本節書摘來自異步社群《ccnp安全防火牆642-618認證考試指南》一書中的第2章,第2.3節使用cli,作者【美】david hucaby , dave garneau , anthony sequeira,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
2.3 使用cli
ccnp安全防火牆642-618認證考試指南
網絡安全工程師經常需要對防火牆的安全政策和配置進行修改。另外,在日常維護工作中,防火牆的行為需要被監控,防火牆處理穿越其自身的流量的行為也需要執行故障排除。為了更好地完成以上任務,asa裝置為管理使用者提供了以下與之互動的連接配接方式。
通過異步console線纜連接配接到cli。
通過telnet會話連接配接到cli。
通過安全殼(ssh)版本1.x或版本2連接配接到cli。
通過web浏覽器連接配接到自适應安全裝置管理器(asdm)。
除了以上所介紹的,管理者還能夠在asa裝置啟動完成之前中斷正常作業系統的加載并進入到rom監控引導模式下。
本章僅介紹了cli的内容,其他管理連接配接方式(telnet、ssh和asdm)會在第5章中進行闡述。
cisco防火牆為cli提供了以下幾種擁有不同管理權限和功能的模式。
使用者-exec模式:預設情況下,初始連接配接到asa裝置将位于使用者-exec模式中,且該模式僅提供有限的指令。當連接配接到防火牆時,可能會要求使用者輸入使用者-exec級别密碼。在使用者-exec模式中,asa裝置的指令提示符如下:
注意,asa裝置以提示符“(config)#”訓示目前正處于全局配置模式。
特殊配置模式:和cisco ios軟體系統一樣,asa裝置提供了許多特殊的配置子模式。在特殊子模式中,config提示符後加入了更多的字尾資訊。例如,cisco(config-if)#提示符訓示目前正處于接口配置模式中。
rommon模式:在asa裝置啟動過程中,管理者能夠進入由隻讀存儲器(rom)内的初始化固件所提供的限制模式,并對asa裝置的硬體情況進行監控。是以該模式稱為rom監控模式或rommon模式。
在cli會話中,管理者能夠進行指令的輸入,以及擷取所輸入指令的幫助資訊。另外,對于cli會話中指令結果的輸出,還可以執行過濾顯示。下面将對這些功能分别進行闡述。
2.3.1 指令輸入
可以在cli會話中輸入指令及該指令的相關選項,進而啟用相應特性和功能。如需删去正在起效的指令,可以在指令前添加關鍵字no。在配置時,請確定該指令包含了足夠的選項,才能使之被正确地識别。例如,使用下面的配置指令開啟及關閉内嵌的http伺服器:
補全功能隻會在縮寫的關鍵字不具有歧義時才生效,因為防火牆無法根據目前具有歧義的輸入來決定最終的結果。如果按下tab鍵後關鍵字沒有被補全,那麼意味着目前的輸入内容是具有歧義的,需要再次輸入更多的字母使指令唯一确定。
使用左右方向鍵可以調整光标在指令輸入行上的位置。如果對現有指令執行插入操作,那麼光标提示符所在位置的後續内容會自動往右移動。還可以使用空格鍵和delete鍵對輸入進行調整。
有時指令輸入可能會被防火牆突然跳出的輸出資訊或錯誤消息所打斷,可以按下ctrl-l(小寫l)對目前的輸入資訊進行還原,以便繼續編輯。
例如,當嘗試輸入hostname配置指令對asa裝置的主機名進行更改時,在配置完成之前,asa裝置顯示了一條日志消息打斷了目前的指令行輸入,如例2-2所示。按下ctrl-l将還原原始指令行的輸入狀态。
如果忘記某條指令關鍵字的準确拼寫或使用形式,那麼可以在未完成的内容後直接輸入“?”,asa裝置将根據已輸入内容顯示所有可能的關鍵字。例如,假設無法記得配置通路控制清單的準确指令,例2-4中,在配置模式下輸入access?将顯示兩條可能的指令:access-group及access-list。之前未完成的輸入内容已經再次給出,便于使用者根據提示來完成指令的輸入。
例2-4 使用基于上下文的幫助提示可能的指令
2.3.3 指令記錄
asa裝置将為每個cli會話記錄最近輸入的19條指令。show history指令能夠檢視目前會話的完整指令記錄;通過指令記錄,可以召回之前輸入過的指令;在需要對指令重複輸入時這将節省大量的時間,另外,還能夠直接對召回的指令進行編輯或更改。
按向上方向鍵(q)或ctrl-p将召回上一條輸入過的指令;按向下方向鍵(q)或ctrl-n則召回下一條最近輸入的指令。當到達記錄緩存盡頭時,防火牆會在指令行顯示空白。
可以直接編輯召回的指令:使用向左方向鍵(<)或向右方向鍵(>)調整光标在指令行的位置,然後在合适的位置插入新的字元;可使用空格或delete鍵對輸入進行調整。
注意:
相容美國國家标準協會(ansi)的終端模拟器支援方向鍵,例如putty。可以從www.chiark.greenend.org.uk/~sgtatham/putty/download.html 下載下傳到putty。
2.3.4 指令輸出的查找和過濾
show指令可能會産生大量的輸出資訊。如果輸出資訊的行數超出終端會話單頁最大的顯示範圍(預設為24行),那麼頁面末尾将出現如下提示符:
按空格鍵将對顯示内容進行翻頁;如需逐行檢視則按Enter鍵;按下q以退出輸出頁面。
關鍵如果想要對輸出中的特定資訊進行篩選或過濾,則可以使用正則表達來比對輸出内容。正規表達式由各種字元組成——可以是簡單的字元串(如permit或route)或是複雜的比對字元。通常,結合特殊關鍵字和正規表達式來對輸出資訊進行查找和定位。如下的指令結構用于執行正規表達式的查找:
例2-7給出了使用指令show log | include 302013僅顯示緩存的日志消息中消息id為302013的輸出。消息302013記錄了所有入站和出站方向已完成的tcp連接配接資訊,如果需要,可以使用正規表達式對這些資訊進行再次篩選。若隻想顯示入站tcp連接配接的記錄,那麼上述正規表達式應該更改為include 302013加上比對所有資訊的“.*”和字元串“inbound”,如本例末尾内容所示。
例2-7 令輸出查找
number的取值範圍為大于1的正整數,關鍵字lines為可選;若指定了number參數,則lines關鍵字可以不輸入。
輸入pager 0或no pager将完全關閉分頁顯示功能。若使用終端模拟器抓取大量的配置或日志消息,關閉分頁功能是很有必要的;關閉了分頁功能後,所有輸出内容将持續滾動,并由終端模拟器進行緩存;否則在抓取的過程中便需要使用者不斷地使用空格鍵翻頁,并且每頁末尾的<--- more --->提示符也會被記錄下來。