最初の文字を入力して Tab キーを押す
と、ワードが補完されます。 文字に一致するす
べてのオプションが表示されます。
次の名前を補完する場合に使用します。
• コマンド名
• ファイル システム内のスキーム名
• ファイル システム内のサーバ名
• ファイル システム内のファイル名
次に、タブのキーストロークを使用する例を示
します。
firewall(config)# xm<Tab>
firewall(config)# xml <Tab>
firewall(config)# xml server
次に、タブのキーストロークを使用する例を示
します。
firewall(config)# ns<Tab>
nsc-policy-agent vns-binding
firewall(config)# security-pr<Tab>
firewall(config)# security-profile
コマンドの短縮形
コマンドの最初の数文字を入力することで、コマンドおよびキーワードを省略できます。 省略形
には、コマンドまたはキーワードを一意に識別でき得る文字数を含める必要があります。 コマン
ドの入力で問題が生じた場合は、システム プロンプトを確認し、疑問符(?)を入力して使用でき
るコマンドのリストを表示してください。コマンドモードが間違っているか、間違った構文を使
用している可能性があります。
次の表に、コマンド省略形の例を示します。
表 6:コマンド省略形の例
コマンド
省略形
show running-config
sho run
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
26
コマンドライン インターフェイスの使用
ヘルプの使用
ヘルプの使用
CLI には次のヘルプ機能があります。
表 7:CLI ヘルプ機能
機能
説明
?
有効な入力オプションを一覧表示するには、疑
問符(?)を入力します。
^
CLI はキャレット記号(^)を構文行の下に出力
して、コマンド ストリング、キーワード、また
は引数の入力エラーを示します。
↑キー
↑を使用して、直前に入力したコマンドを CLI
に表示し、エラーを修正することができます。
構文エラーの分離および状況依存ヘルプ
次の表は、構文エラーの分離および状況依存ヘルプのコマンドについて説明します。
コマンド
目的
show interface ?
EXEC モードで、show interface コマンドと一緒
に使用されるオプションのパラメータを表示し
ます。
show interface module ?
無効なコマンド エラーのメッセージを表示し
て、構文エラーをポイント(^)します。
Ctrl-P または上向き矢印
直前に入力したコマンドを表示して、エラーを
修正できます。
show interface data ?
データ インターフェイス(data0)を表示する
ための構文を表示します。
show interface data0
データ インターフェイス(data0)を表示しま
す。
次に、構文エラーの分離および状況依存ヘルプの使用方法を示します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
27
コマンドライン インターフェイスの使用
構文エラーの分離および状況依存ヘルプ
firewall-40# show interface data 0
data0 Link encap:Ethernet HWaddr 3a:00:02:00:00:0a
inet addr:70.10.10.10 Bcast:70.10.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1352 Metric:1
RX packets:2258 errors:0 dropped:0 overruns:0 frame:0
TX packets:2255 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:165730 (165.7 KB) TX bytes:211984 (211.9 KB)
firewall-40#
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
28
第
4
章
システム管理の設定
この章の内容は、次のとおりです。
• Intercloud Fabric ファイアウォール設定の確認, 29 ページ
• ファイル システム内の移動, 32 ページ
• ファイルのコピーとバックアップ, 35 ページ
• ディレクトリの作成, 36 ページ
• 既存のディレクトリの削除, 36 ページ
• ファイルの移動, 37 ページ
• ファイルまたはディレクトリの削除, 38 ページ
• ファイルの圧縮, 39 ページ
• ファイルの圧縮解除, 40 ページ
• コマンド出力のファイル保存, 41 ページ
• ファイルの表示, 41 ページ
Intercloud Fabric ファイアウォール設定の確認
Intercloud Fabric(ICF)ファイアウォール(VSG)の設定を確認するには、次のコマンドを入力し
ます。
コマンド
目的
firewall# show version
現在 ICF ファイアウォールで動作しているシス
テム ソフトウェアとハードウェアのバージョン
を表示します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
29
システム管理の設定
Intercloud Fabric ファイアウォール設定の確認
コマンド
目的
firewall# show running-config
現在 ICF ファイアウォールで動作しているシス
テム ソフトウェアとハードウェアのバージョン
を表示します。
show version の例
firewall# show version
Image Version
2.2.1
Software Version
Linux version 3.14.27-ics10 (root@u311) (gcc version 4.7.3 (Ubuntu/Linaro 4.7.3-1ubuntu1)
) #1 SMP Wed Dec 17 12:33:56 PST 2014
Hardware Version
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 42
model name : Intel Xeon E312xx (Sandy Bridge)
stepping : 1
microcode : 0x1
cpu MHz : 2799.998
cache size : 4096 KB
physical id : 0
siblings : 1
core id : 0
cpu cores : 1
apicid : 0
initial apicid : 0
fpu : yes
fpu_exception : yes
cpuid level : 13
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx
fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfm
on rep_good nopl eagerfpu pni pclmulqdq vmx ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt
tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm xsaveopt fsgsbase s
mep erms
bogomips : 5599.99
clflush size : 64
cache_alignment : 64
address sizes : 40 bits physical, 48 bits virtual
power management:
Kernel uptime: 0 days, 15 hours, 23 minutes, 48 seconds
show running-config の例
firewall# show running-config
!Generating configuration........
!version 1.0.1h.4.4
hostname firewall-40
interface mgmt 0
ip address 10.2.77.40 255.255.0.0
interface tunnel 0
ip address 70.10.10.10 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.2.0.1
ntp server 0.ubuntu.pool.ntp.org
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
30
システム管理の設定
インターフェイス コンフィギュレーションの表示
ntp server 1.ubuntu.pool.ntp.org
ntp server 2.ubuntu.pool.ntp.org
ntp server 3.ubuntu.pool.ntp.org
ntp server ntp.ubuntu.com
no ip domain-lookup
ip domain-name cisco.com
ip domain-list cisco.com
nsc-policy-agent
registration-ip 10.2.77.14
shared-secret **********
policy-agent-image install
log-level info
security-profile sp1@root/T1
policy ps1@root/T1
security-profile default@root
policy default@root
Policy default@root
rule default/default-rule@root order 2
Policy ps1@root/T1
rule pol1/vm_attr@root/T1 order 101
rule permit_all/all@root/T1 order 202
rule default/default-rule@root
cond-match-criteria: match-all
action drop
rule permit_all/all@root/T1
cond-match-criteria: match-all
action permit
rule pol1/vm_attr@root/T1
cond-match-criteria: match-any
dst-attributes
condition 13 dst.vm.portprofile-name contains csw
src-attributes
condition 14 src.vm.portprofile-name contains csw
service/protocol-attribute
condition 10 net.service eq protocol 6 port 22
condition 11 net.service in-range protocol 17 port 0 65535
condition 12 net.service in-range protocol 6 port 0 65535
action permit
インターフェイス コンフィギュレーションの表示
インターフェイス コンフィギュレーションを表示するには、次のコマンドを入力します。
コマンド
目的
firewall# show interface {type} {name}
特定のインターフェイス接続の詳細を表示しま
す。
firewall# show interface brief
全インターフェイスの概要を表示します。
firewall# show running-config interface
システム上の全インターフェイスの実行コン
フィギュレーションを表示します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
31
システム管理の設定
ファイル システム内の移動
show interface の例
firewall-40# show interface mgmt 0
mgmt0 Link encap:Ethernet HWaddr 3a:00:02:00:00:0b
inet addr:10.2.77.40 Bcast:10.2.255.255 Mask:255.255.0.0
inet6 addr: fe80::20f:f7ff:fe33:f194/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1352 Metric:1
RX packets:10086737 errors:0 dropped:921 overruns:0 frame:0
TX packets:80931 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:685495998 (685.4 MB) TX bytes:17969797 (17.9 MB)
ファイル システム内の移動
ファイル システムの指定
ファイル システムを指定するための構文は、<file system name>:[//server/] です。
表 8:ファイル システムの構文の構成要素
ファイル システム名
サーバ
説明
bootflash:
sup-active
アクティブ スーパーバイザに
ある内部メモリ。システム イ
メージ、コンフィギュレーショ
ン ファイル、およびその他の
ファイルの格納に使用されま
す。 CLI のデフォルトでは、
bootflash: ファイル システムに
なります。
sup-local
sup-1
module-1
volatile:
—
スーパーバイザ モジュールに
ある、一時的または保留中の変
更のために使用される揮発性
RAM(VRAM)。
ディレクトリの変更
CLI 内のディレクトリを変更できます。
はじめる前に
• 任意のコマンド モードで CLI にログインします。
• Intercloud Fabric(ICF)ファイアウォール(VSG)CLI のデフォルトが、bootflash: ファイル
システムになっていることを確認します。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
32
システム管理の設定
ファイル システム内のファイルの一覧表示
(注)
volatile: ファイル システムに保存されたファイルは、ICF ファイアウォールのリブート時にす
べて消去されます。
手順の概要
1. firewall# pwd
2. firewall# cd directory_name
手順の詳細
コマンドまたはアクション
目的
ステップ 1
firewall# pwd
CLI の現在のディレクトリ名を表示します。
ステップ 2
firewall# cd directory_name
CLI の場所を指定したディレクトリに変更します。
次に、ICF ファイアウォール CLI の現在の場所のディレクトリ名を表示する例と、CLI の場所を、
指定したディレクトリに変更する例を示します。
firewall# pwd
bootflash:
firewall# cd volatile:
firewall# pwd
volatile:
ファイル システム内のファイルの一覧表示
ディレクトリまたはファイルの内容を表示できます。
はじめる前に
任意のコマンド モードで CLI にログインします。
手順の概要
1. firewall# dir[directory | filename]
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
33
システム管理の設定
ファイルをコピーするために使用できるファイル システムの特定
手順の詳細
ステップ 1
コマンドまたはアクション
目的
firewall# dir[directory | filename]
ディレクトリまたはファイルの内容を表示します。スラッシュ
で終わる引数はディレクトリを示し、そのディレクトリの内
容が表示されます。
ファイルをコピーするために使用できるファイル システムの特定
ファイルのコピー先またはコピー元になるファイル システムを特定できます。
はじめる前に
CLI に EXEC モードでログインします。
手順の概要
1. vsg# copy ?
2. vsg# copy filename ?
手順の詳細
コマンドまたはアクション
目的
ステップ 1
vsg# copy ?
copy コマンドで使用できるコピー元ファイル システムを表
示します。
ステップ 2
vsg# copy filename ?
copy コマンドで特定のファイルに対して使用できるコピー先
ファイル システムを表示します。
次に、copy コマンドで使用できるコピー元ファイル システムを表示する方法と、指定したファイ
ル名に対する copy コマンドで使用できるコピー先ファイル システムを表示する例を示します。
firewall-40# copy ?
bootflash: Select source file system
ftp: Select source file system
running-config Copy running configuration to destination
scp: Select source file system
startup-config Copy startup configuration to destination
tftp: Select source file system
volatile: Select source file system
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
34
システム管理の設定
ファイルのコピーとバックアップ
ファイルのコピーとバックアップ
コンフィギュレーション ファイルなどのファイルをコピーし、保存するか、または別の場所で再
利用することができます。内部ファイルシステムが壊れると、コンフィギュレーションが失われ
るおそれがあります。コンフィギュレーションファイルは定期的に保存およびバックアップして
ください。また、新しいソフトウェアコンフィギュレーションをインストールしたり、新しいソ
フトウェアコンフィギュレーションに移行する前に、既存のコンフィギュレーションファイルを
バックアップしてください。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 任意のコマンド モードで CLI にログインします。
• 離れた場所にコピーする場合は、デバイスから宛先に到達できるルートがあること。 サブ
ネット間でトラフィックをルーティングするルータまたはデフォルト ゲートウェイがない場
合は、使用デバイスとリモートのコピー先が同じサブネットワーク内にあることが必要で
す。
• ping コマンドを使用して、デバイスがコピー先に接続できること。
• コピー元のコンフィギュレーション ファイルがリモート サーバ上の正しいディレクトリに
あること。
• コピー元ファイルのアクセス権が正しく設定されていること。 ファイルのアクセス権は、誰
でも読み取り可能に設定されている必要があります。
(注)
dir コマンドを使用して、コピー先のファイル システムに十分なスペースがあることを確認し
てください。 十分な領域が残っていない場合は、delete コマンドを使用して不要なファイルを
削除します。
手順の概要
1. firewall# copy [source filesystem:] filename [destination filesystem:] filename
手順の詳細
コマンドまたはアクション
ステップ 1
目的
firewall# copy [source filesystem:] filename [destination 指定したコピー元から指定したコピー先にファ
filesystem:] filename
イルをコピーします。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
35
システム管理の設定
ディレクトリの作成
次に、指定したコピー元からファイルをコピーし、指定したコピー先に移動する例を示します。
firewall# copy system:running-config tftp://10.10.1.1/home/configs/vsg3-run.cfg
tftp: Select destination filesystem
firewall-40# copy running-config bootflash:runningconfig.txt
firewall-40#
firewall-40#
firewall-40#
firewall-40# dir bootflash:
19 Apr 08 2015 06:55:48 .ovfconfigured
4096 Apr 08 2015 06:55:04 cores/
4096 Apr 08 2015 06:55:04 log/
25 Apr 08 2015 06:55:21 policy_engine.txt
1490 Apr 08 2015 22:32:54 runningconfig.txt
0 Apr 08 2015 06:55:05 startup-config
4096 Apr 08 2015 06:56:41 sysdebug/
Usage for bootflash: filesystem
1441886208 bytes used
637259776 bytes free
2079145984 bytes total
ディレクトリの作成
現在のディレクトリレベルまたは指定したディレクトリレベルにディレクトリを作成できます。
はじめる前に
この手順を開始する前に、任意のコマンド モードで CLI にログインする必要があります。
手順の概要
1. firewall# mkdir {bootflash: | debug: | volatile:} directory-name
手順の詳細
ステップ 1
コマンドまたはアクション
目的
firewall# mkdir {bootflash: | debug: | volatile:}
directory-name
現在のディレクトリ レベルにディレクトリを
作成します。
次に、bootflash: ディレクトリに test というディレクトリを作成する例を示します。
firewall# mkdir bootflash:test
既存のディレクトリの削除
フラッシュ ファイル システムから既存のディレクトリを削除できます。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
36
システム管理の設定
ファイルの移動
• CLI にログインしていること。
• このコマンドは、フラッシュ ファイル システムだけで有効です。
• ディレクトリを削除するには、ディレクトリが空であること。
手順の概要
1. firewall# rmdir {bootflash: | debug: | volatile:} directory_name
手順の詳細
ステップ 1
コマンドまたはアクション
目的
firewall# rmdir {bootflash: | debug: | volatile:}
directory_name
ディレクトリが空の場合は、削除します。
次に、bootflash: ディレクトリで test というディレクトリを削除する例を示します。
firewall# rmdir bootflash:test
ファイルの移動
ファイルを別の場所に移動できます。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• CLI にログインしていること。
• 移動先のディレクトリに十分なスペースがない場合、コピーは完了しないこと。
注意
同じ名前のファイルが移動先のディレクトリに存在する場合、そのファイルは移動するファイ
ルによって上書きされます。
手順の概要
1. firewall# move {source_path_and_filename} {destination_path_and_filename}
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
37
システム管理の設定
ファイルまたはディレクトリの削除
手順の詳細
ステップ 1
コマンドまたはアクション
目的
firewall# move {source_path_and_filename}
{destination_path_and_filename}
移動元ディレクトリから移動先ディレクトリに
ファイルを移動します。
次に、あるディレクトリから同じファイル システムの別のディレクトリにファイルを移動する例
を示します。
firewall# move bootflash:samplefile bootflash:mystorage/samplefile
vsg# move samplefile mystorage/samplefile
ファイルまたはディレクトリの削除
フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除できます。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 環境変数 CONFIG_FILE または BOOTLDR で指定されているコンフィギュレーション ファイ
ルまたはイメージを削除しようとすると、削除を確認するプロンプトが表示されます。
• BOOT 環境変数で指定されている最後の有効なシステム イメージを削除しようとすると、削
除を確認するプロンプトが表示されます。
手順の概要
1. firewall# delete [bootflash: | debug: | log: | volatile:] filename | directory_name
手順の詳細
コマンドまたはアクション
ステップ 1
目的
firewall# delete [bootflash: | debug: | log: | volatile:] 指定したファイルまたはディレクトリ、および
filename | directory_name
ディレクトリ内のすべてを削除します。
次に、現在の作業ディレクトリから指定したファイルを削除し、指定したディレクトリとその内
容を削除する例を示します。
firewall# delete bootflash:dns_config.cfg
vsg# delete log:my-log
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
38
システム管理の設定
ファイルの圧縮
ファイルの圧縮
LZ77 コーディングを使用して指定したファイルを圧縮(zip)できます。
はじめる前に
この手順を開始する前に、CLI にログインする必要があります。
手順の概要
1. firewall# show command > [path] filename
2. firewall# dir
3. firewall# gzip [path] filename
手順の詳細
コマンドまたはアクション
目的
ステップ 1
firewall# show command > [path] filename show コマンドの出力をファイルに保存します。
ステップ 2
firewall# dir
最初の手順で作成した新しいファイルを含め、現在の
ディレクトリの内容を表示します。
ステップ 3
firewall# gzip [path] filename
指定したファイルを圧縮します。
次に、指定したファイルを圧縮する例を示します。
firewall# show system internal sysmgr event-history errors > errorsfile
firewall# dir
1480264 Jan 03 08:38:21 2015 1
77824 Jan 08 11:17:45 2015 accounting.log
4096 Jan 30 14:35:15 2015 core/
3220 Jan 09 16:33:05 2015 errorsfile
4096 Jan 30 14:35:15 2015 log/
16384 Jan 03 08:32:09 2015 lost+found/
7456 Jan 08 11:17:41 2015 mts.log
1480264 Jan 03 08:33:27 2015 nexus-1000v-dplug-mzg.VSG2.1.2a.bin
20126720 Jan 03 08:33:27 2015 nexus-1000v-kickstart-mzg.VSG2.1.2a.bin
45985810 Jan 01 14:30:00 2015 nexus-1000v-mzg.VSG2.1.2a.bin
46095447 Jan 07 11:32:00 2015 nexus-1000v-mzg.VSG2.1.2a.bin
1714 Jan 08 11:17:33 2015 system.cfg.new
4096 Jan 03 08:33:54 2015 vdc_2/
4096 Jan 03 08:33:54 2015 vdc_3/
4096 Jan 03 08:33:54 2015 vdc_4/
Usage for bootflash://
631246848 bytes used
5772722176 bytes free
6403969024 bytes total
firewall# gzip bootflash:errorsfile
firewall# dir
1480264 Jan 03 08:38:21 2015 1
77824 Jan 08 11:17:45 2015 accounting.log
4096 Jan 30 14:35:15 2015 core/
861 Jan 09 16:33:05 2015 errorsfile.gz
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
39
システム管理の設定
ファイルの圧縮解除
4096 Jan 30 14:35:15 2015 log/
16384 Jan 03 08:32:09 2015 lost+found/
7456 Jan 08 11:17:41 2015 mts.log
1480264 Jan 03 08:33:27 2015 nexus-1000v-dplug-mzg.VSG1.0.1.bin
20126720 Jan 03 08:33:27 2015 nexus-1000v-kickstart-mzg.VSG1.0.1.bin
45985810 Jan 01 14:30:00 2015 nexus-1000v-mzg.VSG1.0.1.bin
46095447 Jan 07 11:32:00 2015 nexus-1000v-mzg.VSG1.0.396.bin
1714 Jan 08 11:17:33 2015 system.cfg.new
4096 Jan 03 08:33:54 2015 vdc_2/
4096 Jan 03 08:33:54 2015 vdc_3/
4096 Jan 03 08:33:54 2015 vdc_4/
Usage for bootflash://
631246848 bytes used
5772722176 bytes free
6403969024 bytes total
ファイルの圧縮解除
LZ77 コーディングを使用して、圧縮済みの指定したファイルを圧縮解除(unzip)できます。
はじめる前に
この手順を開始する前に、CLI にログインする必要があります。
手順の概要
1. firewall# gunzip [path] filename
2. firewall# dir
手順の詳細
コマンドまたはアクション
目的
ステップ 1
firewall# gunzip [path] filename
指定したファイルを圧縮解除します。
ステップ 2
firewall# dir
新たに圧縮解除したファイルを含め、ディレクトリの
内容を表示します。
次に、指定したファイルを圧縮解除する例を示します。
firewall# gunzip bootflash:errorsfile.gz
firewall# dir bootflash:
1480264 Jan 03 08:38:21 2015 1
77824 Jan 08 11:17:45 2015 accounting.log
4096 Jan 30 14:35:15 2015 core/
3220 Jan 09 16:33:05 2015 errorsfile
4096 Jan 30 14:35:15 2015 log/
16384 Jan 03 08:32:09 2015 lost+found/
7456 Jan 08 11:17:41 2015 mts.log
1480264 Jan 03 08:33:27 2015 nexus-1000v-dplug-mzg.VSG2.1.2a.bin
20126720 Jan 03 08:33:27 2015 nexus-1000v-kickstart-mzg.VSG2.1.2a.bin
45985810 Jan 01 14:30:00 2015 nexus-1000v-mzg.VSG2.1.2a.bin
46095447 Jan 07 11:32:00 2015 nexus-1000v-mzg.VSG2.1.296.bin
1714 Jan 08 11:17:33 2015 system.cfg.new
4096 Jan 03 08:33:54 2015 vdc_2/
4096 Jan 03 08:33:54 2015 vdc_3/
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
40
システム管理の設定
コマンド出力のファイル保存
4096 Jan 03 08:33:54 2015 vdc_4/
Usage for bootflash://sup-local
631246848 bytes used
5772722176 bytes free
6403969024 bytes total
コマンド出力のファイル保存
コマンド出力をファイルに保存できます。
はじめる前に
この手順を開始する前に、任意のコマンド モードで CLI にログインする必要があります。
手順の概要
1. firewall# show running-config > [path | filename]
手順の詳細
ステップ 1
コマンドまたはアクション
目的
firewall# show running-config > [path | filename]
コマンド出力を、指定したパスおよびファイル名
に保存します。
次に、コマンド出力を volatile: ディレクトリのファイル vsg1-run.cfg に保存する例を示します。
firewall# show running-config > volatile:vsg1-run.cfg
ファイルの表示
ファイルに関する情報を表示するには、次のコマンドを入力します。
コマンド
目的
firewall# show file [bootflash: | debug: | volatile:]
filename
指定されたファイルの内容を表示します。
firewall# dir
ディレクトリの内容を表示します。
show file md5sum コマンドの例
firewall# show file bootflash:sample_file.txt md5sum
aa163ec1769b9156614c643c926023cf
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
41
システム管理の設定
ファイルの表示
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
42
索引
Intercloud Fabric ファイアウォール} 8
IP アドレス 8
IP アドレス 8, 9, 14
VSG 8
A
ACL 8
C
capability l3-vservice 7
Cisco Nexus 1000V シリーズ スイッチ 1
Cisco Prime Network Services Controller 13
Cisco VSG 1, 7
概要 7
レイヤ 3 モード 7
cli 27
構文エラーの分離 27
状況依存ヘルプ 27
ヘルプ機能 27
CLI 23
prompt 23
copy 34
copy コマンド 35
M
mkdir 36
P
permit 10
Prime NSC 13
Q
QoS 8
R
D
rmdir 36
debug 10
dir 33
S
G
gunzip 40
I
ICF ファイアウォール 7
導入シナリオ 7
ICF ファイアウォール 1
show file 41
show interface 31
show running config 31
show running configuration 29, 41
show users 41
show version 29
T
tail 41
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
IN-1
索引
V
お
vApp 6
vCenter 9, 14
VEM 3, 4, 7
VEM インターフェイス 7
vEthernet 8
Virtual Security Gateway 1
ICF ファイアウォールを参照 1
VLAN 6, 14
管理 14
VM 1, 7, 8
VM モビリティ 7
セグメンテーション 8
ポート プロファイル 8
VM ポート プロファイル 10
vNIC 3
volatile 32
vPath 3, 7, 8
vservice 7
VSM 8
オブジェクト グループ 9, 15
例 15
オペレーション分離 3
か
アクション 10
permit 10
インスペクション 10
ドロップ パケット 10
ログ 10
アクセス コントロール ルール 6
アクセス ログ 6
アクティブ/スタンバイ ペア 6
アクティブ/スタンバイ モード 3
解凍 40
カスタム属性 8, 10, 17, 19
仮想イーサネット ポート 6
Virtual Ethernet Module(仮想イーサネット モジュール) 3
VEM を参照 3
仮想インフラストラクチャ属性 17
仮想化 6
仮想化データセンター 7
仮想サービス ノード 7
仮想スイッチ 6
仮想スーパーバイザ モジュール 6
仮想データセンター 1, 6
仮想ネットワーク サービス データパス 3
仮想ファイアウォール 1
仮想ポート 8
仮想マシン 1
VM を参照 1
環境 6
VM 6
処理のために 6
管理インターフェイス 8
administrator 8, 9
ネットワーク 8
security 8, 9
い
き
イーサネット 8
move 37
イネーブル化 20
グローバル ポリシーエンジン ロギング 20
インスペクション 10
interface 8
管理 8
キーボード ショートカット 24
キャパシティ プランニング 3
あ
く
クラウド VSG 2
設定 2
クラウド環境 1
グローバル ポリシーエンジン 20
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
IN-2
索引
こ
そ
構造化環境 6
高速パス モード 4
構文エラーの分離 27
command 24
特殊文字 24
コマンド:省略形 26
コマンド:ヘルプ機能 27
コマンド出力のファイル保存 41
コマンド ショートカット 24
コンピュータ インフラストラクチャ 1
zone 6, 9, 14, 19
属性 19
membership 6
例 14
ゾーンからゾーンへのトラフィック 6
ゾーン属性 9, 14
ゾーン メンバーシップ 6
属性 6, 8, 9, 14, 16, 17, 19
port-profile 17
custom 8, 17, 19
仮想インフラストラクチャ 17
classes 17
指向性 16
ニュートラル 9, 14, 17
ソフト スイッチ 8
さ
サービス ファイアウォール ログ 10
delete 38
サブネット 9, 14
た
し
timeout 4
高速パス モード 4
コンプライアンス 1
状況依存ヘルプ 27
使用できるファイル システムの特定 34
信頼ゾーン 1, 6
定義 6
て
スタンバイ VSG 3
ディレクトリ内のファイルの一覧表示 33
ディレクトリの削除 36, 38
ディレクトリの作成 36
データ インターフェイス 14
テナント トラフィック 8
展開設定 2
せ
と
セキュリティ運用 3
セキュリティ管理者 8
セキュリティ サービス 8
セキュリティ プロファイル 6, 8, 19
セキュリティ プロファイル テンプレート 1
セキュリティ ポリシー 1
セグメンテーション 8
VM 8
設定時の注意事項および制限事項 14
設定の表示 20
専用サーバ 3
導入 7
トラフィック 6
外部からゾーン 6
ゾーンから外部 6
ゾーンからゾーン 6
ポリシーベース 6
ドロップ パケット 10
す
に
ニュートラル属性 9, 14, 17
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
IN-3
索引
ね
ネットワーク管理者 8
は
ハイ アベイラビリティ 3
ハイパーバイザ 3
バックアップ ファイル 35
ふ
ファイアウォール設定の確認 29
ファイアウォール ポリシー 10, 16, 19
例 16
ファイアウォール ポリシー オブジェクト 13
設定の要件 13
ファイア ウォール ルール 9, 10, 15
file system 32
ファイルの圧縮解除 40
ファイルの移動 37
ファイルのコピー 35
ファイルの削除 38
ファイルの表示 41
ファイル名のコピー 34
ブートフラッシュ 32
プライマリ VSG 3
ほ
方向属性 16
ポート グループ 8
ポート プロファイル 6, 8, 10, 19
VM 8
ポート プロファイル属性 17
ホスト 9, 14
ポリシー 8
ACL 8
QoS 8
ポリシー オブジェクト 10, 16
condition 16
アクション 16
オブジェクト グループ 16
zone 16
rule 16
ポリシー決定 3
ポリシーの適用 3
ポリシー評価 10
policy name 9, 16
ま
マルチテナント アクセス 7
る
ルール 10, 15
例 15
rule 14
ルール条件 9, 15
れ
レイヤ 3 の設定 10
レイヤ 3 モード 7, 10
capability l3-vservice 7
VEM インターフェイス 7
設定 10
ろ
ログ 10
Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
IN-4
© Copyright 2026 Paperzz