Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
same-security-traffic ~ show asdm sessions コマンド
same-security-traffic ~ show asdm sessions コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

same-security-traffic ~ show asdm sessions コマンド

same-security-traffic

sdi-pre-5-slave

sdi-version

secondary

secure-unit-authentication

security-level

serial-number

server-port

service reset no-connection

service resetinbound

service-policy

set boot device (Catalyst OS)

set connection

set connection advanced-options tcp-state-bypass

set connection timeout

set metric

set metric-type

setup

show aaa local user

show aaa-server

show access-list

show activation-key

show admin-context

show arp

show arp statistics

show arp-inspection

show asdm history

show asdm log_sessions

show asdm sessions

same-security-traffic ~ show asdm sessions コマンド

same-security-traffic

セキュリティ レベルが同じインターフェイス間での通信を許可したり、同一インターフェイスでトラフィックの着信および発信を許可するには、グローバル コンフィギュレーション モードで same-security-traffic コマンドを使用します。セキュリティが同じトラフィックをディセーブルにするには、このコマンドの no 形式を使用します。

same-security-traffic permit { inter-interface | intra-interface }

no same-security-traffic permit { inter-interface | intra-interface }

 
シンタックスの説明

inter-interface

セキュリティ レベルが同じインターフェイス間の通信を許可します。

intra-interface

同一インターフェイスで着信と発信を行う通信を許可します。

 
デフォルト

デフォルトでは、この動作はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドに inter-interface キーワードが追加されました。

2.3(1)

intra-interface キーワードのサポートが追加されました。

 
使用上のガイドライン

セキュリティが同じインターフェイス間での通信を許可すると( same-security-traffic inter-interface コマンドを使用)、101 を超える通信インターフェイスを設定できます。インターフェイスごとに異なるレベルを使用する場合、各レベル(0 ~ 100)で設定できるインターフェイスは 1 つだけです。

NAT 制御をイネーブルにする場合は、セキュリティ レベルの同じインターフェイス間で NAT を設定する必要はありません。

same-security-traffic intra-interface コマンドを使用すると、同一インターフェイスでトラフィックの発信と着信を行うことができます。これは、通常は許可されない動作です。


) インターフェイスの内外で同一セキュリティ レベルのインターフェイスを使用する場合、xlate-bypass コマンドをイネーブルにしたい場合があります。この設定を使用していることで、状況により xlate の最大数を超過する場合があるためです(制限については『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください)。たとえば、xlate-bypass を使用しない場合、(NAT が未設定であっても)FWSM はすべての接続の xlate を作成します。same-security-traffic 設定では、FWSM は、xlate を作成するために、どの同一セキュリティ レベル インターフェイスが「内部」インターフェイスなのかをランダムに選択します。FWSM が外部の同一セキュリティ レベル インターフェイスを「内部」インターフェイスと見なしてしまうと、そのインターフェイスを介してアクセスされるすべてのインターネット ホスト用に xlate が作成されます。内部ネットワーク上に数千のインターネット ホストをスキャンするアプリケーション(あるいはウイルス)が存在していると、xlate テーブル内の全エントリを使い切ってしまいます。


次に、セキュリティが同じインターフェイス間で通信をイネーブルにする例を示します。

hostname(config)# same-security-traffic permit inter-interface
 

次に、同一インターフェイスでトラフィックの発信と着信を許可する例を示します。

hostname(config)# same-security-traffic permit intra-interface
 

 
関連コマンド

コマンド
説明

show running-config same-security-traffic

same-security-traffic の設定を表示します。

sdi-pre-5-slave

SDI バージョン 5 よりも前の SDI を使用するこのホスト接続に、オプションの SDI AAA「スレーブ」サーバの IP アドレスまたは名前を指定して使用するには、AAA サーバ ホスト コンフィギュレーション モードで sdi-pre-5-slave コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

sdi-pre-5-slave host

no sdi-pre-5-slave

 
シンタックスの説明

host

スレーブ サーバ ホストの名前または IP アドレスを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは SDI AAA サーバ グループの任意のホストに使用できますが、意味を持つのは、 sdi-version コマンドでホストの SDI バージョンが sdi-pre-5 に設定されている場合だけです。このコマンドを使用する前に、SDI プロトコルを使用するように AAA サーバを設定しておく必要があります。

sdi-pre-5-slave コマンドを使用すると、プライマリ サーバで障害が発生した場合に使用する、オプションのセカンダリ サーバを指定できます。このコマンドで指定するアドレスは、プライマリ SDI サーバに対する「スレーブ」として設定されたサーバのアドレスにする必要があります。この状況で、バージョン 5 よりも前のバージョンを使用する場合は、 sdi-pre-5-slave コマンドを設定し、FWSM がサーバからダウンロードされる適切な SDI コンフィギュレーション レコードにアクセスできるようにする必要があります。これは、バージョン 5 以降のバージョンには当てはまりません。

次に、SDI バージョン 5 よりも前の SDI を使用する、AAA SDI サーバ グループ「svrgrp1」の設定例を示します。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# sdi-version sdi-pre-5
hostname(config-aaa-server-host)# sdi-pre-5-slave 209.165.201.31
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

sdi-version

このホスト接続に使用する SDI のバージョンを指定します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

sdi-version

このホスト接続に使用する SDI のバージョンを指定するには、AAA サーバ ホスト コンフィギュレーション モードで sdi-version コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

sdi-version version

no sdi-version

 
シンタックスの説明

version

使用する SDI のバージョンを指定します。有効値は次のとおりです。

sdi-5 :SDI version 5.0(デフォルト)

sdi-pre-5 :5.0 よりも前の SDI バージョン

 
デフォルト

デフォルトのバージョンは sdi-5 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが有効なのは、SDI AAA サーバに限定されます。セカンダリ(フェールオーバー)SDI AAA サーバを設定し、なおかつそのサーバの SDI バージョンが 5 より古い場合、 sdi-pre-5-slave コマンドも指定する必要があります。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# sdi-version sdi-5
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

secondary

フェールオーバー グループのプライオリティをセカンダリ装置で高くするには、フェールオーバー グループ コンフィギュレーション モードで secondary コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

secondary

no secondary

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

フェールオーバー グループに関して、 primary または secondary を指定しなかった場合、フェールオーバー グループのデフォルトは primary です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

フェールオーバー グループにプライマリまたはセカンダリのプライオリティを割り当てると、両方の装置が(装置のポーリング時間内で)同時に起動した場合に、フェールオーバー グループのアクティブになる装置が指定されます。一方の装置が他方より先に起動した場合は、その装置上で両方のフェールオーバー グループがアクティブになります。他方の装置がオンラインになると、セカンダリ装置にプライオリティが与えられているフェールオーバー グループは、 preempt コマンドでフェールオーバー グループが設定されているか、または no failover active コマンドで他方の装置に手動で強制的に移さないかぎり、セカンダリ装置上ではアクティブになりません。

次に、プライマリ装置のプライオリティを高くしてフェールオーバー グループ 1 を設定し、セカンダリ装置のプライオリティを高くしてフェールオーバー グループ 2 を設定する例を示します。優先装置が使用可能になった時点で、グループがその装置上で自動的にアクティブになるように、どちらのフェールオーバー グループも preempt コマンドを使用して設定されます。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

アクティブ/アクティブ フェールオーバーを行うフェールオーバー グループを定義します。

preempt

優先装置が使用可能になった時点で、その装置上でフェールオーバー グループを強制的にアクティブにします。

primary

プライマリ装置にセカンダリ装置より高いプライオリティを与えます。

secure-unit-authentication

セキュア ユニット認証をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用します。セキュア ユニット認証をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。実行コンフィギュレーションからセキュア ユニット認証の属性を削除するには、このコマンドの no 形式を使用します。このオプションにより、別のグループ ポリシーからセキュア ユニット認証の値が継承されます。

secure-unit-authentication { enable | disable }

no secure-unit-authentication

 
シンタックスの説明

disable

セキュア ユニット認証をディセーブルにします。

enable

セキュア ユニット認証をイネーブルにします。

 
デフォルト

セキュア ユニット認証はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

セキュア ユニット認証は、VPN ハードウェア クライアントがトンネルを開始するたびに、ユーザ名とパスワードによる認証をクライアントに要求することによって、セキュリティを強化します。この機能をイネーブルにした場合、ハードウェア クライアントは保存されたユーザ名とパスワードを使用しません。


) この機能がイネーブルのときに VPN トンネルを起動するには、ユーザ名とパスワードを入力するユーザが存在していなければいけません。


セキュア ユニット認証を使用するには、ハードウェア クライアント(複数可)が使用するトンネル グループ用に、認証サーバ グループを設定しておく必要があります。

プライマリ FWSM 上でセキュア ユニット認証が必要な場合は、必ず、バックアップ サーバでもセキュア ユニット認証を設定する必要があります。

次に、FirstGroup というグループ ポリシーに対してセキュア ユニット認証をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# secure-unit-authentication enable

 
関連コマンド

コマンド
説明

ip-phone-bypass

ユーザ認証を行わなくても IP Phone を接続できるようにします。セキュア ユニット認証は引き続き有効です。

leap-bypass

VPN ハードウェア クライアントの背後にある無線装置から送信された LEAP パケットが、ユーザ認証(イネーブルの場合)の前に VPN トンネルを通過するようにします。このようにすると、シスコ製無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できます。その後、ユーザ認証ごとに再認証します。

user-authentication

ハードウェア クライアントの背後にいるユーザに、FWSM の認証を受けてから接続することを要求します。

security-level

インターフェイスのセキュリティ レベルを設定するには、インターフェイス コンフィギュレーション モードで security-level コマンドを使用します。セキュリティ レベルをデフォルト値に戻すには、このコマンドの no 形式を使用します。セキュリティ レベルは、セキュリティの高いネットワークと低いネットワーク間の保護を強化することによって、セキュリティの低いネットワークから高いネットワークを保護します。

security-level number

no security-level

 
シンタックスの説明

number

0(最低)~ 100(最高)の整数

 
デフォルト

セキュリティ レベルはデフォルトで 0 です。

「内部」インターフェイスを指定し、セキュリティ レベルを明示的に設定しなかった場合、FWSM によってセキュリティ レベルが 100 に設定されます( nameif コマンドの項を参照)。このレベルは必要に応じて変更できます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。 nameif コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに変更されました。

 
使用上のガイドライン

レベルによって次の動作を制御します。

インスペクション エンジン:一部のインスペクション エンジンは、セキュリティ レベルに従属します。セキュリティが同じインターフェイスの場合、インスペクション エンジンは双方向のトラフィックに適用されます。

NetBIOS インスペクション エンジン:発信接続だけに適用されます。

OraServ インスペクション エンジン:ホスト ペアの間に OraServ ポートの制御接続が存在する場合、着信データ接続に限り、FWSM を通過することが許可されます。

フィルタリング:HTTP(S)および FTP フィルタリングは、発信接続だけに適用されます(上位レベルから下位レベル)。

セキュリティが同じインターフェイスの場合、双方向でトラフィックをフィルタリングできます。

NAT 制御:NAT 制御をイネーブルにしていて、セキュリティの高いインターフェイス(内部)上のホストからセキュリティの低いインターフェイス(外部)上のホストにアクセスする場合、セキュリティの高いインターフェイス上のホストに NAT を設定する必要があります。

NAT 制御がない場合やセキュリティが同じインターフェイスの場合、任意のインターフェイス間で NAT を使用することを選択したり、NAT を使用しないように選択することができます。インターフェイス外で NAT を設定する場合特別なキーワードが必要であることを忘れないでください。

established コマンド:このコマンドを使用すると、セキュリティ レベルの高いホストから低いホストへの接続がすでに確立されている場合に、セキュリティの低いホストから高いホストへの復帰接続が可能です。

セキュリティが同じインターフェイスの場合、双方向で establised コマンドを設定できます。

通常、セキュリティ レベルが同じインターフェイス間では通信できません。セキュリティ レベルが同じインターフェイス間の通信を可能にする場合は、 same-security-traffic コマンドの項を参照してください。101 を超える通信インターフェイスを作成する場合、または同等に保護される部門が 2 つあるような状況で、2 つのインターフェイス間のトラフィックに保護機能を等しく適用する場合は、2 つのインターフェイスに同じレベルを割り当て、相互間で通信できるようにします。

インターフェイスのセキュリティ レベルを変更し、既存の接続がタイムアウトしないうちに新しいセキュリティ情報が使用されるようにする場合は、 clear local-host コマンドを使用して接続を消去できます。

次に 2 つのインターフェイスについて、セキュリティ レベルを 100 および 0 に設定する例を示します。

hostname(config)# interface gigabitethernet0
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

clear local-host

すべての接続をリセットします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

nameif

インターフェイス名を設定します。

serial-number

登録時の証明書に FWSM のシリアル番号を含めるには、crypto ca トラストポイント コンフィギュレーション モードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

serial-number

no serial-number

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

シリアル番号を含めないのがデフォルトの設定です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、トラストポイント central の crypto ca トラストポイント コンフィギュレーション モードを開始し、トラストポイント central に対する登録要求に FWSM のシリアル番号を含める例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# serial-number
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

server-port

ホストの AAA サーバ ポートを設定するには、AAA サーバ ホスト モードで server-port コマンドを使用します。指定したサーバ ポートを削除するには、このコマンドの no 形式を使用します。

server-port port-number

no server-port

 
シンタックスの説明

port number

0 ~ 65535 のポート番号

 
デフォルト

デフォルトのサーバ ポートは、次のとおりです。

SDI:5500

LDAP:389

Kerberos:88

NT:139

TACACS+:49

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ グループ

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、サーバ ポート番号 8888 を使用するように、「svrgrp1」という SDI AAA サーバを設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# server-port 8888
 

 
関連コマンド

コマンド
説明

aaa-server host

ホスト固有の AAA サーバ パラメータを設定します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

service reset no-connection

FWSM に接続履歴のない TCP パケットのリセットを送信するには、グローバル コンフィギュレーション モードで service reset no-connection コマンドを使用します。リセットを送信しないようにするには、このコマンドの no 形式を使用します。

service reset no-connection

no service reset no-connection

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、リセットは送信されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM が最初に SYN パケットを受信せずに ACK または SYN-ACK パケットを受信する場合、FWSM にはパケットの受信履歴がありません。デフォルトでは、FWSM はパケットの RST を送信します。RST の送信をディセーブルにするには、 no service reset no-connection コマンドを入力します。

FWSM との接続を確立しようとするものの、アクセス リストまたは AAA 設定に基づいて拒否される SYN パケットのリセット動作を設定するには、 service resetinbound コマンドを参照してください。

次に、RST の送信をディセーブルにする例を示します。

hostname(config)# no service reset no-connection

 
関連コマンド

コマンド
説明

service resetinbound

拒否された TCP SYN パケットのリセットを送信するかどうかを設定します。

show running-config service

システム サービスを表示します。

service resetinbound

拒否された着信 TCP 接続にリセットを送信するには、グローバル コンフィギュレーション モードで service resetinbound コマンドを使用します。リセットを送信しないようにするには、このコマンドの no 形式を使用します。

service resetinbound

no service resetinbound

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、リセットは送信されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

service resetinbound コマンドは、アクセス リストまたは uauth(ユーザ許可)で着信接続が禁止されている、すべての着信 TCP 接続に対して機能します。用途としては、識別要求(IDENT)接続のリセットなどがあります。着信 TCP 接続が試行されて拒否された場合、service resetinbound コマンドを使用して、RST(TCP ヘッダー内のリセット フラグ)を送信元に返すことができます。キーワードを指定しなかった場合、FWSM は RST を返さずにパケットを廃棄します。

FWSM との接続のないパケットのリセットを送信するかどうかを設定するには、 service reset no-connection コマンドを参照してください。たとえば、FWSM が最初に SYN パケットを受信せずに ACK または SYN-ACK パケットを受信する場合、FWSM にはパケットの受信履歴がありません。 service resetinbound コマンドは、FWSM との接続を確立しようとする SYN パケットだけに適用されます。

FWSM は着信接続ホストに TCP RST を送信し、着信 IDENT プロセスを停止することにより、発信電子メールが IDENT のタイムアウトを待たずに送信されるようにします。FWSM は、着信接続が拒否されたことを示す Syslog メッセージを送信します。service resetinbound コマンドを入力しなかった場合、FWSM は拒否されたパケットを廃棄し、SYN が拒否されたことを示す Syslog メッセージを生成します。ただし、外部ホストは IDENT がタイムアウトするまで SYN の再送信を続けます。

IDENT 接続がタイムアウトになると、接続速度が落ちます。トレースを実行して、速度低下の原因が IDENT であるかどうかを判断してから、service コマンドを入力します。

Use theFWSM を介して IDENT 接続を処理するには、service resetinbound コマンドを使用します。次に、IDENT 接続の処理方法をセキュリティが高いものから順に示します。

1. service resetinbound コマンドを使用します。

2. permitto tcp 113 キーワードを指定して、established コマンドを使用します。

3. static コマンドおよび access-list コマンドを入力して、TCP ポート 113 を開きます。

aaa コマンドを使用する場合、最初の許可試行が失敗し、次の試行でタイムアウトした場合は、service resetinbound コマンドを使用して許可に失敗したクライアントをリセットし、接続を再送信しないようにします。次に、Telnet での許可タイムアウト メッセージの例を示します。

Unable to connect to remote host: Connection timed out
 

リセット フラグに関して、FWSM 上で予期されるトラフィック動作は、次のとおりです。

1. resetinbound が設定されていて、なおかつセキュリティの低いインターフェイスから高いインターフェイスへのトラフィック フローが拒否される場合、リセットが送信されます。

2. resetinbound が設定されていて、なおかつセキュリティ レベルが同じインターフェイス間のトラフィック フローが拒否される場合、リセットが送信されます。

3. resetinbound が設定されていて、なおかつセキュリティの高いインターフェイスから低いインターフェイスへのトラフィック フローが拒否される場合、リセットが送信されます。

次に、システム サービスをイネーブルにする例を示します。

hostname(config)# service resetinbound

 
関連コマンド

コマンド
説明

show running-config service

システム サービスを表示します。

service-policy

すべてのインターフェイスでグローバルに、またはターゲット インターフェイス上でポリシー マップをアクティブにするには、グローバル コンフィギュレーション モードで service-policy コマンドを使用します。サービス ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。 service-policy コマンドは、インターフェイス上で 1 組のポリシーをイネーブルにする場合に使用します。

service-policy policymap_name [ global | interface intf ]

no service-policy policymap_name [ global | interface intf ]

 
シンタックスの説明

policymap_name

policy-map コマンドで設定したポリシー マップ名を指定します。レイヤ 3/4 ポリシー マップだけを指定することができ、検査ポリシー マップ( policy-map type inspect )は指定できません。

global

すべてのインターフェイスにポリシー マップを適用します。

interface intf

特定のインターフェイスにポリシー マップを適用します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス サービス ポリシーはグローバル サービス ポリシーよりも優先されます。

デフォルトでは、この設定には、すべてのデフォルト アプリケーション検査トラフィックと一致し、グローバルにトラフィックに検査を適用するグローバル ポリシーが含まれています。1 つのグローバル ポリシーだけを適用することができ、したがってグローバル ポリシーを変更しようとする場合、デフォルト ポリシーを編集するか、デフォルト ポリシーをディセーブルにして新しいポリシーを適用する必要があります。

デフォルトのサービス ポリシーには次のコマンドが含まれています。

service-policy global_policy global
 

次に、外部インターフェイス上にある inbound_policy ポリシー マップをイネーブルにする例を示します。

hostname(config)# service-policy inbound_policy interface outside
 

次に示すコマンドは、デフォルト グローバル ポリシーをディセーブルにして、その他のすべての FWSM インターフェイス上で new_global_policy という新しいポリシーをイネーブルにします。

hostname(config)# no service-policy global_policy global
hostname(config)# service-policy new_global_policy global
 

 
関連コマンド

コマンド
説明

show service-policy

サービス ポリシーを表示します。

show running-config service-policy

実行コンフィギュレーションで設定されたサービス ポリシーを表示します。

clear service-policy

サービス ポリシーの統計情報をクリアします。

clear configure service-policy

サービス ポリシー設定を消去します。

set boot device (Catalyst OS)

デフォルトでは、FWSM は cf:4 アプリケーション パーティションから起動します。ただし、 cf:5 アプリケーション パーティションからの起動または cf:1 メンテナンス パーティションでの起動を選択できます。デフォルトの起動パーティションを変更するには、特権 EXEC モードで set boot device コマンドを入力します。

set boot device cf: n mod_num

 
シンタックスの説明

mod_num

モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。

cf: n

起動パーティションを設定します。アプリケーション パーティションには、 cf:4 および cf:5 が含まれています。メンテナンス パーティションは cf:1 です。

 
デフォルト

デフォルトの起動パーティションは cf:4 です。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更

既存

このコマンドは既存コマンドです。

 
使用上のガイドライン

各アプリケーション パーティションには独自のスタートアップ コンフィギュレーションがあります。

現在のモジュールを表示するには、 show module コマンドを入力します。

Console> show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- ------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
4 4 2 Intrusion Detection Syste WS-X6381-IDS no ok
5 5 6 Firewall Module WS-SVC-FWM-1 no ok
6 6 8 1000BaseX Ethernet WS-X6408-GBIC no ok
 

次に、起動パーティションをメンテナンス パーティションに設定する例を示します。

Console> (enable) set boot device cf:1 1
 

 
関連コマンド

コマンド
説明

boot device module

デフォルトの起動パーティションを変更します。

reset

モジュールをリセットします。

show module

インストールされているすべてのモジュールを表示します。

set connection

トラフィック クラスにおける TCP および UDP 接続の最大数を設定したり、TCP シーケンス番号のランダム化をディセーブルにしたりするには、クラス コンフィギュレーション モードで set connection コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスします。これらの仕様を削除するには、コマンドの no 形式を使用します。

set connection { [ conn-max number ] [ conn-rate-limit number ] [ random-seq# { enable | disable }]}

no set connection { [ conn-max number ] [ conn-rate-limit number ] [ random-seq# { enable | disable }]}

 
シンタックスの説明

conn-max number

0 ~ 65535 の間で、同時 TCP および UDP 接続の最大数を設定します。デフォルトは 0 で、接続数に制限がないことを意味します。

conn-rate-limit number

0 ~ 65535 の間で、1 秒あたりの最大 TCP および UDP 接続数を設定します。デフォルトは 0 で、接続レートに制限がないことを意味します。

disable

TCP シーケンス番号のランダム化をオフにします。

enable

TCP シーケンス番号のランダム化をオンにします。

random-seq#

TCP シーケンス番号のランダム化をイネーブルまたはディセーブルにします。各 TCP 接続には 2 つの ISN があり、1 つがクライアントによって生成され、もう 1 つがサーバによって生成されます。FWSM は、受信および発信方向に渡される TCP SYN の ISN をランダム化します。

保護されたホストで ISN をランダム化すると、新規接続の次の ISN を予測して新規セッションをハイジャックする攻撃を阻止できます。

必要に応じて、TCP 初期シーケンス番号ランダム化をディセーブルにすることができます。例を示します。

別のインライン ファイアウォールも初期シーケンス番号をランダム化している場合、このアクションがトラフィックに影響せずとも両方のファイアウォールでこのアクションを実行する必要はありません。

FWSM を通じて eBGP マルチホップを使用する場合、eBGP ピアは MD5 を使用しています。ランダム化によって MD5 チェックサムが中断されます。

FWSM によって接続のシーケンス番号がランダム化されないことが必要な WAAS デバイスを使用します。

コマンドを使用する Xlate バイパスをイネーブルにする場合、TCP シーケンスのランダム化をディセーブルにすることは制御接続だけで有効で、データ接続では無効です。データ接続に対して TCP シーケンスは継続してランダム化されます。

 
デフォルト

conn-max キーワードでは、 number のデフォルト値は 0 です。この場合、接続数は無制限になります。

conn-rate-limit キーワードでは、 number のデフォルト値は 0 です。この場合、1 秒あたりの接続数は無制限になります。

シーケンス番号のランダム化は、デフォルトでイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

4.0(1)

conn-rate-limit キーワードが追加されました。また、クラス マップ内のアクセス リストが一致する際に、各 ACE に対して独立的に実行されるのではなく、アクセス リストに対して全体的に set connection アクションが実行されます。

 
使用上のガイドライン

class-map コマンドでトラフィックを特定してから、 policy-map コマンドを入力して各クラス マップに対応するアクションを指定します。 class コマンドを入力してクラス マップを指定し、さらに set connection コマンドを入力して、そのクラス マップの接続数を設定します。


) NAT の設定(nat コマンドおよび static コマンド)で最大接続数および TCP シーケンス番号のランダム化を設定することもできます。両方の方法で同じトラフィックにこれらの値を設定した場合、FWSM は低い方の限度を使用します。TCP シーケンス番号のランダム化がいずれかの方法でディセーブルになっている場合、FWSM は TCP シーケンス番号のランダム化をディセーブルにします。

NAT では set connection コマンドと異なり、DoS 攻撃を防ぐために TCP 代行受信が起動される、初期接続限度も設定します。


次の例は、同時接続の最大数を 256、最大レートを 1 秒あたり 50 に設定し、TCP シーケンス番号ランダム化を無効にしています。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection conn-max 256 conn-rate-limit 50 random-seq# disable
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップを指定します。

class-map

サービス ポリシーで使用するクラス マップを作成します。

policy-map

クラス マップと 1 つ以上のアクションを対応付ける、ポリシー マップを設定します。

service-policy

インターフェイスにポリシー マップを割り当てます。

set connection timeout

接続タイムアウトを設定します。

set connection advanced-options tcp-state-bypass

TCP 状態バイパスをイネーブルにするには、クラス コンフィギュレーション モードで set connection advanced-options コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスします。TCP 状態バイパスをディセーブルにするには、このコマンドの no 形式を使用します。

set connection advanced-options tcp-state-bypass

no set connection advanced-options tcp-state-bypass

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、TCP 状態バイパスはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

class-map コマンドでトラフィックを特定してから、 policy-map コマンドを入力して各クラス マップに対応するアクションを指定します。クラス マップを特定するために class コマンドを入力し、次にそのクラス マップの TCP 状態バイパスをイネーブルにするために set connection advanced-options コマンドを入力します。

FWSM を通じた発信および受信フローの有効化

デフォルトでは、アダプティブ セキュリティ アルゴリズムを使用して FWSM を通過するすべてのトラフィックが検査され、セキュリティ ポリシーに基づいて通過が許可または廃棄されます。FWSM は、各パケットの状態(新規接続か確立済みの接続か)をチェックし、これをセッション管理パス(新規接続 SYN パケット)、高速パス(確立済み接続)、または制御プレーン パス(拡張検査)に割り当てることで、ファイアウォール パフォーマンスを最大化します。

高速パスで既存の接続が一致する TCP パケットは、セキュリティ ポリシーのあらゆる側面の再チェックが行われずに FWSM を通過することができます。この機能によりパフォーマンスが最大化されます。ただし、SYN パケットを使用して高速パス内のセッションを確立する方法と、(TCP シーケンス番号など)高速パス内で発生するチェックは、非対称ルーティング ソリューションの障害となる可能性があります。接続の発信および受信フローは同一 FWSM を通過する必要があります。

たとえば、新規接続が FWSM 1. 1 に送信されるとします。SYN パケットがセッション管理パスを通過し、接続のエントリが高速パス テーブルに追加されます。この接続の後続パケットが FWSM 1 を通過する場合、パケットは高速パスのエントリと一致し、通過します。しかし、後続パケットが FWSM 2 に送信される場合、セッション管理パスを通過した SYN パケットがないため、この接続の高速パスにエントリがなく、パケットが廃棄されます。

上流のルータに非対称ルーティングが設定されていて、2 つの FWSM 間でトラフィックが変動している場合、特定のトラフィックに対して TCP 状態バイパスを設定できます。TCP 状態バイパスは、高速パスで確立されるセッションの方法を変えて、高速パス チェックを無効にします。この機能では、TCP トラフィックが UDP よりも優先して取り扱われます。指定のネットワークと一致する非 SYN パケットが FWSM に入り、ここに高速パス エントリがない場合、パケットはセッション管理パスを通過して、高速パスの接続を確立します。高速パスに入ると、トラフィックは高速パス チェックを迂回します。

アプリケーション検査未サポート

アプリケーション検査では、同一 FWSM を通過する受信および発信トラフィックの両方が必要であるため、TCP 状態バイパスでは TCP 状態がサポートされていません。

NAT との互換性

各 FWSM で個別に変換セッションが確立されているため、TCP 状態バイパス トラフィックに対して両方の FWSM でスタティック NAT が設定されていることを確認してください。ダイナミック NAT を使用している場合、FWSM 1 のセッションで選択されるアドレスは FWSM 2 のセッションで選択されるアドレスと異なります。

接続タイムアウト

指定の接続で 2 分間トラフィックがない場合、接続がタイムアウトとなります。このデフォルト設定は、 set connection timeout tcp コマンドを使用して上書きすることができます。通常の TCP 接続は、デフォルトで 60 分後にタイムアウトします。

次に、TCP 状態バイパスの設定例を示します。

hostname(config)# access-list tcp extended permit tcp 10.1.1.0 255.255.255.0 10.2.1.0 255.255.255.0
 
hostname(config)# class-map tcp_bypass
hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"
hostname(config-cmap)# match access-list tcp_bypass
 
hostname(config-cmap)# policy-map tcp_bypass_policy
hostname(config-pmap)# class tcp_bypass
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass
 
hostname(config-pmap-c)# service-policy tcp_bypass_policy outside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップを指定します。

class-map

サービス ポリシーで使用するクラス マップを作成します。

policy-map

クラス マップと 1 つ以上のアクションを対応付ける、ポリシー マップを設定します。

service-policy

インターフェイスにポリシー マップを割り当てます。

set connection timeout

接続タイムアウトを設定します。

set connection timeout

初期、ハーフクローズド、またはアイドル状態の TCP 接続を切断するまでのタイムアウト期間を設定するには、クラス コンフィギュレーション モードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。

set connection timeout {[[ embryonic hh:mm:ss ] [ half-closed hh:mm:ss ] [ tcp hh:mm:ss [ reset ]]] | idle hh:mm:ss }

no set connection timeout {[[ embryonic hh:mm:ss ] [ half-closed hh:mm:ss ] [ tcp hh:mm:ss [ reset ]]] | idle hh:mm:ss }

 
シンタックスの説明

embryonic hh:mm:ss

TCP 初期接続がクローズするまでのタイムアウト期間を、0:0:1 ~ 0:4:15 の間で定義します。デフォルトは 0:0:20 です。また、接続がタイムアウトしないように値を 0 に設定することも可能です。初期接続の最大数は set connection コマンドで設定できませんが、タイムアウトはこのコマンドで設定できます。

half-closed hh:mm:ss

TCP ハーフクローズド接続が解放されるまでのタイムアウト期間を、0:0:1 ~ 0:4:15 の間で定義します。デフォルトは 0:0:20 です。また、接続がタイムアウトしないように値を 0 に設定することも可能です。

idle hh:mm:ss

任意のプロトコルで確立した接続がクローズした後のアイドル時間を、0:5:0 ~ 1092:15:0 の間で定義します。デフォルトは 1:00:0 です。また、接続がタイムアウトしないように値を 0 に設定することも可能です。

reset

(任意)接続タイムアウトが発生したら、TCP エンドポイントにリセットを送信します。

tcp hh:mm:ss

確立した TCP 接続がクローズした後のアイドル時間を、0:5:0 ~ 1092:15:0 の間で定義します。デフォルトは 1:00:0 です。また、接続がタイムアウトしないように値を 0 に設定することも可能です。このキーワードは idle キーワードによって置き換えられ、TCP だけでなくすべてのプロトコルに適用されます。しかし、設定にこのコマンドがまだある場合、受け入れられます。同一ポリシー内で両方のコマンドを使用する場合の詳細については、「使用上のガイドライン」を参照してください。

 
デフォルト

デフォルトの embryonic 接続タイムアウト値は 20 秒です。

デフォルトの half-closed 接続タイムアウト値は 20 秒です。

デフォルトの idle 接続タイムアウト値は 1 時間です。

デフォルトの tcp 接続タイムアウト値は 1 時間です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

3.2(1)

idle キーワードのサポートが追加されました。

 
使用上のガイドライン

このコマンドは モジュラ ポリシー フレームワーク を使用して設定します。まず、 class-map コマンドを使用してタイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection timeout コマンドを入力することができます。最後に、 service-policy コマンドを使用してポリシー マップをインターフェイスに適用します。モジュラ ポリシー フレームワークがどのように動作するのかの詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。

tcp キーワード、 embryonic キーワード、および half-closed キーワードを同時に使用することができますが、 idle キーワードは別に入力する必要があります。

コマンドの no 形式を使用してタイムアウトを削除すると、すべてのタイムアウトが削除されます。タイムアウトの値を変更するには、 no 形式を使用せず新規値でコマンドを再入力します。

同一クラスの set connection timeout tcp および set connection timeout idle コマンドを設定した場合、クラス マップが特に TCP トラフィックと一致しないときは idle コマンド(全種類のコマンドのタイムアウトを設定)が tcp コマンド(TCP 接続のタイムアウトだけを設定)の代わりに使用されます。クラス マップが TCP トラフィックを明示的に指定するアクセス リストと一致する場合、TCP トラフィックに idle コマンドの代わりに tcp コマンドが使用され、アクセス リストに一致する他のトラフィックには idle コマンドが使用されます。次に、特に TCP トラフィックに一致する ACE のあるアクセス リストを作成する例を示します。したがって、TCP トラフィックは tcp コマンドを使用し、UDP および ICMP トラフィックは idle コマンドを使用します。

access-list ip_traffic extended permit tcp any any
access-list ip_traffic extended permit udp any any
access-list ip_traffic extended permit icmp any any
 
class-map c1
match access-list ip_traffic
 
policy-map p1
class c1
set connection timeout idle 3:0:0
set connection timeout tcp 2:0:0
 
service-policy p1 global
 

次の例には、全 IP トラフィックと一致するアクセス リストがあり、特に TCP トラフィックと一致しません。したがって、 tcp コマンドが設定に含まれていても、TCP トラフィックを含むすべてのトラフィックに対して、これは無視され、 idle コマンドが優先されます。

access-list ip_traffic extended permit ip any any
 
class-map c1
match access-list ip_traffic
 
policy-map p1
class c1
set connection timeout idle 3:0:0
set connection timeout tcp 2:0:0
 
service-policy p1 global
 

次に、10.1.1.1 を通過するトラフィックに対して、最大 TCP および UDP 接続を 5000 に設定し、最大初期タイムアウトを 40 秒、ハーフクローズド タイムアウトを 20 分、アイドル タイムアウトを 2 時間に設定する例を示します。

hostname(config)# access-list CONNS permit ip any host 10.1.1.1
 
hostname(config)# class-map conns
hostname(config-cmap)# match access-list CONNS
 
hostname(config-cmap)# policy-map conns
hostname(config-pmap)# class conns
hostname(config-pmap-c)# set connection conn-max 5000
hostname(config-pmap-c)# set connection timeout embryonic 0:0:40 half-closed 0:20:0
hostname(config-pmap-c)# set connection timeout idle 2:0:0
 
hostname(config-pmap-c)# service-policy conns interface outside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップを指定します。

class-map

サービス ポリシーで使用するクラス マップを作成します。

policy-map

クラス マップと 1 つ以上のアクションを対応付ける、ポリシー マップを設定します。

service-policy

インターフェイスにポリシー マップを割り当てます。

set connection

TCP および UDP 接続の最大数を設定します。

set metric

宛先ルーティング プロトコルのメトリック値を設定するには、ルートマップ コンフィギュレーション モードで set metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマンドの no 形式を使用します。

set metric value

no set metric value

 
シンタックスの説明

value

メトリック値

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

no set metric value コマンドを使用すると、デフォルトのメトリック値に戻すことができます。このコンテキストでは、 value は 0 ~ 4294967295 の整数です。

次に、OSPF ルーティングに関するルート マップの設定例を示します。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# show route-map
route-map maptag1 permit 8
set metric 5
match metric 5
hostname(config-route-map)# exit
hostname(config)#

 

 
関連コマンド

コマンド
説明

match interface

指定されたインターフェイスの 1 つを起点とするネクスト ホップのあるすべてのルートを配布します。

match ip next-hop

指定のアクセス リストのいずれかと一致する、ネクストホップ ルータ アドレスが含まれるすべてのルートを配布します。

route-map

ルーティング プロトコル間でルートを再配布する条件を定義します。

set metric-type

宛先ルーティング プロトコルのメトリック タイプを指定するには、ルート マップ コンフィギュレーション モードで set metric-type コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

set metric-type { type-1 | type-2 }

no set metric-type

 
シンタックスの説明

type-1

指定の自律システムの外部にある OSPF メトリック ルートのタイプを指定します。

type-2

指定の自律システムの外部にある OSPF メトリック ルートのタイプを指定します。

 
デフォルト

デフォルトは type-2 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

既存

このコマンドは既存コマンドです。

次に、OSPF ルーティングに関するルート マップの設定例を示します。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# set metric-type type-2
hostname(config-route-map)# show route-map
route-map maptag1 permit 8
set metric 5
set metric-type type-2
match metric 5
hostname(config-route-map)# exit
hostname(config)#

 

 
関連コマンド

コマンド
説明

match interface

指定されたインターフェイスの 1 つを起点とするネクスト ホップのあるすべてのルートを配布します。

route-map

ルーティング プロトコル間でルートを再配布する条件を定義します。

set metric

ルート マップに対応する宛先ルーティング プロトコルのメトリック値を指定します。

setup

対話型プロンプトから FWSM を設定するには、グローバル コンフィギュレーション モードで setup コマンドを使用します。

setup

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSMに ASDMを接続するには、初期設定が必要です。 setup コマンドを入力する前に、 nameif コマンドを使用して、「内部」インターフェイスを指定する必要があります。FWSM には、デフォルトの内部インターフェイスはありません。

setup コマンドを入力すると、 表 24-1 に示した設定情報を入力するように求められます。

 

表 24-1 設定情報

プロンプト
説明
Pre-configure Firewall now through interactive prompts [yes]?

yes または no を入力します。 yes を入力すると、セットアップ ダイアログが続行されます。 no を入力した場合は、セットアップ ダイアログが中止され、グローバル コンフィギュレーション プロンプト(hostname(config)#)が表示されます。

Firewall Mode [Routed]:

routed または transparent を入力します。ファイアウォール モード プロンプトを使用できるのは、シングル モードまたはコンテキストに限られます。

Enable password:

イネーブル パスワードを入力します (パスワードには 3 文字以上を指定する)。

Inside IP address:

FWSMのネットワーク インターフェイスの IP アドレスを入力します。

Inside network mask:

内部 IP アドレスに適用するネットワーク マスクを入力します。255.0.0.0、255.255.0.0、または 255.255.x.x などの、有効なネットワーク マスクを指定する必要があります。デフォルト ルートを指定するには、0.0.0.0 を使用します。ネットマスク 0.0.0.0 の省略形として 0 を使用できます。

Host name:

コマンドライン プロンプトに表示するホスト名を入力します。

Domain name:

FWSM が動作するネットワークのドメイン名を入力します。

IP address of host running Device Manager:

ASDM が FWSM に接続する IP アドレスを入力します。

Use this configuration and write to flash [yes]?

yes または no を入力します。 yes を入力すると、内部インターフェイスがイネーブルになり、必要な設定がフラッシュ パーティションに書き込まれます。

no を入力した場合は、セットアップ ダイアログが最初の質問から繰り返されます。

Pre-configure Firewall now through interactive prompts [yes]?
 

no を入力してセットアップ ダイアログを終了するか、または yes を入力してセットアップ ダイアログを繰り返します。

ホスト名およびドメイン名は、Secure Socket Layer(SSL)接続用のデフォルト証明書を生成する場合に使用されます。

次に、 setup コマンド プロンプトを完了する例を示します。

hostname(config)# setup
Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]: routed
Enable password [<use current password>]: writer
Inside IP address [192.168.1.1]: 192.168.1.1
Inside network mask [255.255.255.0]: 255.255.255.0
Host name [tech_pubs]: tech_pubs
Domain name [your_company.com]: your_company.com
IP address of host running Device Manager:
 
The following configuration will be used:
Enable password: writer
Firewall Mode: Routed
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: tech_pubs
Domain name: your_company.com
 
Use this configuration and write to flash? yes

 
関連コマンド

コマンド
説明

asdm

FWSM とデバイス マネージャが動作しているブラウザ間の通信を設定します。

show aaa local user

現在ロックされているユーザ名のリストを表示する、またはユーザ名の詳細を表示するには、グローバル コンフィギュレーション モードで aaa local user コマンドを使用します。

show aaa local user [ locked]

 
シンタックスの説明

locked

(任意)現在ロックされているユーザ名のリストを表示します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

オプション キーワード locked を指定しなかった場合、FWSM はすべての AAA ローカル ユーザについて、失敗した試行とロックアウト ステータスを表示します。

username オプションで特定のユーザを指定することも、または all オプションですべてのユーザを指定することもできます。

このコマンドが作用するのは、ロックアウトされているユーザのステータスだけです。

装置から管理者をロックアウトできません。

次に、 show aaa local user コマンドを使用して、すべてのユーザ名についてロックアウト ステータスを表示する例を示します。

この例では、 show aaa local user コマンドを使用して、限度を 5 に設定した後で、すべての AAA ローカル ユーザについて、認証に失敗した回数とロックアウト ステータスの詳細を表示します。

hostname(config)# aaa local authentication attempts max-fail 5
hostname(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 6 Y test
- 2 N augry13
- 1 N cisco
- 4 N newuser
hostname(config)#
 

次に、 lockout キーワードを指定して show aaa local user コマンドを使用し、限度を 5 に設定した後で、ロックアウトされている AAA ローカル ユーザに限定して、認証に失敗した回数とロックアウト ステータスの詳細を表示します。

hostname(config)# aaa local authentication attempts max-fail 5
hostname(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 6 Y test
hostname(config)#

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザがロックアウトされるまでに、無効なパスワードを入力できる最大回数を設定します。

clear aaa local user fail-attempts

ロックアウト ステータスを変更しないで、失敗した試行回数を 0 にリセットします。

clear aaa local user lockout

特定ユーザまたは全ユーザのロックアウト ステータスを消去し、対応する失敗試行回数のカウンタを 0 に設定します。

show aaa-server

AAA サーバのサーバ統計情報を表示するには、特権 EXEC モードで show aaa-server コマンドを使用します。

show aaa-server [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
シンタックスの説明

LOCAL

(任意)LOCAL ユーザ データベースの統計情報を表示します。

groupname

(任意)グループ内のサーバの統計情報を表示します。

host hostname

(任意)グループ内の特定サーバの統計情報を表示します。

protocol protocol

(任意)指定したプロトコルのサーバの統計情報を表示します。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

デフォルトでは、すべての AAA サーバの統計情報が表示されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

2.2(1)

このコマンドが LOCAL メソッドをサポートするように変更されました。

次の例では、 show aaa-server コマンドを使用して、サーバ グループ group1 内の特定のホストの統計情報を表示しています。

hostname(config)# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: ACTIVE. Last transaction (success) at 11:10:08 UTC Fri Aug 22
Number of pending requests 20
Average round trip time 4ms
Number of authentication requests 20
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 1
Number of accepts 16
Number of rejects 4
Number of challenges 5
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 0
Number of unrecognized responses 0
 

次に、 show aaa-server コマンドのフィールドの説明を示します。

 

フィールド
説明

Server Group

aaa-server コマンドで指定したサーバ グループ名。

Server Protocol

aaa-server コマンドで指定したサーバ グループのサーバ プロトコル。

Server Address

AAA サーバの IP アドレス。

Server port

FWSM および AAA サーバが使用する通信ポート。RADIUS 認証ポートを指定するには、 authentication-port コマンドを使用します。RADIUS アカウンティング ポートを指定するには、 accounting-port コマンドを使用します。非 RADIUS サーバの場合は、 server-port コマンドでポートを設定します。

Server status

サーバのステータス。次のいずれかの値が表示されます。

ACTIVE:FWSM は、この AAA サーバと通信できます。

FAILED:FWSM は、この AAA サーバと通信できません。この状態になったサーバは、そのままの状態で維持され、ポリシーによって規定された期間が経過すると再アクティブ化されます。

次の形式を使用すると、最後のトランザクションの日時も表示されます。

Last transaction ( { success | failure } ) at time timezone date
 

FWSM がサーバと通信したことがない場合は、次のようなメッセージが表示されます。

Last transaction at Unknown

Number of pending requests

処理中の要求の数。

Average round trip time

サーバとのトランザクションが終了するまでの平均所要時間。

Number of authentication requests

FWSM が送信した認証要求の数。タイムアウト後の再送信はカウントしません。

Number of authorization requests

権限付与要求の数。この値は、コマンド権限付与、(TACACS+ サーバの)through-the-box トラフィック権限付与、トンネル グループ用にイネーブルにされた IPSec 権限付与機能などの権限付与要求の数を意味します。タイムアウト後の再送信はカウントしません。

Number of accounting requests

アカウンティング要求の数。タイムアウト後の再送信はカウントしません。

Number of retransmissions

内部タイムアウト後にメッセージが再送信された回数。このコマンドは、Kerberos サーバおよび RADIUS サーバ(UDP)だけに適用されます。

Number of accepts

許可された認証要求の数。

Number of rejects

拒否された要求の数。AAA サーバから資格情報によって拒否された数だけでなく、エラー条件もカウントされます。

Number of challenges

最初にユーザ名とパスワード情報を受信したあと、AAA サーバがユーザから追加情報を要求した回数。

Number of malformed responses

現在は未使用。予約フィールド。

Number of bad authenticators

次のいずれかが発生した回数。

RADIUS パケット内のオーセンティケータ文字列が破損している(非常にまれ)。

FWSM の共有秘密鍵が、RADIUS サーバ上の鍵と一致しない。この問題を修正するには、正しいサーバ鍵を入力します。

RADIUS だけで使用します。

Number of timeouts

AAA サーバが応答していないか、不正な動作をしたことが FWSM によって検出されて、オフラインであると宣言された回数。

Number of unrecognized responses

FWSM が、AAA サーバから、認識またはサポートできないという応答を受信した回数。たとえば、サーバから返された RADIUS パケット コードが未知のタイプ、つまり既知のタイプ「access-accept」、「access-reject」、「access-challenge」、または「accounting-response」のいずれでもない場合。これは通常、サーバからの RADIUS 応答パケットが破損していることを意味しますが、非常にまれなケースです。

 
関連コマンド

コマンド
説明

show running-config aaa-server

指定したサーバ グループ内の全サーバ、または特定サーバの統計情報を表示します。

clear aaa-server statistics

AAA サーバの統計情報をクリアします。

show access-list

アクセス リストのカウンタを表示するには、特権 EXEC モードで show access-list コマンドを使用します。

show access-list [ id] [optimization [detail] [range low high]]

 
シンタックスの説明

detail

詳細なアクセス リストの最適化情報を表示します。

id

アクセス リストを特定します。

optimization

アクセス リストの最適化情報を表示します。

range low high

指定されたアクセス リストの範囲を表示します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

4.0(1)

キーワード optimization、detail、および range が追加されました。

 
使用上のガイドライン

ACL は SYN パケットだけを拒否するため、別のタイプのパケットを受信すると、そのパケットはアクセス リストのヒット カウンタに表示されません。(RST、SYN-ACK、ACK、PSH、および FIN を含む)SYN パケット以外の TCP パケット タイプは、アクセス リストによって廃棄される前に FWSM で廃棄されます。SYN パケットだけがアダプティブ セキュリティ アルゴリズムでセッションを作成することができるため、SYN パケットだけがアクセス リストによって評価されます。

次に、 show access-list コマンドの出力例を示します。

hostname# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list 101; 10 elements
access-list 101 line 1 extended permit tcp any eq www any (hitcnt=0) 0xa14fc533 access-list 101 line 2 extended permit tcp any eq www any eq www (hitcnt=0) 0xaa73834e access-list 101 line 3 extended permit tcp any eq www any range telnet www (hitcnt=0) 0x49ac02e6
access-list 101 line 4 extended permit tcp any range telnet www any range telnet www (hitcnt=0) 0xa0021a9f
access-list 101 line 5 extended permit udp any range biff www any (hitcnt=0) 0xf89a7328
access-list 101 line 6 extended permit udp any lt ntp any (hitcnt=0) 0x8983c43 access-list 101 line 7 extended permit udp any any lt ntp (hitcnt=0) 0xf361ffb6
access-list 101 line 8 extended permit udp any any range ntp biff (hitcnt=0) 0x219581
access-list 101 line 9 extended permit icmp any any (hitcnt=0) 0xe8fa08e1
access-list 101 line 10 extended permit icmp any any echo (hitcnt=0) 0x2eb8deea
access-list 102; 1 elements access-list 102 line 1 extended permit icmp any any echo (hitcnt=0) 0x59e2fea8
 

出力例では、各行の末尾に各 ACE の一意の 16 進識別子を含んでいます。

 
関連コマンド

コマンド
説明

access-list ethertype

EtherType に基づいてトラフィックを制御するアクセス リストを設定します。

access-list extended

設定にアクセス リストを追加し、ファイアウォールを通過する IP トラフィックのポリシーを設定します。

clear access-list

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

show activation-key

コンフィギュレーション内のコマンドのうち、アクティベーション キーでイネーブルにされた機能に関するものを、許可されているコンテキスト数を含めて表示するには、特権 EXEC モードで show activation-key コマンドを使用します。

show activation-key

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

show activation-key コマンドの出力は、次のように、アクティベーション キーのステータスを示します。

FWSM フラッシュ ファイル システムのアクティベーション キーと FWSM で稼動するアクティベーション キーが同じ場合、 show activation-key の出力は次のようになります。

The flash activation key is the SAME as the running key.
 

FWSM フラッシュ ファイル システムのアクティベーション キーと FWSM で稼動するアクティベーション キーが異なる場合、 show activation-key の出力は次のようになります。

The flash activation key is DIFFERENT from the running key.
The flash activation key takes effect after the next reload.

アクティベーション キーをダウングレードすると、動作中のキー(古いキー)とフラッシュに格納されているキー(新しいキー)が異なることを示す出力が表示されます。FWSM を再起動すると、新しいキーが使用されます。

アクティベーション キーをアップグレードして、追加の機能をイネーブルにした場合は、再起動しなくても新しいキーがただちに動作を開始します。

PIX Firewall プラットフォームでは、新しいキーと古いキーの間でフェールオーバー機能(R/UR/FO)に変更があった場合、確認が求められます。 n を入力すると、変更が中止されます。それ以外の場合は、フラッシュ ファイル システムのキーが更新されます。FWSM を再起動すると、新しいキーが使用されます。

次に、コンフィギュレーション内のコマンドのうち、アクティベーション キーでイネーブルにされた機能に関するものを表示する例を示します。

hostname(config)# show activation-key
Serial Number: P3000000134 Running Activation Key: 0xyadayada 0xyadayada 0xyadayada 0xyadayada 0xyadayada
 
License Features for this Platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 50
Inside Hosts : Unlimited
Failover : Enabled
VPN-DES : Enabled
VPN-3DES-AES : Disabled
Cut-through Proxy : Enabled
Guards : Enabled
URL-filtering : Enabled
Security Contexts : 20
GTP/GPRS : Disabled
VPN Peers : 5000
 
The flash activation key is the SAME as the running key.
hostname(config)#

 
関連コマンド

コマンド
説明

activation-key

アクティベーション キーを変更します。

show admin-context

現在、admin コンテキストとして割り当てられているコンテキスト名を表示するには、特権 EXEC モードで show admin-context コマンドを使用します。

show admin-context

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

次に、 show admin-context コマンドの出力例を示します。この例では、フラッシュのルート ディレクトリに保存されている、「admin」という admin コンテキストが表示されています。

hostname# show admin-context
Admin: admin disk:/admin.cfg

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

changeto

コンテキストとシステム実行スペースを切り替えます。

clear configure context

すべてのコンテキストを削除します。

mode

コンテキスト モードをシングルまたはマルチに設定します。

show context

コンテキスト(システム実行スペース)リストまたは現在のコンテキストに関する情報を表示します。

show arp

ARP テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。このコマンドを使用すると、ダイナミックおよび手動設定された ARP エントリが表示されます。ただし、各エントリの作成元は特定されません。

show arp

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、 show arp コマンドの出力例を示します。

hostname# show arp
inside 10.86.195.205 0008.023b.9892
inside 10.86.194.170 0001.023a.952d
inside 10.86.194.172 0001.03cf.9e79
inside 10.86.194.1 00b0.64ea.91a2
inside 10.86.194.146 000b.fcf8.c4ad
inside 10.86.194.168 000c.ce6f.9b7e
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードの場合に、ARP スプーフィングを防止するために ARP パケットを検査します。

clear arp statistics

ARP の統計情報をクリアします。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在の設定を表示します。

show arp statistics

ARP の統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。

show arp statistics

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、 show arp statistics コマンドの出力例を示します。

hostname# show arp statistics
Number of ARP entries:
6
Dropped blocks in ARP: 6
Maximum Queued blocks: 3
Queued blocks: 1
Interface collision ARPs Received: 5
ARP-defense Gratuitous ARPS sent: 4
Total ARP retries: 15
Unresolved hosts: 1
Maximum Unresolved hosts: 2
 

表 24-2 に各フィールドの説明を示します。

 

表 24-2 show arp statistics のフィールド

フィールド
説明

Number of ARP entries

ARP テーブルのエントリ総数

Dropped blocks in ARP

IP アドレスを対応するハードウェア アドレスに解決しているときに廃棄されたブロック数

Maximum queued blocks

IP アドレス解決待ちの間に、ARP モジュールでキューに格納されたブロックの最大数

Queued blocks

ARP モジュールのキューに現在格納されているブロック数

Interface collision ARPs received

すべての FWSM インターフェイスで、FWSM インターフェイスと同じ IP アドレスから受信した ARP パケットの数

ARP-defense gratuitous ARPs sent

ARP 防御メカニズムの一部として FWSM が送信した gratuitous ARP の数

Total ARP retries

最初の ARP 要求への応答でアドレスが解決されなかったときに、ARP モジュールが送信した ARP 要求の総数

Unresolved hosts

ARP モジュールから ARP 要求が送信され続けている、未解決ホストの数

Maximum unresolved hosts

未解決ホストが最後に消去されてから、または FWSM の起動後に、ARP モジュール内で未解決となったホストの最大数

 
関連コマンド

コマンド
説明

arp-inspection

トランスペアレント ファイアウォール モードの場合に、ARP スプーフィングを防止するために ARP パケットを検査します。

clear arp statistics

ARP の統計情報を消去して、値をゼロにリセットします。

show arp

ARP テーブルを表示します。

show running-config arp

ARP タイムアウトの現在の設定を表示します。

show arp-inspection

各インターフェイスの ARP 検査設定を表示するには、特権 EXEC モードで show arp-inspection コマンドを使用します。

show arp-inspection

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

次に、 show arp-inspection コマンドの出力例を示します。

hostname# show arp-inspection
interface arp-inspection miss
----------------------------------------------------
inside1 enabled flood
outside disabled -
 

miss カラムには、ARP 検査がイネーブルの場合に、不一致パケットに対して実行するデフォルトのアクションが示されます。「flood」または「no-flood」のいずれかです。

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードの場合に、ARP スプーフィングを防止するために ARP パケットを検査します。

clear arp statistics

ARP の統計情報をクリアします。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在の設定を表示します。

show asdm history

ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを使用します。

show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]

 
シンタックスの説明

asdmclient

(任意)ASDM クライアント用にフォーマットされた ASDM 履歴データを表示します。

feature feature

(任意)指定した機能に履歴表示を限定します。 feature 引数で有効な値は、次のとおりです。

all :すべての機能の履歴を表示します(デフォルト)。

blocks :システム バッファの履歴を表示します。

cpu :CPU 使用状況の履歴を表示します。

failover :フェールオーバーの履歴を表示します。

ids :IDS の履歴を表示します。

interface if_name :指定されたインターフェイスの履歴を表示します。 if_name 引数は nameif コマンドで指定されたインターフェイスの名前です。

memory :メモリ使用量の履歴を表示します。

perfmon :パフォーマンスの履歴を表示します。

sas :セキュリティ アソシエーションの履歴を表示します。

tunnels :トンネルの履歴を表示します。

xlates :変換スロットの履歴を表示します。

snapshot

(任意)最新の ASDM 履歴データ ポイントだけを表示します。

view timeframe

(任意)指定した期間に履歴表示を限定します。 timeframe 引数で有効な値は、次のとおりです。

all :履歴バッファのすべての内容(デフォルト)

12h :12 時間

5d :5 日間

60m :60 分

10m :10 分

 
デフォルト

引数またはキーワードを指定しなかった場合は、すべての機能のすべての履歴情報が表示されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが( show pdm history として)追加されました。

3.1(1)

show pdm history から show asdm history にコマンドが変更されました。

 
使用上のガイドライン

show asdm history コマンドを使用すると、ASDM 履歴バッファの内容が表示されます。ASDM の履歴情報を表示するには、 asdm history enable コマンドを使用して、ASDM 履歴のトラッキングをイネーブルにしておく必要があります。

次に、 show asdm history コマンドの出力例を示します。この出力は、直近 10 分間に収集された外部インターフェイスのデータに限定されています。

hostname# show asdm history view 10m feature interface outside
 
Input KByte Count:
[ 10s:12:46:41 Mar 1 2005 ] 62640 62636 62633 62628 62622 62616 62609
Output KByte Count:
[ 10s:12:46:41 Mar 1 2005 ] 25178 25169 25165 25161 25157 25151 25147
Input KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 752 752 751 751 751 751 751
Output KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 55 55 55 55 55 55 55
Input Bit Rate:
[ 10s:12:46:41 Mar 1 2005 ] 3397 2843 3764 4515 4932 5728 4186
Output Bit Rate:
[ 10s:12:46:41 Mar 1 2005 ] 7316 3292 3349 3298 5212 3349 3301
Input Packet Rate:
[ 10s:12:46:41 Mar 1 2005 ] 5 4 6 7 6 8 6
Output Packet Rate:
[ 10s:12:46:41 Mar 1 2005 ] 1 0 0 0 0 0 0
Input Error Packet Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
No Buffer:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Received Broadcasts:
[ 10s:12:46:41 Mar 1 2005 ] 375974 375954 375935 375902 375863 375833 375794
Runts:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Giants:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
CRC:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Frames:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Overruns:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Underruns:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Output Error Packet Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Collisions:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
LCOLL:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Reset:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Deferred:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Lost Carrier:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Hardware Input Queue:
[ 10s:12:46:41 Mar 1 2005 ] 128 128 128 128 128 128 128
Software Input Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Hardware Output Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Software Output Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Drop KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
hostname#
 

次に、 show asdm history コマンドの出力例を示します。この出力も前の例と同様、直近 10 分間に収集された外部インターフェイスのデータに限定されています。ただし、ASDM クライアント用にフォーマットされた出力例です。

hostname# show asdm history view 10m feature interface outside asdmclient
 
MH|IBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|62439|62445|62453|62457|62464|62469|62474|62486|62489|62496|62501|62506|62511|62518|62522|62530|62534|62539|62542|62547|62553|62556|62562|62568|62574|62581|62585|62593|62598|62604|62609|62616|62622|62628|62633|62636|62640|62653|62657|62665|62672|62678|62681|62686|62691|62695|62700|62704|62711|62718|62723|62728|62733|62738|62742|62747|62751|62761|62770|62775|
MH|OBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|25023|25023|25025|25025|25025|25026|25026|25032|25038|25044|25052|25056|25060|25064|25070|25076|25083|25087|25091|25096|25102|25106|25110|25114|25118|25122|25128|25133|25137|25143|25147|25151|25157|25161|25165|25169|25178|25321|25327|25332|25336|25341|25345|25349|25355|25359|25363|25367|25371|25375|25381|25386|25390|25395|25399|25403|25410|25414|25418|25422|
MH|IPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|749|749|749|749|749|750|750|750|750|750|750|750|750|750|750|750|750|750|750|750|751|751|751|751|751|751|751|751|751|751|751|751|751|751|751|752|752|752|752|752|752|752|752|752|752|752|752|752|752|753|753|753|753|753|753|753|753|753|753|753|
MH|OPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|
MH|IBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|7127|5155|6202|3545|5408|3979|4381|9492|3033|4962|4571|4226|3760|5923|3265|6494|3441|3542|3162|4076|4744|2726|4847|4292|5401|5166|3735|6659|3837|5260|4186|5728|4932|4515|3764|2843|3397|10768|3080|6309|5969|4472|2780|4492|3540|3664|3800|3002|6258|5567|4044|4059|4548|3713|3265|4159|3630|8235|6934|4298|
MH|OBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|82791|57|1410|588|57|639|0|4698|5068|4992|6495|3292|3292|3352|5061|4808|5205|3931|3298|3349|5064|3439|3356|3292|3343|3349|5067|3883|3356|4500|3301|3349|5212|3298|3349|3292|7316|116896|5072|3881|3356|3931|3298|3349|5064|3292|3349|3292|3292|3349|5061|3883|3356|3931|3452|3356|5064|3292|3349|3292|
MH|IPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|8|6|5|7|5|6|14|5|7|7|5|6|9|5|8|6|5|5|7|6|5|6|5|6|7|6|8|6|6|6|8|6|7|6|4|5|19|5|8|7|6|4|7|5|6|6|5|7|8|6|6|7|5|5|7|6|9|7|6|
MH|OPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|0|1|0|0|0|0|4|0|2|2|0|0|0|0|1|1|0|0|0|0|0|0|0|0|0|0|0|0|1|0|0|0|0|0|0|1|28|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|IERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|NB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|374874|374911|374943|374967|375010|375038|375073|375113|375140|375160|375181|375211|375243|375289|375316|375350|375373|375395|375422|375446|375481|375498|375535|375561|375591|375622|375654|375701|375738|375761|375794|375833|375863|375902|375935|375954|375974|375999|376027|376075|376115|376147|376168|376200|376224|376253|376289|376315|376365|376400|376436|376463|376508|376530|376553|376583|376614|376668|376714|376749|
MH|RNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|GNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|CRC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|FRM|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|UR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|COLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCOLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RST|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DEF|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|
MH|SIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|SOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
hostname#
 

次に、 snapshot キーワードを使用した show asdm history コマンドの出力例を示します。

hostname# show asdm history view 10m snapshot
 
Available 4 byte Blocks: [ 10s] : 100
Used 4 byte Blocks: [ 10s] : 0
Available 80 byte Blocks: [ 10s] : 100
Used 80 byte Blocks: [ 10s] : 0
Available 256 byte Blocks: [ 10s] : 2100
Used 256 byte Blocks: [ 10s] : 0
Available 1550 byte Blocks: [ 10s] : 7425
Used 1550 byte Blocks: [ 10s] : 1279
Available 2560 byte Blocks: [ 10s] : 40
Used 2560 byte Blocks: [ 10s] : 0
Available 4096 byte Blocks: [ 10s] : 30
Used 4096 byte Blocks: [ 10s] : 0
Available 8192 byte Blocks: [ 10s] : 60
Used 8192 byte Blocks: [ 10s] : 0
Available 16384 byte Blocks: [ 10s] : 100
Used 16384 byte Blocks: [ 10s] : 0
Available 65536 byte Blocks: [ 10s] : 10
Used 65536 byte Blocks: [ 10s] : 0
CPU Utilization: [ 10s] : 31
Input KByte Count: [ 10s] : 62930
Output KByte Count: [ 10s] : 26620
Input KPacket Count: [ 10s] : 755
Output KPacket Count: [ 10s] : 58
Input Bit Rate: [ 10s] : 24561
Output Bit Rate: [ 10s] : 518897
Input Packet Rate: [ 10s] : 48
Output Packet Rate: [ 10s] : 114
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 377331
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 3672
Output KByte Count: [ 10s] : 4051
Input KPacket Count: [ 10s] : 19
Output KPacket Count: [ 10s] : 20
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 1458
Runts: [ 10s] : 1
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 63
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 15
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Available Memory: [ 10s] : 205149944
Used Memory: [ 10s] : 63285512
Xlate Count: [ 10s] : 0
Connection Count: [ 10s] : 0
TCP Connection Count: [ 10s] : 0
UDP Connection Count: [ 10s] : 0
URL Filtering Count: [ 10s] : 0
URL Server Filtering Count: [ 10s] : 0
TCP Fixup Count: [ 10s] : 0
TCP Intercept Count: [ 10s] : 0
HTTP Fixup Count: [ 10s] : 0
FTP Fixup Count: [ 10s] : 0
AAA Authentication Count: [ 10s] : 0
AAA Authorzation Count: [ 10s] : 0
AAA Accounting Count: [ 10s] : 0
Current Xlates: [ 10s] : 0
Max Xlates: [ 10s] : 0
ISAKMP SAs: [ 10s] : 0
IPSec SAs: [ 10s] : 0
L2TP Sessions: [ 10s] : 0
L2TP Tunnels: [ 10s] : 0
hostname#
 

 
関連コマンド

コマンド
説明

asdm history enable

ASDM 履歴のトラッキングをイネーブルにします。

show asdm log_sessions

アクティブな ASDM ロギング セッションおよび対応するセッション ID のリストを表示するには、特権 EXEC モードで show asdm log_sessions コマンドを使用します。

show asdm log_sessions

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

各アクティブ ASDM セッションには、対応付けられた ASDM ロギング セッションが 1 つ以上あります。ASDM は、ロギング セッションを使用して、FWSM から Syslog メッセージを取得します。各 ASDM ロギング セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect log_session コマンドとともに使用して、指定のセッションを終了することができます。


) 各 ASDM セッションには最低 1 つの ASDM ロギング セッションがあるため、show asdm sessionsshow asdm log_sessions の出力が同じになる場合があります。


次に、 show asdm log_sessions コマンドの出力例を示します。

hostname# show asdm log_sessions
 
0 192.168.1.1
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

asdm disconnect log_session

アクティブな ASDM ロギング セッションを終了します。

show asdm sessions

アクティブな ASDM セッションおよび対応するセッション ID のリストを表示するには、特権 EXEC モードで show asdm sessions コマンドを使用します。

show asdm sessions

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが( show pdm sessions として)追加されました。

3.1(1)

show pdm sessions から show asdm sessions にコマンドが変更されました。

 
使用上のガイドライン

各アクティブ ASDM セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect コマンドとともに使用して、指定のセッションを終了することができます。

次に、 show asdm sessions コマンドの出力例を示します。

hostname# show asdm sessions
 
0 192.168.1.1
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

asdm disconnect

アクティブな ASDM セッションを終了します。