1. No category

この章

CHAPTER
8
基本設定
この章では、適応型セキュリティ アプライアンス上で機能を果たすコンフィギュレーションに通常必
要とされる基本設定を行う方法について説明します。この章には、次の項があります。
• 「ログイン パスワードの変更」(P.8-1)
• 「イネーブル パスワードの変更」(P.8-2)
• 「ホスト名の設定」(P.8-2)
• 「ドメイン名の設定」(P.8-3)
• 「日付と時刻の設定」(P.8-3)
• 「DNS サーバの設定」(P.8-6)
• 「透過ファイアウォールの管理 IP アドレスの設定」(P.8-7)
ログイン パスワードの変更
ログイン パスワードは Telnet 接続と SSH 接続に使用されます。デフォルトでは、ログイン パスワー
ドは「cisco」です。パスワードを変更するには、次のコマンドを入力します。
コマンド
目的
{passwd | password} password
パスワードを変更します。
passwd または password と入力します。パスワードは、最大 16 文字の
英数字および特殊文字で、大文字と小文字の区別があります。パスワー
ドには疑問符(?)とスペースを除く任意の文字を使用できます。
パスワードは暗号化された形式でコンフィギュレーションに保存される
ため、パスワードの入力後に元のパスワードを表示することはできませ
ん。パスワードをデフォルト設定に戻すには、no password コマンドを使
用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
8-1
第8章
基本設定
イネーブル パスワードの変更
イネーブル パスワードの変更
イネーブル パスワードを使用すると、特権 EXEC モードに入ることができます。デフォルトでは、イ
ネーブル パスワードは空白に設定されています。イネーブル パスワードを変更するには、次のコマン
ドを入力します。
コマンド
目的
enable password password
イネーブル パスワードを変更します。
password は、最大 16 文字の英数字および特殊文字からなるパスワード
で、大文字と小文字は区別されます。パスワードには疑問符(?)とス
ペースを除く任意の文字を使用できます。
このコマンドは最高の特権レベルにパスワードを変更します。ローカル
コマンド認可を設定すると、0 ~ 15 の各特権レベルにイネーブル パス
ワードを設定できます。
パスワードは暗号化された形式でコンフィギュレーションに保存されるた
め、パスワードの入力後に元のパスワードを表示することはできません。
パスワードを指定せずに enable password コマンドを入力すると、パス
ワードはデフォルトの空白に設定されます。
ホスト名の設定
適応型セキュリティ アプライアンスのホスト名を設定すると、そのホスト名がコマンドラインのプロ
ンプトに表示されます。このホスト名によって、複数の装置とのセッションを確立する場合に、コマン
ドを入力する場所が常に把握できます。デフォルトのホスト名は、プラットフォームの種類によって決
まります。
マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキスト
のコマンドライン プロンプトに表示されます。コンテキスト内にオプションで設定したホスト名はコ
マンドラインに表示されませんが、banner コマンドの $(hostname) トークンで使用できます。
コマンド
目的
hostname name
適応型セキュリティ アプライアンスまたはコンテキストのホスト名を指
定します。
例:
hostname(config)# hostname farscape
farscape(config)#
名前には、63 文字以下の文字を使用できます。ホスト名は英字または数
字で始まり英字または数字で終わる必要があります。中の文字として使用
できるのは、英字、数字、ハイフンだけです。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
8-2
OL-18970-01-J
第8章
基本設定
ドメイン名の設定
ドメイン名の設定
適応型セキュリティ アプライアンスは、ドメイン名を未修飾名に拡張子として追加します。たとえば、
ドメイン名を「example.com 」に設定し、syslog サーバに未修飾名「jupiter」を指定すると、セキュリ
ティ アプライアンスは、この名前を「jupiter.example.com」に限定します。
デフォルトのドメイン名は、default.domain.invalid です。
マルチコンテキスト モードでは、システム実行スペース内と同様、各コンテキストにドメイン名を設
定することができます。
コマンド
目的
domain-name name
適応型セキュリティ アプライアンスのドメイン名を指定します。
例:
たとえば、ドメインに example.com という名前を指定します。
hostname(config)# domain-name example.com
日付と時刻の設定
この項では、日付と時刻の設定方法として、手動で行う方法と NTP サーバを使用するダイナミックな
方法について説明します。手動で設定した時刻はすべて、NTP サーバから取得された時刻によって上
書きされます。この項では、時間帯および夏時間の日付範囲の設定方法についても説明します。
(注)
マルチコンテキスト モードでは、時刻はシステム コンフィギュレーションのみに設定してください。
この項は、次の内容で構成されています。
• 「時間帯と夏時間の日付範囲の設定」(P.8-3)
• 「NTP サーバを使用する日付と時刻の設定」(P.8-5)
• 「手動での日付と時刻の設定」(P.8-6)
時間帯と夏時間の日付範囲の設定
デフォルトでは、時間帯は UTC(世界標準時)であり、夏時間の日付範囲は 4 月の第一日曜日の午前
2 時~ 10 月の最終日曜日の午前 2 時です。時間帯および夏時間の日付範囲を変更するには、次の手順
を実行します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
8-3
第8章
基本設定
日付と時刻の設定
コマンド
ステップ 1 clock timezone zone
[-]hours [minutes]
目的
時間帯を設定します。
ここで、zone 値は、時間帯を文字列で指定します。たとえば、PST は太平洋標準時
(Pacific Standard Time)を表します。
[-]hours 値は、UTC との時差を時間で設定します。たとえば、PST は -8 時間です。
minutes 値は、UTC との時差を分で設定します。
ステップ 2 夏時間の日付範囲をデフォルトから変更するには、次のいずれかのコマンドを入力します。定期的な日付範囲のデ
フォルト値は、3 月の第二日曜日の午前 2 時~ 11 月の第一日曜日の午前 2 時です。
clock summer-time zone
date {day month | month
day} year hh:mm {day
month | month day} year
hh:mm [offset]
夏時間の開始日と終了日を特定の年の特定の日付に設定します。このコマンドを使用
する場合は、日付を毎年再設定する必要があります。
zone 値は、時間帯を文字列で指定します。たとえば、PDT は太平洋夏時間(Pacific
Daylight Time)を表します。
day 値は、月の日付として 1 ~ 31 を設定します。使用する標準日付形式に合せて月
日を April 1 または 1 April のように入力することができます。
month 値は、月を文字列で設定します。使用する標準日付形式に合せて月日を April
1 または 1 April のように入力することができます。
year 値は、4 桁で年を設定します(2004 など)。西暦年の範囲は 1993 ~ 2035 です。
hh:mm 値は、24 時間形式で、時間と分を設定します。
offset 値は、夏時間用に時間を変更する分数を設定します。デフォルトでは、60 分で
す。
clock summer-time zone
recurring [week weekday
month hh:mm week weekday
month hh:mm] [offset]
夏時間の開始日と終了日を、ある年の特定の日付ではなく、ある月の日付および時刻
という形式で指定します。
このコマンドによって定期的な日付範囲が設定されるため、毎年変更する必要はあり
ません。
zone 値は、時間帯を文字列で指定します。たとえば、PDT は太平洋夏時間(Pacific
Daylight Time)を表します。
week 値は、月の特定の週を 1 から 4 までの整数で指定するか、first または last とい
う単語で指定します。たとえば、日付が半端な第 5 週にあたる場合は、last と指定し
ます。
weekday 値は、Monday、Tuesday、Wednesday などのように曜日を指定します。
month 値は、月を文字列で設定します。
hh:mm 値は、24 時間形式で、時間と分を設定します。
offset 値は、夏時間用に時間を変更する分数を設定します。デフォルトでは、60 分で
す。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
8-4
OL-18970-01-J
第8章
基本設定
日付と時刻の設定
NTP サーバを使用する日付と時刻の設定
NTP サーバから日付と時刻を取得するには、次の手順を実行します。
コマンド
目的
ステップ 1 ntp authenticate
NTP サーバに関する認証をイネーブルにします。
ステップ 2
認証キー ID が信頼できるキーであると指定します。この信頼できるキー
は、NTP サーバに関する認証に必要です。
ntp trusted-key key_id
ここで、key_id は、1 ~ 4294967295 の数字です。複数のサーバで使用する
場合は複数の信頼できるキーを入力することができます。
ステップ 3 ntp authentication-key key_id
md5 key
ステップ 4 ntp server ip_address [key
key_id] [source interface_name]
[prefer]
NTP サーバで認証を行うためのキーを設定します。
ここで、key_id には、ntp trusted-key コマンドを実行してステップ 2 で設
定した ID を指定し、key には最大 32 文字の文字列を指定します。
NTP サーバを識別します。
ここで、key_id には、ステップ 2 の ntp trusted-key コマンドを実行して設
定した ID を指定します。
source interface_name には、ルーティング テーブル内のデフォルトのイン
ターフェイスを使用しない場合に、NTP パケットを転送する発信インター
フェイスを指定します。システムにはマルチコンテキスト モードのイン
ターフェイスが含まれていないため、管理コンテキストに定義されている
インターフェイス名を指定します。
prefer キーワードは、精度が類似する複数のサーバがある場合に、この
NTP サーバを優先サーバに設定します。NTP は、アルゴリズムを使用して
最も精度の高いサーバを判別し、そのサーバに同期します。複数のサーバ
の精度が類似している場合は、prefer キーワードを使用して使用するサー
バを指定します。ただし、優先サーバよりはるかに精度の高いサーバがあ
る場合は、適応型セキュリティ アプライアンス はその精度の高いサーバを
使用します。たとえば、適応型セキュリティ アプライアンスは、優先サー
バの stratum 3 の代わりに、サーバ stratum 2 を使用します。
サーバは複数指定することができ、適応型セキュリティ アプライアンスが
その中から最も精度の高いサーバを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
8-5
第8章
基本設定
DNS サーバの設定
手動での日付と時刻の設定
コマンド
目的
clock set hh:mm:ss {month day | day month}
year
日付と時刻を手動で設定します。
ここで、hh:mm:ss には、24 時間形式で、時間、分、秒を設定します。た
とえば、午後 8 時 54 分は 20:54:00 と設定します。
day 値は、月の日付として 1 ~ 31 を設定します。使用する標準日付形式
に合せて月日を april 1 または 1 april のように入力することができます。
month 値は、月を設定します。使用する標準日付形式に合せて、月日を
april 1 または 1 april のように入力することができます。
year 値は、4 桁で年を設定します(2004 など)。西暦年の範囲は 1993 ~
2035 です。
デフォルトの時間帯は UTC です。clock set コマンドを使用した後に、
clock timezone コマンドを使用して時間帯を変更すると、設定した時刻
は新しい時間帯に自動的に合せられます。
このコマンドは時刻をハードウェア チップに設定し、コンフィギュレー
ション ファイルには時刻を保存しません。この時刻はリブートしても保
持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC
コマンドです。クロックを再設定するには、clock set コマンドに新しい
時刻を設定する必要があります。
DNS サーバの設定
一部の適応型セキュリティ アプライアンス機能では、ドメイン名で外部サーバにアクセスするために
DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダ
イナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するた
めに DNS サーバが必要です。他の機能(ping コマンドや traceroute コマンドなど)では、トレース
ルートのために PING する名前を入力できます。適応型セキュリティ アプライアンスは、DNS サーバ
と通信してこの名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドで
もサポートされます。
(注)
適応型セキュリティ アプライアンスでは、機能に応じて DNS サーバの使用が限定的にサポートされま
す。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できる
のは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用
して名前の使用をイネーブルにした場合だけです。
ダイナミック DNS の詳細については、「ダイナミック DNS の設定」(P.7-8)を参照してください。
前提条件
DNS ドメイン ルックアップをイネーブルにするすべてのインターフェイスに対して適切なルーティン
グを設定し、DNS サーバに到達できるようにしてください。ルーティングの詳細については、「ルー
ティングに関する情報」(P.18-1)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
8-6
OL-18970-01-J
第8章
基本設定
透過ファイアウォールの管理 IP アドレスの設定
詳細な手順
ステップ 1
コマンド
目的
dns domain-lookup interface_name
適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を
送信して、サポートされているコマンドの名前ルックアップを実行
できるようにします。
例:
hostname(config)# dns domain-lookup
inside
ステップ 2 dns server-group DefaultDNS
例:
hostname(config)# dns server-group
DefaultDNS
ステップ 3 name-server ip_address [ip_address2]
[...] [ip_address6]
例:
hostname(config-dns-server-group)#
name-server 10.1.1.5 192.168.1.67
209.165.201.6
適応型セキュリティ アプライアンスが from-the-box 要求に使用す
る DNS サーバ グループを指定します。
VPN トンネル グループ用に他の DNS サーバ グループを設定でき
ます。詳細については、『Cisco ASA 5500 Series Command
Reference』の tunnel-group コマンドを参照してください。
1 つまたは複数の DNS サーバを指定します。同じコマンドで 6 つの
IP アドレスすべてをスペースで区切って入力するか、各コマンドを
別々に入力できます。セキュリティ アプライアンスは、応答が受信
されるまで各 DNS サーバが順に試されます。
透過ファイアウォールの管理 IP アドレスの設定
この項では、透過ファイアウォール モードの管理 IP アドレスを設定する方法について説明します。次
の項目を取り上げます。
• 「管理 IP アドレスに関する情報」(P.8-7)
• 「透過ファイアウォールの管理 IP アドレスのライセンス要件」(P.8-8)
• 「ガイドラインと制限事項」(P.8-8)
• 「IPv4 アドレスの設定」(P.8-9)
• 「IPv6 アドレスの設定」(P.8-9)
• 「透過ファイアウォールの管理 IP アドレスの設定例」(P.8-9)
• 「透過ファイアウォールの管理 IP アドレスの機能履歴」(P.8-10)
管理 IP アドレスに関する情報
透過ファイアウォールは、IP ルーティングに参加しません。適応型セキュリティ アプライアンスで必
要とされる唯一の IP コンフィギュレーションは、管理 IP アドレスの設定です。このアドレスは、シス
テム メッセージまたは AAA サーバとの通信など、適応型セキュリティ アプライアンス上で発信され
るトラフィックの送信元アドレスとして適応型セキュリティ アプライアンスが使用するために必要で
す。このアドレスは、リモート管理アクセスにも使用できます。
IPv4 トラフィックの場合、管理 IP アドレスでは、すべてのトラフィックを通過させる必要がありま
す。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを
設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバ
ル管理アドレスを設定することを推奨します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
8-7
第8章
基本設定
透過ファイアウォールの管理 IP アドレスの設定
(注)
デバイスの管理 IP アドレスに加えて、Management 0/0 または 0/1 の管理専用インターフェイスの IP
アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定
できます。「一般的なインターフェイス パラメータの設定」(P.6-25)を参照してください。
他のインターフェイスの IPv4 アドレスまたはグローバル IPv6 アドレスは設定しませんが、「一般的な
インターフェイス パラメータの設定」(P.6-25)に従って、セキュリティ レベルとインターフェイス名
を設定する必要があります。
透過ファイアウォールの管理 IP アドレスのライセンス要件
モデル
ライセンス要件
すべてのモデル
基本ライセンス
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。マルチコンテキ
スト モードでは、管理 IP アドレスを各コンテキスト内に設定します。
ファイアウォール モードのガイドライン
透過ファイアウォール モードでサポートされています。ルーテッド モードの場合は、「一般的なイン
(P.6-25)に従って、インターフェイスごとに IP アドレスを設定しま
ターフェイス パラメータの設定」
す。
IPv6 のガイドライン
• IPv6 をサポートします。
• 次の IPv6 アドレス関連のコマンドにはルータ機能が必要であるため、トランスペアレント モード
ではサポートされません。
– ipv6 address autoconfig
– ipv6 nd suppress-ra
トランスペアレント モードでサポートされない IPv6 コマンドの完全なリストについては、「IPv6
対応のコマンド」(P.18-10)を参照してください。
• IPv6 エニーキャスト アドレスはサポートしません。
• IPv6 アドレスと IPv4 アドレスの両方を設定できます。
その他のガイドラインと制限事項
• デバイスの管理 IP アドレスに加えて、Management 0/0 または 0/1 の管理専用インターフェイスの
IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネット
に設定できます。「一般的なインターフェイス パラメータの設定」(P.6-25)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
8-8
OL-18970-01-J
第8章
基本設定
透過ファイアウォールの管理 IP アドレスの設定
• 他のインターフェイスの IP アドレスは設定しませんが、「一般的なインターフェイス パラメータの
設定」(P.6-25)に従って、セキュリティ レベルとインターフェイス名を設定する必要があります。
IPv4 アドレスの設定
管理 IPv4 アドレスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力
します。
コマンド
目的
ip address ip_address [mask]
[standby ip_address]
例:
hostname(config)# ip address 10.1.1.1
255.255.255.0 standby 10.1.1.2
このアドレスは、アップストリーム ルータおよびダウンストリーム ルー
タと同じサブネット内にある必要があります。サブネットにホスト サブ
ネット(255.255.255.255)を設定することはできません。フェールオー
バーには、standby キーワードおよびアドレスを使用します。詳細につい
(P.33-1)または
ては、
「Active/Standby フェールオーバー設定値の設定」
「Active/Active フェールオーバー設定値の設定」(P.34-1)を参照してく
ださい。
IPv6 アドレスの設定
グローバル アドレスを設定すると、リンクローカル アドレスが各インターフェイスに自動的に設定さ
れるため、リンクローカル アドレスを個別に設定する必要はありません。
(注)
リンクローカル アドレスの設定だけを行う場合は、『Cisco ASA 5500 Series Command Reference 』の
ipv6 enable コマンドまたは ipv6 address link-local コマンドを参照してください。
グローバル管理 IPv6 アドレスを設定するには、グローバル コンフィギュレーション モードで次のコマ
ンドを入力します。
コマンド
目的
ipv6 address ipv6-prefix/prefix-length
グローバル アドレスを割り当てます。グローバル アドレスを割り当てる
と、各インターフェイスのリンクローカル アドレスが自動的に作成され
ます。
例:
hostname(config)# ipv6 address
2001:0DB8::BA98:0:3210/48
(注)
ルーテッド モードで使用可能な eui キーワードは、トランスペア
レント モードでは使用できません。EUI アドレスは、ユニキャス
ト アドレスを適応型セキュリティ アプライアンス インターフェ
イスの MAC アドレスに関連付けます。ただし、トランスペアレ
ント モード IP アドレスはインターフェイスに関連付けられない
ため、インターフェイスの MAC アドレスは使用できません。
IPv6 アドレッシングの詳細については、「IPv6 アドレス」(P.C-5)を参照
してください。
透過ファイアウォールの管理 IP アドレスの設定例
次の例では、IPv4 および IPv6 のグローバル管理 IP アドレスを設定し、内部インターフェイス、外部
インターフェイス、および管理インターフェイスを設定しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
8-9
第8章
基本設定
透過ファイアウォールの管理 IP アドレスの設定
hostname(config)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
hostname(config)# ipv6 address 2001:0DB8::BA98:0:3210/48
hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface gigabitethernet 0/1
nameif outside
security-level o
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface management 0/0
nameif management
security-level 50
ip address 10.1.2.1 255.255.255.0
ipv6 address 2001:0DB8::BA98:0:3211/48
no shutdown
透過ファイアウォールの管理 IP アドレスの機能履歴
表 8-1 に、この機能のリリース履歴の一覧を示します。
表 8-1
トランスペアレント モード管理アドレスの機能履歴
機能名
リリース
機能情報
IPv6 サポート
8.2(1)
透過ファイアウォール モードの IPv6 サポートが導入され
ました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
8-10
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz