使用する前に

この章では、ASA の使用を開始する方法について説明します。

コマンドラインインターフェイス（CLI）のコンソールへのアクセス

ASDM アクセスの基本的な設定を、CLI を使用して行う必要がある場合があります。

初期設定を行うには、コンソールポートから直接 CLI にアクセスします。その後、管理アクセスに従って Telnet または SSH を使用して、リモートアクセスを設定できます。システムがすでにマルチコンテキストモードで動作している場合は、コンソールポートにアクセスするとシステムの実行スペースに入ります。

（注）

ASA 仮想のコンソールアクセスについては、ASA 仮想のクイックスタートガイドを参照してください。

ISA 3000 コンソールへのアクセス

アプライアンスコンソールにアクセスするには、次の手順に従います。

手順

ステップ 1	付属のコンソールケーブルを使用してコンピュータをコンソールポートに接続します。ターミナルエミュレータを回線速度 9600 ボー、データビット 8、パリティなし、ストップビット 1、フロー制御なしに設定して、コンソールに接続します。コンソールケーブルの詳細については、ASA のハードウェアガイドを参照してください。
ステップ 2	Enter キーを押して、次のプロンプトが表示されることを確認します。 `ciscoasa>` このプロンプトは、ユーザー EXEC モードで作業していることを示します。ユーザー EXEC モードでは、基本コマンドのみを使用できます。
ステップ 3	特権 EXEC モードにアクセスします。 enable enable コマンドを最初に入力したときに、パスワードを変更するように求められます。例: `ciscoasa> enable Password: The enable password is not set. Please set it now. Enter Password: **** Repeat Password: ** ciscoasa#` 設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーションモードに入ることもできます。特権モードを終了するには、disable コマンド、exit コマンド、または quit** コマンドを入力します。
ステップ 4	グローバルコンフィギュレーションモードにアクセスします。 configure terminal 例: `ciscoasa# configure terminal ciscoasa(config)#` グローバルコンフィギュレーションモードから ASA の設定を開始できます。グローバルコンフィギュレーションモードを終了するには、exit コマンド、quit コマンド、または end コマンドを入力します。

Firepower 2100 プラットフォームモードのコンソールへのアクセス

Firepower 2100 コンソールポートで Secure Firewall eXtensible オペレーティングシステム CLI（FXOS CLI）に接続します。次に、FXOS CLI から ASA コンソールに接続し、再度戻ることができます。FXOS に SSH 接続する場合は、ASA CLI にも接続できます。SSH からの接続はコンソール接続ではないため、FXOS SSH 接続から複数の ASA 接続を行うことができます。同様に、ASA に SSH 接続する場合は、FXOS CLI に接続できます。

始める前に

一度に保持できるコンソール接続は 1 つだけです。FXOS コンソールから ASA のコンソールに接続する場合、Telnet または SSH 接続の場合とは異なり、この接続は永続的接続です。

手順

ステップ 1	管理コンピュータをコンソールポートに接続します。Firepower 2100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するためにはサードパーティ製のシリアル to USB ケーブルが必要です。ご使用のオペレーティングシステムに必要な USB シリアルドライバを必ずインストールしてください。次のシリアル設定を使用します。 9600 ボー 8 データビットパリティなし 1 ストップビット FXOS CLI に接続します。ユーザークレデンシャルを入力します。デフォルトでは、admin ユーザーとデフォルトのパスワード Admin123 を使用してログインできます。
ステップ 2	ASA に接続します。 connect asa 例: `firepower-2100# connect asa Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ciscoasa>`
ステップ 3	特権 EXEC モードにアクセスします。 enable enable コマンドを最初に入力したときに、パスワードを変更するように求められます。例: `ciscoasa> enable Password: The enable password is not set. Please set it now. Enter Password: **** Repeat Password: ** ciscoasa#` 設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーションモードに入ることもできます。特権モードを終了するには、disable コマンド、exit コマンド、または quit** コマンドを入力します。
ステップ 4	グローバルコンフィギュレーションモードにアクセスします。 configure terminal 例: `ciscoasa# configure terminal ciscoasa(config)#` グローバルコンフィギュレーションモードから ASA の設定を開始できます。グローバルコンフィギュレーションモードを終了するには、exit コマンド、quit コマンド、または end コマンドを入力します。
ステップ 5	FXOS コンソールに戻るには、Ctrl+a、d と入力します。
ステップ 6	ASA に SSH 接続する場合（ASA で SSH アクセスを設定した後）、FXOS CLI に接続します。 connect fxos FXOS への認証を求められます。デフォルトのユーザー名：admin およびパスワード：Admin123 を使用します。ASA CLI に戻るには、exit と入力するか、または Ctrl-Shift-6、x と入力します。例: ciscoasa# connect fxos Connecting to fxos. Connected to fxos. Escape character sequence is 'CTRL-^X'. FXOS 2.2(2.32) kp2110 kp2110 login: admin Password: Admin123 Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1 Successful login attempts for user 'admin' : 4 Cisco Firepower Extensible Operating System (FX-OS) Software […] kp2110# kp2110# exit Remote card closed command session. Press any key to continue. Connection with fxos terminated. Type help or '?' for a list of available commands. ciscoasa#

Firepower 1000、 2100（アプライアンスモード）、および Cisco Secure Firewall 3100 コンソールへのアクセス

Firepower 1000、 2100（アプライアンスモード）、および Cisco Secure Firewall 3100 コンソールポートは、ASA CLI に接続します（FXOS CLI に接続する Firepower 2100 プラットフォームモードのコンソールとは異なります）。ASA CLI から、トラブルシューティングのために Telnet を使用して FXOS CLI に接続できます。

手順

ステップ 1	管理コンピュータをコンソールポートに接続します。 Firepower 1000 には、USB A to B シリアルケーブルが付属しています。 Firepower 2100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するためにはサードパーティ製のシリアル to USB ケーブルが必要です。Cisco Secure Firewall 3100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するためにはサードパーティ製のシリアル to USB ケーブルが必要です。ご使用のオペレーティングシステムに必要な USB シリアルドライバを必ずインストールしてください（次を参照『Firepower 1010 hardware guide』または『Firepower 1100 hardware guide』）『Cisco Secure Firewall 3100 hardware guide』。次のシリアル設定を使用します。 9600 ボー 8 データビットパリティなし 1 ストップビット ASA CLI に接続します。デフォルトでは、コンソールアクセスに必要なユーザークレデンシャルはありません。
ステップ 2	特権 EXEC モードにアクセスします。 enable enable コマンドを最初に入力したときに、パスワードを変更するように求められます。例: `ciscoasa> enable Password: The enable password is not set. Please set it now. Enter Password: **** Repeat Password: ** ciscoasa#` ASA で設定したイネーブルパスワードは、FXOS 管理者**のユーザーパスワードでもあり、ASA の起動に失敗した場合は、FXOS フェールセーフモードに移行します。設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーションモードに入ることもできます。特権 EXEC モードを終了するには、disable 、exit 、または quit コマンドを入力します。
ステップ 3	グローバルコンフィギュレーションモードにアクセスします。 configure terminal 例: `ciscoasa# configure terminal ciscoasa(config)#` グローバルコンフィギュレーションモードから ASA の設定を開始できます。グローバルコンフィギュレーションモードを終了するには、exit 、quit 、または end コマンドを入力します。
ステップ 4	（任意） FXOS CLI に接続します。 connect fxos [admin] admin ：管理者レベルのアクセスを提供します。このオプションを指定しないと、ユーザーのアクセス権は読み取り専用アクセスになります。管理者モードであっても、コンフィギュレーションコマンドは使用できないことに注意してください。ユーザーはクレデンシャルの入力を求められません。現在の ASA ユーザー名が FXOS に渡されるため、追加のログインは必要ありません。ASA CLI に戻るには、exit と入力するか、Ctrl+Shift+6 を押し、x と入力します。 FXOS 内では、scope security/show audit-logs コマンドを使用してユーザーアクティビティを表示できます。例: `ciscoasa# connect fxos admin Connecting to fxos. Connected to fxos. Escape character sequence is 'CTRL-^X'. firepower# firepower# exit Connection with FXOS terminated. Type help or '?' for a list of available commands. ciscoasa#`

Firepower 4100/9300 シャーシ上の ASA コンソールへのアクセス

初期設定の場合、Firepower 4100/9300 シャーシスーパバイザに（コンソールポートに、あるいは Telnet または SSH を使用してリモートで）接続してコマンドラインインターフェイスにアクセスし、ASA セキュリティモジュールに接続します。

手順

ステップ 1	Firepower 4100/9300 シャーシスーパバイザ CLI（コンソールまたは SSH）に接続し、次に ASA にセッション接続します。 connect module `slot` `{` console `\|` telnet`}` Telnet 接続を使用する利点は、モジュールに同時に複数のセッションを設定でき、接続速度が速くなることです。初めてモジュールにアクセスするときは、FXOS モジュールの CLI にアクセスします。その後 ASA アプリケーションに接続する必要があります。 connect asa 例: `Firepower# connect module 1 console Firepower-module1> connect asa asa>`
ステップ 2	最高の特権レベルである特権 EXEC モードにアクセスします。 enable enable コマンドを最初に入力したときに、パスワードを変更するように求められます。例: `asa> enable Password: The enable password is not set. Please set it now. Enter Password: **** Repeat Password: ** asa#` 設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーションモードに入ることもできます。特権モードを終了するには、disable コマンド、exit コマンド、または quit** コマンドを入力します。
ステップ 3	グローバルコンフィギュレーションモードを開始します。 configure terminal 例: `asa# configure terminal asa(config)#` グローバルコンフィギュレーションモードを終了するには、disable 、exit 、または quit コマンドを入力します。
ステップ 4	Ctrl-a、d と入力し、アプリケーションコンソールを終了して FXOS モジュール CLI に移動します。トラブルシューティングのために FXOS モジュールの CLI を使用する場合があります。
ステップ 5	FXOS CLI のスーパバイザレベルに戻ります。コンソールを終了します。 ~ と入力 Telnet アプリケーションに切り替わります。 Telnet アプリケーションを終了するには、次を入力します。 telnet>quit Telnet セッションを終了します。 Ctrl-], . と入力

ASDM アクセスの設定

ここでは、デフォルト設定で ASDM にアクセスする方法、およびデフォルト設定がない場合にアクセスを設定する方法について説明します。

ASDM アクセスの工場出荷時のデフォルト設定の使用

工場出荷時のデフォルトコンフィギュレーションでは、ASDM 接続はデフォルトのネットワーク設定で事前設定されています。

手順

次のインターフェイスおよびネットワーク設定を使用して ASDM に接続します。

管理インターフェイスは、ご使用のモデルによって異なります。
- Firepower 1010：管理 1/1（192.168.45.1）、または内部イーサネット 1/2 ～ 1/8（192.168.1.1）。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。
- アプライアンスモードの Firepower 1100、 2100、Secure Firewall 3100：内部イーサネット 1/2（192.168.1.1）、または管理 1/1（DHCP から）。内部ホストは 192.168.1.0/24 ネットワークに限定されます。管理ホストは任意のネットワークからアクセスできます。
- プラットフォームモードの Firepower 2100：管理 1/1（192.168.45.1）。管理ホストは 192.168.45.0/24 ネットワークに限定されます。
- Firepower 4100/9300：展開時に定義された管理タイプインターフェイスと IP アドレス。管理ホストは任意のネットワークからアクセスできます。
- ASA 仮想：管理 0/0（展開時に設定）。管理ホストは管理ネットワークに限定されます。
- ISA 3000：管理 1/1（192.168.1.1）。管理ホストは 192.168.1.0/24 ネットワークに限定されます。

（注）

マルチコンテキストモードに変更すると、上記のネットワーク設定を使用して管理コンテキストから ASDM にアクセスできるようになります。

ASDM アクセスのカスタマイズ

次の条件に 1 つ以上当てはまる場合は、この手順を使用します。

工場出荷時のデフォルトコンフィギュレーションがない。
トランスペアレントファイアウォールモードに変更したい。
マルチコンテキストモードに変更したい。

シングルルーテッドモードの場合、ASDM に迅速かつ容易にアクセスするために、独自の管理 IP アドレスを設定できるオプションを備えた工場出荷時のデフォルトコンフィギュレーションを適用することを推奨します。この項に記載されている手順は、特別なニーズ（トランスペアレントモードやマルチコンテキストモードの設定など）がある場合や、他の設定を維持する必要がある場合にのみ使用してください。

（注）

ASAv の場合、導入時にトランスペアレントモードを設定できるため、この手順は、設定をクリアする必要がある場合など、導入後に特に役立ちます。

手順

ステップ 1	コンソールポートで CLI にアクセスします。
ステップ 2	（オプション）トランスペアレントファイアウォールモードをイネーブルにします。このコマンドは、設定をクリアします。 firewall transparent
ステップ 3	管理インターフェイスを設定します。 `interface interface_id nameif name security-level level no shutdown ip address ip_address mask` 例: `ciscoasa(config)# interface management 0/0 ciscoasa(config-if)# nameif management ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0` security-level は、1 ～ 100 の数字です。100 が最も安全です。
ステップ 4	（直接接続された管理ホスト用）管理ネットワークの DHCP プールを設定します。 `dhcpd address ip_address-ip_address interface_name dhcpd enable interface_name` 例: `ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 management ciscoasa(config)# dhcpd enable management` その範囲にインターフェイスアドレスが含まれていないことを確認します。
ステップ 5	（リモート管理ホスト用）管理ホストへのルートを設定します。 route `management_ifc` `management_host_ip` `mask` `gateway_ip` 1 例: `ciscoasa(config)# route management 10.1.1.0 255.255.255.0 192.168.1.50 1`
ステップ 6	ASDM の HTTP サーバーをイネーブルにします。 http server enable
ステップ 7	管理ホストの ASDM へのアクセスを許可します。 http `ip_address` `mask` `interface_name` 例: `ciscoasa(config)# http 192.168.1.0 255.255.255.0 management`
ステップ 8	設定を保存します。 write memory
ステップ 9	（オプション）モードをマルチモードに設定します。 mode multiple プロンプトが表示されたら、既存の設定を管理コンテキストに変換することを承認します。ASA をリロードするよう求められます。

例

次の設定では、ファイアウォールモードがトランスペアレントモードに変換され、Management 0/0 インターフェイスが設定され、管理ホストに対して ASDM がイネーブルにされます。


firewall transparent
interface management 0/0

ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown

dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
http server enable
http 192.168.1.0 255.255.255.0 management

ASDM の起動

ASDM は、次の 2 つの方法で起動できます。

ASDM-IDM ランチャ：ランチャは、ASA から Web ブラウザを使用してダウンロードされるアプリケーションです。これを使用すると、任意の ASA IP アドレスに接続できます。他の ASA に接続する場合、ランチャを再度ダウンロードする必要はありません。
Java Web Start：管理する ASA ごとに Web ブラウザで接続して、Java Web Start アプリケーションを保存または起動する必要があります。任意でコンピュータにショートカットを保存できます。ただし、ASA IP アドレスごとにショートカットを分ける必要があります。

（注）

Web Start を使用する場合は、Java キャッシュをクリアしてください。クリアしない場合、Hostscan などのログイン前ポリシーに対する変更が失われる可能性があります。この問題は、ランチャを使用している場合には発生しません。

ASDM では、管理のために別の ASA IP アドレスを選択できます。ランチャと Java Web Start の機能の違いは、主に、ユーザーが最初にどのように ASA に接続し、ASDM を起動するかにあります。

ここでは、まず ASDM に接続する方法について説明します。次にランチャまたは Java Web Start を使用して ASDM を起動する方法について説明します。

ASDM はローカルの \Users\<user_id>\.asdm ディレクトリ内にキャッシュ、ログ、設定などのファイルを保存し、Temp ディレクトリ内にも AnyConnect クライアントプロファイルなどのファイルを保存します。

手順

ステップ 1

ASDM クライアントとして指定したコンピュータで次の URL を入力します。

https://asa_ip_address/admin

（注）

http:// や IP アドレス（デフォルトは HTTP）ではなく、必ず https:// を指定してください。 ASA は、HTTP 要求を HTTPS に自動的に転送しません。

次のボタンを持つ ASDM 起動ページが表示されます。

Install ASDM Launcher and Run ASDM
Run ASDM
Run Startup Wizard

ステップ 2

ランチャをダウンロードするには、次の手順を実行します。

[Install ASDM Launcher and Run ASDM] をクリックします。
ユーザー名とパスワードのフィールドを空のままにし（新規インストールの場合）、[OK] をクリックします。HTTPS 認証が設定されていない場合は、ユーザー名およびイネーブル パスワード（デフォルトで空白）を入力しないで ASDM にアクセスできます。CLI で enable コマンドを最初に入力したときに、パスワードを変更するように求められます。ASDM にログインしたときには、この動作は適用されません。空白のままにしないように、できるだけ早くイネーブルパスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブルパスワードと Telnet パスワードの設定を参照してください。注：HTTPS 認証をイネーブルにした場合、ユーザー名と関連付けられたパスワードを入力します。認証が有効でない場合でも、ログイン画面で（ユーザー名をブランクのままにしないで）ユーザー名とパスワードを入力すると、ASDM によってローカルデータベースで一致がチェックされます。
インストーラをコンピュータに保存して、インストーラを起動します。インストールが完了すると、ASDM-IDM ランチャが自動的に開きます。
管理 IP アドレス、および同じユーザー名とパスワード（新規インストールの場合は空白）を入力し、[OK] をクリックします。

ステップ 3

Java Web Start を使用するには、次の手順を実行します。

[Run ASDM] または [Run Startup Wizard] をクリックします。
プロンプトが表示されたら、ショートカットをコンピュータに保存します。オプションで、アプリケーションを保存せずに開くこともできます。
ショートカットから Java Web Start を起動します。
表示されたダイアログボックスに従って、任意の証明書を受け入れます。Cisco ASDM-IDM Launcher が表示されます。
ユーザー名とパスワードのフィールドを空のままにし（新規インストールの場合）、[OK] をクリックします。HTTPS 認証が設定されていない場合は、ユーザー名およびイネーブル パスワード（デフォルトで空白）を入力しないで ASDM にアクセスできます。CLI で enable コマンドを最初に入力したときに、パスワードを変更するように求められます。ASDM にログインしたときには、この動作は適用されません。空白のままにしないように、できるだけ早くイネーブルパスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブルパスワードと Telnet パスワードの設定を参照してください。注：HTTPS 認証をイネーブルにした場合、ユーザー名と関連付けられたパスワードを入力します。認証が有効でない場合でも、ログイン画面で（ユーザー名をブランクのままにしないで）ユーザー名とパスワードを入力すると、ASDM によってローカルデータベースで一致がチェックされます。

ASDM 動作のカスタマイズ

アイデンティティ証明書をインストールして ASDM を正常に起動するだけでなく、ASDM ヒープメモリを増大することもできるため、より大きいサイズのコンフィギュレーションを処理できます。

ASDM のアイデンティティ証明書のインストール

Java 7 Update 51 以降を使用する場合、ASDM ランチャには信頼できる証明書が必要です。証明書の要件は、自己署名付きの ID 証明書をインストールすることによって簡単に満たすことができます。証明書をインストールするまで、Java Web Start を使用して ASDM を起動することができます。

ASDM で使用するために ASA に自己署名された ID 証明書をインストールし、Java を使用して証明書を登録するには、次のマニュアルを参照してください。

http://www.cisco.com/go/asdm-certificate

ASDM コンフィギュレーションメモリの増大

ASDM でサポートされる最大設定サイズは 512 KB です。このサイズを超えると、パフォーマンスの問題が生じることがあります。たとえば、コンフィギュレーションのロード時には、完了したコンフィギュレーションの割合がステータスダイアログボックスに表示されます。このとき、サイズの大きいコンフィギュレーションでは、ASDM によってまだコンフィギュレーションの処理が行われていても、完了した割合の増分が停止し、操作が中断されているように見えます。このような状況が発生した場合は、ASDM システムヒープメモリの増大を検討することを推奨します。

Windows での ASDM コンフィギュレーションメモリの増大

ASDM ヒープメモリサイズを増大するには、次の手順を実行して run.bat ファイルを編集します。

手順

ステップ 1	ASDM インストールディレクトリ（たとえば、C:\Program Files (x86)\Cisco Systems\ASDM）に移動します。
ステップ 2	任意のテキストエディタを使用して run.bat ファイルを編集します。
ステップ 3	「start javaw.exe」で始まる行で、「-Xmx」のプレフィックスが付いた引数を変更し、目的のヒープサイズを指定します。たとえば、768 MB の場合は -Xmx768M に変更し、1 GB の場合は -Xmx1G に変更します。
ステップ 4	run.bat ファイルを保存します。

Mac OS での ASDM コンフィギュレーションメモリの増大

ASDM ヒープメモリサイズを増大するには、次の手順を実行して Info.plist ファイルを編集します。

手順

ステップ 1	[Cisco ASDM-IDM] アイコンを右クリックし、[Show Package Contents] を選択します。
ステップ 2	[Contents] フォルダで、Info.plist ファイルをダブルクリックします。開発者ツールをインストールしている場合は、プロパティリストエディタで開きます。そうでない場合は、TextEdit で開きます。
ステップ 3	[Java] > [VMOptions] で、「-Xmx」のプレフィックスが付いた文字列を変更し、必要なヒープサイズを指定します。たとえば、768 MB の場合は -Xmx768M に変更し、1 GB の場合は -Xmx1G に変更します。
ステップ 4	このファイルがロックされると、次のようなエラーが表示されます。
ステップ 5	[Unlock] をクリックし、ファイルを保存します。 [Unlock] ダイアログボックスが表示されない場合は、エディタを終了します。[Cisco ASDM-IDM] アイコンを右クリックし、[Copy Cisco ASDM-IDM] を選択して、書き込み権限がある場所（デスクトップなど）に貼り付けます。その後、このコピーからヒープサイズを変更します。

工場出荷時のデフォルト設定

工場出荷時のデフォルト設定とは、シスコが新しい ASA に適用したコンフィギュレーションです。

Firepower 1010：工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部スイッチポートから ASDM を使用して管理できます。
Firepower 1100：工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。
Firepower 2100：プラットフォームモード（デフォルト）：工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスから Secure Firewall Chassis Manager（旧 Firepower Chassis Manager）と ASDM を使用して管理できます。

アプライアンスモード：アプライアンスモードに変更すると、工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。
Secure Firewall 3100：工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。
Firepower 4100/9300 シャーシ：ASA のスタンドアロンまたはクラスタを展開する場合、管理用のインターフェイスは工場出荷時のデフォルト設定によって設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。
ASA 仮想：ハイパーバイザによっては、展開の一環として、展開設定（初期の仮想展開設定）によって管理用のインターフェイスが設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。フェールオーバー IP アドレスも設定できます。また、必要に応じて、「工場出荷時のデフォルト」コンフィギュレーションを適用することもできます。
ISA 3000：工場出荷時のデフォルト設定は、同じネットワーク上のすべての内部および外部インターフェイスを使用した、ほぼ完全なトランスペアレントファイアウォールモード設定です。ASDM を使用して管理インターフェイスに接続し、ネットワークの IP アドレスを設定できます。ハードウェアバイパスは 2 つのインターフェイスペアに対して有効になっていて。

アプライアンスの場合、工場出荷時のデフォルト設定は、工場出荷時のデフォルト設定がトランスペアレントモードでのみ使用可能な ISA 3000 を除き、ルーテッドファイアウォールモードとシングルコンテキストモードのみで使用できます。ASA 仮想および Firepower 4100/9300 シャーシの場合、展開時にトランスペアレントモードまたはルーテッドモードを選択できます。

（注）

イメージファイルと（隠された）デフォルトコンフィギュレーションに加え、log/、crypto_archive/、および coredumpinfo/coredump.cfg がフラッシュメモリ内の標準のフォルダとファイルです。フラッシュメモリ内で、これらのファイルの日付は、イメージファイルの日付と一致しない場合があります。これらのファイルは、トラブルシューティングに役立ちますが、障害が発生したことを示すわけではありません。

工場出荷時のデフォルト設定の復元

この項では、工場出荷時のデフォルトコンフィギュレーションを復元する方法について説明します。CLI および ASDM の両方の手順が提供されています。ASA 仮想では、この手順を実行することで展開設定が消去され、次の設定が適用されます。


interface management 0/0
  ip address 192.168.1.1 255.255.255.0
  nameif management
  security-level 100
  no shutdown
!
asdm logging informational
asdm history enable
!
http server enable
http 192.168.1.0 255.255.255.0 management
!
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management

（注）

Firepower 4100/9300 では、工場出荷時のデフォルト設定を復元すると単に設定が消去されるだけです。デフォルト設定を復元するには、スーパバイザから ASA をもう一度展開する必要があります。

始める前に

この機能は、ISA 3000 を除き、ルーテッドファイアウォールモードでのみ使用できます（ISA 3000 では、このコマンドはトランスペアレントモードでのみサポートされます）。さらに、この機能はシングルコンテキストモードでのみ使用できます。コンフィギュレーションがクリアされた ASA には、この機能を使用して自動的に設定する定義済みコンテキストがありません。

手順

ステップ 1

工場出荷時のデフォルトコンフィギュレーションを復元します。

configure factory-default [ip_address [mask]]

例:


ciscoasa(config)# configure factory-default 10.1.1.1 255.255.255.0

（注）

このコマンドは、Firepower 2100 の現在設定されているモード（アプライアンスまたはプラットフォーム）をクリアしません。

ip_address を指定する場合は、デフォルトの IP アドレスを使用する代わりに、お使いのモデルに応じて、内部または管理インターフェイスの IP アドレスを設定します。ip_address オプションで設定されているインターフェイスについては、次のモデルのガイドラインを参照してください。

Firepower 1010：管理インターフェイスの IP アドレスを設定します。
Firepower 1100：内部インターフェイスの IP アドレスを設定します。
アプライアンスモードの Firepower 2100：内部インターフェイスの IP アドレスを設定します。
プラットフォームモードの Firepower 2100：管理インターフェイスの IP アドレスを設定します。
Secure Firewall 3100：内部インターフェイスの IP アドレスを設定します。
Firepower 4100/9300：効果はありません。
ASA 仮想：管理インターフェイスの IP アドレスを設定します。
ISA 3000：管理インターフェイスの IP アドレスを設定します。

http コマンドでは、ユーザーが指定するサブネットが使用されます。同様に、dhcpd address コマンドの範囲は、指定した IP アドレスよりも大きい使用可能なすべてのアドレスで構成されます。たとえば、サブネットマスク 255.255.255.0 で 10.5.6.78 を指定した場合、DHCP アドレスの範囲は 10.5.6.79 ～ 10.5.6.254 になります。

Firepower 1000、およびアプライアンスモードの Firepower 2100、および Secure Firewall 3100 の場合：このコマンドは、残りの設定とともに boot system コマンドをクリアします（存在する場合）。この設定変更は、ブートアップ時のイメージには影響を与えず、現在ロードされているイメージが引き続き使用されます。

プラットフォームモードの Firepower 2100 の場合：このモデルでは、boot system コマンドは使用されません。パッケージは FXOS によって管理されます。

その他すべてのモデルの場合：このコマンドは、残りの設定とともに boot system コマンドをクリアします（存在する場合）。boot system コマンドを使用すると、特定のイメージから起動できます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュメモリの最初のイメージからブートします。内部フラッシュメモリにイメージがない場合、ASA はブートしません。

例:


docs-bxb-asa3(config)# configure factory-default 10.86.203.151 255.255.254.0
Based on the management IP address and mask, the DHCP address
pool size is reduced to 103 from the platform limit 256

WARNING: The boot system configuration will be cleared.
The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
not boot.

Begin to apply factory-default configuration:
Clear all configuration
WARNING: The new maximum-session limit will take effect after the running-config is saved and the system boots next time. Command accepted
WARNING: Local user database is empty and there are still 'aaa' commands for 'LOCAL'.
Executing command: interface management0/0
Executing command: nameif management
INFO: Security level for "management" set to 0 by default.
Executing command: ip address 10.86.203.151 255.255.254.0
Executing command: security-level 100
Executing command: no shutdown
Executing command: exit
Executing command: http server enable
Executing command: http 10.86.202.0 255.255.254.0 management
Executing command: dhcpd address 10.86.203.152-10.86.203.254 management
Executing command: dhcpd enable management
Executing command: logging asdm informational
Factory-default configuration is completed
ciscoasa(config)#

ステップ 2

デフォルトコンフィギュレーションをフラッシュメモリに保存します。

write memory

このコマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップコンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

ステップ 3

（ASDM での手順。）メイン ASDM アプリケーションウィンドウで、次を実行します。

[File] > [Reset Device to the Factory Default Configuration] の順に選択します。

[Reset Device to the Default Configuration] ダイアログボックスが表示されます。
（オプション）デフォルトアドレスを使用する代わりに、管理または内部インターフェイスの管理 IP アドレスを入力します。

モデルごとに設定されているインターフェイス IP の詳細については、前述の CLI 手順を参照してください。
（オプション）ドロップダウンリストから [Management Subnet Mask] を選択します。

[OK] をクリックします。

確認用のダイアログボックスが表示されます。

（注）

Firepower 1000、およびアプライアンスモードの Firepower 2100、および Secure Firewall 3100 の場合：このコマンドは、残りの設定とともにブートイメージの場所をクリアします（存在する場合）。この設定変更は、ブートアップ時のイメージには影響を与えず、現在ロードされているイメージが引き続き使用されます。

プラットフォームモードの Firepower 2100 の場合：このモデルでは、ブートイメージの場所は使用されません。パッケージは FXOS によって管理されます。

その他すべてのモデルの場合：この操作により、残りの設定とともにブートイメージの場所もクリアされます（存在する場合）。[Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration] ペインでは、外部メモリ上のイメージを含む、特定のイメージからブートできます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュメモリの最初のイメージからブートします。内部フラッシュメモリにイメージがない場合、ASA はブートしません。

[Yes] をクリックします。
デフォルト設定を復元したら、この設定を内部フラッシュメモリに保存します。[File] > [Save Running Configuration to Flash] を選択します。

このオプションを選択すると、以前に別の場所を設定している場合でも、実行コンフィギュレーションがスタートアップコンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションをクリアした場合は、このパスもクリアされています。

ASA 仮想導入設定の復元

この項では、ASA 仮想の導入（0 日）設定を復元する方法について説明します。

手順

ステップ 1

フェールオーバーを行うために、スタンバイ装置の電源を切ります。

スタンバイユニットがアクティブになることを防ぐために、電源をオフにする必要があります。電源を入れたままにした場合、アクティブ装置の設定を消去すると、スタンバイ装置がアクティブになります。以前のアクティブユニットをリロードし、フェールオーバーリンクを介して再接続すると、古い設定は新しいアクティブユニットから同期し、必要な導入コンフィギュレーションが消去されます。

ステップ 2

リロード後に導入設定を復元します。フェールオーバーを行うために、アクティブ装置で次のコマンドを入力します。

write erase

（注）

ASA 仮想が現在の実行イメージをブートするため、元のブートイメージには戻りません。元のブートイメージを使用するには、boot image コマンドを参照してください。

コンフィギュレーションは保存しないでください。

ステップ 3

ASA 仮想をリロードし、導入設定をロードします。

reload

ステップ 4

フェールオーバーを行うために、スタンバイ装置の電源を投入します。

アクティブ装置のリロード後、スタンバイ装置の電源を投入します。導入設定がスタンバイ装置と同期されます。

Firepower 1010 のデフォルト設定

Firepower 1010 の工場出荷時のデフォルト設定は、次のとおりです。

ハードウェアスイッチ：イーサネット 1/2 ～ 1/8 は VLAN 1 に属しています。
内部から外部へのトラフィックフロー：イーサネット 1/1（外部）、VLAN 1（内部）
管理：管理 1/1（管理）、IP アドレス：192.168.45.1
DHCP の外部 IP アドレス、内部 IP アドレス：192.168.1.1
内部インターフェイスの DHCP サーバー、管理インターフェイス
外部 DHCP からのデフォルトルート
ASDM アクセス：管理ホストと内部ホストに許可されます。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。
NAT：内部から外部へのすべてのトラフィック用のインターフェイス PAT。
DNS サーバー：OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。


interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
!
interface Management1/1
managment-only
nameif management
no shutdown
security-level 100
ip address 192.168.45.1 255.255.255.0
!
interface Ethernet1/1
nameif outside
ip address dhcp setroute
no shutdown
!
interface Ethernet1/2
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/3
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/4
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/5
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/6
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/7
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/8
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
object network obj_any
   subnet 0.0.0.0 0.0.0.0
   nat (any,outside) dynamic interface
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd address 192.168.45.10-192.168.45.12 management
dhcpd enable inside
dhcpd enable management
!
http server enable
http 192.168.45.0 255.255.255.0 management
http 192.168.1.0 255.255.255.0 inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 1100 のデフォルト設定

Firepower 1100 の工場出荷時のデフォルト設定は、次のとおりです。

内部から外部へのトラフィックフロー：Ethernet 1/1（外部）、Ethernet 1/2（内部）
DHCP の外部 IP アドレス、内部 IP アドレス：192.168.1.1
管理：Management 1/1（管理）、DHCP からの IP アドレス
内部インターフェイスの DHCP サーバー
外部 DHCP、管理 DHCP からのデフォルトルート
ASDM アクセス：管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。
NAT：内部から外部へのすべてのトラフィック用のインターフェイス PAT。
DNS サーバー：OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 2100 プラットフォームモードのデフォルト設定

Firepower 2100 はプラットフォームモードで実行するように設定できます。デフォルトはアプライアンスモードです。

（注）

9.13(1) 以前のバージョンでは、プラットフォームモードがデフォルトであり、唯一のオプションでした。プラットフォームモードからアップグレードする場合、このモードが維持されます。

ASA の設定

Firepower 2100 上の ASA の工場出荷時のデフォルト設定は、次のとおりです。

内部から外部へのトラフィックフロー：Ethernet 1/1（外部）、Ethernet 1/2（内部）
DHCP の外部 IP アドレス、内部 IP アドレス：192.168.1.1
内部インターフェイスの DHCP サーバー
外部 DHCP からのデフォルトルート
管理：管理 1/1（管理）、IP アドレス：192.168.45.1
ASDM アクセス：管理ホストに許可されます。
NAT：内部から外部へのすべてのトラフィック用のインターフェイス PAT。
FXOS 管理トラフィックの開始：FXOS シャーシは、ASA 外部インターフェイス上で管理トラフィックを開始できます。
DNS サーバー：OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address 192.168.45.1 255.255.255.0
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 192.168.45.0 255.255.255.0 management
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
ip-client outside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside

FXOS の設定

Firepower 2100 上の FXOS の工場出荷時のデフォルト設定は、次のとおりです。

管理 1/1：IP アドレス 192.168.45.45
デフォルトゲートウェイ：ASA データインターフェイス
Chassis Manager および SSH アクセス：管理ネットワークからのみ。
デフォルトのユーザー名：admin、デフォルトのパスワード：Admin123
DHCP サーバー：クライアント IP アドレス範囲 192.168.45.10 ～ 192.168.45.12
NTP サーバー：Cisco NTP サーバー：0.sourcefire.pool.ntp.org、1.sourcefire.pool.ntp.org、2.sourcefire.pool.ntp.org
DNS サーバー：OpenDNS：208.67.222.222、208.67.220.220
イーサネット 1/1 およびイーサネット 1/2：有効

Firepower 2100 アプライアンスモードのデフォルト設定

デフォルトでは、Firepower 2100 はアプライアンスモードで実行されます。

（注）

9.13(1) 以前のバージョンでは、プラットフォームモードがデフォルトであり、唯一のオプションでした。プラットフォームモードからアップグレードする場合、プラットフォームモードが維持されます。

アプライアンスモードの Firepower 2100 の工場出荷時のデフォルト設定は、次のとおりです。

内部から外部へのトラフィックフロー：Ethernet 1/1（外部）、Ethernet 1/2（内部）
DHCP の外部 IP アドレス、内部 IP アドレス：192.168.1.1
DHCP からの管理 IP アドレス：管理 1/1（管理）
内部インターフェイスの DHCP サーバー
外部 DHCP、管理 DHCP からのデフォルトルート
ASDM アクセス：管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。
NAT：内部から外部へのすべてのトラフィック用のインターフェイス PAT。
DNS サーバー：OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 management
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Cisco Secure Firewall 3100 デフォルト設定

Cisco Secure Firewall 3100 の工場出荷時のデフォルト設定は、次のとおりです。

内部から外部へのトラフィックフロー：Ethernet 1/1（外部）、Ethernet 1/2（内部）
DHCP の外部 IP アドレス、内部 IP アドレス：192.168.1.1
管理：Management 1/1（管理）、DHCP からの IP アドレス
内部インターフェイスの DHCP サーバー
外部 DHCP、管理 DHCP からのデフォルトルート
ASDM アクセス：管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。
NAT：内部から外部へのすべてのトラフィック用のインターフェイス PAT。
DNS サーバー：OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 4100/9300 シャーシデフォルト設定

Firepower 4100/9300 シャーシ上に ASA を展開した場合、ASDM を使用して管理インターフェイスへの接続が可能になる多くのパラメータを事前設定できます。一般的な構成には次の設定があります。

管理インターフェイス：
- Firepower 4100/9300 シャーシスーパバイザ上で定義された任意の管理タイプインターフェイス
- 名前は「management」
- 任意の IP アドレス
- セキュリティレベル 0
- 管理専用
管理インターフェイス内のデファルトルート
ASDM アクセス：すべてのホストが許可されます。

スタンドアロンユニットの設定は、次のコマンドで構成されます。クラスタユニットの追加の設定については、ASA クラスタの作成を参照してください。


interface <management_ifc>
  management-only
  ip address <ip_address> <mask>
  ipv6 address <ipv6_address>
  ipv6 enable
  nameif management
  security-level 0
  no shutdown
!
http server enable
http 0.0.0.0 0.0.0.0 management
http ::/0 management
!
route management 0.0.0.0 0.0.0.0 <gateway_ip> 1
ipv6 route management ::/0 <gateway_ipv6>

ISA 3000 のデフォルト設定

ISA 3000 の工場出荷時のデフォルト設定は、次のとおりです。

トランスペアレントファイアウォールモード：トランスペアレントファイアウォールは、「Bump In The Wire」または「ステルスファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータホップとしては認識されません。
1 ブリッジ仮想インターフェイス：すべてのメンバーインターフェイスは同じネットワーク内に存在しています（IP アドレスは事前設定されていません。ネットワークと一致するように設定する必要があります）：GigabitEthernet 1/1 （outside1）、GigabitEthernet 1/2（inside1）、GigabitEthernet 1/3（outside2）、GigabitEthernet 1/4（inside2）
すべての内部および外部インターフェイスは相互通信できます。
管理 1/1 インターフェイス：ASDM アクセスの 192.168.1.1/24。
管理上のクライアントに対する DHCP。
ASDM アクセス：管理ホストに許可されます。

ハードウェアバイパスは、次のインターフェイスペアで有効になっています。GigabitEthernet 1/1 および 1/2。GigabitEthernet 1/3 および 1/4

（注）

ISA 3000 への電源が切断され、ハードウェアバイパスモードに移行すると、通信できるのは上記のインターフェイスペアのみになります。inside1 と inside2 および outside1 と outside2 は通信できなくなります。これらのインターフェイス間の既存の接続がすべて失われます。電源が再投入されると、ASA がフローを引き継ぐため、接続が短時間中断されます。

このコンフィギュレーションは次のコマンドで構成されています。


firewall transparent

interface GigabitEthernet1/1
 	bridge-group 1
 	nameif outside1
 	security-level 0
		no shutdown
interface GigabitEthernet1/2
	 bridge-group 1
 	nameif inside1
 	security-level 100
 	no shutdown
interface GigabitEthernet1/3
	 bridge-group 1
	 nameif outside2
	 security-level 0
 	no shutdown
interface GigabitEthernet1/4
 	bridge-group 1
 	nameif inside2
 	security-level 100
 	no shutdown
interface Management1/1
		management-only
		no shutdown
		nameif management
		security-level 100
		ip address 192.168.1.1 255.255.255.0
interface BVI1
		no ip address

access-list allowAll extended permit ip any any
access-group allowAll in interface outside1
access-group allowAll in interface outside2

same-security-traffic permit inter-interface

hardware-bypass GigabitEthernet 1/1-1/2
hardware-bypass GigabitEthernet 1/3-1/4

http server enable
http 192.168.1.0 255.255.255.0 management

dhcpd address 192.168.1.5-192.168.1.254 management
dhcpd enable management

ASA 仮想による展開の設定

ASA 仮想を導入すると、ASDM を使用して、Management 0/0 インターフェイスへの接続を可能にする多数のパラメータをプリセットできます。一般的な構成には次の設定があります。

ルーテッドファイアウォールモードまたはトランスペアレントファイアウォールモード
Management 0/0 インターフェイス：
- 名前は「management」
- IP アドレスまたは DHCP
- セキュリティレベル 0
管理ホスト IP アドレスのスタティックルート（管理サブネット上にない場合）
HTTP サーバーの有効または無効
管理ホスト IP アドレス用の HTTP アクセス
（オプション）GigabitEthernet 0/8 用のフェールオーバーリンク IP アドレス、Management0/0 のスタンバイ IP アドレス
DNS サーバー
スマートライセンス ID トークン
スマートライセンスのスループットレベルおよび標準機能階層
（オプション）Smart Call Home HTTP プロキシ URL およびポート
（オプション）SSH 管理設定：
- クライアント IP アドレス
- ローカルユーザー名とパスワード
- ローカルデータベースを使用する SSH に必要な認証
（オプション）REST API の有効または無効

（注）

Cisco Licensing Authority に ASA 仮想を正常に登録するには、ASA 仮想にインターネットアクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。

スタンドアロンユニットについては、次の設定例を参照してください。


interface Management0/0
  nameif management
  security-level 0
  ip address ip_address
  
  no shutdown
http server enable
http managemment_host_IP mask management
route management management_host_IP mask gateway_ip 1
dns server-group DefaultDNS
  name-server ip_address
call-home
  http-proxy ip_address port port
license smart
  feature tier standard
  throughput level {100M | 1G | 2G}
  license smart register idtoken id_token
aaa authentication ssh console LOCAL
username username password password
ssh source_IP_address mask management
rest-api image boot:/path
rest-api agent

（注）

Essentials ライセンスは、以前は「標準」ライセンスと呼ばれていました。

フェールオーバーペアのプライマリユニットについては、次の設定例を参照してください。


nameif management
  security-level 0
  ip address ip_address standby standby_ip
  
  no shutdown
route management management_host_IP mask gateway_ip 1
http server enable
http managemment_host_IP mask management
dns server-group DefaultDNS
  name-server ip_address
call-home
  http-proxy ip_address port port
license smart
  feature tier standard
  throughput level {100M | 1G | 2G}
  license smart register idtoken id_token
aaa authentication ssh console LOCAL
username username password password
ssh source_IP_address mask management
rest-api image boot:/path
rest-api agent
failover 
failover lan unit primary
failover lan interface fover gigabitethernet0/8
failover link fover gigabitethernet0/8
failover interface ip fover primary_ip mask standby standby_ip

アプライアンスまたはプラットフォームモードへの Firepower 2100 の設定

Firepower 2100 は、FXOS と呼ばれる基盤となるオペレーティングシステムを実行します。Firepower 2100 は、次のモードで実行できます。

アプライアンスモード（デフォルト）：アプライアンスモードでは、ASA のすべての設定を行うことができます。FXOS CLI からは、高度なトラブルシューティングコマンドのみ使用できます。
プラットフォームモード：プラットフォームモードでは、FXOS で、基本的な動作パラメータとハードウェアインターフェイスの設定を行う必要があります。これらの設定には、インターフェイスの有効化、EtherChannels の確立、NTP、イメージ管理などが含まれます。Chassis Manager Web インターフェイスまたは FXOS CLI を使用できます。その後、ASDM または ASA CLI を使用して ASA オペレーティングシステムにセキュリティポリシーを設定できます。

この手順では、モードの変更方法について説明します。モードを変更すると、設定がクリアされ、システムをリロードする必要があります。デフォルト設定は、リロード時に適用されます。clear configure all および configure factory-default コマンドは、現在のモードをクリアしません。

始める前に

モードは、CLI でのみ変更できます。

手順

ステップ 1	（任意）現在の設定をバックアップします。コンフィギュレーションまたはその他のファイルのバックアップと復元を参照してください。アプライアンスモードの設定とプラットフォームモードの設定には多少の違いがありますが、古い設定のコピーを出発点にすることをお勧めします。たとえば、プラットフォームモードの場合、NTP、DNS、および EtherChannel の設定は ASA 設定の一部ではないため、バックアップには含まれませんが、その他のほとんどの ASA 設定は両方のモードで有効です。
ステップ 2	現在のモードを表示します。 show fxos mode 例: `ciscoasa(config)# show fxos mode Mode is currently set to appliance`
ステップ 3	モードをプラットフォームモードに設定します。 no fxos mode appliance write memory reload モードを設定したら、設定を保存してデバイスをリロードする必要があります。リロードする前に、中断することなく、モードを元の値に戻すことができます。例: `ciscoasa(config)# no fxos mode appliance Mode set to platform mode WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted. ciscoasa(config)# write memory Building configuration... Cryptochecksum: c0532471 648dc7c2 4f2b4175 1f162684 23736 bytes copied in 1.520 secs (23736 bytes/sec) [OK] ciscoasa(config)# reload Proceed with reload? [confirm]`
ステップ 4	モードをアプライアンスモードに設定します。 fxos mode appliance write memory reload モードを設定したら、設定を保存してデバイスをリロードする必要があります。リロードする前に、中断することなく、モードを元の値に戻すことができます。例: `ciscoasa(config)# fxos mode appliance Mode set to appliance mode WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted. ciscoasa(config)# write memory Building configuration... Cryptochecksum: c0532471 648dc7c2 4f2b4175 1f162684 23736 bytes copied in 1.520 secs (23736 bytes/sec) [OK] ciscoasa(config)# reload Proceed with reload? [confirm]`

設定の開始

ASA を設定してモニターするには、次の手順を実行します。

（注）

ASDM では、最大 512 KB の設定をサポートしています。このサイズを超えると、パフォーマンスの問題が生じることがあります。ASDM コンフィギュレーションメモリの増大を参照してください。

手順

ステップ 1

Startup Wizard を使用して初期設定を行うには、[Wizards] > [Startup Wizard] を選択します。

ステップ 2

IPsec VPN Wizard を使用して IPsec VPN 接続を設定するには、[Wizards] > [IPsecVPN Wizard] を選択して、表示される各画面で設定を行います。

ステップ 3

SSL VPN Wizard を使用して SSL VPN 接続を設定するには、[Wizards] > [SSL VPN Wizard] を選択して、表示される各画面で設定を行います。

ステップ 4

高可用性とスケーラビリティに関する設定値を設定するには、[Wizards] > [High Availability and Scalability Wizard] を選択します。

ステップ 5

Packet Capture Wizard を使用してパケットキャプチャを設定するには、[Wizards] > [Packet Capture Wizard] を選択します。

ステップ 6

ASDM GUI で使用できるさまざまな色とスタイルを表示するには、[View] > [Office Look and Feel] を選択します。

ステップ 7

機能を設定するには、ツールバーの [Configuration] ボタンをクリックし、いずれかの機能ボタンをクリックして、関連する設定ペインを表示します。

（注）

[Configuration] 画面が空白の場合は、ツールバーで [Refresh] をクリックして、画面のコンテンツを表示します。

ステップ 8

ASA をモニターするには、ツールバーの [Monitoring] ボタンをクリックし、機能ボタンをクリックして、関連するモニタリングペインを表示します。

ASDM でのコマンドラインインターフェイスツールの使用

この項では、ASDM を使用してコマンドを入力する方法および CLI の使用方法について説明します。

コマンドラインインターフェイスツールの使用

この機能には、コマンドを ASA に送信して結果を表示する、テキストベースのツールが用意されています。

CLI ツールによって入力可能なコマンドは、ユーザー権限によって異なります。メイン ASDM アプリケーションウィンドウの下部にあるステータスバーの権限レベルを見て、CLI 特権コマンドを実行するために必要な特権があるかどうかを確認してください。

始める前に

ASDM の CLI ツールから入力するコマンドは、ASA の接続ターミナルから入力するコマンドと動作が異なる場合があります。
コマンドエラー：誤った入力コマンドによってエラーが発生した場合、その誤ったコマンドはスキップされ、その他のコマンドは処理されます。[Response] 領域には、他の関連情報とともに、エラーが発生したかどうかについての情報を示すメッセージが表示されます。
インタラクティブコマンド：インタラクティブコマンドは、CLI ツールではサポートされていません。これらのコマンドを ASDM で使用するには、次のコマンドに示すように、noconfirm キーワード（使用可能な場合）を使用します。
```
crypto key generate rsa modulus 1024 noconfirm
```
他の管理者との競合を回避：複数の管理ユーザーが ASA の実行コンフィギュレーションをアップデートできます。ASDM の CLI ツールでコンフィギュレーションを変更する場合は、アクティブな管理セッションが他にないことを事前に確認してください。複数のユーザーが同時に ASA を設定した場合、最新の変更が有効になります。

同じ ASA で現在アクティブな他の管理セッションを表示するには、[Monitoring] > [Properties] > [Device Access] の順に選択します。

手順

ステップ 1	メイン ASDM アプリケーションウィンドウで、[Tools] > [Command Line Interface] の順に選択します。 [Command Line Interface] ダイアログボックスが表示されます。
ステップ 2	必要なコマンドのタイプ（1 行または複数行）を選択し、ドロップダウンリストからコマンドを選択するか、または表示されたフィールドにコマンドを入力します。
ステップ 3	[Send] をクリックしてコマンドを実行します。
ステップ 4	新しいコマンドを入力するには、[Clear Response] をクリックしてから、実行する別のコマンドを選択（または入力）します。
ステップ 5	この機能の状況依存ヘルプを表示するには、[Enable context-sensitive help (?)] チェックボックスをオンにします。文脈依存ヘルプをディセーブルにするには、このチェックボックスをオフにします。
ステップ 6	設定を変更した場合は、[Command Line Interface] ダイアログボックスを閉じた後に、[Refresh] をクリックして ASDM での変更内容を表示します。

ASDM によって無視されるコマンドのデバイス上での表示

この機能により、ASDM がサポートしていないコマンドの一覧を表示できます。通常 ASDM は、これらのコマンドを無視します。ASDM は、実行コンフィギュレーションのこれらのコマンドを変更、削除することはありません。詳細については、「サポートされていないコマンド」を参照してください。

手順

ステップ 1	メイン ASDM アプリケーションウィンドウで、[Tools] > [Show Commands Ignored by ASDM on Device] の順に選択します。
ステップ 2	完了したら、[OK] をクリックします。

接続の設定変更の適用

コンフィギュレーションに対してセキュリティポリシーの変更を加えた場合は、すべての新しい接続で新しいセキュリティポリシーが使用されます。既存の接続では、その接続が確立された時点で設定されていたポリシーの使用が続行されます。古い接続に対する show コマンドの出力は古いコンフィギュレーションを反映しており、場合によっては古い接続に関するデータが含まれないことがあります。

たとえば、インターフェイスから QoS service-policy を削除し、修正バージョンを再度追加する場合、show service-policy コマンドには、新しいサービスポリシーと一致する新規接続と関連付けられている QoS カウンタのみ表示されます。古いポリシーの既存の接続はコマンド出力には表示されません。

すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。

接続を解除するには、次のコマンドを入力します。

clear conn[all] [protocol {tcp |udp}] [ address src_ip [-src_ip] [ netmask mask] [ port src_port [-src_port] [ address dest_ip [-dest_ip] [ netmask mask] [ port dest_port [-dest_port]

このコマンドは、すべての状態の接続を終了します。現在のすべての接続を表示するには、show conn コマンドを参照してください。

引数を指定しないと、このコマンドはすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには（現在の管理セッションを含む）、all キーワードを使用します。送信元 IP アドレス、宛先 IP アドレス、ポート、プロトコルに基づいて特定の接続をクリアするには、必要なオプションを指定できます。

ASDM ブック 1：Cisco ASA シリーズ ASDM 7.18 コンフィギュレーション ガイド（一般的な操作）

偏向のない言語

翻訳について

検索結果

章のタイトル： 使用する前に

使用する前に

コマンドライン インターフェイス（CLI）のコンソールへのアクセス

ISA 3000 コンソールへのアクセス

手順

例:

例:

Firepower 2100 プラットフォーム モードのコンソールへのアクセス

始める前に

手順

例:

例:

例:

例:

Firepower 1000、 2100（アプライアンスモード）、および Cisco Secure Firewall 3100 コンソールへのアクセス

手順

例:

例:

例:

Firepower 4100/9300 シャーシ 上の ASA コンソールへのアクセス

手順

例:

例:

例:

ASDM アクセスの設定

ASDM アクセスの工場出荷時のデフォルト設定の使用

手順

ASDM アクセスのカスタマイズ

手順

例:

例:

例:

例:

例

ASDM の起動

手順

ASDM 動作のカスタマイズ

ASDM のアイデンティティ証明書のインストール

ASDM コンフィギュレーション メモリの増大

Windows での ASDM コンフィギュレーション メモリの増大

手順

Mac OS での ASDM コンフィギュレーション メモリの増大

手順

工場出荷時のデフォルト設定

工場出荷時のデフォルト設定の復元

始める前に

手順

例:

例:

ASA 仮想 導入設定の復元

手順

Firepower 1010 のデフォルト設定

Firepower 1100 のデフォルト設定

Firepower 2100 プラットフォームモードのデフォルト設定

ASA の設定

FXOS の設定

Firepower 2100 アプライアンス モードのデフォルト設定

Cisco Secure Firewall 3100 デフォルト設定

Firepower 4100/9300 シャーシ デフォルト設定

ISA 3000 のデフォルト設定

ASA 仮想 による展開の設定

アプライアンスまたはプラットフォーム モードへの Firepower 2100 の設定

始める前に

手順

例:

例:

例:

設定の開始

手順

ASDM でのコマンドライン インターフェイス ツールの使用

コマンドライン インターフェイス ツールの使用

始める前に

手順

ASDM によって無視されるコマンドのデバイス上での表示

手順

接続の設定変更の適用

ASDM ブック 1：Cisco ASA シリーズ ASDM 7.18 コンフィギュレーションガイド（一般的な操作）

章のタイトル：使用する前に

コマンドラインインターフェイス（CLI）のコンソールへのアクセス

Firepower 2100 プラットフォームモードのコンソールへのアクセス

Firepower 4100/9300 シャーシ上の ASA コンソールへのアクセス

ASDM コンフィギュレーションメモリの増大

Windows での ASDM コンフィギュレーションメモリの増大

Mac OS での ASDM コンフィギュレーションメモリの増大

ASA 仮想導入設定の復元

Firepower 2100 アプライアンスモードのデフォルト設定

Firepower 4100/9300 シャーシデフォルト設定

ASA 仮想による展開の設定

アプライアンスまたはプラットフォームモードへの Firepower 2100 の設定

ASDM でのコマンドラインインターフェイスツールの使用

コマンドラインインターフェイスツールの使用