Cisco PIX Firewall コマンド リファレンス
S のコマンド
S のコマンド
発行日;2012/02/04 | 英語版ドキュメント(2009/11/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

S のコマンド

service

setup

session enable

show

show blocks/clear blocks

show checksum

show conn

show cpu usage

show crypto engine [verify]

show crypto interface[counters]

show history

show local-host/clear local host

show memory

show ospf

show ospf border-routers

show ospf database

show ospf flood-list

show ospf interface

show ospf neighbor

show ospf request-list

show ospf retransmission-list

show ospf summary-address

show ospf virtual links

show processes

show routing

show running-config

show startup-config

show tech-support

show tcpstat

show traffic/clear traffic

show uauth/clear uauth

show version

show xlate/clear xlate

shun

snmp-server

ssh

static

syslog

sysopt

S のコマンド

service

システム サービスをイネーブルにします。

[ no ] service { resetinbound | resetoutside }

clear service

show service

 
文法説明

resetinbound

拒否された着信 TCP パケットに対するリセットを送信します。

resetoutside

拒否された、外部インターフェイスへの TCP パケットに対するリセットを送信します。

 
コマンド モード

設定モード。

 
使用上のガイドライン

service コマンドは、アクセス リストまたは uauth(ユーザ許可)が着信を許可しないスタティックへの着信 TCP 接続すべてに対して機能します。用途の 1 つは、IDENT 接続のリセットです。着信 TCP 接続が試行されて拒否された場合、service resetinbound コマンドを使用して、RST(TCP ヘッダー内のリセット フラグ)を発信元に返すことができます。オプションを指定しない場合、PIX Firewall は RST を返さずにパケットをドロップします。

IDENT で使用する場合、PIX Firewall は、着信接続ホストに TCP RST を送信し、着信 IDENT プロセスを停止して、発信電子メールが IDENT のタイムアウトを待たずに送信されるようにします。この場合、PIX Firewall は、着信接続が拒否された接続であったことを示す syslog メッセージを送信します。service resetinbound を指定しない場合、PIX Firewall は、拒否されたパケットをドロップし、SYN が拒否された接続であったことを示す syslog メッセージを生成します。ただし、外部ホストは、IDENT がタイムアウトになるまで、SYN を再送信し続けます。

IDENT 接続がタイムアウトになると、接続速度が落ちます。トレースを実行して、遅延の原因が IDENT であるかどうか判断してから、service コマンドを起動します。

service resetinbound コマンドは、PIX Firewall を介した IDENT 接続の安全な処理方法の 1 つです。次に、IDENT 接続の処理方法を安全性の高い方から順に示します。

1. service resetinbound コマンドを使用する。

2. established コマンドを permitto tcp 113 オプションと共に使用する。

3. static コマンド文と access-list コマンド文を入力して、TCP ポート 113 を開く。

aaa コマンドを使用する場合、最初の許可試行が失敗し、次の試行でタイムアウトになったときには、service resetinbound コマンドを使用して、許可に失敗したクライアントをリセットし、接続を再送信しないようにします。次の例は、Telnet での許可タイムアウト メッセージを示しています。

Unable to connect to remote host: Connection timed out

次の例は、 service resetinbound コマンドの使用方法を示しています。

service resetinbound
show service

service resetinbound

resetoutside コマンドを使用すると、PIX Firewall は、PIX Firewall 装置のセキュリティ レベルの最も低いインターフェイスで終端する、拒否された TCP パケットをアクティブにリセットします。デフォルトでは、パケットは、通知なしで破棄されます。resetoutside オプションは、ダイナミックまたはスタティックなインターフェイス PAT に特にお勧めします。スタティック インターフェイス PAT は、PIX Firewall Version 6.0 以降で使用できます。オプションにより、PIX Firewall は、外部の SMTP サーバまたは FTP サーバからの識別要求(IDENT)を迅速に終了させることができます。接続をアクティブにリセットすることにより、30 秒のタイムアウト遅延が回避されます。

コンフィギュレーションから service コマンド文を削除する場合は、clear service コマンドを使用します。

setup

setup コマンドは、新しい PIX Firewall で Cisco PIX Device Manager(PDM)を使用するために必要な情報の入力を要求します。

setup

 
文法説明

setup

フラッシュ メモリ内でコンフィギュレーションが検出されない場合、新しい PIX Firewall 装置の使用開始に必要な情報を要求します。

 
コマンド モード

設定モード。

 
使用上のガイドライン

PDM が PIX Firewall に接続する前に、PIX Firewall には、いくつかのプリコンフィギュレーションが必要です。フラッシュ メモリ内にコンフィギュレーションが存在しない場合、ブート時にセットアップ ダイアログが自動的に表示されます。 setup コマンドを入力すると、 表 8-1 に示すセットアップ情報の入力を要求されます。

 

表 8-1 PIX Firewall のセットアップ情報

プロンプト
説明
Enable password:

PIX Firewall のイネーブル パスワードを指定します(パスワードは 3 文字以上である必要があります)。

Clock (UTC)

PIX Firewall のクロックを協定世界時(グリニッジ標準時)に設定します。

Year [system year]:

現在の年を指定します。デフォルトはホスト コンピュータに格納されている年です。

Month [system month]:

現在の月を指定します。デフォルトはホスト コンピュータに格納されている月です。

Day [system day]:

現在の日付を指定します。デフォルトはホスト コンピュータに格納されている日付です。

Time [system time]

現在の時刻を hh:mm:ss 形式で指定します。デフォルトはホスト コンピュータに格納されている時刻です。

Inside IP address:

PIX Firewall のネットワーク インターフェイスの IP アドレス。

Inside network mask:

内部 IP アドレスに適用されるネットワーク マスク。255.0.0.0、255.255.0.0、255.255.x.x など、有効なマスクである必要があります。デフォルト ルートを指定するには、 0.0.0.0 を使用します。 0.0.0.0 ネットマスクは、 0 と短縮できます。

Host name:

PIX Firewall コマンドライン プロンプトに表示するホスト名。

Domain name:

PIX Firewall が動作するネットワークの DNS ドメイン名。たとえば、 example.com

IP address of host running PIX Device Manager:

PIX Firewall に接続する PDM の IP アドレス。

Use this configuration and write to flash?

新しいコンフィギュレーションをフラッシュ メモリに格納します。 write memory コマンドと同じです。 yes と応答すると、内部インターフェイスがイネーブルとなり、要求したコンフィギュレーションがフラッシュ メモリに書き込まれます。ほかの応答をすると、セットアップ ダイアログが、すでに入力されている値をデフォルトとして使用しながら再度実行されます。

ホスト名とドメイン名は、SSL 接続用のデフォルト証明書の生成に使用されます。インターフェイス タイプは、ハードウェアによって決まります。

次の例は、 setup コマンド プロンプトに入力する方法を示しています。

router (config)# setup
Pre-configure PIX Firewall now through interactive prompts [yes]? y
Enable Password [<use current password>]: ciscopix
Clock (UTC)
Year [2001]: 2001
Month [Aug]: Sep
Day [27]: 12
Time [22:47:37]: <Enter>
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: accounting_pix
Domain name: example.com
IP address of host running PIX Device Manager: 192.168.1.2

The following configuration will be used:
Enable Password: ciscopix
Clock (UTC): 22:47:37 Sep 12 2001
Inside IP address: ...192.168.1.1
Inside network mask: ...255.255.255.0
Host name: ...accounting_pix
Domain name: ...example.com
IP address of host running PIX Device Manager: ...192.168.1.2

Use this configuration and write to flash? y

 
関連コマンド

pdm

PIX Device Manager(PDM)を設定します。

session enable

session enable コマンドは、使用しないでください。

show

コマンド情報を表示します。

show command_keywords [ | {include | exclude | begin | grep [ -v ]} regexp ]

show ?

 
文法説明

command_keywords

表示する情報を指定する任意の引数または引数のリスト。ほとんどのコマンドには、コマンド名を show の引数として使用する show コマンド形式があります。たとえば、 global コマンドには、関連する show global コマンドがあります。

|

UNIX のパイプ記号「|」。フィルタへのパイプ出力を示します。「|」を指定する場合は、フィルタリング オプションと正規表現も指定する必要があります(最初の「|」だけがパイプ文字です)。

include

指定した正規表現に一致する出力行をすべて表示します。

exclude

指定した正規表現に一致する出力行をすべて除外します。

grep

指定した正規表現に一致する出力行をすべて表示します。 grep は、 include と同じであり、 grep -v exclude と同じです。

begin

指定した正規表現に一致する行で始まる出力行をすべて表示します。

regexp

IOS スタイルの正規表現。一重引用符でも二重引用符でも囲まないでください。また、後続の空白スペース(キーワードの間)は、正規表現の一部と解釈されます。

 
コマンド モード

すべてのモード。

 
使用上のガイドライン

show command_keywords [ | { include | exclude | begin | grep } regexp ] コマンドでは、指定した show コマンド オプションが実行されます。show オプションは、個々のコマンドを参照してください(最初の「|」だけがパイプ文字です)。 show 出力フィルタリング オプションの CLI のシンタックスと意味は、Cisco IOS ソフトウェアと同じであり、コンソール セッション、Telnet セッション、または SSH セッションを介して使用できます。

show ? コマンドでは、PIX Firewall で使用できるすべてのコマンドのリストが表示されます。

特定の show コマンドの説明は、対応するコマンドと共に記述されています。たとえば、 show arp コマンドは、 arp コマンドの説明を参照してください。

次の例は、show コマンドの出力フィルタ オプションの使用方法を示しています。「|」は UNIX のパイプ記号です。

pixfirewall(config)# show config | grep access-list
access-list 101 permit tcp any host 10.1.1.3 eq www
access-list 101 permit tcp any host 10.1.1.3 eq smtp
 

次に、 show igmp コマンドの出力例を示します。

pixfirewall(config)# show ?
 
At the end of show <command>, use the pipe character '|' followed by:
begin|include|exclude|grep [-v] <regular_exp>, to filter show output.
 
aaa Enable, disable, or view TACACS+, RADIUS or LOCAL
user authentication, authorization and accounting
aaa-server Define AAA Server group
access-group Bind an access-list to an interface to filter inbound traffic
access-list Add an access list
activation-key Modify activation-key.
age This command is deprecated. See ipsec, isakmp, map, ca commands
alias Administer overlapping addresses with dual NAT.
apply Apply outbound lists to source or destination IP addresses
arp Change or view arp table, set arp timeout value and view statiss
auth-prompt Customize authentication challenge, reject or acceptance prompt
auto-update Configure auto update support
banner Configure login/session banners
blocks Show system buffer utilization
ca CEP (Certificate Enrollment Protocol)
Create and enroll RSA key pairs into a PKI (Public Key Infrastr.
capture Capture inbound and outbound packets on one or more interfaces
checksum View configuration information cryptochecksum
chunkstat Display chunk stats
clock Show and set the date and time of PIX
conduit Add conduit access to higher security level network or ICMP
configure Configure from terminal, floppy, memory, network, or
factory-default. The configuration will be merged with the
active configuration except for factory-default in which case
the active configuration is cleared first.
conn Display connection information
console Set idle timeout for the serial console of the PIX
cpu Display cpu usage
Crashinfo Read, write and configure crash write to flash.
crypto Configure IPsec, IKE, and CA
ctiqbe Show the current data stored for each CTIQBE session.
curpriv Display current privilege level
debug Debug packets or ICMP tracings through the PIX Firewall.
dhcpd Configure DHCP Server
dhcprelay Configure DHCP Relay Agent
domain-name Change domain name
dynamic-map Specify a dynamic crypto map template
eeprom show or reprogram the 525 onboard i82559 devices
enable Configure enable passwords
established Allow inbound connections based on established connections
failover Enable/disable PIX failover feature to a standby PIX
filter Enable, disable, or view URL, FTP, HTTPS, Java, and ActiveX filg
fips-mode Enable or disable FIPS mode
fixup Add or delete PIX service and feature defaults
flashfs Show, destroy, or preserve filesystem information
fragment Configure the IP fragment database
global Specify, delete or view global address pools,
or designate a PAT(Port Address Translated) address
h225 Show the current h225 data stored for each connection.
h245 List the h245 connections.
h323-ras Show the current h323 ras data stored for each connection.
history Display the session command history
http Configure HTTP server
icmp Configure access for ICMP traffic that terminates at an interfae
interface Set network interface paremeters and configure VLANs
igmp Clear or display IGMP groups
ip Set the ip address and mask for an interface
Define a local address pool
Configure Unicast RPF on an interface
Configure the Intrusion Detection System
ipsec Configure IPSEC policy
isakmp Configure ISAKMP policy
local-host Display or clear the local host network information
logging Enable logging facility
mac-list Add a list of mac addresses using first match search
map Configure IPsec crypto map
memory System memory utilization
mgcp Configure the Media Gateway Control Protocol fixup
mroute Configure a multicast route
mtu Specify MTU(Maximum Transmission Unit) for an interface
multicast Configure multicast on an interface
name Associate a name with an IP address
nameif Assign a name to an interface
names Enable, disable or display IP address to name conversion
nat Associate a network with a pool of global IP addresses
ntp Configure Network Time Protocol
object-group Create an object group for use in 'access-list', 'conduit', etc
ospf Show OSPF information or clear ospf items.
outbound Create an outbound access list
pager Control page length for pagination
passwd Change Telnet console access password
pdm Configure Pix Device Manager
prefix-list Configure a prefix-list
privilege Configure/Display privilege levels for commands
processes Display processes
rip Broadcast default route or passive RIP
route Enter a static route for an interface
route-map Create a route-map.
router Create/configure OSPF routing process
routing Configure interface specific unicast routing parameters.
running-config Display the current running configuration
service Enable system services
session Access an internal AccessPro router console
shun Manages the filtering of packets from undesired hosts
sip Show the current data stored for each SIP session.
skinny Show the current data stored for each Skinny session.
snmp-server Provide SNMP and event information
ssh Add SSH access to PIX console, set idle timeout, display
list of active SSH sessions & terminate a SSH session
startup-config Display the startup configuration
static Configure one-to-one address translation rule
sysopt Set system functional option
tcpstat Display status of tcp stack and tcp connections
tech-support Tech support
telnet Add telnet access to PIX console and set idle timeout
terminal Set terminal line parameters
tftp-server Specify default TFTP server address and directory
timeout Set the maximum idle times
traffic Counters for traffic statistics
uauth Display or clear current user authorization information
url-cache Enable URL caching
url-block Enable URL pending block buffer and long URL support
url-server Specify a URL filter server
username Configure user authentication local database
version Display PIX system software version
virtual Set address for authentication virtual servers
vpdn Configure VPDN (PPTP, L2TP, PPPoE) Policy
vpnclient Configure Easy VPN Remote
vpngroup Configure group settings for Cisco VPN Clients and
Cisco Easy VPN Remote products
who Show active administration sessions on PIX
xlate Display current translation and connection slot information
 

show blocks / clear blocks

システム バッファの使用状況を表示します。

show blocks

clear blocks

 
文法説明

blocks

割り当て済みのシステム バッファ内のブロック。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show blocks コマンドでは、割り当て済みのシステム バッファの使用状況が表示されます。show
blocks コマンドのリストでは、SIZE カラムにブロック タイプが表示されます。MAX カラムは割り当てブロックの最大数です。LOW カラムは前回のリブート以降使用可能なブロックの最小数です。CNT カラムは、現在使用可能なブロック数です。LOW カラムが 0 である場合は、先行のイベントでメモリが使い果たされたことを示します。CNT カラムが 0 である場合は、メモリが現在使い果たされていることを意味します。トラフィックが PIX Firewall を通過している限り、メモリが使い果たされていることは問題にはなりません。show conn コマンドを使用すると、トラフィックが移動しているかどうかを確認できます。トラフィックが移動していないで、かつメモリが使い果たされている場合は、問題がある可能性があります。

clear blocks コマンドでは、最大カウントがシステム内で割り当てられている数のままで、最小カウントが現在のカウントと等しくなります。

また、SNMP を使用して show blocks コマンドからの情報を表示することもできます。

次に、 show blocks コマンドの出力例を示します。

show blocks
SIZE MAX LOW CNT
4 1600 1600 1600
80 100 97 97
256 80 79 79
1550 788 402 404
65536 8 8 8

show checksum

コンフィギュレーション チェックサムを表示します。

show checksum

 
文法説明

checksum

コンフィギュレーションの内容のデジタル サマリーとして機能する 16 進数。

 
コマンド モード

ユーザ モード。

 
使用上のガイドライン

show checksum コマンドは、コンフィギュレーションの内容のデジタル サマリーとして機能する 16 進数の 4 つのグループを表示します。コンフィギュレーションをフラッシュ メモリに格納するときに、同じ情報がコンフィギュレーションと共に格納されます。show config コマンドを使用してコンフィギュレーション リストの末尾にチェックサムを表示し、show checksum コマンドを使用することによって、数値を比較して、コンフィギュレーションが変更されたかどうかを確認できます。PIX Firewall は、チェックサムをテストして、コンフィギュレーションが破壊されていないかどうかを判断します。

show config コマンドまたは show checksum コマンドの出力でチェックサムの前にドット「.」が表示された場合、通常のコンフィギュレーション読み込みまたは書き込みモードのインジケータです(ファイアウォール フラッシュ メモリからの読み込み、またはファイアウォール フラッシュ メモリへの書き込み時)。「.」は、ファイアウォールが処理に占有されているが「ハングアップ」していないことを示すために表示されます。「system processing, please wait」メッセージと同様です。

次に、 show checksum コマンドの出力例を示します。

show checksum
Cryptochecksum: 1a2833c0 129ac70b 1a88df85 650dbb81

show conn

アクティブな接続をすべて表示します。

show conn [ count ] | [ detail ] | [ protocol tcp | udp | protocol ] [{ foreign | local } ip [ -ip2 ]] [ netmask mask ]] [{ lport | fport } port1 [ -port2 ]]

show conn state [up] [,conn_inbound][, ctiqbe ][,data_in][,data_out] [ ,dump ] [,finin] [,finout][,h225][,h323][,http_get][,mgcp][,nojava][,rpc][,sip][,skinny][,smtp_data]
[ ,smtp_banner ] [,sqlnet_fixup_data] [ ,smtp_incomplete ]

 
文法説明

count

使用されている接続数だけを表示します。表示されるカウントの精度は、PIX Firewall 装置を通過するトラフィックのボリュームとタイプによって異なります。

detail

指定した場合は、変換タイプとインターフェイスの情報を表示します。

{ foreign | local } ip [ - ip2 ] netmask mask

アクティブな接続を外部 IP アドレス別またはローカル IP アドレス別に表示します。外部またはローカルのアクティブな接続をネットワーク マスクによって限定します。

{ lport | fport } port1
[
- port2 ]

外部またはローカルのアクティブな接続をポート別に表示します。有効なポート リテラル名のリストは、「PIX Firewall コマンドの使用方法」「ポート」を参照してください。

protocol tcp | udp |
protocol

アクティブな接続をプロトコル タイプ別に表示します。 protocol は、番号によって指定するプロトコルです。有効なプロトコル リテラル名のリストは、「PIX Firewall コマンドの使用方法」「プロトコル」を参照してください。

state

アクティブな接続を現在の状態別に表示します。現在の状態には、アップ( up )、着信接続( conn_inbound )、Computer Telephony Interface Quick Buffer Encoding(CTIQBE)接続( ctiqbe )、着信データ( data_in )、発信データ( data_out )、ダンプ クリーンアップ接続( dump )、FIN 着信( finin )、FIN 発信( finout )、H.225 接続( h225 )、H.323 接続( h323 )、HTTP get( http_get )、Media Gateway Control Protocol(MGCP)接続( mgcp )、Java アプレットへのアクセスを拒否する outbound コマンド( nojava )、RPC 接続( rpc )、SIP 接続( sip )、Skinny Client Control Protocol(SCCP)接続( skinny )、SMTP メール バナー( smtp_banner )、SMTP メール データ( smtp_data )、SQL*Net データ フィックスアップ( sqlnet_fixup_data )、および不完全な SMTP メール接続
smtp_incomplete )があります

 
コマンド モード

特権モード。

 
使用上のガイドライン

show conn コマンドは、アクティブな TCP 接続の数と情報が表示します。複数の show conn state オプションを指定する場合は、表示する状態をカンマで区切り、スペースは入れません。たとえば、次のように指定します。

pixfirewall(config)# show conn state up,rpc,h323,sip
 

スペースを入れると、ファイアウォールがコマンドを認識しません。

また、SNMP を使用して show conn コマンドからの接続カウント情報を表示できます。


) DNS サーバを使用する接続の場合、show conn 出力で、接続の発信元ポートが DNS サーバの IP アドレスに置き換えられることがあります。


show conn detail コマンドは、次の情報を表示します。

{ UDP | TCP } outside_ifc : real_addr / real-port [( map_addr / port )] inside_ifc : real_addr / real_port [( map-addr / port )] flags flags

表 8-2 は、接続フラグを説明しています。

 

表 8-2 接続フラグ

フラグ
説明

a

SYN に対する外部 ACK(確認応答)を待機

A

SYN に対する内部 ACK(確認応答)を待機

B

外部からの初期 SYN

C

Computer Telephony Interface Quick Buffer Encoding(CTIQBE)メディア接続

d

ダンプ

D

DNS

E

外部バック接続

f

内部 FIN

F

外部 FIN

g

Media Gateway Control Protocol(MGCP)接続

G

接続がグループの一部1

h

H.225

H

H.323

i

不完全な TCP または UDP 接続

I

着信データ

k

Skinny Client Control Protocol(SCCP)メディア接続

m

SIP メディア接続

M

SMTP データ

O

発信データ

p

複製(未使用)

P

内部バック接続

q

SQL*Net データ

r

確認応答された内部 FIN

R

TCP 接続に対する、確認応答された外部 FIN

R

UDP RPC2

s

外部 SYN を待機

S

内部 SYN を待機

t

SIP 一時接続

T

TCP SIP 接続

t

SIP 一時接続

U

アップ

1.G フラグは、接続がグループの一部であることを示します。GRE および FTP の Strict フィックスアップによって設定され、制御接続と関連するすべてのセカンダリ接続を指定します。制御接続が終了すると、関連するすべてのセカンダリ接続も終了します。

2.show conn コマンド出力の各行は 1 つの接続(TCP または UDP)を表すため、1 行に 1 つの R フラグだけが存在します。

次の例は、内部ホスト 10.1.1.15 から 192.150.49.10 の外部 Telnet サーバへの TCP セッション接続を示しています。B フラグが存在しないため、接続は内部から開始されています。「U」フラグ、「I」フラグ、および「O」フラグは、接続がアクティブであり、着信データと発信データを受信したことを示しています。

pixfirewall(config)# show conn
2 in use, 2 most used
TCP out 192.150.49.10:23 in 10.1.1.15:1026 idle 0:00:22
Bytes 1774 flags UIO
UDP out 192.150.49.10:31649 in 10.1.1.15:1028 idle 0:00:14
flags D-
 

次の例は、外部ホスト 192.150.49.10 から内部ホスト 10.1.1.15 への UDP 接続を示しています。D フラグは、DNS 接続であることを示しています。1028 は、接続上の DNS ID です。

pixfirewall(config)# show conn detail
2 in use, 2 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIBQE media, D - DNS, d - dump,
E - outside back connection, f - inside FIN, F - outside FIN,
G - group, g - MGCP, H - H.323, h - H.255.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media
O - outbound data, P - inside back connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
TCP outside:192.150.49.10/23 inside:10.1.1.15/1026 flags UIO
UDP outside:192.150.49.10/31649 inside:10.1.1.15/1028 flags dD
 
 

次に、 show conn コマンドの出力例を示します。

show conn
6 in use, 6 most used
TCP out 209.165.201.1:80 in 10.3.3.4:1404 idle 0:00:00 Bytes 11391
TCP out 209.165.201.1:80 in 10.3.3.4:1405 idle 0:00:00 Bytes 3709
TCP out 209.165.201.1:80 in 10.3.3.4:1406 idle 0:00:01 Bytes 2685
TCP out 209.165.201.1:80 in 10.3.3.4:1407 idle 0:00:01 Bytes 2683
TCP out 209.165.201.1:80 in 10.3.3.4:1403 idle 0:00:00 Bytes 15199
TCP out 209.165.201.1:80 in 10.3.3.4:1408 idle 0:00:00 Bytes 2688
UDP out 209.165.201.7:24 in 10.3.3.4:1402 idle 0:01:30
UDP out 209.165.201.7:23 in 10.3.3.4:1397 idle 0:01:30
UDP out 209.165.201.7:22 in 10.3.3.4:1395 idle 0:01:30
 

例では、内部のホスト 10.3.3.4 が 209.165.201.1 の Web サイトにアクセスしています。外部インターフェイス上のグローバル アドレスは、209.165.201.7 です。

show cpu usage

show cpu usage コマンドは、CPU 使用状況を表示します。

show cpu usage

 
文法説明

cpu usage

中央処理装置(CPU)の使用状況データ。

 
コマンド モード

特権モードまたは設定モード。

 
使用上のガイドライン

show cpu usage コマンドは、中央処理装置(CPU)の使用状況の情報を表示します。

次に、show cpu usage コマンドの出力例を示します。

pixfirewall# show cpu usage
CPU utilization for 5 seconds: p1%; 1 minute: p2%; 5 minutes: p3%
 

指定されている時間間隔の使用状況が取得できない場合は、使用率が NA(該当なし)と出力されます。5 秒、1 分、または 5 分の時間間隔が経過する前にユーザが CPU 使用状況の表示を要求した場合に起こります。

show crypto engine [verify]

暗号化エンジンの統計情報を表示するか、または Known Answer Test(KAT)を実行します。

show crypto engine [ verify ]

 
文法説明

crypto engine

ファイアウォール暗号化エンジンの使用状況の統計情報を表示します。

verify

Known Answer Test(KAT)を実行します。

 
コマンド モード

特権モードまたは設定モード。

 
使用上のガイドライン

show crypto engine コマンドは、ファイアウォールによって使用される暗号化エンジンの使用状況の統計情報を表示します。

show crypto engine verify コマンドは、ファイアウォールの CLI から Known Answer Test(KAT)を実行します。また、初めてブートする場合またはリロード後に、ファイアウォールが Know Answer Test(KAT)を実行してから、コンフィギュレーション情報がフラッシュ メモリから読み取られます。KAT が失敗すると、ファイアウォールはエラー メッセージを発行してリロードします。KAT は、ファイアウォールによって使用される暗号化エンジンの完全性をチェックするために実行されます。

次に、 show crypto engine コマンドの出力例を示します。

pixfirewall# show crypto engine
Crypto Engine Connection Map:
size = 8, free = 6, used = 1, active = 1
 

次に、KAT が成功した場合の show crypto engine verify コマンドの出力例を示します。

pixfirewall# show crypto engine verify
FIPS: Known Answer Test begin
 
FIPS: software DES success
FIPS: software SHA success
FIPS: software RSA success
 
FIPS: software to software DES/SHA1 tunnel check success.
 
FIPS: Known Answer Test finish
 

次に、ファイアウォールの起動時に失敗した KAT からの出力例を示します。

Cisco PIX Firewall Version 6.3(1)
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Interfaces: 6
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
This PIX has an Unrestricted (UR) license.
FIPS: software AES fail
An internal error occurred. Specifically, a programming assertion was
violated. Copy the error message exactly as it appears, and get the
output of the show version command and the contents of the configuration
file. Then call your technical support representative.
assertion "result != FALSE" failed: file "crypto_nist_tests.c", line 529
No thread name
Traceback:
0: 0040d84d
1: 00260608
...

show crypto interface[counters]

ファイアウォール シャーシに装着されている VPN アクセラレータ カード(VAC)を表示します。また、VAC+ の場合、カードを介したトラフィックの、パケット、ペイロード バイト、キューの長さ、および移動平均カウンタを表示します。

show crypto interface [ counters ]

clear crypto interface counters

 
文法説明

counters

VAC+ を介したトラフィックの、パケット カウント、バイト キュー、および移動平均を表示します。

crypto interface

ファイアウォール シャーシに装着されている VPN アクセラレータ カード(VAC)を表示します。

 
コマンド モード

特権モードまたは設定モード。

 
使用上のガイドライン

show crypto interface コマンドは、ファイアウォール シャーシに装着されている VPN アクセラレータ カード(VAC)を表示します(同じ情報は、 show version の出力でも表示されます)。

show crypto interface counters コマンドは、PIX Firewall VAC+ カードの場合に限り、 表 8-3 に示す情報を表示します。

 

表 8-3 show crypto interface counters

カウンタ
説明

interfaces

装着されている暗号化インターフェイス カードの数とタイプ。

packet count

装着されている暗号化インターフェイス カードに送信されたパケット数。

payload bytes

カプセル化解除後またはカプセル化前のペイロード バイト数。

input queue (curr/max)

暗号化インターフェイス カードからのサービスを待機しているパケットの合計数。

interface queue (curr/max)

サービス用に暗号化インターフェイス カードのキューに入っているパケットの合計数。

output queue (curr/max)

暗号化インターフェイス カードによって解放され、パケット パスへのディスパッチを待機しているパケットの合計数。

moving averages
5second
1minute
5minute

すべての暗号化インターフェイス カードでのパケット カウントとペイロード バイトの 5 秒、1 分、および 5 分間の移動平均。

clear crypto interface counters コマンドは、パケット、ペイロード バイト、キューの長さ、および移動平均のカウンタのクリアだけを行います。キューに入っている実際のパケットには影響しません。

次に、VAC+ カードが装着されている場合の、 show crypto interface コマンドと show crypto interface counters コマンドの出力例を示します。

pixfirewall# show crypto interface
Encryption hardware device : Crypto5823 (revision 0x1)
pixfirewall(config)# show crypto interface counters
 
interfaces: 1
Crypto5823 (revision 0x1), maximum queue size 64
 
packet count: 318657093
payload bytes: 89861300946
input queue (curr/max): 1336/1584
interface queue (curr/max): 64/64
output queue (curr/max): 0/64
 
moving averages
5second 128273 pkts/sec 289 Mbits/sec
1minute 128326 pkts/sec 290 Mbits/sec
5minute 128279 pkts/sec 289 Mbits/sec
 

次に、 clear crypto interface counters コマンドを使用した後の同じ出力例を示します。

pixfirewall# clear crypto interface counters
pixfirewall# show crypto interface counters
interfaces: 1
Crypto5823 (revision 0x1), maximum queue size 64
 
packet count: 355968
payload bytes: 100382976
input queue (curr/max): 1317/1537
interface queue (curr/max): 64/64
output queue (curr/max): 0/64
 
moving averages
5second NA pkts/sec NA Mbits/sec
1minute NA pkts/sec NA Mbits/sec
5minute NA pkts/sec NA Mbits/sec
 

次に、VAC カードが装着されている場合の、 show crypto interface コマンドと show crypto interface counters コマンドの出力例を示します。

pixfirewall# show crypto interface
Encryption hardware device : IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5
pixfirewall# show crypto interface counters
no crypto interface counters available
 

次に、暗号化インターフェイス カードが VAC も VAC+ も装着されていない場合の、 show crypto interface コマンドと show crypto interface counters コマンドの出力例を示します。

pixfirewall# show crypto interface
pixfirewall# show crypto interface counters
no crypto interface counters available
 
 

show history

入力済みのコマンドを表示します。

show history

 
文法説明

history

先行エントリのリスト。

 
コマンド モード

ユーザ モード、特権モード、および設定モードで使用できます。

 
使用上のガイドライン

show history コマンドは、入力済みのコマンドを表示します。↑キーと↓キーを使用したり、^p を入力して入力済みの行を表示したり、^n を入力して次の行を表示したりして、コマンドを個々に調べることができます。

次に、ユーザ モードで実行した場合の show history コマンドの出力例を示します。

pixfirewall> show history
show history
help
show history
 

次に、特権モードで実行した場合の show history コマンドの出力例を示します。

pixfirewall# show history
show history
help
show history
enable
show history
 

次に、設定モードで実行した場合の show history コマンドの出力例を示します。

pixfirewall(config)# show history
show history
help
show history
enable
show history
config t
show history

show local-host/clear local host

ローカル ホストのネットワーク状態を表示します。

show local-host [ ip_address ]

clear local-host [ ip_address ]

 
文法説明

ip_address

ローカル ホストの IP アドレス。

 
コマンド モード

show コマンドの場合は特権モード。 clear コマンドの場合は設定モード。

 
使用上のガイドライン

show local-host コマンドは、すべてのローカル ホストの変換スロットと接続スロットを表示します。また、標準の変換状態および接続状態が適用されない場合、 nat 0 コマンドで設定されたホストの情報を提供します。 show local-host detail コマンドは、アクティブな xlate と接続に関する詳細情報を表示します。1 つのホストの情報だけを表示するには、 ip_address オプションを使用します。

clear local-host コマンドは、すべてのローカル ホスト上のトラフィックを停止します。 clear local-host ip_address コマンドは、IP アドレスで指定したローカル ホスト上のトラフィックを停止します。

PIX 501 では、クリアされたホストはライセンス制限から除外されます。ライセンス制限にカウントされているホストの数は、 show local-host コマンドを使用して表示できます。


ローカル ホストのネットワーク状態をクリアすると、ローカル ホストに関連する接続と xlate がすべて停止します。


次に、 show local-host コマンドの出力例を示します。

show local-host 10.1.1.15
local host: <10.1.1.15>, conn(s)/limit = 2/0, embryonic(s)/limit = 0/0
Xlate(s):
PAT Global 172.16.3.200(1024) Local 10.1.1.15(55812)
PAT Global 172.16.3.200(1025) Local 10.1.1.15(56836)
PAT Global 172.16.3.200(1026) Local 10.1.1.15(57092)
PAT Global 172.16.3.200(1027) Local 10.1.1.15(56324)
PAT Global 172.16.3.200(1028) Local 10.1.1.15(7104)
Conn(s):
TCP out 192.150.49.10:23 in 10.1.1.15:1246 idle 0:00:20 Bytes 449 flags UIO
TCP out 192.150.49.10:21 in 10.1.1.15:1247 idle 0:00:10 Bytes 359 flags UIO
 

Xlate は変換スロットの情報を示し、Conn は接続状態の情報を示しています。

次は、 show local-host コマンドの出力例です。

pixfirewall(config)# show local-host
local host: <10.1.1.15>, conn(s)/limit = 2/0, embryonic(s)/limit = 0/0
Xlate(s):
PAT Global 192.150.49.1(1024) Local 10.1.1.15(516)
PAT Global 192.150.49.1(0) Local 10.1.1.15 ICMP id 340
PAT Global 192.150.49.1(1024) Local 10.1.1.15(1028)
Conn(s):
TCP out 192.150.49.10:23 in 10.1.1.15:1026 idle 0:00:25
Bytes 1774 flags UIO
UDP out 192.150.49.10:31649 in 10.1.1.15:1028 idle 0:00:17
flags D-
 

比較のため、次に、 show local-host detail コマンドの出力例を示します。

pixfirewall(config)# show local-host detail
local host: <10.1.1.15>, conn(s)/limit = 2/0, embryonic(s)/limit = 0/0
Xlate(s):
TCP PAT from inside:10.1.1.15/1026 to outside:192.150.49.1/1024
flags ri
ICMP PAT from inside:10.1.1.15/21505 to outside:192.150.49.1/0
flags ri
UDP PAT from inside:10.1.1.15/1028 to outside:192.150.49.1/1024
flags ri
Conn(s):
TCP outside:192.150.49.10/23 inside:10.1.1.15/1026 flags UIO
UDP outside:192.150.49.10/31649 inside:10.1.1.15/1028 flags dD
 

次の例は、clear local-host コマンドでローカル ホストの情報をクリアする方法を示しています。

clear local-host 10.1.1.15
show local-host 10.1.1.15
 

情報がクリアされると、 clear local-host コマンドによって停止された接続をホスト間で再び確立してデータをさらに生成するまで、何も表示されません。

show memory

システム メモリの使用状況を表示します。

show memory

 
文法説明

memory

システム メモリ データ。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show memory コマンドは、PIX Firewall オペレーティング システムで使用できる最大物理メモリと現在の空きメモリの要約を表示します。PIX Firewall のメモリは、必要に応じて割り当てられます。

また、SNMP を使用して show memory コマンドからの情報を表示することもできます。

次に、 show memory コマンドの出力例を示します。

show memory
nnnnnnnn bytes total, nnnnnnn bytes free

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

show ospf [ pid ]

 
文法説明

pid

OSPF プロセスの ID。

 
デフォルト

pid を指定しない場合、デフォルトで、すべての OSPF プロセスが表示されます。

 
コマンド モード

show ospf コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

pid を指定すると、指定したルーティング プロセスの情報だけが表示されます。

次に、show ospf [ pidpid ]( pid 5) コマンドと show ospf コマンドの出力例を示します。

pixfirewall# show ospf 5
 
Routing Process "ospf 5" with ID 127.0.0.1 and Domain ID 0.0.0.5
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x 0
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 0. 0 normal 0 stub 0 nssa
External flood list length 0
 
pixfirewall# show ospf
 
Routing Process "ospf 5" with ID 127.0.0.1 and Domain ID 0.0.0.5
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x 0
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 0. 0 normal 0 stub 0 nssa
External flood list length 0
 
Routing Process "ospf 12" with ID 172.23.59.232 and Domain ID 0.0.0.12
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x 0
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 0. 0 normal 0 stub 0 nssa
External flood list length 0

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf border-routers

ABR および ASBR に対する内部 OSPF ルーティング テーブル エントリを表示します。

show ospf border-routers

 
文法説明

border-routers

エリア境界ルータ(ABR)および自律システム境界ルータ(ASBR)。

 
デフォルト

なし。

 
コマンド モード

show ospf border-routers コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、show ospf border-routers コマンドの出力例を示します。

pixfirewall# show ospf border-routers
OSPF Process 109 internal Routing Table
Destination Next Hop Cost Type Rte Type Area SPF No
192.168.97.53 172.16.1.53 10 ABR INTRA 0.0.0.3 3
192.168.103.51 192.168.96.51 10 ABR INTRA 0.0.0.3 3
192.168.103.52 192.168.96.51 20 ASBR INTER 0.0.0.3 3
192.168.103.52 172.16.1.53 22 ASBR INTER 0.0.0.3 3

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf database

特定のネットワーク エリアまたはルータの OSPF データベース内の LSA 情報を表示します。

show ospf [ pid ] database [ internal ] [ adv-router [ ip_address ]]

show ospf [ pid [ area_id ]] database [ internal ] [ self-originate ] [ lsid ]

show ospf [ pid [ area_id ]] database { router | network | summary | asbr-summary | external | nssa-external | database-summary }]

 
文法説明

adv-router [ ip_address ]

指定したルータのすべてのリンク状態アドバタイズメント(LSA)を表示します。IP アドレスを指定しない場合、ローカル ルータ自体に関する情報が表示されます(出力は self-originate キーワードを使用する場合と同じです)。

area_id

OSPF アドレス範囲に関連付けられているエリアの ID。エリアを IP サブネットに関連付ける場合には、サブネット アドレスを area_id として指定できます。

認証の文脈で使用される場合、 area_id 認証がイネーブルになるエリアの識別子です。

コストの文脈で使用する場合、 area_id スタブ エリアまたは NSSA の識別子です。

プレフィックス リストの文脈で使用される場合、 area_id はフィルタリングが設定されるエリアの ID です。

スタブ エリアまたは not-so-stubby area (NSSA)の文脈で使用される場合、 area_id スタブ エリアまたは NSSA の ID です。

エリア範囲の文脈で使用される場合、 area_id ルートを集約する境界のエリア識別子です。

asbr-summary

自律システム境界ルータ(ASBR)のサマリー LSA に関する情報だけを表示します。

database-summary

データベース内に存在する LSA の数をエリア別タイプ別に表示し、さらに合計数を表示します。

external

指定した自律システムの外部のルート。

internal

指定した自律システム内部のルート。

ip_address

OSPF ルータの IP アドレス。

lsid

リンク状態 ID。IP アドレスとして指定します。 lsid は、リンク状態アドバタイズメント(LSA)によって記述されているインターネット環境の一部を示します。

入力する値は LSA のタイプによって異なります。ただし、値は、次のように IP アドレスの形式で入力する必要があります。

LSA がネットワークを記述している場合は、 lsid を、ネットワーク IP アドレス(タイプ 3 サマリー リンク アドバタイズメントおよび自律システム外部リンク アドバタイズメントの場合)、またはネットワーク サブネット マスクを持つ派生 IP アドレス(OSPF プロセスはネットワーク IP アドレスをネットワーク サブネット マスクから解釈します)に設定します。

LSA がルータを記述している場合は、 lsid をルータの OSPF ルータ ID に設定します。

自律システム外部アドバタイズメント(タイプ 5)がデフォルト ルートを記述している場合は、 lsid をデフォルトの宛先(0.0.0.0)に設定します。

network

ネットワーク LSA に関する情報だけを表示します。

nssa-external

not-so-stubby エリア(NSSA)の外部 LSA に関する情報だけを表示します。

pid

OSPF プロセスの ID。

router

ルータ LSA に関する情報だけを表示します。

self-originate

自動送信 LSA(ローカル ルータから)だけを表示します。

summary

サマリー LSA に関する情報だけを表示します。

 
デフォルト

なし。

 
コマンド モード

show ospf database コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

コマンドの各種の形式によって、さまざまな OSPF リンク状態アドバタイズメント(LSA)に関する情報が配信されます。

次に、show ospf database コマンドの出力例を示します。

pixfirewall# show ospf database
OSPF Router with ID(192.168.1.11) (Process ID 1)
Router Link States(Area 0)
Link ID ADV Router Age Seq# Checksum Link count
192.168.1.8 192.168.1.8 1381 0x8000010D 0xEF60 2
192.168.1.11 192.168.1.11 1460 0x800002FE 0xEB3D 4
192.168.1.12 192.168.1.12 2027 0x80000090 0x875D 3
192.168.1.27 192.168.1.27 1323 0x800001D6 0x12CC 3
Net Link States(Area 0)
Link ID ADV Router Age Seq# Checksum
172.16.1.27 192.168.1.27 1323 0x8000005B 0xA8EE
172.17.1.11 192.168.1.11 1461 0x8000005B 0x7AC
Type-10 Opaque Link Area Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Opaque ID
10.0.0.0 192.168.1.11 1461 0x800002C8 0x8483 0
10.0.0.0 192.168.1.12 2027 0x80000080 0xF858 0
10.0.0.0 192.168.1.27 1323 0x800001BC 0x919B 0
10.0.0.1 192.168.1.11 1461 0x8000005E 0x5B43 1
 

次に、show ospf database asbr-summary コマンドの出力例を示します。

pixfirewall# show ospf database asbr-summary
OSPF Router with id(192.168.239.66) (Process ID 300)
Displaying Summary ASB Link States(Area 0.0.0.0)
LS age: 1463
Options: (No TOS-capability)
LS Type: Summary Links(AS Boundary Router)
Link State ID: 172.16.245.1 (AS Boundary Router address)
Advertising Router: 172.16.241.5
LS Seq Number: 80000072
Checksum: 0x3548
Length: 28
Network Mask: 0.0.0.0 TOS: 0 Metric: 1
 

次に、show ospf database router コマンドの出力例を示します。

pixfirewall# show ospf database router
OSPF Router with id(192.168.239.66) (Process ID 300)
Displaying Router Link States(Area 0.0.0.0)
LS age: 1176
Options: (No TOS-capability)
LS Type: Router Links
Link State ID: 10.187.21.6
Advertising Router: 10.187.21.6
LS Seq Number: 80002CF6
Checksum: 0x73B7
Length: 120
AS Boundary Router
155 Number of Links: 8
Link connected to: another Router (point-to-point)
(link ID) Neighboring Router ID: 10.187.21.5
(Link Data) Router Interface address: 10.187.21.6
Number of TOS metrics: 0
TOS 0 Metrics: 2
 

次に、show ospf database network コマンドの出力例を示します。

pixfirewall# show ospf database network
OSPF Router with id(192.168.239.66) (Process ID 300)
Displaying Net Link States(Area 0.0.0.0)
LS age: 1367
Options: (No TOS-capability)
LS Type: Network Links
Link State ID: 10.187.1.3 (address of Designated Router)
Advertising Router: 192.168.239.66
LS Seq Number: 800000E7
Checksum: 0x1229
Length: 52
Network Mask: 255.255.255.0
Attached Router: 192.168.239.66
Attached Router: 10.187.241.5
Attached Router: 10.187.1.1
Attached Router: 10.187.54.5
Attached Router: 10.187.1.5
 

次に、show ospf database summary コマンドの出力例を示します。

pixfirewall# show ospf database summary
OSPF Router with id(192.168.239.66) (Process ID 300)
Displaying Summary Net Link States(Area 0.0.0.0)
LS age: 1401
Options: (No TOS-capability)
LS Type: Summary Links(Network)
Link State ID: 10.187.240.0 (summary Network Number)
Advertising Router: 10.187.241.5
LS Seq Number: 80000072
Checksum: 0x84FF
Length: 28
Network Mask: 255.255.255.0 TOS: 0 Metric: 1
 

次に、show ospf database external コマンドの出力例を示します。

pixfirewall# show ospf database external
OSPF Router with id(192.168.239.66) (Autonomous system 300)
Displaying AS External Link States
LS age: 280
Options: (No TOS-capability)
LS Type: AS External Link
Link State ID: 143.10.0.0 (External Network Number)
Advertising Router: 10.187.70.6
LS Seq Number: 80000AFD
Checksum: 0xC3A
Length: 36
Network Mask: 255.255.0.0
Metric Type: 2 (Larger than any link state path)
TOS: 0
Metric: 1
Forward Address: 0.0.0.0
External Route Tag: 0

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf flood-list

インターフェイスを介してフラッドされるのを待機している OSPF リンク状態アドバタイズメント(LSA)のリストを表示します。

show ospf flood-list if_name

 
文法説明

flood-list

インターフェイスを介してフラッドされるのを待機しているリンク状態アドバタイズメント(LSA)のリスト。

if_name

ネイバー情報を表示するインターフェイスの名前。

 
デフォルト

なし。

 
コマンド モード

show ospf flood-list コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 show ospf flood-list コマンドの出力例を示します。例では、 if_name outside です。

pixfirewall# show ospf flood-list outside
Interface outside, Queue length 20
Link state flooding due in 12 msec
Type LS ID ADV RTR Seq NO Age Checksum
5 10.2.195.0 192.168.0.163 0x80000009 0 0xFB61
5 10.1.192.0 192.168.0.163 0x80000009 0 0x2938
5 10.2.194.0 192.168.0.163 0x80000009 0 0x757
5 10.1.193.0 192.168.0.163 0x80000009 0 0x1E42
5 10.2.193.0 192.168.0.163 0x80000009 0 0x124D
5 10.1.194.0 192.168.0.163 0x80000009 0 0x134C

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf interface

OSPF 関連のインターフェイス情報を表示します。

show ospf interface if_name

 
文法説明

if_name

OSPF 関連の情報を表示するインターフェイスの名前。

 
デフォルト

なし。

 
コマンド モード

show ospf interface if_name コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 show ospf interface if_name コマンドの出力例を示します。例では、 if_name inside です。

pixfirewall# show ospf interface inside
inside is up, line protocol is up
Internet Address 192.168.254.202, Mask 255.255.255.0, Area 0.0.0.0
AS 201, Router ID 192.77.99.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State OTHER, Priority 1
Designated Router id 192.168.254.10, Interface address 192.168.254.10
Backup Designated router id 192.168.254.28, Interface addr 192.168.254.28
Timer intervals configured, Hello 10, Dead 60, Wait 40, Retransmit 5
Hello due in 0:00:05
Neighbor Count is 8, Adjacent neighbor count is 2
Adjacent with neighbor 192.168.254.28 (Backup Designated Router)
Adjacent with neighbor 192.168.254.10 (Designated Router)

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf neighbor

インターフェイスごとの OSPF ネイバー情報を表示します。

show ospf neighbor [ if_name ] [ nbr_router_id ] [ detail ]

 
文法説明

detail

すべての近接ルータを表示します。

if_name

ネイバー情報を表示するインターフェイスの名前。

nbr_router_id

近接ルータの IP アドレス。

 
デフォルト

なし。

 
コマンド モード

show ospf neighbor コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 show ospf neighbor if_name nbr_router_id コマンドの出力例を示します。例では、 if_name inside nbr_router_id は 10.199.199.137 です。

pixfirewall# show ospf neighbor inside
Neighbor 10.199.199.137, interface address 192.168.80.37
In the area 0.0.0.0 via interface inside
Neighbor priority is 1, State is FULL
Options 2
Dead timer due in 0:00:37
Link State retransmission due in 0:00:04
 

次に、 show ospf neighbor detail コマンドの出力例を示します。例では、 if_name outside です。

pixfirewall# show ospf neighbor outside detail
Neighbor 192.168.5.2, interface address 10.225.200.28
In the area 0 via interface outside
Neighbor priority is 1, State is FULL, 6 state changes
DR is 10.225.200.28 BDR is 10.225.200.30
Options is 0x42
Dead timer due in 00:00:36
Neighbor is up for 00:09:46
Index 1/1, retransmission queue length 0, number of retransmission 1
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 1, maximum is 1
Last retransmission scan time is 0 msec, maximum is 0 msec

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf request-list

ルータによって要求されたすべてのリンク状態アドバタイズメント(LSA)のリストを表示します。

show ospf request-list nbr_router_id if_name

 
文法説明

if_name

ネイバー情報を表示するインターフェイスの名前。インターフェイスからルータによって要求されたすべての LSA のリストを表示します。

nbr_router_id

近接ルータの ID。IP アドレスで指定します。近接ルータによって要求されたすべての LSA のリストを表示します。

 
デフォルト

なし。

 
コマンド モード

show ospf request-list nbr_router_id if_name コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 show ospf request-list コマンドの出力例を示します。例では、 nbr_router_id は 192.168.1.12 で、 if_name inside です。

pixfirewall# show ospf request-list 192.168.1.12 inside
OSPF Router with ID (192.168.1.11) (Process ID 1)
Neighbor 192.168.1.12, interface inside address 172.16.1.12
Type LS ID ADV RTR Seq NO Age Checksum
1 192.168.1.12 192.168.1.12 0x8000020D 8 0x6572

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf retransmission-list

再送信されるのを待機しているすべてのリンク状態アドバタイズメント(LSA)のリストを表示します。

show retransmission-list nbr_router_id if_name

 
文法説明

if_name

ネイバー情報を表示するインターフェイスの名前。近接ルータの、再送信されるのを待機しているすべての LSA のリストを表示します。

nbr_router_id

近接ルータの ID。IP アドレスで指定します。インターフェイスの、再送信を待機しているすべての LSA のリストを表示します。

 
デフォルト

なし。

 
コマンド モード

show retransmission-list nbr_router_id if_name コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 show ospf retransmission-list コマンドの出力例を示します。例では、 nbr_router_id は 192.168.1.11 で、 if_name outside です。

pixfirewall# show ospf retransmission-list 192.168.1.11 outside
OSPF Router with ID (192.168.1.12) (Process ID 1)
Neighbor 192.168.1.11, interface outside address 172.16.1.11
Link state retransmission due in 3764 msec, Queue length 2
Type LS ID ADV RTR Seq NO Age Checksum
1 192.168.1.12 192.168.1.12 0x80000210 0 0xB196

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf summary-address

OSPF プロセスで設定されたすべてのサマリー アドレス再配布情報のリストを表示します。

show ospf summary-address

 
文法説明

summary-address

複数の(集約)アドレスを表すアドレス。

 
デフォルト

なし。

 
コマンド モード

show コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 pid 5 の OSPF プロセスの show ospf summary-address コマンドの出力例を示します。

pixfirewall# show ospf summary-address
OSPF Process 5, Summary-address
10.2.0.0/255.255.0.0 Metric -1, Type 0, Tag 0
10.2.0.0/255.255.0.0 Metric -1, Type 0, Tag 10

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show ospf virtual links

OSPF 仮想リンクのパラメータと現在の状態を表示します。

show ospf virtual-links

 
文法説明

virtual-links

OSPF 仮想リンク。

 
デフォルト

なし。

 
コマンド モード

show ospf virtual-links コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、 show ospf virtual-links コマンドの出力例を示します。

pixfirewall# show ospf virtual-links
Virtual Link to router 192.168.101.2 is up
Transit area 0.0.0.1, via interface Ethernet0, Cost of using 10
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 0:00:08
Adjacency State FULL

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show processes

プロセスを表示します。

show processes

 
文法説明

processes

PIX Firewall 上で動作しているプロセス。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show processes コマンドは、実行中のプロセスのリストを表示します。プロセスは、数個の命令だけを必要とする軽量スレッドです。リスト内で、PC はプログラム カウンタ、SP はスタック ポインタ、STATE はスレッド キューのアドレス、Runtime はスレッドが実行されている時間(ミリ秒)、SBASE はスタックのベース アドレス、Stack はスタックの現在使用されているバイト数と合計サイズであり、Process はスレッドの機能を示します。

次に、 show processes コマンドの出力例を示します。

pixfirewall(config)# show processes
 
PC SP STATE Runtime SBASE Stack Process
Hsi 001e7de9 0074e3ac 0054c8e0 0 0074d424 3884/4096 arp_timer
Lsi 001ecf55 007f15a4 0054c8e0 10 007f062c 3800/4096 FragDBGC
Lwe 00119af7 009bd7ec 00550040 0 009bc984 3688/4096 dbgtrace
Lwe 003da59d 009bf97c 00545218 0 009bda34 8008/8192 Logger
Hwe 003de658 009c2a74 005454c8 0 009c0afc 8024/8192 tcp_fast
Hwe 003de5d1 009c4b24 005454c8 0 009c2bac 8024/8192 tcp_slow
Lsi 002f8611 00af8e94 0054c8e0 0 00af7f0c 3944/4096 xlate clean
Lsi 002f851f 00af9f34 0054c8e0 0 00af8fbc 3884/4096 uxlate clean
Mwe 002ef7ff 00c6e304 0054c8e0 0 00c6c36c 7908/8192 tcp_intercept_times
Lsi 0042fb65 00d18b5c 0054c8e0 0 00d17bd4 3768/4096 route_process
Hsi 002e0b9c 00d19bec 0054c8e0 10 00d18c84 3780/4096 PIX Garbage Collecr
Hwe 00213ad9 00d2391c 0054c8e0 0 00d1f9b4 16048/16384 isakmp_time_keepr
Lsi 002de91c 00d3cc84 0054c8e0 0 00d3bcfc 3944/4096 perfmon
Mwe 0020b339 00d670b4 0054c8e0 0 00d6513c 7860/8192 IPsec timer handler
Hwe 00391143 00d7b9fc 005668f0 0 00d79ab4 6904/8192 qos_metric_daemon
Mwe 0025d205 00d92594 0054c8e0 0 00d91e2c 1436/2048 IP Background
Lwe 002f0302 00e44ee4 00561c08 0 00e4406c 3704/4096 pix/trace
Lwe 002f051e 00e45f94 00562338 0 00e4511c 3704/4096 pix/tconsole
H* 0011f4ef 0009fefc 0054c8c8 1580 00e4e484 13548/16384 ci/console
Csi 002e923b 00e5348c 0054c8e0 0 00e52534 3432/4096 update_cpu_usage
Hwe 002d63d1 00ef7324 0052bc98 0 00ef349c 15884/16384 uauth_in
Hwe 003dd0e5 00ef9424 00811bf8 0 00ef754c 7896/8192 uauth_thread
Hwe 003f2c62 00efa574 00545818 0 00ef95fc 3960/4096 udp_timer
Hsi 001dfcf2 00efc22c 0054c8e0 0 00efb2b4 3928/4096 557mcfix
Crd 001dfca7 00efd2ec 0054cd58 764174020 00efc364 3688/4096 557poll
Lsi 001dfd5d 00efe38c 0054c8e0 0 00efd414 3700/4096 557timer
Cwe 001e1785 00f1440c 0085b790 770 00f12514 7344/8192 pix/intf0
Mwe 003f29d2 00f154fc 0085a420 0 00f145c4 3896/4096 riprx/0
Msi 0039a3a1 00f1660c 0054c8e0 0 00f15694 3888/4096 riptx/0
Cwe 001e1785 00f1c744 008d0d00 0 00f1a84c 7928/8192 pix/intf1
Mwe 003f29d2 00f1d854 0085a3d8 0 00f1c91c 3896/4096 riprx/1
Msi 0039a3a1 00f1e964 0054c8e0 0 00f1d9ec 3888/4096 riptx/1
Cwe 001ea085 00f24b0c 0071aa6c 0 00f22ba4 8040/8192 pix/intf2
Mwe 003f29d2 00f25bac 0085a390 0 00f24c74 3896/4096 riprx/2
Msi 0039a3a1 00f26cbc 0054c8e0 0 00f25d44 3888/4096 riptx/2
Hwe 003dd379 00f4c3b4 007fd000 0 00f4c10c 300/1024 listen/http1
Mwe 00367556 00f4e60c 0054c8e0 0 00f4c694 7640/8192 Crypto CA
Mrd 002650c9 00f7bf3c 0054c918 4780 00f79fc4 7744/8192 OSPF Router
Mrd 00265869 00f7960c 0054c918 4760 00f78ed4 1608/2048 OSPF Hello

show routing

デフォルト以外のインターフェイス固有のルーティング コンフィギュレーションを表示します。

show routing [ interface if_name ]

 
文法説明

if_name

コンフィギュレーションを表示するインターフェイスの名前。

 
デフォルト

なし。

 
コマンド モード

show routing コマンドは、特権モードで使用できます。

 
使用上のガイドライン

OSPF ルーティング関連の show コマンドは、ファイアウォール上で特権コマンド モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF 設定サブコマンド モードである必要はありません。

次に、show routing コマンドの出力例を示します。

pixfirewall# show routing
routing interface outside
ospf retransmit-interval 15
routing interface inside
ospf cost 206
 

次に、show routing [ interface if_name ] コマンドの出力例を示します。

pixfirewall# show routing interface outside
routing interface outside
ospf retransmit-interval 15

 
関連コマンド

prefix-list

OSPF ルーティングに使用するプレフィックス リストを設定します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するためのルート マップを作成します。ファイアウォールで OSPF ルーティングを設定する場合に使用します。

router ospf

ファイアウォールでの OSPF ルーティング プロセス用にグローバル パラメータを設定し、ファイアウォール経由の OSPF ルーティングをイネーブルまたはディセーブルにします。

routing interface

インターフェイス固有の OSPF ルーティング パラメータを設定します。

show running-config

PIX Firewall の実行コンフィギュレーションを表示します。

show running-config

 
文法説明

running-config

PIX Firewall 上で実行されているコンフィギュレーション。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show running-config コマンドは、現在の実行コンフィギュレーションを表示します。Cisco IOS ソフトウェア コマンドと一致させるためにキーワード running-config を使用します。show
running-config コマンドの出力は、既存の PIX Firewall write terminal コマンドの出力と同じです。

running-config キーワードは、 show running-config コマンド内だけで使用できます。 no clear とは共に使用できません。また、スタンドアロン コマンドとしても使用できません。CLI はサポートされていないコマンドとして扱います。また、 ? no ? 、または clear ? を入力した場合、 running-config オプションはコマンド リストに表示されません。


) PIX Device Manager(PDM)を使用して PIX Firewall への接続または PIX Firewall の設定を行った後、PDM コマンドがコンフィギュレーションに表示されます。


次に、 show running-config コマンドの出力例を示します。

pixfirewall# show running-config
: Saved
:
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixdoc515
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list inside_outbound_nat0_acl permit ip 10.1.3.0 255.255.255.0 10.1.2.0
access-list inside_outbound_nat0_acl permit ip any any
access-list outside_cryptomap_20 permit ip 10.1.3.0 255.255.255.0 10.1.2.0 255.
access-list outside_cryptomap_40 permit ip any any
access-list 101 permit ip any any
pager lines 24
logging on
interface ethernet0 10baset
interface ethernet1 100full
interface ethernet2 100full shutdown
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 172.23.59.230 255.255.0.0 pppoe
ip address inside 10.1.3.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.0
multicast interface inside
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
pdm location 10.1.2.1 255.255.255.255 outside
pdm location 10.1.2.0 255.255.255.0 outside
pdm logging alerts 100
pdm history enable
arp timeout 14400
global (inside) 6 192.168.1.2-192.168.1.3
global (inside) 3 192.168.4.1
nat (inside) 0 access-list inside_outbound_nat0_acl
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.23.59.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 172.23.59.231
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer 123.5.5.5
isakmp key ******** address 172.23.59.231 netmask 255.255.255.255 no-xauth no-c
isakmp peer fqdn no-xauth no-config-mode
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication rsa-sig
isakmp policy 40 encryption 3des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 10
dhcprelay timeout 60
terminal width 80
Cryptochecksum:4d600490f46b5d335c0fbf2eda0015a2
: end

show startup-config

PIX Firewall の起動コンフィギュレーションを表示します。

show startup-config

 
文法説明

startup-config

PIX Firewall 上に起動時に存在するコンフィギュレーション。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show startup-config コマンドは、PIX Firewall の起動コンフィギュレーションを表示します。Cisco IOS ソフトウェア コマンドと一致させるためにキーワード startup-config を使用します。show startup-config コマンドの出力は、既存の PIX Firewall show configure コマンドの出力と同じです。show startup-config コマンドは PDM には不要ですが、Cisco IOS ソフトウェアとの互換性のために提供されています。

startup-config キーワードは、 show startup-config コマンド内だけで使用できます。 no clear とは共に使用できません。また、スタンドアロン コマンドとしても使用できません。CLI はサポートされていないコマンドとして扱います。また、 ? no ? 、または clear ? を入力した場合、 startup-config オプションはコマンド リストに表示されません。

次に、 show startup-config コマンドの出力例を示します。

pixfirewall# show startup-config
: Saved
: Written by enable_15 at 17:14:09.092 UTC Tue Apr 9 2002
PIX Version 6.2(0)227
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixdoc515
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list inside_outbound_nat0_acl permit ip 10.1.3.0 255.255.255.0 10.1.2.0
access-list inside_outbound_nat0_acl permit ip any any
access-list outside_cryptomap_20 permit ip 10.1.3.0 255.255.255.0 10.1.2.0 255.
access-list outside_cryptomap_40 permit ip any any
access-list 101 permit ip any any
pager lines 24
logging on
interface ethernet0 10baset
interface ethernet1 100full
interface ethernet2 100full shutdown
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 172.23.59.230 255.255.0.0 pppoe
ip address inside 10.1.3.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.0
multicast interface inside
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
pdm location 10.1.2.1 255.255.255.255 outside
pdm location 10.1.2.0 255.255.255.0 outside
pdm logging alerts 100
pdm history enable
arp timeout 14400
global (inside) 6 192.168.1.2-192.168.1.3
global (inside) 3 192.168.4.1
nat (inside) 0 access-list inside_outbound_nat0_acl
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.23.59.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 172.23.59.231
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer 123.5.5.5
isakmp key ******** address 172.23.59.231 netmask 255.255.255.255 no-xauth no-c
isakmp peer fqdn no-xauth no-config-mode
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication rsa-sig
isakmp policy 40 encryption 3des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
telnet timeout 5
ssh timeout 5

show tech-support

サポート アナリストに役立つ情報を表示します。

show tech-support [ no-config ]

 
文法説明

no-config

実行コンフィギュレーションの出力を除外します。

tech-support

テクニカル サポート アナリストが診断に使用するデータ。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show tech-support コマンドでは、テクニカル サポート アナリストが PIX Firewall の問題を診断する場合に役立つ情報が表示されます。show コマンドからの出力を組み合せて、テクニカル サポート アナリストに対して最も多くの情報を提供します。

次に、 show tech-suppo rt no-config コマンドの出力例を示します。実行コンフィギュレーションは除外されています。

pixfirewall(config)# show tech-support no-config
 
Cisco PIX Firewall Version 6.3(1)
Cisco PIX Device Manager Version 2.1(1)
 
Compiled on Fri 15-Nov-02 14:35 by root
 
pixfirewall up 2 days 8 hours
 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
 
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This PIX has a Restricted (R) license.
 
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 23:05:24.264 UTC Sat Nov 16 2002
 
------------------ show clock ------------------
 
00:08:14.911 UTC Sun Nov 17 2002
 
------------------ show memory ------------------
 
Free memory: 50708168 bytes
Used memory: 16400696 bytes
------------- ----------------
Total memory: 67108864 bytes
 
------------------ show conn count ------------------
 
0 in use, 0 most used
 
------------------ show xlate count ------------------
 
0 in use, 0 most used
 
------------------ show blocks ------------------
 
SIZE MAX LOW CNT
4 1600 1600 1600
80 400 400 400
256 500 499 500
1550 1188 795 919
 
------------------ show interface ------------------
 
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0003.e300.73fd
IP address 172.23.59.232, subnet mask 255.255.0.0
MTU 1500 bytes, BW 10000 Kbit half duplex
1267 packets input, 185042 bytes, 0 no buffer
Received 1248 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
20 packets output, 1352 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 9 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (13/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet1 "inside" is up, line protocol is down
Hardware is i82559 ethernet, address is 0003.e300.73fe
IP address 10.1.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 60 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet2 "intf2" is administratively down, line protocol is down
Hardware is i82559 ethernet, address is 00d0.b7c8.139e
IP address 127.0.0.1, subnet mask 255.255.255.255
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
 
------------------ show cpu usage ------------------
 
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
 
------------------ show process ------------------
 
 
PC SP STATE Runtime SBASE Stack Process
Hsi 001e3329 00763e7c 0053e5c8 0 00762ef4 3784/4096 arp_timer
Lsi 001e80e9 00807074 0053e5c8 0 008060fc 3832/4096 FragDBGC
Lwe 00117e3a 009dc2e4 00541d18 0 009db46c 3704/4096 dbgtrace
Lwe 003cee95 009de464 00537718 0 009dc51c 8008/8192 Logger
Hwe 003d2d18 009e155c 005379c8 0 009df5e4 8008/8192 tcp_fast
Hwe 003d2c91 009e360c 005379c8 0 009e1694 8008/8192 tcp_slow
Lsi 002ec97d 00b1a464 0053e5c8 0 00b194dc 3928/4096 xlate clean
Lsi 002ec88b 00b1b504 0053e5c8 0 00b1a58c 3888/4096 uxlate clean
Mwe 002e3a17 00c8f8d4 0053e5c8 0 00c8d93c 7908/8192 tcp_intercept_times
Lsi 00423dd5 00d3a22c 0053e5c8 0 00d392a4 3900/4096 route_process
Hsi 002d59fc 00d3b2bc 0053e5c8 0 00d3a354 3780/4096 PIX Garbage Collecr
Hwe 0020e301 00d5957c 0053e5c8 0 00d55614 16048/16384 isakmp_time_keepr
Lsi 002d377c 00d7292c 0053e5c8 0 00d719a4 3928/4096 perfmon
Hwe 0020bd07 00d9c12c 0050bb90 0 00d9b1c4 3944/4096 IPSec
Mwe 00205e25 00d9e1ec 0053e5c8 0 00d9c274 7860/8192 IPsec timer handler
Hwe 003864e3 00db26bc 00557920 0 00db0764 6952/8192 qos_metric_daemon
Mwe 00255a65 00dc9244 0053e5c8 0 00dc8adc 1436/2048 IP Background
Lwe 002e450e 00e7bb94 00552c30 0 00e7ad1c 3704/4096 pix/trace
Lwe 002e471e 00e7cc44 00553368 0 00e7bdcc 3704/4096 pix/tconsole
Hwe 001e5368 00e7ed44 00730674 0 00e7ce9c 7228/8192 pix/intf0
Hwe 001e5368 00e80e14 007305d4 0 00e7ef6c 7228/8192 pix/intf1
Hwe 001e5368 00e82ee4 00730534 2470 00e8103c 4892/8192 pix/intf2
H* 0011d7f7 0009ff2c 0053e5b0 780 00e8511c 13004/16384 ci/console
Csi 002dd8ab 00e8a124 0053e5c8 0 00e891cc 3396/4096 update_cpu_usage
Hwe 002cb4d1 00f2bfbc 0051e360 0 00f2a134 7692/8192 uauth_in
Hwe 003d17d1 00f2e0bc 00828cf0 0 00f2c1e4 7896/8192 uauth_thread
Hwe 003e71d4 00f2f20c 00537d20 0 00f2e294 3960/4096 udp_timer
Hsi 001db3ca 00f30fc4 0053e5c8 0 00f3004c 3784/4096 557mcfix
Crd 001db37f 00f32084 0053ea40 121094970 00f310fc 3744/4096 557poll
Lsi 001db435 00f33124 0053e5c8 0 00f321ac 3700/4096 557timer
Hwe 001e5398 00f441dc 008121e0 0 00f43294 3912/4096 fover_ip0
Cwe 001dcdad 00f4523c 00872b48 20 00f44344 3528/4096 ip/0:0
Hwe 001e5398 00f4633c 008121bc 0 00f453f4 3532/4096 icmp0
Hwe 001e5398 00f47404 00812198 0 00f464cc 3896/4096 udp_thread/0
Hwe 001e5398 00f4849c 00812174 0 00f475a4 3832/4096 tcp_thread/0
Hwe 001e5398 00f495bc 00812150 0 00f48674 3912/4096 fover_ip1
Cwe 001dcdad 00f4a61c 008ea850 0 00f49724 3832/4096 ip/1:1
Hwe 001e5398 00f4b71c 0081212c 0 00f4a7d4 3912/4096 icmp1
Hwe 001e5398 00f4c7e4 00812108 0 00f4b8ac 3896/4096 udp_thread/1
Hwe 001e5398 00f4d87c 008120e4 0 00f4c984 3832/4096 tcp_thread/1
Hwe 001e5398 00f4e99c 008120c0 0 00f4da54 3912/4096 fover_ip2
Cwe 001e542d 00f4fa6c 00730534 0 00f4eb04 3944/4096 ip/2:2
Hwe 001e5398 00f50afc 0081209c 0 00f4fbb4 3912/4096 icmp2
Hwe 001e5398 00f51bc4 00812078 0 00f50c8c 3896/4096 udp_thread/2
Hwe 001e5398 00f52c5c 00812054 0 00f51d64 3832/4096 tcp_thread/2
Hwe 003d1a65 00f78284 008140f8 0 00f77fdc 300/1024 listen/http1
Mwe 0035cafa 00f7a63c 0053e5c8 0 00f786c4 7640/8192 Crypto CA
 
------------------ show failover ------------------
 
No license for Failover
 
------------------ show traffic ------------------
 
outside:
received (in 205213.390 secs):
1267 packets 185042 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205213.390 secs):
20 packets 1352 bytes
0 pkts/sec 0 bytes/sec
inside:
received (in 205215.800 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205215.800 secs):
1 packets 60 bytes
0 pkts/sec 0 bytes/sec
intf2:
received (in 205215.810 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205215.810 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
 
------------------ show perfmon ------------------
 
 
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
 

次に、 show tech-suppo rt コマンドの出力例を示します。実行コンフィギュレーションも表示されます。

pixfirewall(config)# show tech-support
 
Cisco PIX Firewall Version 6.3(1)
Cisco PIX Device Manager Version 2.1(1)
 
Compiled on Fri 15-Nov-02 14:35 by root
 
pixfirewall up 2 days 9 hours
 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
 
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This PIX has a Restricted (R) license.
 
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 23:05:24.264 UTC Sat Nov 16 2002
 
------------------ show clock ------------------
 
00:08:39.591 UTC Sun Nov 17 2002
 
------------------ show memory ------------------
 
Free memory: 50708168 bytes
Used memory: 16400696 bytes
------------- ----------------
Total memory: 67108864 bytes
 
------------------ show conn count ------------------
 
0 in use, 0 most used
 
------------------ show xlate count ------------------
 
0 in use, 0 most used
 
------------------ show blocks ------------------
 
SIZE MAX LOW CNT
4 1600 1600 1600
80 400 400 400
256 500 499 500
1550 1188 795 919
 
------------------ show interface ------------------
 
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0003.e300.73fd
IP address 172.23.59.232, subnet mask 255.255.0.0
MTU 1500 bytes, BW 10000 Kbit half duplex
1267 packets input, 185042 bytes, 0 no buffer
Received 1248 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
20 packets output, 1352 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 9 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (13/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet1 "inside" is up, line protocol is down
Hardware is i82559 ethernet, address is 0003.e300.73fe
IP address 10.1.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 60 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet2 "intf2" is administratively down, line protocol is down
Hardware is i82559 ethernet, address is 00d0.b7c8.139e
IP address 127.0.0.1, subnet mask 255.255.255.255
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
 
------------------ show cpu usage ------------------
 
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
 
------------------ show process ------------------
 
 
PC SP STATE Runtime SBASE Stack Process
Hsi 001e3329 00763e7c 0053e5c8 0 00762ef4 3784/4096 arp_timer
Lsi 001e80e9 00807074 0053e5c8 0 008060fc 3832/4096 FragDBGC
Lwe 00117e3a 009dc2e4 00541d18 0 009db46c 3704/4096 dbgtrace
Lwe 003cee95 009de464 00537718 0 009dc51c 8008/8192 Logger
Hwe 003d2d18 009e155c 005379c8 0 009df5e4 8008/8192 tcp_fast
Hwe 003d2c91 009e360c 005379c8 0 009e1694 8008/8192 tcp_slow
Lsi 002ec97d 00b1a464 0053e5c8 0 00b194dc 3928/4096 xlate clean
Lsi 002ec88b 00b1b504 0053e5c8 0 00b1a58c 3888/4096 uxlate clean
Mwe 002e3a17 00c8f8d4 0053e5c8 0 00c8d93c 7908/8192 tcp_intercept_times
Lsi 00423dd5 00d3a22c 0053e5c8 0 00d392a4 3900/4096 route_process
Hsi 002d59fc 00d3b2bc 0053e5c8 0 00d3a354 3780/4096 PIX Garbage Collecr
Hwe 0020e301 00d5957c 0053e5c8 0 00d55614 16048/16384 isakmp_time_keepr
Lsi 002d377c 00d7292c 0053e5c8 0 00d719a4 3928/4096 perfmon
Hwe 0020bd07 00d9c12c 0050bb90 0 00d9b1c4 3944/4096 IPSec
Mwe 00205e25 00d9e1ec 0053e5c8 0 00d9c274 7860/8192 IPsec timer handler
Hwe 003864e3 00db26bc 00557920 0 00db0764 6952/8192 qos_metric_daemon
Mwe 00255a65 00dc9244 0053e5c8 0 00dc8adc 1436/2048 IP Background
Lwe 002e450e 00e7bb94 00552c30 0 00e7ad1c 3704/4096 pix/trace
Lwe 002e471e 00e7cc44 00553368 0 00e7bdcc 3704/4096 pix/tconsole
Hwe 001e5368 00e7ed44 00730674 0 00e7ce9c 7228/8192 pix/intf0
Hwe 001e5368 00e80e14 007305d4 0 00e7ef6c 7228/8192 pix/intf1
Hwe 001e5368 00e82ee4 00730534 2470 00e8103c 4892/8192 pix/intf2
H* 0011d7f7 0009ff2c 0053e5b0 950 00e8511c 13004/16384 ci/console
Csi 002dd8ab 00e8a124 0053e5c8 0 00e891cc 3396/4096 update_cpu_usage
Hwe 002cb4d1 00f2bfbc 0051e360 0 00f2a134 7692/8192 uauth_in
Hwe 003d17d1 00f2e0bc 00828cf0 0 00f2c1e4 7896/8192 uauth_thread
Hwe 003e71d4 00f2f20c 00537d20 0 00f2e294 3960/4096 udp_timer
Hsi 001db3ca 00f30fc4 0053e5c8 0 00f3004c 3784/4096 557mcfix
Crd 001db37f 00f32084 0053ea40 121109610 00f310fc 3744/4096 557poll
Lsi 001db435 00f33124 0053e5c8 0 00f321ac 3700/4096 557timer
Hwe 001e5398 00f441dc 008121e0 0 00f43294 3912/4096 fover_ip0
Cwe 001dcdad 00f4523c 00872b48 20 00f44344 3528/4096 ip/0:0
Hwe 001e5398 00f4633c 008121bc 0 00f453f4 3532/4096 icmp0
Hwe 001e5398 00f47404 00812198 0 00f464cc 3896/4096 udp_thread/0
Hwe 001e5398 00f4849c 00812174 0 00f475a4 3832/4096 tcp_thread/0
Hwe 001e5398 00f495bc 00812150 0 00f48674 3912/4096 fover_ip1
Cwe 001dcdad 00f4a61c 008ea850 0 00f49724 3832/4096 ip/1:1
Hwe 001e5398 00f4b71c 0081212c 0 00f4a7d4 3912/4096 icmp1
Hwe 001e5398 00f4c7e4 00812108 0 00f4b8ac 3896/4096 udp_thread/1
Hwe 001e5398 00f4d87c 008120e4 0 00f4c984 3832/4096 tcp_thread/1
Hwe 001e5398 00f4e99c 008120c0 0 00f4da54 3912/4096 fover_ip2
Cwe 001e542d 00f4fa6c 00730534 0 00f4eb04 3944/4096 ip/2:2
Hwe 001e5398 00f50afc 0081209c 0 00f4fbb4 3912/4096 icmp2
Hwe 001e5398 00f51bc4 00812078 0 00f50c8c 3896/4096 udp_thread/2
Hwe 001e5398 00f52c5c 00812054 0 00f51d64 3832/4096 tcp_thread/2
Hwe 003d1a65 00f78284 008140f8 0 00f77fdc 300/1024 listen/http1
Mwe 0035cafa 00f7a63c 0053e5c8 0 00f786c4 7640/8192 Crypto CA
 
------------------ show failover ------------------
 
No license for Failover
 
------------------ show traffic ------------------
 
outside:
received (in 205238.740 secs):
1267 packets 185042 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205238.740 secs):
20 packets 1352 bytes
0 pkts/sec 0 bytes/sec
inside:
received (in 205242.200 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205242.200 secs):
1 packets 60 bytes
0 pkts/sec 0 bytes/sec
intf2:
received (in 205242.200 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205242.200 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
 
------------------ show perfmon ------------------
 
 
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
 
------------------ show running-config ------------------
 
: Saved
:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
fixup protocol sip udp 5060
names
access-list 101 permit tcp any host 10.1.1.3 eq www
access-list 101 permit tcp any host 10.1.1.3 eq smtp
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 172.23.59.232 255.255.0.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route-map maptag1 permit 8
set metric 5
set metric-type type-2
match metric 5
route outside 0.0.0.0 0.0.0.0 172.23.59.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.1.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
banner exec working...
banner motd Haveagoodday
Cryptochecksum:00000000000000000000000000000000
: end

show tcpstat

ファイアウォール TCP スタックの状態およびファイアウォールで終端する TCP 接続の状態を表示します(デバッグ用)。

show tcpstat

 
文法説明

tcpstat

TCP 接続の統計情報。

 
デフォルト

なし。

 
コマンド モード

show tcpstat コマンドは、特権モードで使用できます。

 
使用上のガイドライン

show tcpstat コマンドは、TCP スタックの状態およびファイアウォールで終端する TCP 接続の状態を表示します。 表 8-4 は、表示される TCP 統計情報を説明しています。

 

表 8-4 show tcpstat コマンドでの TCP 統計情報

統計情報
説明
tcb_cnt

TCP ユーザの数。

proxy_cnt

TCP プロキシの数。TCP プロキシは、ユーザ許可によって使用されます。

tcp_xmt pkts

TCP スタックによって送信されたパケットの数。

tcp_rcv good pkts

TCP スタックによって受信された正常なパケットの数。

tcp_rcv drop pkts

TCP スタックがドロップした受信パケットの数。

tcp bad chksum

不良チェックサムを保持していた受信パケットの数。

tcp user hash add

ハッシュ テーブルに追加された TCP ユーザの数。

tcp user hash add dup

新しい TCP ユーザを追加しようとしたときに、ユーザがすでにハッシュ テーブル内に存在していた回数。

tcp user srch hash hit

検索時に TCP ユーザがハッシュ テーブル内で検出された回数。

tcp user srch hash miss

検索時に TCP ユーザがハッシュ テーブル内で検出されなかった回数。

tcp user hash delete

TCP ユーザがハッシュ テーブルから削除された回数。

tcp user hash delete miss

TCP ユーザを削除しようとしたときに、ユーザがハッシュ テーブル内で検出されなかった回数。

lip

TCP ユーザのローカル IP アドレス。

fip

TCP ユーザの外部 IP アドレス。

lp

TCP ユーザのローカル ポート。

fp

TCP ユーザの外部ポート。

st

TCP ユーザの状態(RFC 793 を参照)。表示される値を次に示します。

1 CLOSED
2 LISTEN
3 SYN_SENT
4 SYN_RCVD
5 ESTABLISHED
6 FIN_WAIT_1
7 FIN_WAIT_2
8 CLOSE_WAIT
9 CLOSING
10 LAST_ACK
11 TIME_WAIT
rexqlen

TCP ユーザの再送信キューの長さ。

inqlen

TCP ユーザの入力キューの長さ。

tw_timer

TCP ユーザの time_wait タイマーの値(ミリ秒)。

to_timer

TCP ユーザの非活動タイムアウト タイマーの値(ミリ秒)。

cl_timer

TCP ユーザのクローズ要求タイマーの値(ミリ秒)。

per_timer

TCP ユーザの持続タイマーの値(ミリ秒)。

rt_timer

TCP ユーザの再送信タイマーの値(ミリ秒)。

tries

TCP ユーザの再送信カウント。

次に、 show tcpstat コマンドの出力例を示します。

pixfirewall(config)# show tcpstat
CURRENT MAX TOTAL
tcb_cnt 2 12 320
proxy_cnt 0 0 160
 
tcp_xmt pkts = 540591
tcp_rcv good pkts = 6583
tcp_rcv drop pkts = 2
tcp bad chksum = 0
tcp user hash add = 2028
tcp user hash add dup = 0
tcp user srch hash hit = 316753
tcp user srch hash miss = 6663
tcp user hash delete = 2027
tcp user hash delete miss = 0
 
lip = 172.23.59.230 fip = 10.21.96.254 lp = 443 fp = 2567 st
= 4 rexqlen = 0
in0
tw_timer = 0 to_timer = 179000 cl_timer = 0 per_timer = 0
rt_timer = 0
tries 0
 

 
関連コマンド

show conn

アクティブな接続をすべて表示します。

show traffic/clear traffic

インターフェイスの送信アクティビティおよび受信アクティビティを表示します。

clear traffic

show traffic

 
文法説明

traffic

インターフェイスを通過したパケットおよびバイト。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show traffic コマンドは、各インターフェイスを通過したパケット数およびバイト数を表示します。秒数は、最後にリブートされてから PIX Firewall がオンラインである時間です。clear traffic コマンドは、show traffic コマンド出力のカウンタをクリアします。

次に、 show traffic コマンドの出力例を示します。

show traffic
outside:
received (in 3786 secs):
97 packets 6191 bytes
42 pkts/sec 1 bytes/sec
transmitted (in 3786 secs):
99 packets 10590 bytes
0 pkts/sec 2 bytes/sec ...

show uauth/clear uauth

ユーザの許可キャッシュをすべて表示または削除します。

clear uauth [ username ]

show uauth [ username ]

 
文法説明

username

ユーザの認証情報をユーザ名別にクリアまたは表示します。

 
コマンド モード

特権モード。

 
使用上のガイドライン

show uauth コマンドは、現在認証されているユーザを 1 人またはすべて表示し、ユーザがバインドされているホスト IP、該当する場合は、キャッシュされた IP およびポート許可情報を表示します。

clear uauth コマンドは、1 人のユーザまたはすべてのユーザの AAA 許可および認証キャッシュを削除します。したがって、ユーザは、次回接続を作成するときに強制的に再認証されます。show uauth コマンドは、CiscoSecure 2.1 以降のアイドル時間とタイムアウトの値も表示します。異なるユーザ グループに対して設定できます。

timeout コマンドと共に使用します。

各ユーザ ホストの IP アドレスには、許可キャッシュがアタッチされます。ユーザが適切なホストから、キャッシュされたサービスにアクセスしようとすると、ファイアウォールはユーザを許可済みであると見なし、すぐに接続を代理処理します。つまり、ある Web サイトへのアクセスを一度許可されると、たとえば、イメージを読み込むときに、各イメージごとに許可サーバと通信しません(イメージが同じ IP アドレスからであると想定されます)。許可サーバ上でパフォーマンスが大幅に向上し、負荷も大幅に軽減されます。

ユーザ ホストごとにアドレスとサービスのペアを最大 16 個までキャッシュできます。

show uauth コマンドの出力では、認証および許可の目的で許可サーバに提供されたユーザ名が表示されます。また、ユーザ名がバインドされている IP アドレス、ユーザが認証されただけであるか、キャッシュされたサービスを持っているかが表示されます。


) 通常、Xauth がイネーブルである場合、クライアントに割り当てられている IP アドレスのエントリが uauth テーブルに追加されます(show uauth/clear uauth コマンドを参照)。ただし、ネットワーク拡張モードで Easy VPN Remote 機能と共に Xauth を使用する場合、ネットワーク間に IPSec トンネルが作成されるため、ファイアウォールの背後のユーザを IP アドレスに関連付けることができません。したがって、Xauth の完了時に uauth エントリが作成されません。AAA 許可またはアカウンティング サービスが必要な場合は、AAA 認証プロキシをイネーブルにして、ファイアウォールの背後のユーザを認証できます。AAA 認証プロキシの詳細は、aaa コマンドを参照してください。


ユーザの接続がアイドルになった後にキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザのすべての許可キャッシュを削除するには、 clear uauth コマンドを使用します。次回接続を作成するときには再認証される必要が生じます。

次に、ユーザが認証されておらず、1 人のユーザの認証が進行中である場合の show uauth コマンドの出力例を示します。

pixfirewall(config)# show uauth
Current Most Seen
Authenticated Users 0 0
Authen In Progress 0 1
 

次に、3 人のユーザが認証され、PIX Firewall を介してサービスを使用することを許可されている場合の show uauth コマンドの出力例を示します。

pixfirewall(config)# show uauth
user ‘pat’ from 209.165.201.2 authenticated
user ‘robin’ from 209.165.201.4 authorized to:
port 192.168.67.34/telnet 192.168.67.11/http 192.168.67.33/tcp/8001
192.168.67.56/tcp/25 192.168.67.42/ftp
user ‘terry’ from 209.165.201.7 authorized to:
port 192.168.1.50/http 209.165.201.8/http
 

上の例では、Pat はサーバで認証されていますが、許可を完了していません。Robin は、Telnet サービス、Web(HTTP)サービス、sendmail サービス、FTP サービスへの接続、および 192.168.67.33 上の TCP ポート 8001 への接続が許可されています。

Terry は Web をブラウズしており、上の出力例の 2 つのサイトへの Web ブラウジングを許可されています。

次の例では、Pat に再認証が必要となります。

clear uauth pat

 
関連コマンド

aaa authorization

LOCAL または TACACS+ ユーザ許可サービスをイネーブルまたはディセーブルにします。

timeout

最大アイドル時間を設定します。

show version

PIX Firewall の動作情報を表示します。

show version

 
文法説明

version

PIX Firewall のソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼働時間データ。

 
コマンド モード

ユーザ モード。

 
使用上のガイドライン

show version コマンドは、PIX Firewall 装置のソフトウェア バージョン、最後にリブートされて以降の動作時間、プロセッサ タイプ、フラッシュ メモリ タイプ、インターフェイス ボード、シリアル番号(BIOS ID)、アクティベーション キー値、ライセンス タイプ(R または UR)、および、コンフィギュレーションが最後に変更されたときのタイムスタンプを表示します。

PIX Firewall ソフトウェア Version 5.3 以降で show version コマンドによって表示されるシリアル番号は、フラッシュ メモリ BIOS のシリアル番号です。シャーシのシリアル番号とは異なります。ソフトウェア アップグレードを取得する場合は、シャーシ番号ではなく、show version コマンドで表示されるシリアル番号が必要です。

PIX Firewall ソフトウェア Version 6.2 以降の場合、 show version コマンドの出力は次のように表示されます。

Running Activation Key: activation-key-four-tuple
 

PIX Firewall イメージを現在実行しているアクティベーション キーを示しています。

次の例では、フラッシュ メモリの容量(2 MB や 16 MB)が次のように識別されます。

i28F020 512 kB
AT29C040A 2 MB
atmel 2 MB
i28F640J5 8 MB - PIX 506
16 MB - all other PIXes
strata 16 MB
E28F128J3 16 MB
 

次に、 show version コマンドの出力例を示します。

pixfirewall(config)# show version
 
Cisco PIX Firewall Version 6.3(1)
Cisco PIX Device Manager Version 2.1(1)
 
Compiled on Wed 06-Nov-02 11:22 by root
 
pixfirewall up 4 days 22 hours
 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
 
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This PIX has a Restricted (R) license.
 
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 16:36:30.480 UTC Mon Nov 11 2002

show xlate/clear xlate

変換スロット情報を表示またはクリアします。

clear xlate [ global | local ip1 [ - ip2 ] [ netmask mask ]] lport | gport port [ - port ]]
[
interface if1 [ , if2 ][ , ifn ]] [ state static [ ,dump ] [ ,portmap ] [ ,norandomseq ] [ ,identity ]]

show xlate [detail] [ global | local ip1 [ - ip2 ] [ netmask mask ]] lport | gport port [ - port ]]
[
interface if1 [ , if2 ] [ , ifn ]] [ state static [ ,dump ] [ ,portmap ] [ ,norandomseq ] [ ,identity ]]

 
文法説明

detail

指定した場合は、変換タイプとインターフェイスの情報を表示します。

[ global | local ip1 [ - ip2 ] [ netmask mask ]

ネットワーク マスクを使用して IP アドレスを限定し、グローバル IP アドレスまたはローカル IP アドレス別にアクティブな変換を表示します。

interface if1 [ , if2 ] [ , ifn ]

アクティブな変換をインターフェイス別に表示します。

lport | gport port [ - port ]

アクティブな変換をローカルおよびグローバルのポート指定別に表示します。有効なポート リテラル名のリストは、「PIX Firewall コマンドの使用方法」「ポート」を参照してください。

state

アクティブな変換を状態別に表示します。状態とは、スタティック変換(static)、dump(クリーンアップ)、PAT グローバル(portmap)、norandomseq 設定での nat またはスタティック変換(norandomseq)、nat 0 ID 機能の使用(identity)です。

 
コマンド モード

特権モード。

 
使用上のガイドライン

clear xlate コマンドは、変換スロットの内容をクリアします(「xlate」は変換スロットを意味します)。 show xlate コマンドは、変換スロットだけの内容をが表示します。

変換スロットは、キーの変更後も残ります。コンフィギュレーション内で aaa-server access-list 、alias、conduit、global、nat、route、または static コマンドを追加、変更、または削除した後には、必ず clear xlate コマンドを使用します。


vpnclient コンフィギュレーションがイネーブルで、内部ホストが DNS 要求を送信している場合は、show xlate コマンドにより、スタティック変換用の xlate が複数表示されることがあります。


show xlate detail コマンドは、次の情報を表示します。

{ ICMP|TCP|UDP } PAT from interface : real-address / real-port to interface : mapped-address / mapped-port flags translation-flags

NAT from interface : real-address / real-port to interface : mapped-address / mapped-port flags translation-flags

表 8-5 は、変換フラグを説明しています。

 

表 8-5 変換フラグ

フラグ
説明

s

スタティック変換スロット

d

次のクリーニング サイクルでのダンプ変換スロット

r

ポートマップ変換(ポート アドレス変換)

n

TCP シーケンス番号の非ランダム化

o

外部アドレス変換

i

内部アドレス変換

D

DNS A RR リライト

I

nat 0 からの識別変換

次に、3 つのアクティブなポート アドレス変換(PAT)がある場合の、 show xlate コマンドの出力例を示します。

pixfirewall(config)# show xlate
3 in use, 3 most used
PAT Global 192.150.49.1(0) Local 10.1.1.15 ICMP id 340
PAT Global 192.150.49.1(1024) Local 10.1.1.15(1028)
PAT Global 192.150.49.1(1024) Local 10.1.1.15(516)
 

次に、3 つのアクティブなポート アドレス変換(PAT)がある場合の、 show xlate detail コマンドの出力例を示します。

pixfirewall(config)# show xlate detail
3 in use, 3 most used
Flags: D - DNS, d - dump, I - identity, i - inside, n - no random,
o - outside, r - portmap, s - static
TCP PAT from inside:10.1.1.15/1026 to outside:192.150.49.1/1024 flags ri
UDP PAT from inside:10.1.1.15/1028 to outside:192.150.49.1/1024 flags ri
ICMP PAT from inside:10.1.1.15/21505 to outside:192.150.49.1/0 flags ri
 

最初のエントリは、内部ネットワーク上のホストポート(10.1.1.15, 1025)から外部ネットワーク上のホストポート(192.150.49.1, 1024)への TCP ポート アドレス変換です。フラグ「r」は、変換がポート アドレス変換であることを示しています。「i」フラグは、変換が内部アドレスポートに適用されることを示しています。

2 番目のエントリは、内部ネットワーク上のホストポート(10.1.1.15, 1028)から外部ネットワーク上のホストポート(192.150.49.1, 1024)への UDP ポート アドレス変換です。フラグ「r」は、変換がポート アドレス変換であることを示しています。「i」フラグは、変換が内部アドレスポートに適用されることを示しています。

3 番目のエントリは、内部ネットワーク上のホスト ICMP ID(10.1.1.15, 21505)から外部ネットワーク上のホスト ICMP ID(192.150.49.1, 0)への ICMP ポート アドレス変換です。フラグ「r」は、変換がポート アドレス変換であることを示しています。「i」フラグは、変換が内部アドレス ICMP ID に適用されることを示しています。

内部アドレス フィールドは、高セキュリティ インターフェイスから低セキュリティ インターフェイスに移動するパケットに発信元アドレスとして表示されます。逆に、低セキュリティ インターフェイスから高セキュリティ インターフェイスに移動するパケットでは、内部アドレス フィールドが宛先アドレスとして表示されます。

次に、2 つのスタティック変換の出力例を示します。1 つ目の変換には関連する接続(「nconns」と呼ばれる)が 2 つあり、2 つ目の変換には 4 つあります。

show xlate
Global 209.165.201.10 Local 209.165.201.10 static nconns 1 econns 0
Global 209.165.201.30 Local 209.165.201.30 static nconns 4 econns 0

 
関連コマンド

show conn

アクティブな接続をすべて表示します。

show uauth/clear uauth

ユーザの許可キャッシュをすべて表示または削除します。

timeout

最大アイドル時間を設定します。

shun

shun コマンドは、新しい接続を阻止し、既存の接続からのパケットを拒否することによって、攻撃ホストへのダイナミックな応答をイネーブルにします。

[ no ] shun src_ip [ dst_ip sport dport [ protocol ]]

clear shun [ statistics ]

show shun [ src_ip | statistics ]

 
文法説明

clear

現在イネーブルであるすべての排除をディセーブルにして、排除統計情報をクリアします。統計情報を指定すると、インターフェイスのカウンタだけがクリアされます。

dport

排除を引き起こす接続の宛先ポート。

dst_ip

宛先ホストのアドレス。

no

src_ip 、つまり、PIX Firewall が排除のルックアップに使用する実際のアドレスに基づいて、排除をディセーブルにします。

protocol

UDP や TCP など、オプションの IP プロトコル。

shun

src_ip に基づいて、ブロッキング機能(排除)をイネーブルにします。

sport

排除を引き起こす接続の発信元ポート。

src_ip

攻撃ホストのアドレス。

statistics

インターフェイスのカウンタだけをクリアします。

 
コマンド モード

設定モード。

 
使用上のガイドライン

shun コマンドは、攻撃を受けるインターフェイスにブロッキング機能を適用します。攻撃ホストの IP 発信元アドレスを含むパケットは、ブロッキング機能が手動でまたは Cisco IDS マスター装置によって削除されるまで、ドロップされ記録されます。IP 発信元アドレスからのトラフィックは PIX Firewall 装置を通過できず、残っている接続はすべて、標準アーキテクチャの一部としてタイムアウトになります。shun コマンドのブロッキング機能は、指定したホスト アドレスとの接続が現在アクティブであるかどうかに関らず適用されます。

ホストの発信元 IP アドレスだけを指定して shun コマンドを使用する場合、宛先アドレスのデフォルトは 0 となります。攻撃ホストからのトラフィックは許可されません。

shun コマンドは、攻撃のダイナミックなブロックに使用されるため、PIX Firewall コンフィギュレーションには表示されません。

次の例では、攻撃ホスト(10.1.1.27)が TCP で攻撃対象(10.2.2.89)との接続を作成します。接続は、PIX Firewall 接続テーブル内で次のように記載されています。

10.1.1.27, 555-> 10.2.2.89, 666 PROT TCP

shun コマンドが次のように適用されるとします。

shun 10.1.1.27 10.2.2.89 555 666 tcp

上のコマンドにより、PIX Firewall 接続テーブルから接続が削除され、10.1.1.27 からのパケットが PIX Firewall を通過できなくなります。攻撃ホストは、PIX Firewall の内部にある場合も、外部にある場合もあります。

snmp-server

SNMP を介して PIX Firewall イベント情報を提供します。

[ no ] snmp-server community key

[ no ] snmp-server { contact | location } text

[ no ] snmp-server host [ if_name ] ip_addr [ trap | poll ]

[ no ] snmp-server enable traps

clear snmp-server

show snmp-server

 
文法説明

community key

SNMP 管理ステーションで使用するパスワード キー値を入力します。
SNMP コミュニティ ストリングは、SNMP 管理ステーションと、管理されているネットワーク ノードとの間での共有秘密です。PIX Firewall は、キーを使用して、着信 SNMP 要求が有効であるかどうかを判断します。たとえば、サイトにコミュニティ ストリングを指定してから、ルータ、ファイアウォール、および管理ステーションに同じストリングを設定できます。PIX Firewall は、ストリングを使用する SNMP 要求を受け入れますが、無効なコミュニティ ストリングを持つ要求には応答しません。

key は、大文字と小文字が区別される最大 32 文字の値です。スペースは使用できません。key を設定しない場合、デフォルトは public です。したがって、セキュリティ上の理由から、key に(新しい)値を指定することが重要です。

contact text

自分の名前または PIX Firewall システム管理者の名前を入力します。text は、大文字と小文字が区別される最大 127 文字の値です。スペースを使用できますが、複数のスペースは 1 つのスペースに短縮されます。

enable traps

SNMP トラップ通知としてのログ メッセージの送信をイネーブルまたはディセーブルにします。

host

トラップの送信先または SNMP 要求の送信元である SNMP 管理ステーションの IP アドレスを指定します。最大 5 つの SNMP 管理ステーションを指定できます。

次のパラメータと共に使用します。

if_name: SNMP 管理ステーションが存在するインターフェイス名。

ip_addr :SNMP トラップの送信先または SNMP 要求の送信元であるホストの IP アドレス。

if_name

SNMP 管理ステーションが存在するインターフェイス名。

ip_addr

SNMP トラップの送信先または SNMP 要求の送信元であるホストの IP アドレス。

location text

PIX Firewall の場所を指定します。text は、大文字と小文字が区別される最大 127 文字の値です。スペースを使用できますが、複数のスペースは 1 つのスペースに短縮されます。

snmp-server host

トラップの送信先または SNMP 要求の送信元である SNMP 管理ステーションの IP アドレスを指定します。最大 32 個の SNMP 管理ステーションを指定できます。

trap | poll

トラップ、ポール、または両方のいずれが有効であるかを指定します。次のパラメータと共に使用します。

trap トラップの送信だけが行われます。ホストはポーリングできません。

poll:トラップは送信されません。ホストはポーリングできます。

デフォルトでは、トラップとポールの両方が有効です。

 
コマンド モード

設定モード。

 
使用上のガイドライン

サイト、管理ステーション、コミュニティ ストリング、およびユーザ情報を識別するには、 snmp-server コマンドを使用します。


snmp-server community key コマンドの key のデフォルト値は public です。したがって、セキュリティ上の理由から、key に(新しい)値を指定することが重要です。


clear snmp-server コマンドおよび no snmp-server コマンドは、次のように、コンフィギュレーション内で SNMP コマンドをディセーブルにします。

no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
 

SNMP の使用法を理解する際、PIX Firewall は SNMP エージェントまたは SNMP サーバと見なされます。管理ステーションは、PIX Firewall によって送信される SNMP 情報を受信して処理する SNMP プログラムを実行するシステムです。

PIX Firewall の SNMP オブジェクト ID(OID)は、PIX Firewall から送信される SNMP イベント トラップ内に表示されます。 表 8-6 は、PIX Firewall プラットフォームの OID を示しています。

 

表 8-6 PIX Firewall プラットフォームのシステム OID

PIX Firewall プラットフォーム
システム OID

PIX 506

.1.3.6.1.4.1.9.1.389

PIX 506E

.1.3.6.1.4.1.9.1.450

PIX 515

.1.3.6.1.4.1.9.1.390

PIX 515E

.1.3.6.1.4.1.9.1.451

PIX 520

.1.3.6.1.4.1.9.1.391

PIX 525

.1.3.6.1.4.1.9.1.392

PIX 535

.1.3.6.1.4.1.9.1.393

その他

.1.3.6.1.4.1.9.1.227

特定の SNMP アクティビティだけに参加するようホストを設定するには、trap コマンド オプションおよび poll コマンド オプションを使用します。設定したエンティティだけに、ポール応答およびトラップが送信されます。 trap コマンド オプションを設定したホストには、トラップが送信されます。ただし、ホストはポーリングできません。 poll コマンド オプションを設定したホストは、ポーリングできます。ただし、ホストにはトラップが送信されません。SNMP トラップを使用して PIX Firewall にアクセスし PIX Firewall を監視する方法は、『 Cisco PIX Firewall/VPN コンフィギュレーション ガイド 』を参照してください。

PIX Firewall Management Information Base(MIB; 管理情報ベース)にアクセスできるかどうかは、コンフィギュレーション、MIB サポート、およびコミュニティ ストリングに基づく認証によって決まります。コミュニティ ストリング認証が失敗した場合を除いて、失敗したポーリング試行は記録されず、別の方法でも表示されません。コミュニティ認証の失敗により、適切な場合にはトラップが送信されます。

MIB サポート

MIB-II の System グループおよび Interface グループをブラウズできます。PIX Firewall 内の SNMP 値はすべて、読み取り専用(RO)です。PIX Firewall は、Cisco syslog MIB のブラウジングをサポートしていません。

MIB のブラウジングは、トラップの送信とは異なります。 ブラウジングとは、管理ステーションから MIB ツリーに対して snmpget または snmpwalk を実行して値を決定することです。トラップは異なります。リンク アップ、リンク ダウン、生成された syslog イベントなど、特定のイベントの、管理対象デバイスから管理ステーションへの非送信請求「コメント」です。

Cisco Firewall MIB、Cisco Memory Pool MIB、Cisco Process MIB は、SNMP を介して次の PIX Firewall 情報を提供します。

show block コマンドからのバッファ使用状況

show conn コマンドからの接続カウント

show cpu usage コマンドからの CPU 使用状況

フェールオーバー状態

show memory コマンドからのメモリ使用状況

SNMP 管理ステーションからの SNMP 要求の受信

管理ステーションから SNMP 要求を受信するには、次の手順を実行します。


ステップ 1 snmp-server host コマンド文を使用して、管理ステーションを指定します。

ステップ 2 location contact 、および community snmp-server コマンド オプションを指定します。

ステップ 3 管理ステーション上で SNMP ソフトウェアを起動し、PIX Firewall への SNMP 要求の発行を開始します。


 

 
デフォルト

オプションを指定しない場合、 snmp-server host コマンドは、以前のバージョンと同様に動作します。影響を受けるインターフェイス上にある、設定したすべてのホストからのポーリングが許可されます。トラップは、影響を受けるインターフェイス上にある、設定したすべてのホストに送信されます。

次の例は、管理ステーションから SNMP 要求を受信し始めるために入力するコマンドを示しています。

snmp-server community wallawallabingbang
snmp-server location Building 42, Sector 54
snmp-server contact Sherlock Holmes
snmp-server host perimeter 10.1.2.42
 

次に、show snmp-server コマンドの出力例を示します。

show snmp
snmp-server host perimeter 10.1.2.42
snmp-server location Building 42, Sector 54
snmp-server contact Sherlock Holmes
snmp-server community wallawallabingbang

 

ssh

Secure Shell(SSH)を介して PIX Firewall コンソールにアクセスするためのホストを指定します。

[ no ] ssh ip_address [ netmask ] [ interface_name ]

ssh timeout mm

ssh disconnect session_id

clear ssh

show ssh [ sessions [ ip_address ]]

show ssh timeout

 
文法説明

interface_name

SSH 接続を開始するホストまたはネットワークが存在する PIX Firewall インターフェイス名。

ip_address

PIX Firewall への SSH 接続の開始が許可されるホストまたはネットワークの IP アドレス。

mm

セッションが切断されるまでにアイドル状態を維持する時間(分)。デフォルトの時間は 5 分です。指定できる範囲は、1 ~ 60 分です。

netmask

ip_address のネットワーク マスク。netmask を指定しない場合、
ip_address
のクラスに関係なく、デフォルトは 255.255.255.255 です。

session_id

SSH セッション ID 番号。show ssh sessions コマンドで表示できます。

 
コマンド モード

設定モード。

 
使用上のガイドライン

ssh ip_address コマンドは、PIX Firewall への SSH 接続の開始を許可するホストまたはネットワークを指定します。ssh timeout コマンドは、セッションが切断されるまでにアイドル状態を維持する時間(分)を指定できます。デフォルトの時間は 5 分です。PIX Firewall 上のすべてのアクティブな SSH セッションを表示するには、show ssh sessions コマンドを使用します。ssh disconnect コマンドは、show ssh sessions コマンドで表示した特定のセッションを切断できます。すべての ssh コマンド文をコンフィギュレーションから削除するには、 clear ssh コマンドを使用します。選択した ssh コマンド文をコンフィギュレーションから削除するには、 no ssh コマンドを使用します。


) クライアントが PIX Firewall コンソールに接続する前に、PIX Firewall 用の RSA キーペアを生成する必要があります。RSA キーペアの生成後、ca save all コマンドを使用して、キーペアを保存します。SSH を使用するには、PIX Firewall に DES または 3DES アクティベーション キーが必要です。


SSH を介して PIX Firewall コンソールにアクセスするには、SSH クライアントで、ユーザ名を pix と入力し、Telnet パスワードを入力します。Telnet パスワードは、 passwd コマンドで設定できます。デフォルトの Telnet パスワードは、 cisco です。AAA サーバを使用して認証するには、 aaa authenticate ssh console コマンドを設定します。

SSH は、ユーザ名に最大 100 文字、パスワードに最大 50 文字を指定できます。

SSH セッションを開始する場合、SSH ユーザ認証プロンプトが表示される前に、PIX Firewall コンソール上にドット(.)が表示されます。

ドットは、次のように表示されます。

pixfirewall(config)# .
pixfirewall(config)# .
 

ドットが表示されることは、SSH の機能には影響ありません。ドットがコンソールに表示されるのは、ユーザ認証が行われる前で、サーバ キーを生成しているとき、または SSH キー交換中に秘密キーを使用してメッセージを暗号解除しているときです。処理に 2 分以上かかることがあります。ドットは、PIX Firewall がビジー状態で、ハングしていないことを示す進捗インジケータです。

show ssh sessions コマンド

show ssh sessions コマンドは、次の情報を表示します。

Session ID Client IP Version Encryption State Username
0 172.16.25.15 1.5 3DES 4 -
1 172.16.38.112 1.5 DES 6 pix
2 172.16.25.11 1.5 3DES 4 -
 

Session ID は、SSH セッションを識別する一意な番号です。Client IP は、SSH クライアントを実行しているシステムの IP アドレスです。Version には、SSH クライアントがサポートしているプロトコル バージョン番号が表示されます。Encryption カラムには、SSH クライアントが使用している暗号化のタイプが表示されます。State カラムには、クライアントと PIX Firewall との対話の進捗状況が表示されます。Username カラムには、セッションで認証されているログイン ユーザ名が表示されます。AAA 以外の認証が使用された場合は、「pix」というユーザ名が表示されます。

次の表は、State カラムに表示される SSH 状態を示しています。

 

数値
SSH 状態

0

SSH_CLOSED

1

SSH_OPEN

2

SSH_VERSION_OK

3

SSH_SESSION_KEY_RECEIVED

4

SSH_KEYS_EXCHANGED

5

SSH_AUTHENTICATED

6

SSH_SESSION_OPEN

7

SSH_TERMINATE

8

SSH_SESSION_DISCONNECTING

9

SSH_SESSION_DISCONNECTED

10

SSH_SESSION_CLOSED

SSH syslog メッセージ

syslog メッセージ 315001、315002、315003、315004、315005、および 315011 が SSH 用に追加されました。詳細については、『 Cisco PIX Firewall System Log Messages 』を参照してください。

SSH クライアントの取得

次のサイトで、SSH v1.x クライアントをダウンロードできます。SSH Version 1.x と 2 は完全に異なるプロトコルであり、互換性がありません。したがって、必ず、SSH v1.x をサポートするクライアントをダウンロードしてください。

Windows 3.1、Windows CE、Windows 95、および Windows NT 4.0:次の Web サイトから無料の Tera Term Pro SSH v1.x クライアントをダウンロードします。

http://hp.vector.co.jp/authors/VA002416/teraterm.html

Tera Term Pro 用の TTSSH セキュリティ拡張は、次の Web サイトで入手できます。

http://www.zip.com.au/~roca/ttssh.html


) SSH で Tera Term Pro を使用するには、TTSSH をダウンロードする必要があります。
TTSSH では Zip ファイルが提供されます。ファイルをシステムにコピーします。Zip 圧縮ファイルを Tera Term Pro をインストールしたフォルダに解凍します。Windows 95 システムの場合、デフォルトで C:\Program Files\Ttempro フォルダです。


Linux、Solaris、OpenBSD、AIX、IRIX、HP/UX、FreeBSD、および NetBSD:次の Web サイトから SSH v1.x クライアントをダウンロードします。

http://www.openssh.com

Macintosh(国際版ユーザのみ):次の Web サイトから Nifty Telnet 1.1 SSH クライアントをダウンロードします。

http://www.lysator.liu.se/~jonasw/freeware/niftyssh/

SSH 用に変更された aaa コマンド

aaa コマンドには、SSH 用に ssh オプションが追加されています。

aaa authentication [ serial | enable | telnet | ssh ] console group_tag

新しい ssh オプションには、SSH ユーザ認証に使用する AAA サーバのグループを指定します。認証プロトコルおよび AAA サーバの IP アドレスは、aaa-server コマンド文で指定します。

Telnet モデルと同様に、aaa authentication ssh console group_tag コマンド文が定義されていない場合、ユーザ名 pix と PIX Firewall Telnet パスワード(passwd コマンドで設定)を使用して、PIX Firewall コンソールにアクセスできます。aaa コマンドが定義されているが、SSH 認証要求がタイムアウトになる場合、AAA サーバがダウンしているか使用不可能なことを意味します。ユーザ名 pix とイネーブル パスワード(enable password コマンドで設定)を使用して、PIX Firewall にアクセスできます。デフォルトでは、Telnet パスワードは cisco で、イネーブル パスワードは設定されていません。イネーブル パスワードが空(ヌル)の場合は、パスワードを正しく入力しても、SSH セッションにアクセスできません。

ユーザ認証試行の制限は、3 に設定されています。 http://www.openssh.com から入手できる Linux 版の SSH Version 1 クライアントでは、ユーザ認証試行が 1 回だけ許可されていることに注意してください。

1024 ビットのモジュラス サイズで RSA キーペアを作成します(Cisco IOS ソフトウェアで使用することを推奨します)。

hostname cisco-pix
domain-name example.com
ca generate rsa key 1024
show ca mypubkey rsa
ca save all
 

上の例のコマンド文では、PIX Firewall のホスト名とドメイン名が設定され、RSA キーペアが生成されて表示され、フラッシュ メモリに保存されます。

SSH セッションを開始して、外部インターフェイス上のクライアントがセキュア シェルを介してリモートで PIX Firewall コンソールにアクセスできるようにします。

ssh 10.1.1.1 255.255.255.255 outside
ssh timeout 60
 

AAA サーバを使用するユーザ認証を実行するよう PIX Firewall を設定します。プロトコルは、認証を実行するために AAA サーバによって使用されるプロトコルです。次の例では、TACACS+ 認証プロトコルを使用しています。

aaa-server ssh123 (inside) host 10.1.1.200 mysecure
aaa-server ssh123 protocol tacacs+
aaa authenticate ssh console ssh123

 
関連コマンド

aaa accounting

ca

domain-name

hostname

password

static

ローカル IP アドレスをグローバル IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換規則を設定します。スタティック ポート アドレス変換(スタティック PAT)とも呼ばれます。

[ no ] static [( internal_if_name, external_if_name )] { global_ip | interface } local_ip [ dns ] [ netmask mask ][ max_conns [ emb_limit [ norandomseq ]]]

[ no ] static [( internal_if_name, external_if_name )] { tcp | udp }{ global_ip | interface } global_port local_ip local_port [ dns ] [ netmask mask ][ max_conns [ emb_limit [ norandomseq ]]]

show static

 
文法説明

dns

作成済みの xlate を使用して、DNS アドレス レコードを書き換えます。

em_limit

初期接続の制限。初期接続とは、開始されているがまだ完了していない接続です。初期接続のフラッドによる攻撃を防止するために制限を設定します。デフォルトは 0 です。接続数の制限がないことを意味します。

external_if_name

通常は、外部ネットワーク インターフェイス名。アクセスする低セキュリティ レベルのインターフェイスです。

global_ip

グローバル IP アドレス。このアドレスは、ポート アドレス変換(PAT)IP アドレスにできません。アクセスする低セキュリティ レベルのインターフェイス上の IP アドレス。

interface

インターフェイスからグローバル アドレスをオーバーロードするために指定します。

internal_if_name

通常は、内部ネットワーク インターフェイス名。アクセスする高セキュリティ レベルのインターフェイスです。

local_ip

内部ネットワークからのローカル IP アドレス。アクセスする高セキュリティ レベルのインターフェイス上の IP アドレス。

mask または network_mask

ネットワーク マスクは、 global_ip local_ip の両方に関係します。ホスト アドレスには、必ず 255.255.255.255 を使用します。ネットワーク アドレスには、適切なクラス マスクまたはサブネット マスクを使用します。たとえば、クラス A ネットワークには、255.0.0.0 を使用します。サブネット マスクの例としては、255.255.255.224 です。

max_conns

各変換で同時に許可される接続の最大数。

netmask

ネットワーク マスクを指定する前に必要な予約語。

norandomseq

TCP/IP パケットのシーケンス番号をランダム化しません。このオプションを使用するのは、別のインライン ファイアウォールもシーケンス番号をランダム化していて、結果としてデータ順序が変わる場合だけにしてください。このオプションを使用すると、PIX Firewall にセキュリティ ホールが開きます。

 
コマンド モード

設定モード。

 
使用上のガイドライン

static コマンドでは、固定の 1 対 1 のアドレス変換規則(スタティック変換スロットまたは「xlate」と呼ばれます)が作成されます。この変換は、ローカル IP アドレスとグローバル IP アドレスの間(スタティック NAT)で、またはポート間(スタティック PAT)で可能です。さらに、PIX Firewall は、 static コマンド内のグローバル アドレスを使用して、セカンダリ xlate をダイナミックに作成します。次の例では、FTP サービスがアドレス 192.168.1.1 から内部ホスト 10.1.1.1 にリダイレクトされます。FTP データ転送に必要なアドレス変換スロット(xlate)が、 fixup アプリケーション検査によってグローバル アドレス 192.168.1.1 から自動的に作成されます。

static (inside, outside) tcp 192.168.1.1 ftp 10.1.1.1 ftp
fixup protocol ftp 21
 

外部ホストが内部ホストへのトラフィックを開始するには、内部ホストに対するスタティック変換規則が存在する必要があります。これは、 nat 0 access-list アドレス変換規則を使用しても実行できます。固定の変換規則がないと変換が実行できません。

static コマンドおよび access-list コマンドは、低セキュリティ レベルのインターフェイスから高セキュリティ レベルのインターフェイスにアクセスする場合、たとえば、境界インターフェイスまたは外部インターフェイスから内部にアクセスする場合に使用できます。

static コマンド文を変更または削除した後は、clear xlate コマンドを使用してください。

グローバル ホストとローカル ホストの間にマッピングを作成できます。また、ネット スタティックと呼ばれるスタティック範囲を作成できます。

static コマンドは、 netmask オプションによって、またはグローバル IP アドレスの最初のオクテットの数値によって、ネットワーク スタティックのネットワーク マスクを特定します。 netmask オプションは、最初のオクテットの数値を無効にするために使用できます。ネット マスクが 0 でアドレスがすべて 0 である場合、そのアドレスはネット アドレスです。


) 重複するグローバル IP アドレスでスタティックを作成しないでください。


スタティックと VoIP

VoIP トラフィックがあるネットワークでは、コンフィギュレーション内のスタティック変換に細心の注意を払ってください。ネットワーク スタティックの設定後、サード パーティのエンドポイントにスタティック変換に一致するグローバル IP アドレスがある場合、VoIP コールがファイアウォールを通過できないことがあります。たとえば、IP アドレスが次のとおりであるとします。

inside IP phone: 10.132.60.231
outside IP phone 10.130.60.215
outside CM: 10.130.60.111
 

次のコマンドを使用します。

static (inside,outside) 10.130.60.0 10.132.60.0
 

ファイアウォールは、外部 CM から内部電話へのメッセージを受信すると、外部電話の IP アドレスを内部電話のグローバル IP アドレスであると見なして変換します(したがって、コールは接続されません)。

フェールオーバーと static コマンド

ポートを指定しない static コマンドは、スタンバイ フェールオーバー装置によって送信されたフェールオーバー メッセージを含め、インターフェイス上で受信されたすべてのトラフィックを変換します。この場合、スタンバイ フェールオーバー装置はアクティブな装置にメッセージを送信しますが、メッセージはアクティブな装置をバイパスします。したがって、スタンバイ フェールオーバー装置はアクティブな装置から応答を受信せず、インターフェイスがダウンしていると見なし、アクティブな装置になります。ポート番号を指定すると、ポートへのトラフィックだけが変換されるため、状況は回避されます(フェールオーバーは一意なポート番号であるポート 105 を使用するため、ほかの特定のポートが変換される場合でも、そのポートは変換されません)。

スタティック ポート ポート アドレス変換(スタティック PAT)

スタティック PAT は、時間経過によって変化しない多対 1 のポート マッピングです。たとえば、スタティック PAT によって、着信 TCP サービスおよび着信 UDP サービスをリダイレクトできます。 static コマンドの interface オプションを使用すると、スタティック PAT を使って、外部ホストが内部ホスト上の TCP サービスまたは UDP サービスにアクセスすることを許可できます(ただし、通常どおり、内部ホストへのアクセスを制御するアクセス リストも必要です)。

スタティック PAT は、(標準)PAT によってサポートされているすべてのアプリケーションをサポートし、同じアプリケーション制約を持ちます。PAT と同様、スタティック PAT は、H.323 アプリケーション トラフィックもマルチメディア アプリケーション トラフィックもサポートしません。さらに、PIX Firewall インターフェイスの Telnet ポート 23 および PFM ポート 1467 はスタティック PAT に使用できません。PIX Firewall はこれらのポートへのトラフィックが IPSec で保護される必要があるためです。

次の例では、スタティック ポート アドレス変換(スタティック PAT)がイネーブルになります。次に示すサービス、インターフェイス、およびホストが対象です。

PIX Firewall 外部インターフェイスへの Telnet が内部ホスト 10.1.1.15 にリダイレクトされる。

static (inside, outside) tcp interface telnet 10.1.1.15 telnet
 

PIX Firewall 外部インターフェイスへの FTP が内部ホスト 10.1.1.30 にリダイレクトされる。

static (inside, outside) tcp interface ftp 10.1.1.30 ftp
 

PIX Firewall 外部インターフェイスへの DNS が内部ホスト 10.1.1.30 にリダイレクトされる。

static (inside, outside) udp interface domain 10.1.1.30 domain
 

次の例では、Telnet トラフィックがファイアウォールの外部インターフェイスから内部ホスト 10.1.1.15 にリダイレクトされます。

static (inside,outside) tcp 192.168.5.15 telnet 10.1.1.15 telnet
 

内部のサーバ(10.1.1.15)も発信接続を開始する必要がある場合は、次のように、内部サーバが、同じグローバル アドレスに変換されるポート アドレスである必要があります。

static (inside,outside) tcp 192.168.5.15 telnet 10.1.1.15 telnet
nat (inside) 2 10.1.1.15 255.255.255.255
global (outside) 2 192.168.5.15 netmask 255.255.255.255
 

次のように、すべての内部ホストが PAT によって別のグローバル プールに変換される場合でも、前出の static コマンドと global コマンドは必要です。

nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 192.168.5.1 netmask 255.255.255.255
static (inside,outside) tcp 192.168.5.15 telnet 10.1.1.15 telnet
nat (inside) 2 10.1.1.15 255.255.255.255
global (outside) 2 192.168.5.15 netmask 255.255.255.255

TCP 代行受信機能

Version 5.3 より前の PIX Firewall では、スタティックおよび TCP のコンジットを介して到達可能なシステムを TCP SYN 攻撃から保護するメカニズムが用意されていませんでした。以前は、static コマンド文で初期接続制限が設定された場合、初期しきい値に達すると、PIX Firewall は新しい接続試行を単にドロップしていました。これでは、弱い攻撃でも組織の Web トラフィックを停止してしまう可能性があります。初期接続制限のない static コマンド文では、PIX Firewall がすべてのトラフィックを通過させます。影響を受けるシステムに TCP SYN 攻撃保護が用意されてなく、ほとんどのオペレーティング システムが十分な保護を提供しない場合、影響を受けるシステムの初期接続テーブルがオーバーロードし、すべてのトラフィックが停止します。

新しい TCP 代行受信機能では、オプションの初期接続制限に到達すると、初期接続カウントがしきい値未満になるまで、影響を受けるサーバに向けられたすべての SYN が代行受信されます。各 SYN に対して、PIX Firewall は、サーバの代わりに空の SYN/ACK セグメントで応答します。PIX Firewall は、関連する状態情報を保持し、パケットをドロップし、クライアントの確認応答を待ちます。ACK が受信されると、クライアントの SYN セグメントのコピーがサーバに送信され、PIX Firewall とサーバの間で TCP 3 ウェイ ハンドシェイクが実行されます。3 ウェイ ハンドシェイクが完了した場合に限って、通常どおり接続を再開できます。接続フェーズのいずれかの部分でクライアントが応答しない場合、PIX Firewall は指数バックオフを使用して必要なセグメントを再送信します。

この機能は、PIX Firewall のコマンド セットに対する変更を必要としません。static コマンドの初期接続制限に新しい動作が用意されただけです。

着信トラフィックでのネットワーク アドレスまたはブロードキャスト アドレスの xlate の拒否

すべての着信トラフィックで、PIX Firewall は、ネットワーク アドレスまたはブロードキャスト アドレスとして識別される宛先 IP アドレスの変換を拒否します。PIX Firewall は、static コマンド文からのグローバル IP とマスクを利用して、標準 IP アドレスと、ネットワーク アドレスまたはブロードキャスト アドレスを区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、PIX Firewall は着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して xlate を許可しません。

インターフェイス名

表 8-7 は、インターフェイスと共に使用するコマンドの規則をまとめています。 表 8-7 では、dmz1 のセキュリティ レベルは 40、dmz2 のセキュリティ レベルは 60 であると想定しています。

 

表 8-7 インターフェイス別のインターフェイス アクセス コマンド

アクセス元インターフェイス
アクセス先インターフェイス
使用するコマンド

inside

outside

nat

inside

dmz1

nat

inside

dmz2

nat

dmz1

outside

nat

dmz1

dmz2

static

dmz1

inside

static

dmz2

outside

nat

dmz2

dmz1

nat

dmz2

inside

static

outside

dmz1

static

outside

dmz2

static

outside

inside

static

スタティックの使用

static コマンド内でインターフェイス名を指定する場合は、必ず、最初に高セキュリティ レベルのインターフェイス名を指定し、次に低セキュリティ レベルのインターフェイス名を指定します。ただし、IP アドレスは反対の順序で指定します。指定する最初の IP アドレスが低セキュリティ レベルのインターフェイスのアドレスで、次の IP アドレスが高セキュリティ レベルのインターフェイスのアドレスであるためです。これを覚える方法は、次のとおりです。

static ( if_name_high , if_name_low ) ip_address_low ip_address_high

セキュリティ レベルの最も高いインターフェイスは内部インターフェイスで、セキュリティ レベルの最も低いインターフェイスは外部インターフェイスです。

アドレス変換を行わない場合、 static コマンドの形式は次のようになります。

static ( if_name_high , if_name_low ) ip_address ip_address

インターフェイス IP アドレスは同じです。

たとえば、PIX Firewall 上に 4 つのインターフェイスがあり、各インターフェイスには nameif コマンドでセキュリティ レベルが次のように設定されているとします。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz1 security40
nameif ethernet3 dmz2 security60
 

外部インターフェイスから内部にアクセスするには、次のように static コマンドを使用します。

static (inside,outside) outside_ip_address inside_ip_address netmask mask
 

outside_ip_address には、グローバル IP アドレス(低セキュリティ レベルのインターフェイス上の IP アドレス)を指定します。inside_ip_address には、アクセスを許可する高セキュリティ レベルのインターフェイス上のホストの IP アドレスを指定します。

この項の残りのコマンドでも、同様に指定します。mask には、ホスト アドレス用の 255.255.255.255 を指定します。ただし、サブネットが有効な場合、たとえば 255.255.255.128 は除きます。ネットワーク アドレスには、適切なクラス マスクを使用します。たとえば、クラス A ネットワークには、255.0.0.0 を使用します。

dmz1 インターフェイスから内部にアクセスするには、次のように static コマンドを使用します。

static (inside,dmz1) dmz1_ip_address inside_ip_address netmask mask
 

dmz2 インターフェイスから内部にアクセスするには、次のように static コマンドを使用します。

static (inside,dmz2) dmz2_ip_address inside_ip_address netmask mask
 

dmz1 インターフェイスから dmz2 インターフェイスにアクセスするには、次のように static コマンドを使用します。

static (dmz2,dmz1) dmz1_ip_address dmz2_ip_address netmask mask
 

反対方向つまり高セキュリティ レベルのインターフェイスから低セキュリティ レベルのインターフェイスにアクセスするには、nat コマンドと global コマンドを使用します。たとえば、dmz2 から dmz1 にアクセスするには、次のコマンドを使用します。

nat (dmz2) 1 0 0
global (dmz1) 1 global_ip_address-global_ip_address
 

global_ip_address-global_ip_address には、グローバル アドレス プール内のアドレスの IP アドレス範囲を指定します。nat コマンドでは、高セキュリティ レベルのインターフェイスの名前を指定します。グローバル アドレス プールは、低セキュリティ レベルのインターフェイス上にあります。

これらのコマンドを使用する方法については、nat コマンドのページを参照してください。


) static コマンドを使用する場合は、access-list コマンドも使用する必要があります。static コマンドではマッピングが作成され、access-list コマンドではユーザが static コマンドのマッピングにアクセスできるようになります。


例に示すように、static コマンドに指定する最初の IP アドレスは、access-list コマンドに指定する最初の IP アドレスです。

static (dmz2,dmz1) 10.1.1.1 192.168.1.1 netmask 255.255.255.255
access-list acl_dmz1 permit tcp 10.1.1.0 255.255.255.0 host 10.1.1.1
access-group acl_dmz1 in interface dmz1
 

static コマンドにより、dmz1 インターフェイス上のアドレス 10.1.1.1 がマッピングされ、dmz1 インターフェイス上のユーザが dmz2 インターフェイス上の 192.168.1.1 ホストにアクセスできるようになります。access-list コマンドにより、10.1.1.0 ネットワーク内の任意のユーザが任意の TCP ポートを介して 10.1.1.1 アドレスにアクセスできるようになります。 access-group コマンド文により、 access-list コマンド文が dmz1 インターフェイスにバインドされます。


) 必ず、access-list コマンド文はできるだけ限定的にしてください。スタティックと共に使用するアクセス リストでは、any オプションによる任意のホスト アクセスの許可は、注意して実施する必要があります。


NAT がディセーブルである場合、static コマンドは異なる意味のロジックを持ちます。NAT がディセーブルである場合、PIX Firewall の両側のアドレスは、登録アドレスです。インターフェイス間で、アドレスは、サブネット化で制御する異なるサブネット上に存在する必要があります。サブネット化の詳細については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

アドレス変換が行われない場合、内部インターフェイスまたは境界インターフェイス上のアドレスを保護するには、そのアドレスへのアクセスを提供しないようにします。access-list コマンド文を指定しない場合、内部ホストは外部からアクセスできず、実際、外部からは見えません。逆に言えば、内部インターフェイスまたは境界インターフェイス上のサーバへのスタティックとアクセス リストをオープンした場合に限り、内部ホストが見えるようになります。

アドレス変換を行わない場合、static コマンドの形式は異なります。

static ( high , low ) high high

また、nameif コマンドで各インターフェイスに設定されたセキュリティ レベルによって、入力する情報が決まります。static を使用して、低セキュリティ インターフェイスから高セキュリティ インターフェイスにアクセスするとします。低セキュリティ インターフェイス上で見える必要がある IP アドレスは、高セキュリティ インターフェイスの IP アドレスです。つまり、低セキュリティ インターフェイスのネットワーク上のユーザが、高セキュリティ インターフェイスのネットワーク上のサーバにアクセスするのに使用する IP アドレスです。アドレス変換が行われないため、サーバの実際のアドレスが可視アドレスとホストのアドレスの両方として存在します。

たとえば、外部のユーザが dmz 上の Web サーバ 209.165.201.5 にアクセスできる必要があるとします。static コマンド文と access-list コマンド文は、次のとおりです。

static (dmz,outside) 209.165.201.5 209.165.201.5 netmask 255.255.255.255
access-list acl_out permit tcp any host 209.165.201.5 eq www
access-group acl_out in interface outside
 

static コマンドには、外部インターフェイス上の 209.165.201.5 アドレスが指定されています。外部の DNS サーバは、この IP アドレスを会社のドメイン、たとえば、example.com にマッピングします。example.com にアクセスするユーザは、access-list コマンドにより、ポート 80 を介して Web サーバにアクセスすることが許可されます。

非 NAT スタティックの別の例は、dmz1 上のユーザが dmz2 上の Web サーバにアクセスする必要がある場合です。ネットワークはクラス C アドレスを使用し、そのアドレスを .240 サブネットでサブネット化します。アドレス 209.165.201.1 ~ 209.165.201.14 は dmz1 上にあり、アドレス 209.165.201.17 ~ 209.165.201.30 は dmz2 上にあります。Web サーバは、209.165.201.25 にあります。static コマンド文と access-list コマンド文は、次のとおりです。

static (dmz2,dmz1) 209.165.201.25 209.165.201.25 netmask 255.255.255.255
access-list acl_dmz1 permit tcp any host 209.165.201.25 eq www
access-group acl_dmz1 in interface dmz1
 

static コマンド文では、209.165.201.25 の Web サーバへのアクセスがオープンされます。access-list コマンド文では、ポート 80(www)上に限り、Web サーバへのアクセスが許可されます。

次の例では、限定された数のユーザが、Intel Internet Phone、CU-SeeMe、CU-SeeMe Pro、MeetingPoint、または MS NetMeeting を使用して、H.323 経由でコール インできるようになります。 static コマンドでは、アドレス 209.165.201.1 ~ 209.165.201.30 がローカル アドレス 10.1.1.1 ~ 10.1.1.30 にマッピングされます(209.165.201.2 は 10.1.1.2 にマッピングされ、209.165.201.10 は 10.1.1.10 にマッピングされ、ほかも同様にマッピングされます)。

static (inside, outside) 209.165.201.0 10.1.1.0 netmask 255.255.255.224
access-list acl_out permit tcp any 209.165.201.0 255.255.255.224 eq h323
access-group acl_out in interface outside
 

次の例は、Mail Guard をディセーブルにするためのコマンドを示しています。

static (dmz1,outside) 209.165.201.1 10.1.1.1 netmask 255.255.255.255
access-list acl_out permit tcp any host 209.165.201.1 eq smtp
access-group acl_out in interface outside
no fixup protocol smtp 25
 

この例では、static コマンドにより、グローバル アドレスが設定され、外部ホストが dmz1 インターフェイス上の 10.1.1.1 メール サーバ ホストにアクセスすることが許可されています(DNS の MX レコードが 209.165.201.1 アドレスを指し示し、メールがこのアドレスに送信される必要があります)。access-list コマンドにより、任意の外部ユーザが SMTP ポート(25)を介してグローバル アドレスにアクセスできるようになります。no fixup protocol コマンドにより、Mail Guard 機能がディセーブルになります。

 
関連コマンド

access-list

syslog

syslog メッセージ機能をイネーブルにします。現在では、 logging コマンドに置き換えられたコマンドです。

詳細については、 logging コマンドを参照してください。syslog コマンドは、下位互換性を保つために用意されています。

sysopt

PIX Firewall のシステム オプションを変更します。

[ no ] sysopt connection permit-pptp | permit-l2tp | permit-ipsec

[ no ] sysopt connection tcpmss bytes

[ no ] sysopt connection timewait

[ no ] sysopt ipsec pl-compatible

[ no ] sysopt nodnsalias inbound | outbound

[ no ] sysopt noproxyarp if_name

[ no ] sysopt radius ignore-secret

[ no ] sysopt uauth allow-http-cache

clear sysopt

show sysopt

 
文法説明

connection permit-ipsec

IPSec トンネルから到着したパケットをすべて暗黙的に許可し、IPSec 接続に対する、関連する access-list、conduit、 または
access-group
コマンド文のチェックをバイパスします。

connection permit-l2tp

L2TP/IPSec トンネルから到着したパケットをすべて暗黙的に許可し、L2TP/IPSec 接続に対する、関連する access-list、conduit、 または access-group コマンド文のチェックをバイパスします。

connection permit-pptp

PPTP トラフィックを許可し、 conduit または access-list コマンド文のチェックをバイパスします。

connection tcpmss bytes

TCP プロキシ接続が、bytes 以下の最大セグメント サイズを持つようにします。デフォルト値は 1380 バイトです。

connection timewait

最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が少なくとも 15 秒の短縮 TIME_WAIT 状態を保持するようにします。

ipsec pl-compatible

IPSec パケットが PIX Firewall 装置の NAT 機能と ASA 機能をバイパスし、着信 IPSec パケットが内部インターフェイス上で終端できるようにします。

nodnsalias inbound

A レコード アドレスに適用されるエイリアスに基づく、着信埋め込み DNS の A レコードのフィックスアップをディセーブルにします。

nodnsalias outbound

発信 DNS の A レコード応答をディセーブルにします。

noproxyarp if_name

PIX Firewall インターフェイス上のプロキシ ARP をディセーブルにします。

radius ignore-secret

認証キーを無視し、再送信警告を回避します。

uauth allow-http-cache

AAA 認証に対して Web ブラウザがキャッシュからユーザ名とパスワードを提供できるようにします。

 
コマンド モード

設定モード。

 
使用上のガイドライン

sysopt コマンドでは、PIX Firewall の各種セキュリティ機能とコンフィギュレーション機能を調整できます。さらに、このコマンドを使用して、PIX Firewall の IP Frag Guard 機能をディセーブルにできます。

sysopt connection permit-ipsec コマンドが存在する場合は、 sysopt connection permit-12tp コマンドを入力する必要はありません。

sysopt connection permit-ipsec

IPSec トラフィックが conduit または access-list コマンド文のチェックを受けずに PIX Firewall を通過できるようにするには、IPSec コンフィギュレーション内で sysopt connection permit-ipsec コマンドを使用します。

access-list または conduit コマンド文は、着信セッションで使用できる必要があります。

デフォルトでは、conduit または access-list コマンド文によってすべての着信セッションを明示的に許可する必要があります。IPSec で保護されたトラフィックでは、セカンダリ アクセス リスト チェックが冗長になる場合があります。IPSec 認証/暗号化着信セッションを常に許可するには、 sysopt connection permit-ipsec コマンドを使用します。

コンフィギュレーション内で sysopt ipsec pl-compatible コマンドと sysopt connection permit-ipsec コマンドの両方を使用する場合、 sysopt ipsec pl-compatible コマンドが優先されます。


sysopt ipsec pl-compatible コマンドは、使用しないでください。このコマンドの代わりに、nat 0 access-list コマンドを使用して、IPSec を NAT から除外することをお勧めします。


sysopt connection permit-ipsec コマンドを設定しない場合は、 access-list コマンド文を明示的に設定して、IPSec トラフィックが PIX Firewall を通過することを許可する必要があります。

no sysopt connection permit-ipsec コマンドでは、このオプションがディセーブルになります。

sysopt connection permit-pptp

PPTP トラフィックが conduit および access-list コマンド文のチェックをバイパスできるようにします。PPTP を実装するには、 vpdn コマンドを使用します。

sysopt connection permit-l2tp

このコマンドは、L2TP トラフィックがコンジットまたはアクセス リストのチェックをバイパスできるようにします。L2TP トラフィックの送信元は IPSec だけであるため、sysopt connection permit-ipsec コマンドを使用すると L2TP トラフィックも通過できます。

sysopt ipsec pl-compatible


) sysopt ipsec pl-compatible コマンドは、プライベート リンク ユーザにプライベート リンク トンネルから IPSec トンネルへの移行パスを提供します。


sysopt ipsec pl-compatible コマンドを使用すると、IPSec 機能が、PIX Firewall Version 4 でサポートされているプライベート リンク機能をシミュレートできます。プライベート リンク機能は、プライベート リンクを搭載した PIX Firewall 装置間の保護されていないネットワークを介して確立される暗号化トンネルを提供します。sysopt ipsec pl-compatible コマンドを使用すると、IPSec パケットは NAT 機能と ASA 機能をバイパスし、着信 IPSec パケットが送信インターフェイス上で終端できるようになります。

sysopt ipsec pl-compatible コマンドは、PIX 501 上では使用できません。

no sysopt ipsec pl-compatible コマンドは、オプションをディセーブルにします。デフォルトではオプションはオフです。


sysopt ipsec pl-compatible コマンドを使用する場合、アクセス リスト コントロール、ステートフル検査、ユーザ認証などのすべての PIX Firewall 機能は、IPSec パケットに対してのみバイパスされます。


コンフィギュレーション内で sysopt ipsec pl-compatible コマンドと sysopt connection permit-ipsec コマンドの両方を使用する場合、 sysopt ipsec pl-compatible コマンドが優先されます。

alias コマンドを sysopt ipsec pl-compatible コマンドと共に使用する場合、 alias コマンド文で指定した各 IP アドレスに対して、スタティックな route コマンド文を追加する必要があります。

sysopt connection tcpmss

sysopt connection tcpmss コマンドでは、プロキシ TCP 接続が bytes 以下の最大セグメント サイズを持つようになります。初期 TCP 接続確立中に、各サイドがどのような場合でも bytes を超えるサイズのパケットを送信しないよう要求します。


) プロキシ TCP 接続を送信するクライアントが最大セグメント サイズを通知しない場合、
PIX Firewall は、RFC 793 のデフォルト値である 536 バイトが有効であると想定します。クライアントが bytes の数値よりも大きな最大セグメント サイズを通知すると、PIX Firewall は最大セグメント サイズを bytes に減らします。


bytes 値は最小 28 で、最大値に制限はありません。bytes を 0 に設定することによって、この機能をディセーブルにできます。このコマンドがデフォルトのコンフィギュレーションに表示されない場合でも、PIX Firewall は、デフォルトで、 sysopt connection tcpmss として 1380 バイトを設定します。TCP 最大セグメント サイズを 1380 バイトに設定する場合の計算は、次のとおりです。

1380 data + 20 TCP + 20 IP + 24 AH + 24 ESP_CIPHER + 12 ESP_AUTH + 20 IP = 1500 bytes
 

1500 バイトは、イーサネット接続の MTU です。イーサネットにはデフォルト値の 1380 バイトを使用することをお勧めします。

TCP の最大セグメント サイズは、エンド ホストが一度にネットワークに投入できる最大サイズです(TCP プロトコルの詳細は、RFC 793 を参照)。sysopt connection tcpmss コマンドは、PIX Firewall IP Frag Guard 機能のパフォーマンスを低下させる不適切なパス MTU 値を持つ非常に攻撃的な TCP スタックまたは HTTP スタックが存在する、攻撃を受けているネットワーク環境でお勧めします。


) この機能を普通に使用する場合にはお勧めしませんが、syslog IPFRAG メッセージ 209001 および 209002 が発生する場合は、bytes 値を大きくできます。


sysopt connection timewait

デフォルトでは、PIX Firewall は timewait オプションを使用しません。

デフォルトの TCP 終了シーケンスが同時クローズであるエンド ホスト アプリケーションがある場合は、sysopt connection timewait コマンドを使用して、 timewait オプションをイネーブルにします。

お勧めするのは、PIX Firewall のデフォルトの動作では、シャットダウン シーケンスが追跡され、2 つの FIN と最後の FIN セグメントの ACK(確認応答)の後、接続が解放されるためです。この即時解放ヒューリスティックにより、PIX Firewall は、標準クローズ シーケンスと呼ばれる一般的なクロージング シーケンスに基づいて、高接続率を保つことができます。ただし、一方のエンドがクローズし、もう一方のエンドは確認応答してからクロージング シーケンスを開始する標準クローズ シーケンスとは対照的に、同時クローズでは、トランザクションの両エンドがクロージング シーケンスを開始します(RFC 793 を参照)。したがって、同時クローズでは、即時解放により、接続の 1 つのサイドで CLOSING 状態が保持されます。CLOSING 状態の多くのソケットがある場合は、エンド ホストのパフォーマンスが低下することがあります。たとえば、一部の WinSock メインフレーム クライアントは、このような動作を示し、メインフレーム サーバのパフォーマンスを低下させることが確認されています。古いバージョンの HP/UX でも、このような動作が生じやすくなっています。sysopt connection timewait コマンドを使用すると、同時クローズ ダウン シーケンスを完了するためのウィンドウが作成されます。

no sysopt connection timewait コマンドでは、コンフィギュレーションから sysopt connection timewait コマンドが削除されます。言い換えれば、sysopt connection timewait コマンドで timewait オプションをイネーブルにした場合は、no sysopt connection timewait コマンドを使用してそのオプションをディセーブルにできます。


) sysopt connection timewait コマンドは、デフォルトの処理よりも多くのシステム リソースを必要とするため、このコマンドを使用する場合は、PIX Firewall のパフォーマンスに影響が及ぶことがあります。パフォーマンスへの影響は、使用可能なメモリが不十分な場合や、HTTP など非常にダイナミックなトラフィックが存在する場合に顕著となります。


sysopt nodnsalias

sysopt nodnsalias inbound では、A レコード アドレスに適用されるエイリアスに基づく、着信埋め込み DNS の A レコードのフィックスアップがディセーブルになります。sysopt nodnsalias outbound は発信応答に影響を及ぼします。

このコマンドは、DNS サーバが外部にあり、内部のユーザが境界インターフェイス上のサーバにアクセスする必要がある状況に対処します。これまで alias コマンドを使用して DNS 応答が PIX Firewall を介して正しく解決されるようにしていましたが、ローカル IP アドレスと外部 IP アドレスのパラメータを逆にする必要がありました。

たとえば、通常は、次のように alias コマンドをコーディングします。

alias (inside) 192.168.1.4 209.165.201.11 255.255.255.255
 

内部ホスト 192.168.1.5 は www.example.com にアクセスする必要があり、www.example.com は外部 ISP DNS で 209.165.201.11 に解決されます。PIX Firewall はこの DNS 応答を修正し、ホストに 192.168.1.4 の応答を送信します。ホストはそのゲートウェイ(PIX Firewall)を使用して 192.168.1.4 にアクセスし、PIX Firewall は 192.168.1.4 を 209.165.201.11 に戻します。実際は PIX Firewall の境界インターフェイス上のサーバ 192.168.1.4 ですが、PIX Firewall は外部インターフェイス(正しくないインターフェイス)にパケットを送信するため、パケットはドロップされます。

sysopt nodnsalias inbound コマンドには、次のように、alias コマンド文のパラメータを逆にする場合と同じ効果があります。

alias (inside) 209.165.201.11 192.168.1.4 255.255.255.255
 

すべてが逆に行われるため、このコマンドは正しく機能します。DNS は 209.165.201.11 に修正され、内部ホストはそのゲートウェイ(PIX Firewall)を使用して 209.165.201.11 にアクセスします。PIX Firewall はこれを 192.168.1.4 に戻し、境界インターフェイス経由で正しいホストにルーティングし、TCP 接続が確立されます。

sysopt noproxyarp

デフォルトでは、PIX Firewall は、PIX Firewall のインターフェイス IP アドレスに対する ARP 要求に応答し、PIX Firewall インターフェイス上に定義されている任意のスタティック アドレスまたはグローバル アドレスに対する ARP 要求(プロキシ ARP 要求)にも応答します。

sysopt noproxyarp if_name コマンドでは、PIX Firewall インターフェイス上でプロキシ ARP 要求応答をディセーブルにできます。ただし、このコマンドでは PIX Firewall インターフェイス自体の標準(非プロキシ)ARP 要求応答はディセーブルになりません。したがって、sysopt noproxyarp if_name コマンドを使用すると、PIX Firewall は、そのインターフェイスの static global 、および nat 0 コマンド内のアドレスに対する ARP 要求には応答しなくなりますが、そのインターフェイス IP アドレスに対する ARP 要求には応答します。

sysopt radius ignore-secret

Livingston Version 1.16 など、一般的に使用されている一部の RADIUS サーバでは、アカウンティング確認応答の認証ハッシュ内にキーが含まれていないという使用上の注意点があります。これにより、PIX Firewall がアカウンティング要求を継続的に再送信する場合があります。PIX Firewall がアカウンティング確認応答の認証符号内のキーを無視するようにすることによって、再送信の問題を回避するには、sysopt radius ignore-secret コマンドを使用します(ここで述べているキーは、aaa-server コマンドで設定するキーです)。

show sysopt

show sysopt コマンドでは、コンフィギュレーション内の sysopt コマンドが表示されます。clear sysopt コマンドでは、sysopt コマンドがデフォルトの設定にリセットされます。

非推奨コマンド

sysopt route dnat コマンドと sysopt security fragguard コマンドは、使用しないでください。

次に、デフォルトの sysopt コンフィギュレーションを示します。

pixfirewall(config)# show sysopt
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt uauth allow-http-cache
no sysopt connection permit-ipsec
no sysopt connection permit-pptp
no sysopt connection permit-l2tp
no sysopt ipsec pl-compatible
 

次の例では、PPTP クライアントが MS-CHAP を使用して認証され、MPPE 暗号化をネゴシエートし、DNS サーバと WINS サーバ のアドレスを受信し、nat 0 コマンドを介してホスト 192.168.0.2 に直接 Telnet 接続します。

ip local pool my-addr-pool 10.1.1.1-10.1.1.254
aaa-server my-aaa-server-group (inside) host 192.168.0.10 key 12345678
aaa-server my-aaa-server-group protocol radius
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe auto required
vpdn group 1 client configuration address local my-addr-pool
vpdn group 1 client authentication aaa my-aaa-server-group
vpdn group 1 client configuration dns 10.2.2.99
vpdn group 1 client configuration wins 10.2.2.100
vpdn enable outside
access-list nonat permit ip 10.1.1.0 255.255.255.0 host 192.168.0.2
access-list nonat permit ip 10.1.1.0 255.255.255.0 host 10.2.2.99
access-list nonat permit ip 10.1.1.0 255.255.255.0 host 10.2.2.100
nat (inside) 0 access-list nonat
sysopt connection permit-pptp

sysopt connection permit-ipsec

次に、ピア 209.165.201.1 からピア 201.165.200.225 で終端する IPSec トンネルを介してホスト 172.21.100.123 からホスト 172.21.200.67 にセッションを接続できるようにするための最小限の IPSec コンフィギュレーションを示します。

sysopt connection permit-ipsec コマンド文と access-list コマンド文を使用する場合を示します。

ピア 209.165.201.1 では次のように指定します。

static 172.21.100.123 172.21.100.123
access-list 10 permit ip host 172.21.200.67 host 172.21.100.123
crypto ipsec transform-set t1 esp-des esp-md5-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 10
crypto map mymap 10 set transform-set t1
crypto map mymap 10 set peer 172.21.200.1
crypto map mymap interface outside
 

ピア 201.165.200.225 では次のように指定します。

static 172.21.200.67 172.21.200.67
access-list 10 permit ip host 172.21.100.123 host 172.21.200.67
crypto ipsec transform-set t1 esp-des esp-md5-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 10
crypto map mymap 10 set transform-set t1
crypto map mymap 10 set peer 172.21.100.1
crypto map mymap interface outside
 

sysopt connection permit-ipsec コマンド文を使用し、 conduit コマンド文を使用しない場合を示します。

ピア 209.165.201.1 では次のように指定します。

static 172.21.100.123 172.21.100.123
access-list 10 permit ip host 172.21.200.67 host 172.21.100.123
crypto ipsec transform-set t1 esp-des esp-md5-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 10
crypto map mymap 10 set transform-set t1
crypto map mymap 10 set peer 172.21.200.1
crypto map mymap interface outside
sysopt connection permit-ipsec
 

ピア 201.165.200.225 では次のように指定します。

static 172.21.200.67 172.21.200.67
access-list 10 permit ip host 172.21.100.123 host 172.21.200.67
crypto ipsec transform-set t1 esp-des esp-md5-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 10
crypto map mymap 10 set transform-set t1
crypto map mymap 10 set peer 172.21.100.1
crypto map mymap interface outside
sysopt connection permit-ipsec