運用・管理 / システム
vFirewallアプリケーションの管理機構にアクセスし、システム関連の基本的な操作や設定を行う方法について解説します。
本章以降、本製品とは「vFirewallアプリケーション」のことを指します。
vFirewallアプリケーションの実行環境であるAT-NFV-APL本体(ハードウェアとファームウェア)を示す場合は「AT-NFV-APL」と明記します。
本製品の構成については「AT-NFV-APL」/「はじめに」をご参照ください。
ご使用にあたっての留意事項
本製品は、AT-AR4050Sなど弊社AlliedWare Plus製品群と共通のソフトウェアを使用しており、同等の機能や操作性を持ちますが、AT-NFV-APLハードウェア上で動作するアプリケーションとして、他のAlliedWare Plus製品とは一部動作や仕様が異なる点があります。
以下、本製品のご使用にあたってご留意いただきたい主要な差異をまとめます。
コンフィグなしで起動した場合の自動設定
vFirewallアプリケーションインスタンスの初期設定直後など、本製品がスタートアップコンフィグなしの状態で起動したときは、下記の設定が自動的に有効になります。
これらの項目は本製品がコンフィグなしで起動した場合にのみ自動適用されます。コンフィグが存在する場合は、コンフィグファイルの記述にしたがって設定が復元されます。
AT-NFV-APLのGUI設定画面からのみ操作可能な項目
以下の操作はAT-NFV-APLのGUI設定画面からのみ実行可能です。vFirewallのCLI、Web GUIからは実行できません。
- vFirewallアプリケーションの停止・起動(再起動はvFirewallからも可能)
- vFirewallアプリケーションのバージョン変更
AT-NFV-APLのGUI設定画面におけるこれらの項目の操作方法については、「AT-NFV-APL」/「運用」をご参照ください。
管理機構へのアクセス
本製品に対する設定は、管理用端末から本製品の管理機構であるコマンドラインインターフェース(CLI)またはWeb GUIにアクセスして行います。CLIにはWeb GUI上からもアクセスできます。
管理用端末には、次のいずれかを使用します。
- ネットワーク上のWebブラウザー(Google ChromeまたはMozilla Firefox)
- ネットワーク上のSecure Shell(SSH)クライアント
いずれの場合も、本製品へのアクセスにはIPを使用しますので、あらかじめAT-NFV-APLのGUI設定画面から本製品のIPアドレス等を適切に設定しておく必要があります。詳しくは、「AT-NFV-APL」/「準備」をご参照ください。
Webブラウザー
Webブラウザーを使用して本製品のWeb GUIにアクセスする方法については、「Web GUI」/「準備」をご覧ください。
SSHクライアント
vFirewallアプリケーションインスタンスの初期設定直後など、スタートアップコンフィグなしの状態で起動したときは、SSHサーバーが有効に設定されており、デフォルトのmanagerユーザーでログインが可能になっています。
SSHクライアントソフトウェアを使って本製品にSSH接続すると、ユーザー名とパスワード(公開鍵認証時は秘密鍵のパスフレーズ)の入力を求められます。どのような型式で入力を求められるかは、SSHクライアントソフトウェアによって異なります。
なお、本製品のSSHサーバーはバージョン1と2の両方に対応しており、認証方式としてはパスワード認証と公開鍵認証(RSA、DSA)に対応しています。SSHサーバーの設定により、特定のバージョンや認証方式だけを使用することも可能です。SSHサーバーの詳細設定については、「運用・管理」の「Secure Shell」をご覧ください。
起動と停止
vFirewallアプリケーションインスタンスの起動と停止は、AT-NFV-APLのGUI設定画面の「AW+ vFirewall」から行います。
詳しくは、「AT-NFV-APL」/「運用」をご参照ください。
GUI設定画面、メニュー構成、機能などは、AT-NFV-APLのファームウェアバージョンによって異なる可能性があります。
■ 「実行中」のインスタンスを停止するには、「停止」ボタンをクリックします。
■ 「停止済み」のインスタンスを起動するには、「起動」ボタンをクリックします。
インスタンスが「停止済み」のときにAT-NFV-APLの設定を保存すると、インスタンスの自動起動が無効の状態で設定が保存され、次回システム起動時にインスタンスが自動起動しなくなります。自動起動を再度有効化にするには、「起動」ボタンをクリックし、インスタンスが起動したことを確認してから設定を保存しなおしてください。
ログイン
本製品の管理機構であるコマンドラインインターフェース(CLI)を利用するには、ユーザー名とパスワードを入力してログインする必要があります。ログインせずに管理作業を行うことはできません。
初期設定では、次に示す権限レベル15のユーザーアカウントが登録されています。初回ログイン時はこのユーザー名とパスワードでログインしてください。
- ユーザー名:manager
- パスワード:friend
本製品では、Web GUIからの初回ログイン時に初期設定パスワードの変更が強制されます。
また、CLIからの初回ログイン時にも、初期パスワードの変更を求める下記のメッセージが表示されますので、新しいパスワードを2回入力してパスワードを変更してください。
% Your password has been expired for 6760 days. Your must change your password now.
Current password security rules:
-------------------------------------------
Minimum password length: 1
Minimum password character categories: 1
-------------------------------------------
Enter new password: XXXXXXXX(実際には表示されません) ↓
Re-Enter new password: XXXXXXXX(実際には表示されません) ↓
Password changed successfully
AT-vFW-app>
パスワードの強制変更は、スタートアップコンフィグなしで起動した場合に自動設定されるsecurity-password lifetimeコマンドとsecurity-password forced-changeコマンドによるものです。vFirewallアプリケーションの初回起動時だけでなく、コンフィグを削除して再起動した場合など、スタートアップコンフィグが存在しない状態(managerユーザーが初期パスワードの状態)で起動した後の最初のログイン時には毎回パスワード変更が求められます。
一定回数(初期設定では5回)連続してログインに失敗すると、失敗したユーザーは一定時間(初期設定は5分)ログインすることができなくなります(失敗したユーザー以外ではログイン可能)。これらの設定は、aaa local authentication attempts max-failコマンド、aaa local authentication attempts lockout-timeコマンドで変更できます。
SSH接続の場合、ログインプロンプトが表示されてから1分以内にログインしないと、SSHセッションが切断されます。切断までの時間は、ssh server login-timeoutコマンドで変更できます。
コマンドモード
本製品のコマンドラインインターフェース(CLI)には「コマンドモード」の概念があります。各コマンドはあらかじめ決められたモードでしか実行できないため、コマンドを実行するときは適切なモードに移動し、それからコマンドを入力することになります。
ここでは、本解説編で使用しているコマンドモードと、それらのモード間を移動するための操作について簡単に解説します。より詳しくは、「運用・管理」の「コマンドラインインターフェース(CLI)」をご覧ください。
本解説編で使用しているコマンドモードは次の4つです。
- 非特権EXECモード
- 特権EXECモード
- グローバルコンフィグモード
- インターフェースモード
以下、各モードとモード間の移動方法について概説します。
■ ログイン直後は「非特権EXECモード」です。
AT-vFW-app>
コマンドプロンプト末尾の「>」が、非特権EXECモードであることを示しています。
非特権EXECモードでは、原則として情報表示コマンド(show xxxx)の一部だけを実行できます。
■ 非特権EXECモードでenableコマンドを実行すると、「特権EXECモード」に移動します。
AT-vFW-app> enable ↓
AT-vFW-app#
コマンドプロンプト末尾の「#」が、特権EXECモードであることを示しています。
特権EXECモードでは、すべての情報表示コマンド(show xxxx)が実行できるほか、システムの再起動や設定保存、ファイル操作など、さまざまな「実行コマンド」(コマンドの効果がその場かぎりであるコマンド。ネットワーク機器としての動作を変更する「設定コマンド」と対比してこう言う)を実行することができます。
■ 特権EXECモードでconfigure terminalコマンドを実行すると、「グローバルコンフィグモード」に移動します。
AT-vFW-app# configure terminal ↓
Enter configuration commands, one per line. End with CNTL/Z.
AT-vFW-app(config)#
コマンドプロンプト末尾の「(config)#」が、グローバルコンフィグモードであることを示しています。
グローバルコンフィグモードは、システム全体にかかわる設定コマンドを実行するためのモードです。本解説編においては、ログインパスワードの変更やホスト名の設定、タイムゾーンの設定などをこのモードで行います。
■ グローバルコンフィグモードでexitコマンド、endコマンドを実行するかCtrl/Zキーを押すと、「特権EXECモード」に戻ります。コマンド行が空の状態でCtrl/Dキーを押しても同じです。
AT-vFW-app(config)# exit ↓
AT-vFW-app#
■ グローバルコンフィグモードでinterfaceコマンドを実行すると、「インターフェースモード」に移動します。
AT-vFW-app(config)# interface eth0 ↓
AT-vFW-app(config-if)#
コマンドプロンプト末尾の「(config-if)#」が、インターフェースモードであることを示しています。
インターフェースモードは、指定したインターフェース固有の設定を行うためのモードです。本解説編においては、IPアドレスの設定をこのモードで行います。
■ インターフェースモードでexitコマンドを実行すると、グローバルコンフィグモードに戻ります。コマンド行が空の状態でCtrl/Dキーを押しても同じです。
AT-vFW-app(config-if)# exit ↓
AT-vFW-app(config)#
また、インターフェースモードでendコマンドを実行するかCtrl/Zキーを押すと、「特権EXECモード」に戻ります。
AT-vFW-app(config-if)# end ↓
AT-vFW-app#
■ 特権EXECモードでdisableコマンドを実行すると、「非特権EXECモード」に戻ります。
AT-vFW-app# disable ↓
AT-vFW-app>
■ 特権EXECモードか非特権EXECモードでexitコマンド、logoutコマンドを実行すると、ログアウトします。コマンド行が空の状態でCtrl/Dキーを押しても同じです。
AT-vFW-app# exit ↓
Session closed.
実際には、ここに示した4つのほかにも多くのコマンドモードがあります。詳細については、「運用・管理」の「コマンドラインインターフェース(CLI)」をご覧ください。
パスワードの変更
本製品では、初回ログイン時に初期設定パスワードの変更が強制されますが、それ以降も任意のタイミングでパスワードを変更できます。
ログイン後、managerアカウントのパスワードを変更するには次のようにします。
- ログイン直後は非特権EXECモードなので、次のようにenableコマンド、configure terminalコマンドの順に実行して、グローバルコンフィグモードに移動します。
AT-vFW-app> enable ↓
AT-vFW-app# configure terminal ↓
Enter configuration commands, one per line. End with CNTL/Z.
- usernameコマンドを実行してパスワードを変更します。
AT-vFW-app(config)# username manager password o10moDutch ↓
パスワードの設定は保存しないと再起動によって失われます。設定を保存する方法については後述します。
ユーザー認証関連機能の詳細については、「運用・管理」の「ユーザー認証」をご覧ください。
ホスト名の設定
ここまでの説明において、ログインプロンプトやコマンドプロンプトの先頭に「AT-vFW-app」という文字列が表示されていることにお気づきでしょうか?
プロンプトの先頭部分はホスト名を表示するための領域です。初期状態ではホスト名として「AT-vFW-app」が設定されており、これがプロンプトの先頭に表示されますが、本製品を複数管理している場合など、各システムに異なる名前を設定しておくと、現在どのシステムにログインしているのかがわかりやすくなり便利です。
本製品においても hostnameコマンドの初期値は他のAlliedWare Plus搭載製品と同じ「awplus」ですが、本製品はスタートアップコンフィグなしの状態で起動した場合、hostnameコマンドが自動的に投入され、ホスト名が「AT-vFW-app」に設定されるため、見かけ上の初期ホスト名は「AT-vFW-app」となっています。
■ ホスト名を設定するには、グローバルコンフィグモードのhostnameコマンドを使います。
AT-vFW-app(config)# hostname myrouter ↓
myrouter(config)#
コマンド実行とともに、コマンドプロンプトの先頭が「AT-vFW-app」から「myrouter」に変更されたことに注目してください。ここでは仮に「myrouter」としましたが、実際には各装置を区別するのに適した名前を付けてください。
ホスト名の設定は保存しないと再起動によって失われます。設定を保存する方法については後述します。
本解説編の残りの部分では、説明の流れ上、ホスト名を「myrouter」に設定しているものと仮定します。他の解説編やコマンド編では、原則として初期設定のホスト名「AT-vFW-app」を用いますが、複数のシステムを使用する構成例などでは、各システムを見分けやすいよう「RouterA」、「RouterB」のようなホスト名を仮定する場合もあります。
また、AlliedWare Plus搭載製品共通の内容になっている部分では、多くの製品でデフォルトの「awplus」を使っている部分もあります。これらは適宜読み替えてください。
hostnameコマンドで設定したホスト名は、MIB-IIオブジェクトsysNameの値としても使われます。詳しくは、「運用・管理」の「SNMP」をご覧ください。
タイムゾーンの設定
本製品のシステム時計は、AT-NFV-APLのシステム時刻を使用するため設定不要ですが、タイムゾーン(時間帯)はvFirewallアプリケーションとして個別に設定する必要があります。
■ タイムゾーンを設定するには、グローバルコンフィグモードのclock timezoneコマンドを実行します。たとえば、日本時間(JST: 協定世界時(UTC)より9時間早い)に設定する場合は、次のようにします。
myrouter(config)# clock timezone JST plus 9 ↓
タイムゾーンの設定は保存しないと再起動によって失われます。設定を保存する方法については後述します。
本コマンドによりタイムゾーンの設定を変更したときは、設定を保存した後システムを再起動してください。
(再起動を実行するまで一部のログにタイムゾーンの設定が反映されず、ログ時刻の不整合が生じるため)
■ 現在の日付と時刻およびタイムゾーンの設定を確認するにはshow clockコマンドを実行します。
myrouter# show clock ↓
Local Time: Mon, 24 Dec 2012 17:05:03 +0900
UTC Time: Mon, 24 Dec 2012 08:05:03 +0000
Timezone: JST
Timezone Offset: +09:00
Summer time zone: None
管理用IPアドレスの設定
前述のとおり、コマンドラインインターフェース(CLI)やWeb GUIには、Webブラウザー、SSHクライアントからアクセスします。
ただし、AT-NFV-APLのご購入時には、本製品(vFirewallアプリケーション)が有効化されていないため、あらかじめAT-NFV-APLのGUI設定画面から本製品にIPアドレス等を設定しておく必要があります。
詳しくは、「AT-NFV-APL」/「準備」をご参照ください。
AT-NFV-APLのGUI設定画面で指定した内容が動作に反映されるのは、本製品がコンフィグなしで起動したときだけです。
起動時にコンフィグが存在する場合は、コンフィグファイルの記述にしたがって設定が復元されますので、AT-NFV-APLのGUIで初期設定したIPアドレスを後から変更するときは、本製品のCLIからip addressコマンドかip address dhcpコマンドを実行してください。
設定の保存
コマンドによって設定された内容の多くはランタイムメモリー上にあるため、本製品の電源を切ったり、再起動したりすると消えてしまいます。
設定変更時はこまめにコンフィグを保存することをおすすめします。
現在の設定内容を次回起動時にも使用したい場合は、ランタイムメモリー上の設定内容をファイルに書き出し、次回起動時に自動的に読み込まれるよう設定する必要があります。
ここでは、設定を保存し、次回起動時に復元する方法について簡単に解説します。設定保存の詳細については、「運用・管理」の「コンフィグレーション」をご覧ください。
本製品には設定内容を表す独特の概念として、次の2つがあります。
表 1
| ランニングコンフィグ(running-config) |
ランタイムメモリー上にある現在の設定内容。アプリケーションインスタンスの停止や再起動によって失われる。show running-configコマンドで内容を確認できる。ファイル操作コマンドにおいては、仮想的なファイル「running-config」としてコピーなどの操作が可能 |
| スタートアップコンフィグ(startup-config) |
起動時コンフィグ。システム起動の最終段階において自動的に復元される設定内容。フラッシュメモリー上にファイルとして保存されており、アプリケーションインスタンスの停止や再起動を経ても失われない。show startup-configコマンドで内容を確認できる。ファイル操作コマンドにおいては、仮想的なファイル「startup-config」としてコピーなどの操作が可能。startup-configが実際にどのファイルを指しているかは、show bootコマンドで確認でき、boot config-fileコマンドで変更できる |
■ 現在の設定内容(ランニングコンフィグ)は、show running-configコマンドで確認できます。このコマンドは特権EXECモード以上のどのモードでも実行可能です。
myrouter# show running-config ↓
!
service password-encryption
!
hostname myrouter
...
!
interface eth0
ip address 192.168.0.1/24
!
line con 0
line vty 0 4
!
end
■ 現在の設定内容(ランニングコンフィグ)を次回起動時にも使用したい場合は、ランニングコンフィグをスタートアップコンフィグにコピーして保存します。これを実現するもっとも一般的な方法は、特権EXECモードのcopyコマンドを使って次のようにする方法です。
myrouter# copy running-config startup-config ↓
Building configuration...
[OK]
■ copyコマンドの代わりにwrite fileコマンドやwrite memoryコマンドを使うこともできます。コマンドの機能自体はどれも同じです。
myrouter# write memory ↓
Building configuration...
[OK]
■ 正しく保存されたかどうかを確認するには、show startup-configコマンドでスタートアップコンフィグを表示します。
myrouter# show startup-config ↓
!
service password-encryption
!
hostname myrouter
...
!
interface eth0
ip address 192.168.0.1/24
!
line con 0
line vty 0 4
!
end
再起動
本製品を再起動するには、次の方法があります。
その他の機能
その他、システム関連の機能や操作について解説します。
アプリケーションバージョンの変更
起動するアプリケーションバージョンの変更は、AT-NFV-APLのGUI設定画面から行います。
設定方法は「AT-NFV-APL」/「運用」をご参照ください。
システム情報の確認
システムの基本情報を確認するための各種コマンドを紹介します。
■ システムの全般的な情報はshow systemコマンドで確認できます。
■ メモリーに関する情報はshow memoryコマンド、show memory historyコマンドで確認します。
■ CPUの使用率はshow cpuコマンド、show cpu historyコマンドで確認します。
■ システムプロセス、ユーザープロセスの状態は、show processコマンドで確認します。
(C) 2021 アライドテレシスホールディングス株式会社
PN: 613-002993 Rev.B