More than 3 years have passed since last update.

【随時更新】Cisco ASA コマンド【確認＆設定編】

Last updated at 2020-03-11Posted at 2020-03-10

Cisco ASAを業務利用する中で
よく使うコマンドを備忘録として残します

基本編

特権EXECモードに移行

> enable

enableしてからじゃないと
show run等の打てないコマンドがあります

ログアウト

> exit

モードの移行にも使います

ページ送りを無効

> terminal pager 0

show run等の長い結果を見る際に
--more-- が出てこなくなります

ヘルプ

> ?

とても便利なので多用しましょう
頭文字しかわからないコマンドも
わかる範囲で入力すれば一致したコマンドを
一覧表示してくれます
スペルチェックにも使える最強コマンドです

設定の保存

> write memory

running-configの内容を
startup-configへ反映させます

設定確認編

他のログインユーザーの確認

> show resource usage

Currentに現在ログイン中の
ユーザーの総数が表示されます

主系、副系の確認

> show failover state

主系はActiveで
副系はStandby Readyが表示されます

バージョンの確認

> show version

バージョン依存する設定も存在するため
念のための確認に使います

システムログの確認

> show logging

システムログが表示されます
想定外のエラーがないか確認に使います

現在の設定の確認

> show running-config

現在の設定を確認する場合や
設定のバックアップを取るときに使います

保存されている設定の確認

> show startup-config

名前の通り起動時に読み込まれる設定の
確認に使います

出力結果から検索対象を含む行を抽出

> コマンド | include "検索対象"

Linuxでいうgrepと同意です

出力結果から検索対象を含まない行を抽出

> コマンド | exclude "検索対象"

Linuxでいうgrep -vと同意です

出力結果を検索対象が含まれる行から表示

> コマンド | begin "検索対象"

何かから始まる設定群を
見たいときに使います

ルーティングテーブルの確認

> show route

登録されているルーティングテーブルの
確認に使います

オブジェクトの確認

> show running-config object in-line

登録されているオブジェクトの一覧を
インライン表示します
idで名前での指定もできます

ネットワークオブジェクトグループの確認

> show running-config object-group network

登録されている
ネットワークオブジェクトグループの一覧を
表示します
idで名前での指定もできます

サービスオブジェクトグループの確認

> show running-config object-group service

登録されている
サービスオブジェクトグループの一覧を
表示します
idで名前での指定もできます

アクセスリストの確認

> show running-config access-list

登録されているアクセスリストの
一覧を表示します

最終行のdenyの確認

> show running-config access-list | include any any|deny

最終行のdeny行の確認に使います

設定投入編

グローバルコンフィギュレーションモードへ移行

> configure terminal

設定投入するための
Config設定モードへ移行できます

ネットワークオブジェクトの作成

> object network オブジェクト名
   x.x.x.x(IPアドレス) x.x.x.x(サブネットマスク)

オブジェクトの作成が行えます
サブネットマスクが255.255.255.255である場合
アドレスはhost IPアドレスで指定できます

ネットワークオブジェクトグループの作成

> object-group network グループ名
   network-object object オブジェクト名１
   network-object object オブジェクト名２

ネットワークオブジェクトグループの
作成が行えます

サービスオブジェクトグループの作成

> object-group service グループ名 プロトコル(tcp,udp)
   port-object eq ポート番号１
   port-object eq ポート番号２

サービスオブジェクトグループの
作成が行えます

アクセスリストの作成

ケース１

Outsideへのicmpの許可設定
(10.0.0.1~10.0.1.1へ)
※最終行のdenyはline1000行目

> access-list Outside line 1000 extended permit icmp object 10.0.0.1-32bit object 10.0.1.1-32bit

ケース２

Insideへのftp許可設定
(10.0.0.1~ネットワークグループnw_groupへ)
※最終行のdenyはline1000行目

> access-list Inside line 1000 extended permit tcp object 10.0.0.1-32bit object-group nw_group range 20 21

ケース３

Insideへのネットワークオブジェクトグループservice_groupの不許可設定
(10.0.0.1~anyへ)
※入れたい行はline1000行目

> access-list Inside line 1000 extended deny tcp object 10.0.0.1-32bit any object-group service_group

上記のようにアクセスリストの作成が
行えます

疎通確認編

通信相手の応答有無の確認

> ping IPアドレス

リーチアビリティが取れているか
確認したいときに使います

通信経路上のルータを確認

> traceroute IPアドレス

どのルータを経由するか確認できます

通信内容の確認

ケース１

Inside側(10.0.0.1)からOutside側(10.0.100.1)への
httpの通信内容を確認

packet-tracer input Inside tcp 10.0.0.1 80 10.0.100.1 80

ケース２

Inside側(10.0.0.1)からOutside側(10.0.100.1)への
icmpの通信内容を確認

packet-tracer input Inside icmp 10.0.0.1 0 0 10.0.100.1

Action欄で通信の可否を確認できます
icmpの確認にはtypeとcodeの指定が必要です

おわりに

以上がCisco ASAでよく使うコマンドでした

また使うものが増えてきたら
随時更新していきます

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up