CLIguide

付録 A:CLI ガイド

この付録には、SonicOS Enhanced ファームウェアのコマンド ライン インターフェース (CLI) コマンドを分類した一覧が含まれます。各コマンドについて説明し、必要に応じて使用例を示しています。

SonicOS 5.9 ファームウェアのコマンド ライン インターフェース (CLI) の一覧については、『SonicOS 5.9 E-CLI リファレンス ガイド』を参照してください。

『SonicOS 5.9 E-CLI ガイド』は、オンライン (Dell SonicWALL サポート ページの「製品ドキュメント/ネットワーク セキュリティ」) で入手できます。

http://www.SonicWALL.com/us/en/support.html

SonicOS 5.9 E-CLI リファレンス ガイド』の PDF 版も直接入手できます。

http://www.SonicWALL.com/app/projects/file_downloader/document_lib.php?t=PG&id=592

 

この付録は以下のセクションで構成されます。

テキスト表記規則

編集および補完の機能

コマンド階層

CLI を使用したサイト間 VPN の設定

Note: 完全な Dell SonicWALL CLI コマンド リファレンスは、SonicOS オンライン ヘルプに記されています。このコマンド リファレンスにアクセスするには、SonicOS GUI の「ヘルプ」ボタンを選択し、「付録> CLI ガイド」に移動します。

入力データ形式の仕様

次の表に、ほとんどのコマンドで受け取ることができるデータ形式を示します。H は、1 つ以上の 16 進数文字 (0 ~ 9 および A ~ F) を表します。D は、1 つ以上の 10 進数文字を表します。

Table 9

データ

データ形式

MAC アドレス

HH:HH:HH:HH:HH:HH

MAC アドレス

HHHH.HHHH.HHHH

IP アドレス

D.D.D.D

IP アドレス

0xHHHHHHHH

整数値

D

整数値

0xH

整数の範囲

D-D

入力データ形式

テキスト表記規則

太字テキストは、ユーザ インターフェースとの対話によって実行されるコマンドを示します。

Courier 太字テキストは、CLI を使用して入力されるコマンドやテキストを示します。

斜体テキストは、初めて登場する新規用語のほか、書籍タイトルや、テキストの強調も示します。このコマンド概要における斜体表記の項目は、ユーザによって指定された情報を表します。

山かっこ ("< >") 内の項目は、必須の情報です。

角かっこ ("[ ]") 内の項目は、省略可能な情報です。

"パイプ" ("|") で区切られた項目は、オプションです。各項目のいずれかを選択できます。

Note: このガイドでは、コマンド文字列が複数の行にわたって表示されている場合がありますが、コマンド文字列は、キャリッジ リターンを挿入せずに (完全なコマンドの末尾を除く) 1 行で入力する必要があります。

編集および補完の機能

個々のキーやコントロールキーの組み合わせを使用することで、CLI による支援を受けることができます。次の表に、キーとコントロールキーの組み合わせによる機能を示します。

Table 10

キー

機能

Tab

現在の単語を補完します

?

コマンド補完の候補を表示します

CTRL+A

コマンド ラインの先頭にカーソルを移動します

CTRL+B

前の文字にカーソルを移動します

CTRL+C

クイック スタート ウィザードを直ちに終了します

CTRL+E

コマンド ラインの末尾にカーソルを移動します

CTRL+F

次の文字にカーソルを移動します

CTRL+K

カーソル位置から行末までの文字を消去します

CTRL+N

コマンド履歴にある次のコマンドを表示します

CTRL+P

コマンド履歴にある前のコマンドを表示します

CTRL+W

前の単語を消去します

左矢印

前の文字にカーソルを移動します

右矢印

次の文字にカーソルを移動します

上矢印

コマンド履歴にある前のコマンドを表示します

下矢印

コマンド履歴にある次のコマンドを表示します

キー リファレンス

ほとんどの設定コマンドでは、コマンド内のすべてのフィールドを完全に記述する必要があります。補完コマンド候補が複数あるコマンドでは、Tab または ? キーを押すとすべてのオプションが表示されます。

myDevice> show [TAB]

alerts

interface

network

tech-support

arp

log

processes

tsr

content-filter

memory

route

web-management

cpu

messages

security-
services

zone

device

nat

status

zones

gms

netstat

system

 

Tab キーは、ユーザ入力によってコマンドが一意に識別された場合のコマンド入力の完了にも使用できます。

myDevice> show al [TAB]

とすると、次のように表示されます。

myDevice> show alerts

また、部分的なコマンドが一意である限り、コマンドの省略形を使用できます。次のテキスト

myDevice> sho int inf

は次のコマンドの省略形と受け取られます。

myDevice> show interface info

コマンド階層

CLI 設定マネージャを使用すると、ディスクリート モードやサブモードのシステムによって装置のハードウェアとファームウェアを制御できます。装置の各コマンドは、以下に示す論理階層のいずれかに当てはまります。

サブモードで項目を設定するには、上位のモードでコマンドを入力することでサブモードを有効にします。

例えば、既定の LAN インターフェース速度または通信方式を設定するには、最初に configure と入力し、次に x0 lan と入力する必要があります。上位のモードに戻るには、end または finished と入力します。

設定のセキュリティ

Dell SonicWALL インターネット セキュリティ装置では、設定のセキュリティやネットワークに悪影響を及ぼすことなく、容易かつ柔軟な設定が行えます。

パスワード

現在、Dell SonicWALL CLI では管理者のパスワードを使用してアクセス権を取得しています。Dell SonicWALL 機器の出荷時には、password という既定のパスワードが設定されています。パスワードの設定は、ネットワーク経由で Dell SonicWALL にアクセスして設定を行うために重要です。

工場出荷時の既定値へのリセット

ネットワーク経由で機器に接続できない場合は、シリアル設定セッションで restore コマンドを使用すると、機器をリセットして工場出荷時の既定値に戻すことができます。

Dell SonicWALL ネットワーク セキュリティ装置の管理方式

Dell SonicWALL 装置は、次に示す 3 つの方式の 1 つを使用して設定できます。

• シリアル接続と設定マネージャの使用

– 装置の管理のために IP アドレスを割り当てる必要はありません。

– シリアル ケーブルを介して物理的に接続されている状態で機器を管理する必要があります。

• ウェブ ブラウザベースのユーザ インターフェース

– 管理のために IP アドレスを装置に割り当てるか、既定の 192.168.168.168 を使用する必要があります。

CLI を使用した管理セッションの始動

シリアル管理と IP アドレスの割り当て

以下の手順に従って、シリアル接続経由で管理セッションを始動し、機器の IP アドレスを設定します。

Note: Dell SonicWALL および各モジュールでの既定のターミナル設定は、80 字×25 行になっています。最適な表示を保証すると共にグラフィックの問題が生じる可能性を減らすために、同じ設定をシリアル ターミナル ソフトウェアで使用します。機器のターミナル設定は、必要に応じて変更できます。シリアル ターミナル ソフトウェアでは標準の ANSI 設定を使用します。

1. 同梱のヌル モデム ケーブルを装置の CONSOLE と記されているポートに差し込みます。ヌル モデム ケーブルの他端を設定側コンピュータのシリアル ポートに差し込みます。

2. 装置に接続されているシリアル ポートと通信する、任意のターミナル エミュレーション アプリケーションを起動します。以下の設定を使用します。

• 115,200 ボー

• 8 データ ビット

• パリティなし

• 1 ストップ ビット

• フロー制御なし

3. Enter/Return キーを押します。初期情報に続いて "機器名>" というプロンプトが表示されます。

イーサネット経由での SSH 管理セッションの始動

Note: このオプションは、CLI へのコンソール アクセス用のケーブルがない機器を管理するユーザにとって有効です。

以下の手順に従って、クライアントから装置へのイーサネット接続を介して SSH 管理セッションを始動します。

1. イーサネット ケーブルを XO と記されているインターフェース ポートに差し込みます。イーサネット ケーブルの他端を設定側コンピュータのイーサネット ポートに差し込みます。

2. 装置に接続されているイーサネット ポートと通信する、任意のターミナル エミュレーション アプリケーション (PuTTY など) を起動します。

3. エミュレーション アプリケーション内で、装置の IP 送信先アドレスを入力し、ポート番号として 22 を入力します。

4. 接続種別として SSH を選択し、接続を開きます。

SonicOS CLI へのログイン

接続が確立されたら、セキュリティ装置にログインします。

1. User プロンプトの後に、管理者のユーザ名を入力します。CLI からログインできるのは管理ユーザのみです。既定の管理ユーザ名は admin です。この既定値は変更できます。

2. Password プロンプトの後に、管理者のパスワードを入力します。無効または一致しないユーザ名やパスワードが入力された場合、CLI プロンプトは User に戻り、"CLI administrator login denied due to bad credentials (資格情報が正しくないので CLI 管理者ログインは拒否されました)" というエラー メッセージがログに記録されます。この CLI にロックアウト機能はありません。

CLI を使用したサイト間 VPN の設定

このセクションでは、コマンド ライン インターフェースを使用した VPN ポリシーの作成方法を説明します。すべてのパラメータは CLI を使用して設定でき、VPN はウェブの管理インターフェースを使用しなくても有効にできます。

Note: この例では、他端の VPN ポリシーが既に作成されているとします。

CLI へのアクセス

1. DB9-RJ45 コネクタを使用して、PC のシリアル ポートとファイアウォールのコンソール ポートを接続します。

2. TerraTerm などのターミナル エミュレータ プログラムで、次のパラメータを使用します。

• 115,200 ボー

• 8 ビット

• パリティなし

• 1 ストップ ビット

• フロー制御なし

3. Return キーを 2、3 回押さないと、次のようなコマンド プロンプトが表示されない場合があります。

TZ200>

UNIX シェルや Cisco IOS など、その他の CLI を使用したことがあれば、このプロセスは比較的容易で似たようなものになります。自動補完機能があるので、コマンド全体を入力する必要はありません。

4. 設定の変更が必要な場合には、設定モードに入る必要があります。設定モードに入るには、configure と入力します。

TZ200 > configure

(config[TZ200])>

コマンド プロンプトが変化します。通常のモードと区別するために config という語が追加されています。これで、すべての設定を行い、VPN を有効または無効にして、ファイアウォールを設定できます。

設定

この例では、次の設定を使用して 2 台の TZ 200 装置間にサイト間 VPN を設定します。

ローカル TZ 200 (自宅):
WAN IP:10.50.31.150
LAN サブネット:192.168.61.0
マスク 255.255.255.0

リモート TZ 200 (オフィス):
WAN IP:10.50.31.104
LAN サブネット:192.168.15.0
マスク:255.255.255.0

認証方式:事前共有鍵を使用する IKE
フェーズ 1 交換メイン モード
フェーズ 1 暗号化:3DES
フェーズ 1 認証: SHA1
フェーズ 1 DH グループ:2
フェーズ 1 存続期間:28800
フェーズ 2 プロトコル:ESP
フェーズ 2 暗号化:3DES
フェーズ 2 認証:SHA1
フェーズ 2 存続期間:28800
PFS なし

 

1. 設定モードで、リモート ネットワークのアドレス オブジェクトを作成し、名前、ゾーンの割り当て、種別、およびアドレスを指定します。この例では、OfficeLAN という名前を使用します。

(config[TZ200]> address-object Office LAN
(config-address-object[OfficeLAN])>

Note: アドレス オブジェクトの設定モードであることを示すためにプロンプトが変化しています。

(config-address-object[OfficeLAN])> zone VPN
(config-address-object[OfficeLAN])> network 192.168.15.0 255.255.255.0
(config-address-object[OfficeLAN])> finished

2. アドレス オブジェクトを表示するには、コマンド show address-object [名前] を入力します。

TZ200 > show address-object OfficeLAN

出力結果は次のようになります。

address-object OfficeLAN
network 192.168.15.0 255.255.255.0
zone VPN

3. VPN ポリシーを作成するには、コマンド vpn policy [名前] [authentication method] を入力します。

(config[TZ200])> vpn policy OfficeVPN pre-shared
(config-vpn[OfficeVPN])>

Note: VPN ポリシーの設定モードであることを示すためにプロンプトが変化しています。この VPN に関するすべての設定は、ここで入力します。

4. 事前共有鍵を設定します。この例での事前共有鍵は SonicWALL です。

(config-vpn[OfficeVPN])> pre-shared-secret SonicWALL

5. IPSec ゲートウェイを設定します。

(config-vpn[OfficeVPN])> gw ip-address 10.50.31.104

6. ローカル ネットワークとリモート ネットワークを定義します。

(config-vpn[OfficeVPN])> network local address-object "LAN Primary Subnet"
(config-vpn[OfficeVPN])> network remote address-object "OfficeLAN"

7. IKE プロポーザルと IPSec プロポーザルを設定します。

(config-vpn[OfficeVPN])> proposal ike main encr triple-des auth sha1 dh 2 lifetime 28800
(config-vpn[OfficeVPN])> proposal ipsec esp encr triple-des auth sha1 dh no lifetime 28800

8. UI 設定の「詳細」タブで、VPN ポリシー:に対するキープアライブを有効にします。

(config-vpn[OfficeVPN])> advanced keepalive

9. VPN ポリシーを有効にするには、コマンド vpn enable "名前" を使用します。

(config[TZ200])> vpn enable "OfficeVPN"

10. VPN ポリシーを保存して VPN 設定モードを終了するには、finished コマンドを使用します。

(config-vpn[OfficeVPN])> finished
(config[TZ200])>

設定が完了しました。

Note: コマンド プロンプトが設定モードのプロンプトに戻ります。

VPN 設定の表示

以下の手順を実行して VPN ポリシーを設定します。

1. 設定されているすべての VPN ポリシーの一覧を表示するには、コマンド show vpn policy を入力します。出力結果は次のようになります。

(config[TZ200])> show vpn policy

Policy:WAN GroupVPN (Disabled)
Key Mode:Pre-shared
Pre Shared Secret:DE65AD2228EED75A

Proposals:
IKE:Aggressive Mode, 3DES SHA, DH Group 2, 28800 seconds
IPSEC:ESP, 3DES SHA, No PFS, 28800 seconds

Advanced:
Allow NetBIOS OFF, Allow Multicast OFF
Management:HTTP OFF, HTTPS OFF
Lan Default GW:0.0.0.0
Require XAUTH:ON, User Group:Trusted Users

Client:
Cache XAUTH Settings:Never
Virtual Adapter Settings:None
Allow Connections To:Split Tunnels
Set Default Route OFF, Apply VPN Access Control List OFF
Require GSC OFF
Use Default Key OFF

Policy:OfficeVPN (Enabled)
Key Mode:Pre-shared
Primary GW:10.50.31.104
Secondary GW:0.0.0.0
Pre Shared Secret:SonicWALL

IKE ID:
Local:IP Address
Peer:IP Address

Network:
Local:LAN Primary Subnet
Remote:OfficeLAN

Proposals:
IKE:Main Mode, 3DES SHA, DH Group 2, 28800 seconds
IPSEC:ESP, 3DES SHA, No PFS, 28800 seconds

Advanced:
Keepalive ON, Add Auto-Rule ON, Allow NetBIOS OFF
Allow Multicast OFF
Management:HTTP ON, HTTPS ON
User Login:HTTP ON, HTTPS ON
Lan Default GW:0.0.0.0
Require XAUTH:OFF
Bound To:Zone WAN

2. 特定のポリシーの設定を表示するには、ポリシー名を二重引用符で囲んで指定します。以下に例を示します。

(config[TZ200])> show vpn policy "OfficeVPN"

出力結果は次のようになります。

Policy:OfficeVPN (Enabled)
Key Mode:Pre-shared
Primary GW:10.50.31.104
Secondary GW:0.0.0.0
Pre Shared Secret:SonicWALL

IKE ID:
Local:IP Address
Peer:IP Address

Network:
Local:LAN Primary Subnet
Remote:OfficeLAN

Proposals:
IKE:Main Mode, 3DES SHA, DH Group 2, 28800 seconds
IPSEC:ESP, 3DES SHA, No PFS, 28800 seconds

Advanced:
Keepalive ON, Add Auto-Rule ON, Allow NetBIOS OFF
Allow Multicast OFF
Management:HTTP ON, HTTPS ON
User Login:HTTP ON, HTTPS ON
Lan Default GW:0.0.0.0
Require XAUTH:OFF
Bound To:Zone WAN

3.アクティブな SA を確認するには、コマンド show vpn sa "名前" を入力します。

(config[TZ200])> show vpn sa "OfficeVPN"

Policy:OfficeVPN
IKE SAs

GW:10.50.31.150:500 --> 10.50.31.104:500
Main Mode, 3DES SHA, DH Group 2, Responder
Cookie:0x0ac298b6328a670b (I), 0x28d5eec544c63690 (R)
Lifetime:28800 seconds (28783 seconds remaining)

IPsec SAs

GW:10.50.31.150:500 --> 10.50.31.104:500
(192.168.61.0 - 192.168.61.255) --> (192.168.15.0 - 192.168.15.255)
ESP, 3DES SHA, In SPI 0xed63174f, Out SPI 0x5092a0b2
Lifetime:28800 seconds (28783 seconds remaining)