運用・管理 / システム

vFirewallアプリケーションの管理機構にアクセスし、システム関連の基本的な操作や設定を行う方法について解説します。

ご使用にあたっての留意事項

本製品は、AT-AR4050Sなど弊社AlliedWare Plus製品群と共通のソフトウェアを使用しており、同等の機能や操作性を持ちますが、AT-NFV-APLハードウェア上で動作するアプリケーションとして、他のAlliedWare Plus製品とは一部動作や仕様が異なる点があります。

以下、本製品のご使用にあたってご留意いただきたい主要な差異をまとめます。

コンフィグなしで起動した場合の自動設定

vFirewallアプリケーションインスタンスの初期設定直後など、本製品がスタートアップコンフィグなしの状態で起動したときは、下記の設定が自動的に有効になります。

HTTPサーバーの有効化（service httpコマンド）
SSHサーバーの有効化とmanagerユーザーによるSSHログイン許可（service sshコマンドおよびssh server allow-usersコマンド）
ホスト名「AT-vFW-app」の設定（hostnameコマンド）
パスワード有効期限の設定（security-password lifetimeコマンド）
パスワード変更強制の設定（security-password forced-changeコマンド）
AT-NFV-APLのGUI設定画面から設定した以下の項目
- ethXインターフェースのIPv4アドレス（ip addressコマンドまたはip address dhcpコマンド）
- IPv4デフォルトゲートウェイ（ip routeコマンド）
- ethXインターフェースのIPv6アドレス（ipv6 enableコマンド、ipv6 addressコマンドまたはipv6 address dhcpコマンド）
- IPv6デフォルトゲートウェイ（ipv6 routeコマンド）
- DNSサーバーアドレス（ip name-serverコマンド）

AT-NFV-APLのGUI設定画面からのみ操作可能な項目

以下の操作はAT-NFV-APLのGUI設定画面からのみ実行可能です。vFirewallのCLI、Web GUIからは実行できません。

vFirewallアプリケーションの停止・起動（再起動はvFirewallからも可能）
vFirewallアプリケーションのバージョン変更

AT-NFV-APLのGUI設定画面におけるこれらの項目の操作方法については、「AT-NFV-APL」/「運用」をご参照ください。

管理機構へのアクセス

本製品に対する設定は、管理用端末から本製品の管理機構であるコマンドラインインターフェース（CLI）またはWeb GUIにアクセスして行います。
CLIにはWeb GUI上からもアクセスできます。

管理用端末には、次のいずれかを使用します。

ネットワーク上のWebブラウザー（Google ChromeまたはMozilla Firefox）
ネットワーク上のSecure Shell（SSH）クライアント

Webブラウザー

Webブラウザーを使用して本製品のWeb GUIにアクセスする方法については、「Web GUI」/「準備」をご覧ください。

SSHクライアント

vFirewallアプリケーションインスタンスの初期設定直後など、スタートアップコンフィグなしの状態で起動したときは、SSHサーバーが有効に設定されており、デフォルトのmanagerユーザーでログインが可能になっています。

SSHクライアントソフトウェアを使って本製品にSSH接続すると、ユーザー名とパスワード（公開鍵認証時は秘密鍵のパスフレーズ）の入力を求められます。どのような型式で入力を求められるかは、SSHクライアントソフトウェアによって異なります。

SSHサーバーの詳細設定については、「運用・管理」の「Secure Shell」をご覧ください。

起動と停止

vFirewallアプリケーションインスタンスの起動と停止は、AT-NFV-APLのGUI設定画面の「AW+ vFirewall」から行います。
詳しくは、「AT-NFV-APL」/「運用」をご参照ください。

「実行中」のインスタンスを停止するには、「停止」ボタンをクリックします。

「停止済み」のインスタンスを起動するには、「起動」ボタンをクリックします。

本製品の管理機構であるコマンドラインインターフェース（CLI）を利用するには、ユーザー名とパスワードを入力してログインする必要があります。ログインせずに管理作業を行うことはできません。

初期設定では、次に示す権限レベル15のユーザーアカウントが登録されています。初回ログイン時はこのユーザー名とパスワードでログインしてください。

ユーザー名：manager
パスワード：friend

Note

初回ログイン時には、初期パスワードの変更を求める下記のメッセージが表示されますので、新しいパスワードを2回入力してパスワードを変更してください。

% Default password needs to be changed.
Enter new password: XXXXXXXX（実際には表示されません）
Re-Enter new password: XXXXXXXX（実際には表示されません）
Password changed successfully
The running configuration may need to be saved now

AT-vFW-app>

コマンドモード

本製品のコマンドラインインターフェース（CLI）には「コマンドモード」の概念があります。各コマンドはあらかじめ決められたモードでしか実行できないため、コマンドを実行するときは適切なモードに移動し、それからコマンドを入力することになります。

ここでは、本解説編で使用しているコマンドモードと、それらのモード間を移動するための操作について簡単に解説します。より詳しくは、「運用・管理」の「コマンドラインインターフェース（CLI）」をご覧ください。

本解説編で使用しているコマンドモードは次の4つです。

非特権EXECモード
特権EXECモード
グローバルコンフィグモード
インターフェースモード

以下、各モードとモード間の移動方法について概説します。

ログイン直後は「非特権EXECモード」です。

AT-vFW-app>

コマンドプロンプト末尾の「>」が、非特権EXECモードであることを示しています。

非特権EXECモードでは、原則として情報表示コマンド（show xxxx）の一部だけを実行できます。

非特権EXECモードでenableコマンドを実行すると、「特権EXECモード」に移動します。

AT-vFW-app> enable
AT-vFW-app#

コマンドプロンプト末尾の「#」が、特権EXECモードであることを示しています。

特権EXECモードでは、すべての情報表示コマンド（show xxxx）が実行できるほか、システムの再起動や設定保存、ファイル操作など、さまざまな「実行コマンド」（コマンドの効果がその場かぎりであるコマンド。ネットワーク機器としての動作を変更する「設定コマンド」と対比してこう言う）を実行することができます。

特権EXECモードでconfigure terminalコマンドを実行すると、「グローバルコンフィグモード」に移動します。

AT-vFW-app# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
AT-vFW-app(config)#

コマンドプロンプト末尾の「(config)#」が、グローバルコンフィグモードであることを示しています。

グローバルコンフィグモードは、システム全体にかかわる設定コマンドを実行するためのモードです。本解説編においては、ログインパスワードの変更やホスト名の設定、タイムゾーンの設定などをこのモードで行います。

グローバルコンフィグモードでexitコマンド、endコマンドを実行するかCtrl/Zキーを押すと、「特権EXECモード」に戻ります。コマンド行が空の状態でCtrl/Dキーを押しても同じです。

AT-vFW-app(config)# exit
AT-vFW-app#

グローバルコンフィグモードでinterfaceコマンドを実行すると、「インターフェースモード」に移動します。

AT-vFW-app(config)# interface eth0
AT-vFW-app(config-if)#

コマンドプロンプト末尾の「(config-if)#」が、インターフェースモードであることを示しています。

インターフェースモードは、指定したインターフェース固有の設定を行うためのモードです。本解説編においては、IPアドレスの設定をこのモードで行います。

インターフェースモードでexitコマンドを実行すると、グローバルコンフィグモードに戻ります。コマンド行が空の状態でCtrl/Dキーを押しても同じです。

AT-vFW-app(config-if)# exit
AT-vFW-app(config)#

また、インターフェースモードでendコマンドを実行するかCtrl/Zキーを押すと、「特権EXECモード」に戻ります。

AT-vFW-app(config-if)# end
AT-vFW-app#

特権EXECモードでdisableコマンドを実行すると、「非特権EXECモード」に戻ります。

AT-vFW-app# disable
AT-vFW-app>

特権EXECモードか非特権EXECモードでexitコマンド、logoutコマンドを実行すると、ログアウトします。コマンド行が空の状態でCtrl/Dキーを押しても同じです。

AT-vFW-app# exit
Session closed.

実際には、ここに示した4つのほかにも多くのコマンドモードがあります。詳細については、「運用・管理」の「コマンドラインインターフェース（CLI）」をご覧ください。

パスワードの変更

本製品では、初回ログイン時に初期設定パスワードの変更が強制されますが、それ以降も任意のタイミングでパスワードを変更できます。

ログイン後、managerアカウントのパスワードを変更するには次のようにします。

ログイン直後は非特権EXECモードなので、次のようにenableコマンド、configure terminalコマンドの順に実行して、グローバルコンフィグモードに移動します。
```
AT-vFW-app> enable
AT-vFW-app# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
```
usernameコマンドを実行してパスワードを変更します。
```
AT-vFW-app(config)# username manager password o10moDutch
```

ホスト名の設定

ここまでの説明において、プロンプトの先頭に「AT-vFW-app」という文字列が表示されていることにお気づきでしょうか？

プロンプトの先頭部分はホスト名を表示するための領域です。初期状態ではホスト名として「AT-vFW-app」が設定されており、これがプロンプトの先頭に表示されますが、本製品を複数管理している場合など、各システムに異なる名前を設定しておくと、現在どのシステムにログインしているのかがわかりやすくなり便利です。

ホスト名を設定するには、グローバルコンフィグモードのhostnameコマンドを使います。

AT-vFW-app(config)# hostname myrouter
myrouter(config)#

コマンド実行とともに、コマンドプロンプトの先頭が「AT-vFW-app」から「myrouter」に変更されたことに注目してください。ここでは仮に「myrouter」としましたが、実際には各装置を区別するのに適した名前を付けてください。

タイムゾーンの設定

本製品のシステム時計は、AT-NFV-APLのシステム時刻を使用するため設定不要ですが、タイムゾーン（時間帯）はvFirewallアプリケーションとして個別に設定する必要があります。

タイムゾーンを設定するには、グローバルコンフィグモードのclock timezoneコマンドを実行します。たとえば、日本時間（JST: 協定世界時（UTC）より9時間早い）に設定する場合は、次のようにします。

myrouter(config)# clock timezone JST plus 9

現在の日付と時刻およびタイムゾーンの設定を確認するにはshow clockコマンドを実行します。

myrouter# show clock

Local Time: Mon, 24 Dec 2012 17:05:03 +0900
UTC Time:   Mon, 24 Dec 2012 08:05:03 +0000
Timezone: JST
Timezone Offset: +09:00
Summer time zone: None

管理用IPアドレスの設定

前述のとおり、コマンドラインインターフェース（CLI）やWeb GUIには、Webブラウザー、SSHクライアントからアクセスします。

ただし、AT-NFV-APLのご購入時には、本製品（vFirewallアプリケーション）が有効化されていないため、あらかじめAT-NFV-APLのGUI設定画面から本製品にIPアドレス等を設定しておく必要があります。

詳しくは、「AT-NFV-APL」/「準備」をご参照ください。

設定の保存

コマンドによって設定された内容の多くはランタイムメモリー上にあるため、本製品の電源を切ったり、再起動したりすると消えてしまいます。

現在の設定内容を次回起動時にも使用したい場合は、ランタイムメモリー上の設定内容をファイルに書き出し、次回起動時に自動的に読み込まれるよう設定する必要があります。

ここでは、設定を保存し、次回起動時に復元する方法について簡単に解説します。設定保存の詳細については、「運用・管理」の「コンフィグレーション」をご覧ください。

本製品には設定内容を表す独特の概念として、次の2つがあります。

表 1
ランニングコンフィグ（running-config）	ランタイムメモリー上にある現在の設定内容。アプリケーションインスタンスの停止や再起動によって失われる。show running-configコマンドで内容を確認できる。ファイル操作コマンドにおいては、仮想的なファイル「running-config」としてコピーなどの操作が可能
スタートアップコンフィグ（startup-config）	起動時コンフィグ。システム起動の最終段階において自動的に復元される設定内容。フラッシュメモリー上にファイルとして保存されており、アプリケーションインスタンスの停止や再起動を経ても失われない。show startup-configコマンドで内容を確認できる。ファイル操作コマンドにおいては、仮想的なファイル「startup-config」としてコピーなどの操作が可能。startup-configが実際にどのファイルを指しているかは、show bootコマンドで確認でき、boot config-fileコマンドで変更できる

現在の設定内容（ランニングコンフィグ）は、show running-configコマンドで確認できます。このコマンドは特権EXECモード以上のどのモードでも実行可能です。

myrouter# show running-config
!
service password-encryption
!
hostname myrouter
...
!
interface eth0
 ip address 192.168.0.1/24
...
end

現在の設定内容（ランニングコンフィグ）を次回起動時にも使用したい場合は、ランニングコンフィグをスタートアップコンフィグにコピーして保存します。これを実現するもっとも一般的な方法は、特権EXECモードのcopyコマンドを使って次のようにする方法です。

myrouter# copy running-config startup-config
Building configuration...
[OK]

copyコマンドの代わりにwrite fileコマンドやwrite memoryコマンドを使うこともできます。コマンドの機能自体はどれも同じです。

myrouter# write memory
Building configuration...
[OK]

正しく保存されたかどうかを確認するには、show startup-configコマンドでスタートアップコンフィグを表示します。

myrouter# show startup-config
!
service password-encryption
!
hostname myrouter
...
!
interface eth0
 ip address 192.168.0.1/24
...
end

再起動

本製品を再起動するには、次の方法があります。

AT-NFV-APLのGUI設定画面から、vFirewallアプリケーションインスタンスの停止と起動を実行する
CLI上で、特権EXECモードのreloadコマンドまたはrebootコマンドを実行する（2つのコマンドは同じ働きをします）
Web GUIの「システム」>「ファイル管理」画面で「再起動」ボタンをクリックする

その他の機能

その他、システム関連の機能や操作について解説します。

アプリケーションバージョンの変更

起動するアプリケーションバージョンの変更は、AT-NFV-APLのGUI設定画面から行います。
設定方法は「AT-NFV-APL」/「運用」をご参照ください。

システム情報の確認

システムの基本情報を確認するための各種コマンドを紹介します。

システムの全般的な情報はshow systemコマンドで確認できます。

メモリーに関する情報はshow memoryコマンド、show memory historyコマンドで確認します。

CPUの使用率はshow cpuコマンド、show cpu historyコマンドで確認します。

システムプロセス、ユーザープロセスの状態は、show processコマンドで確認します。

ライセンスについて

AlliedWare Plus製品には、特定の機能を使用したり、特定機能のサポート数を拡張したりするための各種ライセンスが用意されています。
本セクションではライセンスに関連する操作について説明します。

ライセンス購入に必要なシリアル番号の確認方法

ライセンスのご購入時に必要なシリアル番号の確認方法を説明します。

AT-NFV-APL向けのライセンスご購入時には、AT-NFV-APL本体のシリアル番号とvFirewallアプリケーションのシリアル番号の両方が必要です。

AT-NFV-APL本体のシリアル番号はAT-NFV-APLのGUI設定画面から、「システム」＞「情報」画面の「シリアル番号」欄で確認します。
　AT-NFV-APL本体のシリアル番号は「001047」または「001096」から始まる16桁の番号です。

vFirewallアプリケーションのシリアル番号はvFirewallのCLIからshow system serialnumberコマンドを実行して確認します。

AT-vFW-app> show system serialnumber
XXXXXXXXXXXXXXXX

また、vFirewall GUIの「システム」＞「情報」画面の「シリアル番号」欄でも確認可能です。

ライセンスキーのインストール

ライセンスを有効にするにはライセンスご購入時に発行された「ライセンスキー」を製品にインストールする必要があります。
ここでは、ライセンスキーのインストール方法と確認方法を説明します。

ライセンスキーには次の2つの形式があり、形式によってインストールや確認に使用するコマンドが異なりますので、以下では形式ごとに手順を説明します。

バイナリー形式 - ファイルとして提供されます
文字列形式 - パスワードのような文字列の情報として提供されます

バイナリー形式ライセンスキーの場合

バイナリー形式のライセンスキーは次の手順でインストールします。
お手元にライセンスファイルを用意した上で以下の手順を実行してください。

製品に権限レベル15のユーザーアカウント（managerなど）でログインします。
ライセンスファイルを本製品のフラッシュメモリーに転送します。
ファイルの転送方法については、copyコマンドや「運用・管理 / ファイル操作」などをご参照ください。
たとえばTFTPサーバー「192.168.10.5」からライセンスファイル「license.bin」を転送するには次のようにします。
```
awplus# copy tftp:/192.168.10.5/license.bin flash:/
```
license update fileコマンドでライセンスファイル名を指定し、ライセンスキーをインストールします。
ライセンスファイル名（例ではlicense.bin）はお手持ちのファイル名に置き換えてください。
```
awplus# license update file license.bin
```
show license externalコマンドでライセンスが有効になっているかどうかを確認します。
ライセンスが正しくインストールされており、なおかつ有効期間内または有効期間開始前の場合は有効期間が表示されます。
```
awplus# show license external
```
Note
有効期間切れのライセンスはshow license external storedコマンドで確認できます。

Note
上記手順の実行後に再起動は不要です。

文字列形式ライセンスキーの場合

文字列形式のライセンスキーは次の手順でインストールします。
お手元にライセンス証書などライセンスキー文字列の情報を用意の上、以下の手順を実行してください。

製品に権限レベル15のユーザーアカウント（managerなど）でログインします。
licenseコマンドでライセンス名とライセンスキー文字列を指定し、ライセンスキーをインストールします。
ライセンス名（例ではLicenseName）とライセンスキー文字列（XXXXXXXXXXXXXXXX）はライセンス証書に記載されているものに置き換えてください。
```
awplus# license LicenseName XXXXXXXXXXXXXXXX
```
show licenseコマンドでライセンスが有効になっているかどうかを確認します。
ライセンスが正しくインストールされている場合は、ライセンス名が表示されます。
```
awplus# show license
```
ライセンスを有効にするため、システムを再起動してください（rebootコマンド、reloadコマンドなどを使用）。
```
awplus# reload
```