Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4
S のコマンド
S のコマンド
発行日;2012/02/26 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

S のコマンド

same-security-traffic

sdi-pre-5-slave

sdi-version

secondary

secondary-color

secure-unit-authentication

security-level

serial-number

server

server-port

server-separator

service

service internal

service password-recovery

service-policy

session

set connection

set connection advanced-options

set connection timeout

set metric

set metric-type

setup

show aaa local user

show aaa-server

show access-list

show activation-key

show admin-context

show arp

show arp-inspection

show arp statistics

show asdm history

show asdm image

show asdm log_sessions

show asdm sessions

show asp drop

show asp table arp

show asp table classify

show asp table interfaces

show asp table mac-address-table

show asp table routing

show asp table vpn-context

show blocks

show bootvar

show capture

show chardrop

show checkheaps

show checksum

show chunkstat

show clock

show conn

show console-output

show context

show counters

show cpu

show crashinfo

show crashinfo console

show crypto accelerator statistics

show crypto ca certificates

show crypto ca crls

show crypto ipsec df-bit

show crypto ipsec fragmentation

show crypto key mypubkey

show crypto protocol statistics

show ctiqbe

show curpriv

show debug

show dhcpd

show dhcprelay state

show dhcprelay statistics

show disk

show dns-hosts

show failover

show file

show firewall

show flash

show fragment

show gc

show h225

show h245

show h323-ras

show history

show icmp

show idb

show igmp groups

show igmp interface

show igmp traffic

show interface

show interface ip brief

show inventory

show ip address

show ip address dhcp

show ip audit count

show ip verify statistics

show ipsec sa

show ipsec sa summary

show ipsec stats

show ipv6 access-list

show ipv6 interface

show ipv6 neighbor

show ipv6 route

show ipv6 routers

show ipv6 traffic

show isakmp sa

show isakmp stats

show local-host

show logging

show logging rate-limit

show mac-address-table

show management-access

show memory

show memory binsize

show memory profile

show memory-caller address

show mfib

show mfib active

show mfib count

show mfib interface

show mfib reserved

show mfib status

show mfib summary

show mfib verbose

show mgcp

show mode

show module

show mrib client

show mrib route

show mroute

show nameif

show ntp associations

show ntp status

show ospf

show ospf border-routers

show ospf database

show ospf flood-list

show ospf interface

show ospf neighbor

show ospf request-list

show ospf retransmission-list

show ospf summary-address

show ospf virtual-links

show perfmon

show pim df

show pim group-map

show pim interface

show pim join-prune statistic

show pim neighbor

show pim range-list

show pim topology

show pim topology reserved

show pim topology route-count

show pim traffic

show pim tunnel

show priority-queue statistics

show processes

show reload

show resource types

show resource usage

show route

show run fips

show running-config

show running-config aaa

show running-config aaa-server

show running-config aaa-server host

show running-config access-group

show running-config access-list

show running-config alias

show running-config arp

show running-config arp timeout

show running-config arp-inspection

show running-config asdm

show running-config auth-prompt

show running-config banner

show running-config class-map

show running-config clock

show running-config command-alias

show running-config console timeout

show running-config context

show running-config crypto

show running-config crypto dynamic-map

show running-config crypto ipsec

show running-config crypto isakmp

show running-config crypto map

show running-config dhcpd

show running-config dhcprelay

show running-config dns

show running-config domain-name

show running-config enable

show running-config established

show running-config failover

show running-config filter

show running-config fips

show running-config fragment

show running-config ftp-map

show running-config ftp mode

show running-config global

show running-config group-delimiter

show running-config group-policy

show running-config gtp-map

show running-config http

show running-config http-map

show running-config icmp

show running-config imap4s

show running-config interface

show running-config ip address

show running-config ip audit attack

show running-config ip audit info

show running-config ip audit interface

show running-config ip audit name

show running-config ip audit signature

show running-config ip local pool

show running-config ip verify reverse-path

show running-config ipv6

show running-config isakmp

show running-config logging

show logging rate-limit

show running-config mac-address-table

show running-config mac-learn

show running-config mac-list

show running-config management-access

show running-config mgcp-map

show running-config mroute

show running-config mtu

show running-config multicast-routing

show running-config name

show running-config nameif

show running-config names

show running-config nat

show running-config nat-control

show running-config ntp

show running-config object-group

show running-config passwd

show running-config pim

show running-config policy-map

show running-config pop3s

show running-config port-forward

show running-config prefix-list

show running-config priority-queue

show running-config privilege

show running-config rip

show running-config route

show running-config route-map

show running-config router

show running-config same-security-traffic

show running-config service

show running-config service-policy

show running-configuration smtps

show running-config snmp-map

show running-config snmp-server

show running-config ssh

show running-config ssl

show running-config static

show running-config sunrpc-server

show running-config sysopt

show running-config tcp-map

show running-config telnet

show running-config terminal

show running-config tftp-server

show running-config timeout

show running-config tunnel-group

show running-config url-block

show running-config url-cache

show running-configuration url-list

show running-config url-server

show running-config username

show running-config virtual

show running-config vpn load-balancing

show running-configuration vpn-sessiondb

show running-configuration webvpn

show service-policy

show service-policy inspect gtp

show shun

show sip

show skinny

show snmp-server statistics

show ssh sessions

show startup-config

show sunrpc-server active

show tcpstat

show tech-support

show traffic

show uauth

show url-block

show url-cache statistics

show url-server

show version

show vpn load-balancing

show vpn-sessiondb

show vpn-sessiondb ratio

show vpn-sessiondb summary

show xlate

shun

shutdown

smtps

smtp-server

snmp-server

snmp-map

snmp-server enable trap remote-access

speed

split-dns

split-tunnel-network-list

split-tunnel-policy

ssh

ssh disconnect

ssh scopy enable

ssh timeout

ssh version

ssl client-version

ssl encryption

ssl server-version

ssl trust-point

static

strict-http

strip-group

strip-realm

subject-name (crypto ca certificate map)

subject-name (crypto ca trustpoint)

summary-address

sunrpc-server

support-user-cert-validation

syn-data

sysopt connection permit-ipsec

sysopt connection tcpmss

sysopt connection timewait

sysopt nodnsalias

sysopt noproxyarp

sysopt radius ignore-secret

sysopt uauth allow-http-cache

S のコマンド

same-security-traffic

セキュリティ レベルの等しいインターフェイス間での通信を許可するには、グローバル コンフィギュレーション モードで same-security-traffic コマンドを使用します。セキュリティの等しいインターフェイス間での通信をディセーブルにするには、このコマンドの no 形式を使用します。

same-security-traffic permit { inter-interface | intra-interface }

no same-security-traffic permit { inter-interface | intra-interface }

 
シンタックスの説明

inter-interface

セキュリティ レベルの等しい複数のインターフェイス間での通信を許可します。

intra-interface

トラフィックが IPSec で保護されている場合に、同じインターフェイスでの通信(送受信)を許可します。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ レベルの等しい複数のインターフェイス間での通信を許可すると、次のような利点があります。

101 個を超える通信インターフェイスを設定できる。インターフェイスごとにそれぞれ別のレベルを使用する場合、設定できるインターフェイスは各レベル(0 ~ 100)に 1 つのみです。

セキュリティ レベルの等しいすべてのインターフェイス間で、アクセスリストとは無関係に、トラフィックを自由に送受信できる。

着信するクライアント VPN トラフィックを、暗号化されているものと同様に、同じインターフェイスから暗号化しないまま外部にリダイレクトすることもできます。VPN トラフィックを同じインターフェイスを通じて暗号化しないまま外部に再発信する場合は、インターフェイスで NAT をイネーブルにして、パブリック ネットワークでルーティング可能なアドレスでプライベート IP アドレスを置き換える必要があります(ローカル IP アドレス プール内ですでにパブリック IP アドレスを使用している場合は除く)。次のコマンド例では、クライアント IP プールが送信元になっているトラフィックに対して、インターフェイス PAT 規則を適用しています。


hostname(config)# ip local pool clientpool 192.168.0.10-192.168.0.100
hostname(config)# global (outside) 1 interface
hostname config)# nat (outside) 1 192.168.0.0 255.255.255.0

ただし、暗号化された VPN トラフィックをこの同じインターフェイスを通じてセキュリティ アプライアンスが外部に再発信する場合、NAT はオプションです。すべての発信トラフィックに NAT を適用するには、上のコマンドのみを実装します。VPN 間トラフィックを NAT の対象外にするには、上の例に次のようなコマンドを追加して、VPN 間トラフィックに NAT 例外を実装します。

hostname(config)# access-list nonat permit ip 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0
hostname(config)# nat (outside) 0 access-list nonat
 

詳細については、nat コマンドを参照してください。

次の例は、セキュリティ レベルの等しいインターフェイス間での通信をイネーブルにする方法を示しています。

hostname(config)# same-security-traffic permit inter-interface
 

 
関連コマンド

コマンド
説明

show running-config same-security-traffic

same-security-traffic のコンフィギュレーションを表示します。

sdi-pre-5-slave

バージョン 5 より前の SDI を使用しているホスト接続で使用される、オプションの SDI AAA「スレーブ」サーバの IP アドレスまたは名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで sdi-pre-5-slave コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

sdi-pre-5-slave host

no sdi-pre-5-slave

 
シンタックスの説明

host

スレーブ サーバ ホストの名前または IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、SDI AAA サーバグループのすべてのホストに対して使用できます。ただし、このコマンドが作用するのは、ホストの SDI バージョンが sdi-version コマンドで sdi-pre-5 に設定されている場合のみです。このコマンドを使用するには、SDI プロトコルを使用するように AAA サーバをあらかじめ設定しておく必要があります。

sdi-pre-5-slave コマンドを使用すると、プライマリ サーバで障害が発生した場合に使用される、オプションのセカンダリ サーバを指定できます。このコマンドで指定するアドレスは、プライマリ SDI サーバの「スレーブ」として設定されているサーバのアドレスにする必要があります。このため、バージョン 5 より前のバージョンを使用している場合は、 sdi-pre-5-slave コマンドを設定して、(SDI サーバからダウンロードされる)適切な SDI コンフィギュレーション レコードにセキュリティ アプライアンスがアクセスできるようにする必要があります。バージョン 5 およびそれ以降のバージョンでは、この要件はありません。

次の例では、バージョン 5 より前の SDI バージョンを使用している AAA SDI サーバグループ「svrgrp1」を設定しています。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# sdi-version sdi-pre-5
hostname(config-aaa-server-host)# sdi-pre-5-slave 209.165.201.31
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA パラメータを設定できるようにします。

clear configure aaa-server

AAA サーバのコンフィギュレーションをすべて削除します。

sdi-version

このホスト接続で使用する SDI のバージョンを指定します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

 

sdi-version

ホスト接続で使用する SDI のバージョンを指定するには、AAA サーバ ホスト コンフィギュレーション モードで sdi-version コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

sdi-version version

no sdi-version

 
シンタックスの説明

version

使用する SDI のバージョンを指定します。有効となる値は、次のとおりです。

sdi-5 :SDI バージョン 5.0(デフォルト)

sdi-pre-5 :5.0 より前の SDI バージョン

 
デフォルト

デフォルト バージョンは、 sdi-5 です。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、SDI AAA サーバに対してのみ有効です。セカンダリ(フェールオーバー)SDI AAA サーバを設定する場合、そのサーバの SDI バージョンがバージョン 5 より前のときは、 sdi-pre-5-slave コマンドも指定する必要があります。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# sdi-version sdi-5
hostname(config-aaa-server)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA パラメータを設定できるようにします。

clear configure aaa-server

AAA コンフィギュレーションをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

secondary

フェールオーバー グループ内のセカンダリ装置に高い優先順位を与えるには、フェールオーバー グループ コンフィギュレーション モードで secondary コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

secondary

no secondary

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

フェールオーバー グループに対して primary または secondary を指定しない場合、そのフェールオーバー グループは、デフォルトでは primary に設定されます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

プライマリまたはセカンダリの優先順位をフェールオーバー グループに割り当てると、両方の装置が(装置のポーリング時間内で)同時にブートしたときに、フェールオーバー グループがどの装置上でアクティブになるかが指定されます。ある装置がもう一方の装置よりも先にブートした場合、どちらのフェールオーバー グループもその装置上でアクティブになります。もう一方の装置がオンラインになると、優先順位として 2 番目の装置を持つフェールオーバー グループは、そのフェールオーバー グループが preempt コマンドを使用して設定されているか、手作業で no failover active コマンドを使用してもう一方の装置に強制しない限り、2 番目の装置上ではアクティブになりません。

次の例では、優先順位の高いプライマリ装置を持つフェールオーバー グループ 1 と、優先順位の高いセカンダリ装置を持つフェールオーバー グループ 2 を設定しています。どちらのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先する装置が使用可能になったときにその装置上で自動的にアクティブになります。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012
hostname(config-fover-group)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

preempt

優先する装置が使用可能になったときに、フェールオーバー グループをその装置上で強制的にアクティブにします。

primary

プライマリ装置に対して、セカンダリ装置よりも高い優先順位を与えます。

 

secondary-color

WebVPN のログイン ページ、ホーム ページ、およびファイル アクセス ページに 2 番目の色を設定するには、WebVPN モードで secondary-color コマンドを使用します。色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。

secondary-color [ color ]

no secondary-color

 
シンタックスの説明

color

(オプション)色を指定します。カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。

名前の長さは、最大で 32 文字です。

 
デフォルト

デフォルトの 2 番目の色は、HTML の #CCCCFF(薄紫色)です。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Webvpn

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

RGB 値を使用する場合、推奨値は 216 です。推奨色は、数学的にあり得る数よりはるかに少なくなります。多くのディスプレイは 256 色しか処理できず、その中の 40 色は、Macintosh と PC では別の色が表示されます。最適な表示結果を得るには、各所で公開されている RGB テーブルを確認してください。RGB テーブルをオンラインで見つけるには、検索エンジンで RGB と入力します。

次の例は、HTML 色値 #5F9EAO(灰青色)を設定する方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# secondary-color #5F9EAO
 

 
関連コマンド

コマンド
説明

title-color

ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトルバーに色を設定します。

secure-unit-authentication

Secure Unit Authentication(SUA)をイネーブルにするには、グループポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用します。Secure Unit Authentication をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。Secure Unit Authentication アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、Secure Unit Authentication の値を別のグループポリシーから継承できます。

Secure Unit Authentication は、VPN ハードウェア クライアントがトンネルを開始するたびに、ユーザ名とパスワードを使用して認証を受けるように要求して、セキュリティを強化します。この機能がイネーブルになっている場合、ハードウェア クライアントは保存されているユーザ名とパスワードを使用できません。


) この機能がイネーブルになっているときに VPN トンネルを確立するには、ユーザ名とパスワードを入力するユーザがいる必要があります。


secure-unit-authentication { enable | disable }

no secure-unit-authentication

 
シンタックスの説明

disable

Secure Unit Authentication をディセーブルにします。

enable

Secure Unit Authentication をイネーブルにします。

 
デフォルト

Secure Unit Authentication はディセーブルです。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

Secure Unit Authentication を使用するには、ハードウェア クライアントの使用するトンネルグループ用に認証サーバグループを設定しておく必要があります。

プライマリ セキュリティ アプライアンス上で Secure Unit Authentication を要求する場合は、すべてのバックアップ サーバ上でも認証サーバグループを設定する必要があります。

次の例は、Secure Unit Authentication を FirstGroup というグループポリシーに対してイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# secure-unit-authentication enable
 

 
関連コマンド

コマンド
説明

ip-phone-bypass

ユーザ認証を受けずに IP 電話を接続できるようにします。Secure Unit Authentication は有効なままになります。

leap-bypass

VPN ハードウェア クライアントの背後にある無線デバイスからの LEAP パケットが、ユーザ認証(有効になっている場合)前に VPN トンネルを通過することを許可します。これにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できます。確立後、ワークステーションはユーザごとの認証をもう一度実行します。

user-authentication

ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。

 

security-level

インターフェイスのセキュリティ レベルを設定するには、インターフェイス コンフィギュレーション モードで security-level コマンドを使用します。セキュリティ レベルをデフォルトに設定するには、このコマンドの no 形式を使用します。セキュリティ レベルとは、2 つのネットワーク間に保護手段を追加して、セキュリティの高いネットワークをセキュリティの低いネットワークから保護するものです。

security-level number

no security-level

 
シンタックスの説明

number

0(最低)~ 100(最高)の整数。

 
デフォルト

デフォルトでは、セキュリティ レベルは 0 です。

インターフェイスに「inside」という名前を付けて、セキュリティ レベルを明示的に設定しなかった場合、セキュリティ アプライアンスはセキュリティ レベルを 100 に設定します( nameif コマンドを参照)。このレベルは必要に応じて変更できます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが、 nameif コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。

 
使用上のガイドライン

セキュリティ レベルによって、次の動作が制御されます。

ネットワーク アクセス:デフォルトでは、セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのアクセス(発信)は暗黙的に許可されます。セキュリティの高いインターフェイス上にあるホストは、セキュリティの低いインターフェイス上にあるすべてのホストにアクセスできます。アクセスを制限するには、インターフェイスにアクセスリストを適用します。

セキュリティ レベルの等しいインターフェイスが複数ある場合、セキュリティ レベルが同等またはそれ以下である他のインターフェイスへのアクセスは、暗黙的に許可されます。

検査エンジン:一部の検査エンジンは、セキュリティ レベルに依存します。セキュリティ レベルの等しいインターフェイスが複数ある場合、検査エンジンは双方向のトラフィックに適用されます。

NetBIOS 検査エンジン:発信接続にのみ適用されます。

OraServ 検査エンジン:2 つのホスト間で OraServ ポートの制御接続が存在する場合、セキュリティ アプライアンスでは着信データ接続のみが許可されます。

フィルタリング:HTTP(S)と FTP のフィルタリングは、(高レベルから低レベルへの)発信接続にのみ適用されます。

セキュリティ レベルの等しいインターフェイスが複数ある場合は、双方向のトラフィックをフィルタリングできます。

NAT 制御:NAT 制御をイネーブルにする場合、セキュリティの高いインターフェイス(内部)上にあるホストがセキュリティの低いインターフェイス(外部)上にあるホストにアクセスする場合は、セキュリティの高いインターフェイス上にあるホストに対して NAT を設定する必要があります。

NAT 制御を使用しない場合や、セキュリティ レベルの等しい複数のインターフェイス間では、任意のインターフェイス間に NAT を使用することも、NAT を使用しないこともできます。外部インターフェイスに対して NAT を設定する場合は、特殊なキーワードが必要になることがあります。

established コマンド:このコマンドは、セキュリティ レベルの高いホストから低いホストに向かう接続がすでに確立されている場合に、セキュリティの低いホストからセキュリティの高いホストへのリターン接続を許可します。

セキュリティ レベルの等しいインターフェイスが複数ある場合は、双方向に対して established コマンドを設定できます。

通常、セキュリティ レベルの等しいインターフェイス間では通信できません。セキュリティ レベルの等しいインターフェイス間で通信する必要がある場合は、 same-security-traffic コマンドを参照してください。101 個を超える通信インターフェイスを作成する場合や、2 つのインターフェイス間で発生するトラフィックに対して同等に保護機能を適用する場合は、2 つのインターフェイスに同じセキュリティ レベルを割り当てて、通信を許可することがあります。たとえば、同等のセキュリティを必要とする 2 つの部署がある場合などです。

インターフェイスのセキュリティ レベルを変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するには、 clear local-host コマンドを使用して接続を消去します。

次の例では、2 つのインターフェイスのセキュリティ レベルを 100 と 0 に設定しています。

hostname(config)# interface gigabitethernet0/0
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

clear local-host

すべての接続をリセットします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

nameif

インターフェイス名を設定します。

vlan

サブインターフェイスに VLAN ID を割り当てます。

 

serial-number

セキュリティ アプライアンスのシリアル番号を登録時に証明書に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

serial-number

no serial-number

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトでは、シリアル番号を含めない設定になっています。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、central というトラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入って、セキュリティ アプライアンスのシリアル番号をトラストポイント central の登録要求に含めています。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# serial-number
hostname(ca-trustpoint)#
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードに入ります。

 

server

デフォルトの電子メールプロキシ サーバを指定するには、適切な電子メールプロキシ モードで server コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、ユーザがサーバを指定せずに電子メールプロキシに接続すると、要求をデフォルト電子メール サーバに送信します。デフォルト サーバを設定しない場合、ユーザもサーバを指定しなかったときは、セキュリティ アプライアンスはエラーを返します。

server { ipaddr or hostname }

no server

 
シンタックスの説明

hostname

デフォルト電子メールプロキシ サーバの DNS 名。

ipaddr

デフォルト電子メールプロキシ サーバの IP アドレス。

 
デフォルト

デフォルトでは、デフォルト電子メールプロキシ サーバはありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Pop3s

--

--

Imap4s

--

--

Smtps

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例は、デフォルト POP3S 電子メール サーバの IP アドレスを 10.1.1.7 に設定する方法を示しています。

hostname(config)# pop3s
hostname(config-pop3s)# server 10.1.1.7

 

 

server-port

ホストの AAA サーバ ポートを設定するには、AAA サーバ ホスト モードで server-port コマンドを使用します。指定したサーバ ポートを削除するには、このコマンドの no 形式を使用します。

server-port port-number

no server-port

 
シンタックスの説明

port-number

0 ~ 65535 のポート番号。

 
デフォルト

デフォルトのサーバ ポートは次のとおりです。

SDI:5500

LDAP:389

Kerberos:88

NT:139

TACACS+:49

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ グループ

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、「srvgrp1」という名前の SDI AAA サーバでサーバ ポート番号 8888 を使用するように設定しています。

hostname(config)# aaa-server srvgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# server-port 8888
hostname(config-aaa-server-host)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa-server host

ホスト固有の AAA サーバ パラメータを設定します。

clear configure aaa-server

AAA サーバのコンフィギュレーションをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

server-separator

電子メール サーバ名と VPN サーバ名のデリミタとなる文字を指定するには、適切な電子メールプロキシ モードで server-separator コマンドを使用します。デフォルトのコロン(:)に戻すには、このコマンドの no 形式を使用します。

server-separator { symbol }

no server-separator

 
シンタックスの説明

symbol

電子メール サーバ名と VPN サーバ名を区切る文字。使用できるのは、アットマーク(@)、パイプ(|)、コロン(:)、番号記号(#)、カンマ(,)、およびセミコロン(;)です。

 
デフォルト

デフォルトは、アットマーク(@)です。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Pop3s

--

--

--

Imap4s

--

--

--

Smtps

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

サーバ セパレータは、名前セパレータとは別の文字にする必要があります。

次の例は、パイプ(|)を IMAP4S のサーバ セパレータとして設定する方法を示しています。

hostname(config)# imap4s
hostname(config-imap4s)# server-separator |
 

 
関連コマンド

コマンド
説明

name-separator

電子メールおよび VPN のユーザ名と、パスワードを区切る文字を指定します。

service

システム サービスをイネーブルにするには、グローバル コンフィギュレーション モードで service コマンドを使用します。システム サービスをディセーブルにするには、このコマンドの no 形式を使用します。

service { resetinbound | resetoutside }

no service { resetinbound | resetoutside }

 
シンタックスの説明

resetinbound

拒否された着信 TCP パケットに対するリセットを送信します。

resetoutside

拒否された、外部インターフェイスへの TCP パケットに対するリセットを送信します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

service コマンドは、アクセスリストまたは uauth(ユーザ認可)が着信接続を許可しないスタティック インターフェイスへの着信 TCP 接続すべてに対して機能します。用途の 1 つは、識別要求(IDENT)接続のリセットです。着信 TCP 接続が試行されて拒否された場合、service resetinbound コマンドを使用して、RST(TCP ヘッダー内のリセット フラグ)を送信元に返すことができます。キーワードを指定しない場合、セキュリティ アプライアンスは RST を返さずにパケットをドロップします。

セキュリティ アプライアンスは、着信接続ホストに TCP RST を送信し、着信 IDENT プロセスを停止して、発信電子メールが IDENT のタイムアウトを待たずに送信されるようにします。セキュリティ アプライアンスは、着信接続が拒否されたことを示す syslog メッセージを送信します。service resetinbound を入力しない場合、セキュリティ アプライアンスは、拒否されたパケットをドロップし、SYN が拒否されたことを示す syslog メッセージを生成します。ただし、外部ホストは、IDENT がタイムアウトになるまで、SYN を再送信し続けます。

IDENT 接続がタイムアウトすると、接続で遅延が発生します。トレースを実行して、遅延の原因が IDENT であるかどうか判断してから、service コマンドを入力します。

セキュリティ アプライアンスで IDENT 接続を処理するには、service resetinbound コマンドを使用します。IDENT 接続を処理する方法には、次のものがあります。セキュリティの高い順にランク付けしています。

1. service resetinbound コマンドを使用する。

2. established コマンドを permitto tcp 113 キーワードとともに使用する。

3. static コマンドと access-list コマンドを入力して、TCP ポート 113 を開く。

aaa コマンドを使用する場合、最初の認可試行が失敗し、次の試行でタイムアウトになったときには、service resetinbound コマンドを使用して、認可に失敗したクライアントをリセットし、接続を再送信しないようにします。次の例は、Telnet での認可タイムアウト メッセージを示しています。

Unable to connect to remote host: Connection timed out
 

次に、リセット フラグに対するセキュリティ アプライアンス上のトラフィックの想定動作を示します。

1. resetinbound が設定されている場合、拒否されたトラフィックが、セキュリティの低いインターフェイスからセキュリティの高いインターフェイスに向かっているときは、リセットが送信される。

2. resetinbound が設定されている場合、拒否されたトラフィックが、あるインターフェイスからセキュリティ レベルの等しい別のインターフェイスに向かっているときは、リセットが送信される。

3. resetinbound が設定されていない場合、拒否されたトラフィックが、セキュリティの高いインターフェイスからセキュリティの低いインターフェイスに向かっているときは、リセットが送信される。

resetoutside コマンドを使用すると、セキュリティ アプライアンスは、セキュリティ アプライアンスのセキュリティ レベルの最も低いインターフェイスで終端する、拒否された TCP パケットをアクティブにリセットします。デフォルトでは、パケットは、通知なしで廃棄されます。resetoutside キーワードは、ダイナミックまたはスタティックのインターフェイス Port Address Translation(PAT; ポート アドレス変換)で使用することをお勧めします。スタティック インターフェイス PAT は、セキュリティ アプライアンス バージョン 6.0 以降で使用できます。このキーワードを使用すると、外部の SMTP サーバまたは FTP サーバからの IDENT をセキュリティ アプライアンスで終端することができます。接続をアクティブにリセットすることにより、30 秒のタイムアウト遅延が回避されます。

次の例は、システム サービスをイネーブルにする方法を示しています。

hostname/context_name(config)# service resetinbound
 

 
関連コマンド

コマンド
説明

show running-config service

システム サービスを表示します。

service internal

通常は非表示になる、条件付きのコマンドをデバイスが表示できるようにするには、service internal コマンドを使用します。

service internal

[no] service internal

 
シンタックスの説明

service

FIPS システム サービスをイネーブルまたはディセーブルにします。

internal

高度な設定(シスコの指導の下でのみ使用)

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが導入されました。

 
使用上のガイドライン

service internal オプションを使用すると、通常の運用では必要のない追加コマンドにアクセスできます。「internal」とマークされたコマンドを service internal の実行前に実行しようとすると、そのコマンドは、存在しないコマンドを実行しようとした場合と同様に失敗します。警告バナーが表示され、「service internal 実行後にアンロックされるコマンドは、シスコの指導の下でのみ実行する必要がある」と通知されます。

hostname(config)# service internal
hostname(config)# show running-config service service internal
hostname(config)# no service internal

 
関連コマンド

コマンド
説明

clear configure fips

NVRAM に格納されている、システムまたはモジュールの FIPS コンフィギュレーション情報を消去します。

crashinfo console disable

フラッシュに対するクラッシュ書き込み情報の読み取り、書き込み、および設定をディセーブルにします。

fips enable

システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。

fips self-test poweron

パワーオン セルフテストを実行します。

show crashinfo console

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行います。

show running-config fips

セキュリティ アプライアンスで実行されている FIPS コンフィギュレーションを表示します。

service password-recovery

パスワードの回復をイネーブルにするには、グローバル コンフィギュレーション モードで service password-recovery コマンドを使用します。パスワードの回復をディセーブルにするには、このコマンドの no 形式を使用します。パスワードの回復は、デフォルトではイネーブルになっています。ただし、不正なユーザがパスワードの回復メカニズムを利用してセキュリティ アプライアンスのセキュリティを侵害しないようにするために、この機能はディセーブルにすることをお勧めします。

service password-recovery

no service password-recovery

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

パスワードの回復は、デフォルトではイネーブルになっています。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、パスワードを忘れた場合、起動中にプロンプトに従って端末キーボードの Esc キーを押すことで、セキュリティ アプライアンスで ROMMON に入ることができます。次に、コンフィギュレーション レジスタを変更して、スタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定します( config-register コマンドを参照)。たとえば、コンフィギュレーション レジスタがデフォルトの 0x1 である場合は、 confreg 0x41 コマンドを入力して、値を 0x41 に変更します。セキュリティ アプライアンスをリロードするとデフォルト コンフィギュレーションがロードされるので、デフォルトのパスワードを使用して特権 EXEC モードに入ることができます。次に、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーして、スタートアップ コンフィギュレーションをロードし、パスワードをリセットします。最後に、コンフィギュレーション レジスタを元の設定に戻して、以前と同様にブートするようにセキュリティ アプライアンスを設定します。たとえば、グローバル コンフィギュレーション モードで config-register 0x1 コマンドを入力します。

PIX 500 シリーズ セキュリティ アプライアンスの場合は、起動中にプロンプトに従って端末キーボードの Esc キーを押して、セキュリティ アプライアンスで監視モードに入ります。次に、PIX パスワード ツールをセキュリティ アプライアンスにダウンロードします。このツールは、すべてのパスワードと aaa authentication コマンドを消去します。

ASA シリーズ適応型セキュリティ アプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザが設定目的で ROMMON に入ることを防止できます。ユーザが ROMMON に入ると、セキュリティ アプライアンスはすべてのフラッシュ ファイル システムを消去するようにユーザに要求します。ユーザは、最初にこの消去操作を実行しない限り、ROMMON に入ることができません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワードの回復では、ROMMON を使用すること、および既存のコンフィギュレーションを維持することが必要になるため、この消去操作を実行するとパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。 service password-recovery コマンドがコンフィギュレーション ファイルに表示されるのは、情報の提供のみを目的としています。このコマンドを CLI プロンプトで入力すると、設定は NVRAM に保存されます。この設定を変更する唯一の方法は、このコマンドを CLI プロンプトで入力することです。このコマンドの別のバージョンを使用する新しいコンフィギュレーションをロードしても、設定は変更されません。(パスワードの回復に備えて)起動時にスタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定している場合は、パスワードの回復をディセーブルにすると、セキュリティ アプライアンスは設定を変更してスタートアップ コンフィギュレーションを通常どおりブートします。フェールオーバーを使用している場合、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置を設定すると、 no service password recovery コマンドがスタンバイ装置に複製されるときに、同じ変更がコンフィギュレーション レジスタに対して行われます。

PIX 500 シリーズ セキュリティ アプライアンス上で no service password-recovery コマンドを使用した場合は、PIX パスワード ツールを実行すると、ユーザはすべてのフラッシュ ファイル システムを消去するように要求されます。ユーザは、最初にこの消去操作を実行しない限り、PIX パスワード ツールを使用することができません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワードの回復では、既存のコンフィギュレーションを維持することが必要になるため、この消去操作を実行するとパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

次の例では、ASA 5500 シリーズ適応型セキュリティ アプライアンスでパスワードの回復をディセーブルにしています。

hostname(config)# no service password-recovery
WARNING: Executing "no service password-recovery" has disabled the password recovery mechanism and disabled access to ROMMON. The only means of recovering from lost or forgotten passwords will be for ROMMON to erase all file systems including configuration files and images. You should make a backup of your configuration and have a mechanism to restore images from the ROMMON command line.
 

次の例では、PIX 500 シリーズ セキュリティ アプライアンスでパスワードの回復をディセーブルにしています。

hostname(config)# no service password-recovery
WARNING: Saving "no service password-recovery" in the startup-config will disable password recovery via the npdisk application. The only means of recovering from lost or forgotten passwords will be for npdisk to erase all file systems including configuration files and images. You should make a backup of your configuration and have a mechanism to restore images from the Monitor Mode command line.
 

次の例は、ASA 5500 シリーズ適応型セキュリティ アプライアンス上で起動時に ROMMON に入るタイミングと、パスワードの回復操作を完了する方法を示しています。

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
 
 
Use ? for help.
rommon #0> confreg
 
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
 
Do you wish to change this configuration? y/n [n]: n
 
rommon #1> confreg 0x41
 
Update Config Register (0x41) in NVRAM...
 
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
 
 
Loading disk0:/ASA_7.0.bin... Booting...
###################
...
Ignoring startup configuration as instructed by configuration register.
Type help or '?' for a list of available commands.
hostname> enable
Password:
hostname# configure terminal
hostname(config)# copy startup-config running-config
 
Destination filename [running-config]?
Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9
 
892 bytes copied in 6.300 secs (148 bytes/sec)
hostname(config)# enable password NewPassword
hostname(config)# config-register 0x1
 

 
関連コマンド

コマンド
説明

config-register

リロード時にスタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定します。

enable password

イネーブル パスワードを設定します。

password

ログイン パスワードを設定します。

 

service-policy

すべてのインターフェイス上でグローバルに、または必要なインターフェイス上でポリシーマップをアクティブにするには、特権 EXEC モードで service-policy コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。インターフェイス上で一連のポリシーをイネーブルにするには、 service-policy コマンドを使用します。通常、 service-policy コマンドは、 nameif コマンドで定義できるどのインターフェイスにも適用できます。

service-policy policymap_name [ global | interface intf ]

no service-policy policymap_name [ global | interface intf ]

 
シンタックスの説明

policymap_name

英数字で記述された一意のポリシーマップ識別子。

global

ポリシーマップをすべてのインターフェイスに適用します。

interface

ポリシーマップを特定のインターフェイスに適用します。

intf

nameif コマンドで定義したインターフェイス名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが導入されました。

 
使用上のガイドライン

インターフェイス名が指定されている場合、ポリシーマップはそのインターフェイスだけに適用されます。インターフェイス名は、 nameif コマンドで定義します。インターフェイスのポリシーマップによって、グローバル ポリシーマップは上書きされます。1 つのインターフェイスにつき 1 つのポリシーマップだけを適用できます。

グローバル ポリシーは 1 つしか適用できません。

次の例は、 service-policy コマンドのシンタックスを示しています。

hostname(config)# service-policy outside_security_map outside

 
関連コマンド

コマンド
説明

show service-policy

サービス ポリシーを表示します。

show running-config service-policy

実行コンフィギュレーションに設定されているサービス ポリシーを表示します。

clear service-policy

サービス ポリシーの統計情報を消去します。

clear configure service-policy

サービス ポリシーのコンフィギュレーションを消去します。

session

AIP SSM への Telnet セッションを確立するには、特権 EXEC モードで session コマンドを使用します。

session 1

 
シンタックスの説明

1

スロット番号を指定します。これは、常に 1 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、AIP SSM がアップ状態のときにのみ使用できます。状態については、 show module コマンドを参照してください。

セッションを終了するには、 exit と入力するか、 Ctrl+Shift+6 キーを押してから X キーを押します。

次の例では、スロット 1 で SSM へのセッションを確立しています。

hostname# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

 
関連コマンド

コマンド
説明

debug session-command

セッションに関するデバッグ メッセージを表示します。

 

set connection

トラフィック クラスに関する接続値をポリシーマップ内で指定するには、クラス モードで
set connection コマンドを使用します。このコマンドは、同時接続の最大数を指定するために、および TCP シーケンス番号のランダム化をイネーブルまたはディセーブルにするために使用します。これらの指定を削除して接続数を無制限にするには、このコマンドの no 形式を使用します。

set connection { conn-max | embryonic-conn-max } n random-seq# {enable | disable}

no set connection { conn-max | embryonic-conn-max } n random-seq# {enable | disable}

 
シンタックスの説明

conn-max n

許容される同時 TCP 接続または同時 UDP 接続の最大数。

disable

TCP シーケンス番号のランダム化をオフにします。

enable

TCP シーケンス番号のランダム化をオンにします。

embryonic-conn-max n

許容される同時初期接続の最大数。

random-seq#

TCP シーケンス番号のランダム化をイネーブルまたはディセーブルにします。

 
デフォルト

conn-max パラメータと embryonic-conn-max パラメータの n のデフォルト値は両方とも 0 で、接続数は無制限になります。

シーケンス番号のランダム化は、デフォルトではイネーブルになっています。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラス

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを発行するには、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。


set connection コマンドのパラメータ(conn-maxembryonic-conn-maxrandom-seq#)は、任意の nat コマンドおよび static コマンドと共存できます。つまり、接続パラメータは nat コマンドや static コマンドで max-connemb_limitnoramdomseq の各パラメータを使用して設定することも、MPC の set connection コマンドで conn-maxembryonic-conn-maxrandom-seq# の各パラメータを使用して設定することもできます。混合コンフィギュレーションはお勧めしませんが、実際に使用した場合の動作は次のようになります。

MPC の set connection コマンドと nat/static コマンドの両方でトラフィック クラスが接続制限または初期接続制限を課されている場合は、いずれか一方の制限値に達したときに、その制限値が適用されます。

MPC の set connection コマンドまたは nat/static コマンドのいずれかで、シーケンス番号のランダム化をディセーブルにするように TCP トラフィック クラスが設定されている場合、シーケンス番号のランダム化はディセーブルになります。


 

次の例では、クラス モードで set connection コマンドを使用して、同時接続の最大数を 256 に、TCP シーケンス番号のランダム化をディセーブルにするように設定しています。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection conn-max 256 random-seq# disable
hostname(config-pmap-c)# exit
 

 
関連コマンド

コマンド
説明

class

トラフィックの分類に使用するクラスマップを指定します。

clear configure policy-map

すべてのポリシーマップ コンフィギュレーションを削除します。ただし、ポリシーマップが service-policy コマンド内で使用されている場合、そのポリシーマップは削除されません。

help policy-map

policy-map コマンド シンタックスのヘルプを表示します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

show running-config policy-map

現在のすべてのポリシーマップ コンフィギュレーションを表示します。

 

set connection advanced-options

トラフィック クラスに関する高度な TCP 接続オプションをポリシーマップ内で指定するには、クラス モードで set connection advanced-options コマンドを使用します。トラフィック クラスに関する高度な TCP 接続オプションをポリシーマップから削除するには、クラス モードで、このコマンドの no 形式を使用します。

set connection advanced-options tcp-mapname

no set connection advanced-options tcp-mapname

 
シンタックスの説明

tcp-mapname

高度な TCP 接続オプションの設定対象となる TCP マップの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラス

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを発行するには、TCP マップ名に加えて、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。詳細については、 tcp-map コマンドの説明を参照してください。

次の例では、 set connection advanced-options コマンドを使用して、localmap という TCP マップを使用することを指定しています。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
hostname(config-cmap)# exit
hostname(config)# tcp-map localmap
hostname(config)# policy-map global_policy global
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection advanced-options localmap

 
関連コマンド

コマンド
説明

class

トラフィックの分類に使用するクラスマップを指定します。

class-map

クラスマップ モードで、多くとも 1 つの match コマンド
(tunnel-group と default-inspection-traffic は除く)を発行し、一致基準を指定することによって、トラフィック クラスを設定します。

clear configure policy-map

すべてのポリシーマップ コンフィギュレーションを削除します。ただし、ポリシーマップが service-policy コマンド内で使用されている場合、そのポリシーマップは削除されません。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

show running-config policy-map

現在のすべてのポリシーマップ コンフィギュレーションを表示します。

 

set connection timeout

アイドル状態の TCP 接続を切断するまでのタイムアウト期間を設定するには、クラス モードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。

set connection timeout tcp hh [: mm [: ss ]] [ reset ]

no set connection timeout tcp

 

set connection timeout embryonic hh [: mm [: ss ]]

no set connection timeout embryonic

 

set connection timeout half-closed hh [: mm [: ss ]]

no set connection timeout half-closed

 
シンタックスの説明

embryonic hh [: mm [: ss ]]

TCP 初期(ハーフオープン)接続を終了するまでのタイムアウト期間。

half-closed hh [: mm [: ss ]]

TCP ハーフクローズ接続に許容されるタイムアウト期間で、経過後に TCP ハーフクローズ接続が解放されます。

reset

TCP アイドル接続が削除された後に、両端のシステムに TCP RST パケットを送信します。

tcp hh [: mm [: ss ]]

確立済みの接続に許容されるアイドル時間で、経過後に確立済みの接続が終了します。

 
デフォルト

デフォルトの embryonic 接続タイムアウト値は 30 秒です。

デフォルトの half-closed 接続タイムアウト値は 10 秒です。

デフォルトの tcp 接続タイムアウト値は 1 時間です。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラス

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを発行するには、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。

「初期」接続とは、3 ウェイ ハンドシェイクの完了していない TCP 接続です。 embryonic 接続タイムアウト値には、 0:0:0 を使用して接続がタイムアウトしないことを指定します。このように指定しない場合は、タイムアウト期間を 5 秒以上に設定する必要があります。

TCP 接続が終了中(CLOSING)状態のときは、half-closed パラメータを使用して、接続が解放されるまでの時間の長さを設定します。接続がタイムアウトしないように指定するには、 0:0:0 を使用します。最短のタイムアウト期間は 5 分です。

tcp 非アクティブ接続のタイムアウトには、確立済み状態でアイドルになっている TCP 接続を切断するまでの期間を設定します。接続がタイムアウトしないように指定するには、 0:0:0 を使用します。最短のタイムアウト期間は 5 分です。

reset キーワードは、アイドル TCP 接続がタイムアウトしたときに両端のシステムに TCP RST パケットを送信する場合に使用します。アプリケーションの中には、タイムアウト後に TCP RST を送信しないと適切に動作しないものがあります。

次の set connection timeout コマンドの例では、初期接続の timeout として 2 分を指定しています。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
 
hostname(config-cmap)# match access-list http-server
hostname(config-cmap)# exit
 
hostname(config)# policy-map global_policy global
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection timeout embryonic 00:2:00
 

 
関連コマンド

コマンド
説明

class

トラフィックの分類に使用するクラスマップを指定します。

clear configure policy-map

すべてのポリシーマップ コンフィギュレーションを削除します。ただし、ポリシーマップが service-policy コマンド内で使用されている場合、そのポリシーマップは削除されません。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

show running-config policy-map

現在のすべてのポリシーマップ コンフィギュレーションを表示します。

 

set metric

ルーティング プロトコルにメトリック値を設定するには、ルートマップ コンフィギュレーション モードで set metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマンドの no 形式を使用します。

set metric value

no set metric value

 
シンタックスの説明

value

メトリック値。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

no set metric value コマンドを使用すると、デフォルトのメトリック値に戻すことができます。この場合の value は、0 ~ 4294967295 の整数です。

次の例は、OSPF ルーティングで使用するルートマップを設定する方法を示しています。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# show route-map
route-map maptag1 permit 8
set metric 5
match metric 5
hostname(config-route-map)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric-type

OSPF メトリック ルートのタイプを指定するには、ルートマップ コンフィギュレーション モードで set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

set metric-type { type-1 | type-2 }

no set metric-type

 
シンタックスの説明

type-1

指定した自律システム外部の OSPF メトリック ルートのタイプを指定します。

type-2

指定した自律システム外部の OSPF メトリック ルートのタイプを指定します。

 
デフォルト

デフォルトは type-2 です。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例は、OSPF ルーティングで使用するルートマップを設定する方法を示しています。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# set metric-type type-2
hostname(config-route-map)# show route-map
route-map maptag1 permit 8
set metric 5
set metric-type type-2
match metric 5
hostname(config-route-map)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

 

setup

対話型のプロンプトを使用して、セキュリティ アプライアンスの最小限のコンフィギュレーションを設定するには、グローバル コンフィギュレーション モードで setup コマンドを入力します。このコンフィギュレーションによって、ASDM を使用するための接続が提供されます。デフォルトのコンフィギュレーションに戻すには、 configure factory-default コマンドも参照してください。

setup

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

フラッシュ メモリ内にスタートアップ コンフィギュレーションが存在しない場合、ブート時にセットアップ ダイアログが自動的に表示されます。

setup コマンドを使用するには、内部インターフェイスをあらかじめ設定しておく必要があります。PIX 500 シリーズのデフォルト コンフィギュレーションには、内部インターフェイス(Ethernet 1)が含まれていますが、ASA 550 シリーズのデフォルト コンフィギュレーションには含まれていません。 setup コマンドを使用する前に、内部インターフェイスにするインターフェイスについて、 interface コマンドを入力し、次に nameif inside コマンドを入力しておく必要があります。

マルチ コンテキスト モードでは、システム実行スペース内で、および各コンテキストに対して setup コマンドを使用できます。

setup コマンドを入力すると、 表 7-1 に示す情報の入力を要求されます。システムの setup コマンドには、これらのプロンプトのサブセットが含まれています。要求されたパラメータに対するコンフィギュレーションがすでに存在している場合は、そのコンフィギュレーションが( )で囲まれて表示されます。このコンフィギュレーションをデフォルトとして受け入れることも、新しいコンフィギュレーションを入力して上書きすることもできます。

 

表7-1 setup のプロンプト

プロンプト
説明
Pre-configure Firewall now through interactive prompts [yes]?

yes または no を入力します。 yes を入力すると、セットアップ ダイアログが続行されます。 no を入力した場合、セットアップ ダイアログは停止して、グローバル コンフィギュレーション プロンプト
(hostname(config)#)が表示されます。

Firewall Mode [Routed]:

routed または transparent を入力します。

Enable password:

イネーブル パスワードを入力します。このパスワードは、3 文字以上にする必要があります。

Allow password recovery [yes]?

yes または no を入力します。

Clock (UTC):

このフィールドには一切入力できません。デフォルトの UTC 時刻が使用されます。

Year:

西暦年を 4 桁で入力します(たとえば、2005)。年の範囲は 1993 ~ 2035 です。

Month:

月を表す英単語の先頭 3 文字を使用して、月を入力します。たとえば、 Sep は 9 月を表します。

Day:

1 ~ 31 の日を入力します。

Time:

時、分、秒を 24 時間形式で入力します。たとえば、午後 8 時 54 分 44 秒の場合は 20:54:44 と入力します。

Inside IP address:

内部インターフェイスの IP アドレスを入力します。

Inside network mask:

内部 IP アドレスに適用するネットワーク マスクを入力します。255.0.0.0 や 255.255.0.0 など、有効なネットワーク マスクを指定する必要があります。

Host name:

コマンドライン プロンプトに表示するホスト名を入力します。

Domain name:

セキュリティ アプライアンスが実行されるネットワークのドメイン名を入力します。

IP address of host running Device Manager:

ASDM にアクセスする必要のあるホストの IP アドレスを入力します。

Use this configuration and write to flash?

yes または no を入力します。 yes と入力すると、内部インターフェイスがイネーブルとなり、要求したコンフィギュレーションがフラッシュ パーティションに書き込まれます。

no と入力すると、セットアップ ダイアログが繰り返され、最初の質問が開始されます。

Pre-configure Firewall now through interactive prompts [yes]?
 

no を入力してセットアップ ダイアログを終了するか、 yes を入力してセットアップ ダイアログを繰り返します。

次の例は、 setup コマンド プロンプトで最後まで作業する方法を示しています。

hostname(config)# setup
Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]: routed
Enable password [<use current password>]: writer
Allow password recovery [yes]? yes
Clock (UTC):
Year: 2005
Month: Nov
Day: 15
Time: 10:0:0
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: tech_pubs
Domain name: your_company.com
IP address of host running Device Manager: 10.1.1.1
 
The following configuration will be used:
Enable password: writer
Allow password recovery: yes
Clock (UTC): 20:54:44 Sep 17 2005
Firewall Mode: Routed
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: tech_pubs
Domain name: your_company.com
IP address of host running Device Manager: 10.1.1.1
 
Use this configuration and write to flash? yes
 

 
関連コマンド

コマンド
説明

configure factory-default

デフォルトのコンフィギュレーションに戻します。

 

show aaa local user

現在ロックされているユーザ名のリスト、またはユーザ名に関する詳細を表示するには、グローバル コンフィギュレーション モードで show aaa local user コマンドを使用します。

show aaa local user [ locked]

 
シンタックスの説明

locked

(オプション)現在ロックされているユーザ名のリストを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

オプションのキーワード locked を省略すると、セキュリティ アプライアンスは、すべての AAA ローカル ユーザについて、失敗した試行とロックアウト ステータスの詳細を表示します。

username オプションを使用してユーザを 1 人のみ指定することも、 all オプションを使用してすべてのユーザを指定することもできます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響を及ぼします。

管理者は、デバイスからロックアウトされません。

次の例では、 show aaa local user コマンドを使用して、すべてのユーザ名のロックアウト ステータスを表示しています。

この例では、認証失敗の上限を 5 回に設定した後で、 show aaa local user コマンドを使用して、すべての AAA ローカル ユーザについて認証の失敗回数とロックアウト ステータスの詳細を表示しています。

hostname(config)# aaa local authentication attempts max-fail 5
hostname(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 6 Y test
- 2 N mona
- 1 N cisco
- 4 N newuser
hostname(config)#
 

次の例では、認証失敗の上限を 5 回に設定した後で、 show aaa local user コマンドを lockout キーワード付きで使用して、ロックアウトされたすべての AAA ローカル ユーザについて、認証の失敗回数とロックアウト ステータスの詳細を表示しています。

hostname(config)# aaa local authentication attempts max-fail 5
hostname(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 6 Y test
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

正しくないパスワードの入力を何回まで許容するかを設定します。この回数を超えると、ユーザはロックアウトされます。

clear aaa local user fail-attempts

試行の失敗回数を 0 にリセットします。ロックアウト ステータスは変更しません。

clear aaa local user lockout

指定したユーザまたはすべてのユーザのロックアウト ステータスを消去し、試行失敗のカウンタを 0 に設定します。

 

show aaa-server

AAA サーバに関する統計情報を表示するには、特権 EXEC モードで show aaa-server コマンドを使用します。

show aaa-server [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
シンタックスの説明

LOCAL

(オプション)LOCAL ユーザ データベースの統計情報を表示します。

groupname

(オプション)グループに含まれているサーバの統計情報を表示します。

host hostname

(オプション)グループに含まれている特定のサーバの統計情報を表示します。

protocol protocol

(オプション)指定したプロトコルのサーバの統計情報を表示します。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

デフォルトでは、すべての AAA サーバの統計情報が表示されます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例では、 show aaa-server コマンドを使用して、サーバグループ group1 に含まれている特定のホストの統計情報を表示しています。

hostname(config)# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: ACTIVE/FAILED. Last transaction (success) at 11:10:08 UTC Fri Aug 22
Number of pending requests 20
Average round trip time 4ms
Number of authentication requests 20
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 1
Number of accepts 16
Number of rejects 4
Number of challenges 5
Number of malformed responses 0
Number of bad authenticators 0
Number of pending requests 0
Number of timeouts 0
Number of unrecognized responses 0
hostname(config)#
 

次の例では、 show aaa-server コマンドを使用して、非アクティブな小規模システムに含まれているすべてのホストの統計情報を表示しています。

hostname(config)# show aaa-server
Server Group: LOCAL
Server Protocol: Local database
Server Address: None
Server port: None
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 0
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 0
Number of rejects 0
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 0
Number of unrecognized responses 0
hostname(config)#
 

 
関連コマンド

コマンド
説明

show running-config aaa-server

指定したサーバグループに含まれているすべてのサーバ、または特定のサーバの統計情報を表示します。

clear aaa-server statistics

AAA サーバの統計情報を消去します。

 

show access-list

アクセスリストのカウンタを表示するには、特権 EXEC モードで show access-list コマンドを使用します。

show access-list id

 
シンタックスの説明

id

アクセスリストを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、 show access-list コマンドの出力例を示します。

hostname# show access-list ac
access-list ac; 2 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
 

 
関連コマンド

コマンド
説明

access-list ethertype

トラフィックを EtherType に基づいて制御するためのアクセスリストを設定します。

access-list extended

アクセスリストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。

clear access-list

アクセスリスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセスリストを消去します。

show running-config access-list

現在実行しているアクセスリスト コンフィギュレーションを表示します。

 

show activation-key

アクティベーション キーによってイネーブルになった機能のコンフィギュレーションに含まれているコマンドを、許容されているコンテキストの数を含めて表示するには、特権 EXEC モードで show activation-key コマンドを使用します。

show activation-key

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

PIX Version 7.0

セキュリティ アプライアンスでこのコマンドがサポートされるようになりました。

 
使用上のガイドライン

show activation-key コマンドの出力で示されるアクティべーション キーのステータスは、次のとおりです。

セキュリティ アプライアンスのフラッシュ ファイル システムにあるアクティべーション キーが、セキュリティ アプライアンスで機能しているアクティべーション キーと同じものである場合、 show activation-key コマンドの出力は次のようになります。

The flash activation key is the SAME as the running key.
 

セキュリティ アプライアンスのフラッシュ ファイル システムにあるアクティべーション キーが、セキュリティ アプライアンスで機能しているアクティべーション キーと異なるものである場合、 show activation-key コマンドの出力は次のようになります。

The flash activation key is DIFFERENT from the running key.
The flash activation key takes effect after the next reload.

アクティベーション キーをダウングレードする場合は、機能しているキー(古いキー)が、フラッシュに格納されているキー(新しいキー)と異なっていることが表示されます。セキュリティ アプライアンスを再起動すると、新しいキーが使用されます。

キーをアップグレードして追加の機能をイネーブルにする場合、新しいキーはすぐに機能し始めます。再起動する必要はありません。

PIX Firewall プラットフォームでは、新しいキーと古いキーでフェールオーバー機能(R/UR/FO)に違いがある場合、確認するように要求されます。ユーザが n を入力すると、変更内容は破棄されます。その他の場合は、フラッシュ ファイル システムに格納されているキーがアップデートされます。セキュリティ アプライアンスを再起動すると、新しいキーが使用されます。

次の例は、アクティベーション キーによってイネーブルになった機能のコンフィギュレーションに含まれているコマンドを表示する方法を示しています。

hostname(config)# show activation-key
Serial Number: P3000000134 Running Activation Key: 0xyadayada 0xyadayada 0xyadayada 0xyadayada 0xyadayada
 
License Features for this Platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 50
Inside Hosts : Unlimited
Failover : Enabled
VPN-DES : Enabled
VPN-3DES-AES : Disabled
Cut-through Proxy : Enabled
Guards : Enabled
URL-filtering : Enabled
Security Contexts : 20
GTP/GPRS : Disabled
VPN Peers : 5000
 
The flash activation key is the SAME as the running key.
hostname(config)#
 

 
関連コマンド

コマンド
説明

activation-key

アクティベーション キーを変更します。

 

show admin-context

管理コンテキストとして現在割り当てられているコンテキストの名前を表示するには、特権 EXEC モードで show admin-context コマンドを使用します。

show admin-context

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、 show admin-context コマンドの出力例を示します。この例では、flash のルート ディレクトリに格納されている「admin」という管理コンテキストが表示されています。

hostname# show admin-context
Admin: admin flash:/admin.cfg
 

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

changeto

コンテキスト間またはコンテキストとシステム実行スペースの間で切り替えを行います。

clear configure context

すべてのコンテキストを削除します。

mode

コンテキスト モードをシングルまたはマルチに設定します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

 

show arp

アドレス解決プロトコル(ARP)テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。このコマンドは、ダイナミック ARP エントリと手作業で設定した ARP エントリを表示しますが、各エントリの作成元は示しません。

show arp

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、 show arp コマンドの出力例を示します。

hostname# show arp
inside 10.86.195.205 0008.023b.9892
inside 10.86.194.170 0001.023a.952d
inside 10.86.194.172 0001.03cf.9e79
inside 10.86.194.1 00b0.64ea.91a2
inside 10.86.194.146 000b.fcf8.c4ad
inside 10.86.194.168 000c.ce6f.9b7e
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

透過 ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

clear arp statistics

ARP 統計情報を消去します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

 

show arp-inspection

各インターフェイスの ARP 検査設定を表示するには、特権 EXEC モードで show arp-inspection コマンドを使用します。

show arp-inspection

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、 show arp-inspection コマンドの出力例を示します。

hostname# show arp-inspection
interface arp-inspection miss
----------------------------------------------------
inside1 enabled flood
outside disabled -
 

miss カラムは、ARP 検査がイネーブルになっている場合に、一致しないパケットに対して実行するデフォルト アクション(flood または no-flood)を示しています。

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

透過 ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

clear arp statistics

ARP 統計情報を消去します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

 

show arp statistics

ARP 統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。

show arp statistics

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、 show arp statistics コマンドの出力例を示します。

hostname# show arp statistics
Number of ARP entries:
ASA : 6
Dropped blocks in ARP: 6
Maximum Queued blocks: 3
Queued blocks: 1
Interface collision ARPs Received: 5
ARP-defense Gratuitous ARPS sent: 4
Total ARP retries: 15
Unresolved hosts: 1
Maximum Unresolved hosts: 2
 

表 7-2 に、各フィールドの説明を示します。

 

表7-2 show arp statistics のフィールド

フィールド
説明

Number of ARP entries

ARP テーブル エントリの合計数。

Dropped blocks in ARP

IP アドレスが対応するハードウェア アドレスに解決されている間に、ドロップされたブロックの数。

Maximum queued blocks

IP アドレスが解決されるまで待機している間に、ARP モジュールのキューに入れられたブロックの最大数。

Queued blocks

ARP モジュールのキューに現在入っているブロックの数。

Interface collision ARPs received

すべてのセキュリティ アプライアンス インターフェイス上で、セキュリティ アプライアンス インターフェイスと同じ IP アドレスから受信した ARP パケットの数。

ARP-defense gratuitous ARPs sent

セキュリティ アプライアンスによって、ARP 防御メカニズムの一部として送信された gratuitous ARP の数。

Total ARP retries

最初の ARP 要求でアドレスが解決されなかった場合に、ARP モジュールによって送信された ARP 要求の合計数。

Unresolved hosts

ARP モジュールによってまだ ARP 要求が送信されている、未解決ホストの数。

Maximum unresolved hosts

未解決ホストが最後に消去された時点、またはセキュリティ アプライアンスがブートアップされた時点から、ARP モジュール内で未解決となったホスト数の最大値。

 
関連コマンド

コマンド
説明

arp-inspection

透過 ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

clear arp statistics

ARP 統計情報を消去し、値を 0 にリセットします。

show arp

ARP テーブルを表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

 

show asdm history

ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを使用します。

show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]

 
シンタックスの説明

asdmclient

(オプション)ASDM クライアント用に整形された ASDM 履歴データを表示します。

feature feature

(オプション)履歴の表示対象を指定された機能に限定します。次に、 feature 引数で有効となる値を示します。

all :すべての機能の履歴を表示します(デフォルト)。

blocks :システム バッファの履歴を表示します。

cpu :CPU 使用率の履歴を表示します。

failover :フェールオーバーの履歴を表示します。

ids :IDS の履歴を表示します。

interface if_name :指定したインターフェイスの履歴を表示します。 if_name 引数は、 nameif コマンドで指定したインターフェイス名です。

memory :メモリ使用率の履歴を表示します。

perfmon :パフォーマンスの履歴を表示します。

sas :セキュリティ結合の履歴を表示します。

tunnels :トンネルの履歴を表示します。

xlates :変換スロットの履歴を表示します。

snapshot

(オプション)ASDM 履歴の最新データ ポイントだけを表示します。

view timeframe

(オプション)履歴の表示対象を指定された期間に限定します。次に、 timeframe 引数で有効となる値を示します。

all :履歴バッファのすべての内容(デフォルト)

12h :12 時間

5d :5 日間

60m :60 分間

10m :10 分間

 
デフォルト

引数もキーワードも指定しない場合は、すべての機能のすべての履歴情報が表示されます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが、 show pdm history コマンドから show asdm history コマンドに変更されました。

 
使用上のガイドライン

show asdm history コマンドは、ASDM 履歴バッファの内容を表示します。ASDM 履歴情報を表示するには、 asdm history enable コマンドを使用して、ASDM 履歴のトラッキングをあらかじめイネーブルにしておく必要があります。

次に、 show asdm history コマンドの出力例を示します。ここでは、出力する内容を外部インターフェイスに関する最近 10 分間に収集されたデータに限定しています。

hostname# show asdm history view 10m feature interface outside
 
Input KByte Count:
[ 10s:12:46:41 Mar 1 2005 ] 62640 62636 62633 62628 62622 62616 62609
Output KByte Count:
[ 10s:12:46:41 Mar 1 2005 ] 25178 25169 25165 25161 25157 25151 25147
Input KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 752 752 751 751 751 751 751
Output KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 55 55 55 55 55 55 55
Input Bit Rate:
[ 10s:12:46:41 Mar 1 2005 ] 3397 2843 3764 4515 4932 5728 4186
Output Bit Rate:
[ 10s:12:46:41 Mar 1 2005 ] 7316 3292 3349 3298 5212 3349 3301
Input Packet Rate:
[ 10s:12:46:41 Mar 1 2005 ] 5 4 6 7 6 8 6
Output Packet Rate:
[ 10s:12:46:41 Mar 1 2005 ] 1 0 0 0 0 0 0
Input Error Packet Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
No Buffer:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Received Broadcasts:
[ 10s:12:46:41 Mar 1 2005 ] 375974 375954 375935 375902 375863 375833 375794
Runts:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Giants:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
CRC:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Frames:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Overruns:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Underruns:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Output Error Packet Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Collisions:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
LCOLL:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Reset:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Deferred:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Lost Carrier:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Hardware Input Queue:
[ 10s:12:46:41 Mar 1 2005 ] 128 128 128 128 128 128 128
Software Input Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Hardware Output Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Software Output Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Drop KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
hostname#

次に、 show asdm history コマンドの出力例を示します。上の例と同様に、出力する内容を外部インターフェイスに関する最近 10 分間に収集されたデータに限定しています。ただし、この例では出力を ASDM クライアント用に整形しています。

hostname# show asdm history view 10m feature interface outside asdmclient
 
MH|IBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|62439|62445|62453|62457|62464|62469|62474|62486|62489|62496|62501|62506|62511|62518|62522|62530|62534|62539|62542|62547|62553|62556|62562|62568|62574|62581|62585|62593|62598|62604|62609|62616|62622|62628|62633|62636|62640|62653|62657|62665|62672|62678|62681|62686|62691|62695|62700|62704|62711|62718|62723|62728|62733|62738|62742|62747|62751|62761|62770|62775|
MH|OBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|25023|25023|25025|25025|25025|25026|25026|25032|25038|25044|25052|25056|25060|25064|25070|25076|25083|25087|25091|25096|25102|25106|25110|25114|25118|25122|25128|25133|25137|25143|25147|25151|25157|25161|25165|25169|25178|25321|25327|25332|25336|25341|25345|25349|25355|25359|25363|25367|25371|25375|25381|25386|25390|25395|25399|25403|25410|25414|25418|25422|
MH|IPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|749|749|749|749|749|750|750|750|750|750|750|750|750|750|750|750|750|750|750|750|751|751|751|751|751|751|751|751|751|751|751|751|751|751|751|752|752|752|752|752|752|752|752|752|752|752|752|752|752|753|753|753|753|753|753|753|753|753|753|753|
MH|OPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|
MH|IBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|7127|5155|6202|3545|5408|3979|4381|9492|3033|4962|4571|4226|3760|5923|3265|6494|3441|3542|3162|4076|4744|2726|4847|4292|5401|5166|3735|6659|3837|5260|4186|5728|4932|4515|3764|2843|3397|10768|3080|6309|5969|4472|2780|4492|3540|3664|3800|3002|6258|5567|4044|4059|4548|3713|3265|4159|3630|8235|6934|4298|
MH|OBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|82791|57|1410|588|57|639|0|4698|5068|4992|6495|3292|3292|3352|5061|4808|5205|3931|3298|3349|5064|3439|3356|3292|3343|3349|5067|3883|3356|4500|3301|3349|5212|3298|3349|3292|7316|116896|5072|3881|3356|3931|3298|3349|5064|3292|3349|3292|3292|3349|5061|3883|3356|3931|3452|3356|5064|3292|3349|3292|
MH|IPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|8|6|5|7|5|6|14|5|7|7|5|6|9|5|8|6|5|5|7|6|5|6|5|6|7|6|8|6|6|6|8|6|7|6|4|5|19|5|8|7|6|4|7|5|6|6|5|7|8|6|6|7|5|5|7|6|9|7|6|
MH|OPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|0|1|0|0|0|0|4|0|2|2|0|0|0|0|1|1|0|0|0|0|0|0|0|0|0|0|0|0|1|0|0|0|0|0|0|1|28|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|IERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|NB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|374874|374911|374943|374967|375010|375038|375073|375113|375140|375160|375181|375211|375243|375289|375316|375350|375373|375395|375422|375446|375481|375498|375535|375561|375591|375622|375654|375701|375738|375761|375794|375833|375863|375902|375935|375954|375974|375999|376027|376075|376115|376147|376168|376200|376224|376253|376289|376315|376365|376400|376436|376463|376508|376530|376553|376583|376614|376668|376714|376749|
MH|RNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|GNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|CRC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|FRM|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|UR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|COLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCOLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RST|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DEF|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|
MH|SIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|SOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
hostname#
 

次に、 snapshot キーワードを使用した show asdm history コマンドの出力例を示します。

hostname# show asdm history view 10m snapshot
 
Available 4 byte Blocks: [ 10s] : 100
Used 4 byte Blocks: [ 10s] : 0
Available 80 byte Blocks: [ 10s] : 100
Used 80 byte Blocks: [ 10s] : 0
Available 256 byte Blocks: [ 10s] : 2100
Used 256 byte Blocks: [ 10s] : 0
Available 1550 byte Blocks: [ 10s] : 7425
Used 1550 byte Blocks: [ 10s] : 1279
Available 2560 byte Blocks: [ 10s] : 40
Used 2560 byte Blocks: [ 10s] : 0
Available 4096 byte Blocks: [ 10s] : 30
Used 4096 byte Blocks: [ 10s] : 0
Available 8192 byte Blocks: [ 10s] : 60
Used 8192 byte Blocks: [ 10s] : 0
Available 16384 byte Blocks: [ 10s] : 100
Used 16384 byte Blocks: [ 10s] : 0
Available 65536 byte Blocks: [ 10s] : 10
Used 65536 byte Blocks: [ 10s] : 0
CPU Utilization: [ 10s] : 31
Input KByte Count: [ 10s] : 62930
Output KByte Count: [ 10s] : 26620
Input KPacket Count: [ 10s] : 755
Output KPacket Count: [ 10s] : 58
Input Bit Rate: [ 10s] : 24561
Output Bit Rate: [ 10s] : 518897
Input Packet Rate: [ 10s] : 48
Output Packet Rate: [ 10s] : 114
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 377331
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 3672
Output KByte Count: [ 10s] : 4051
Input KPacket Count: [ 10s] : 19
Output KPacket Count: [ 10s] : 20
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 1458
Runts: [ 10s] : 1
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 63
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 15
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Available Memory: [ 10s] : 205149944
Used Memory: [ 10s] : 63285512
Xlate Count: [ 10s] : 0
Connection Count: [ 10s] : 0
TCP Connection Count: [ 10s] : 0
UDP Connection Count: [ 10s] : 0
URL Filtering Count: [ 10s] : 0
URL Server Filtering Count: [ 10s] : 0
TCP Fixup Count: [ 10s] : 0
TCP Intercept Count: [ 10s] : 0
HTTP Fixup Count: [ 10s] : 0
FTP Fixup Count: [ 10s] : 0
AAA Authentication Count: [ 10s] : 0
AAA Authorzation Count: [ 10s] : 0
AAA Accounting Count: [ 10s] : 0
Current Xlates: [ 10s] : 0
Max Xlates: [ 10s] : 0
ISAKMP SAs: [ 10s] : 0
IPSec SAs: [ 10s] : 0
L2TP Sessions: [ 10s] : 0
L2TP Tunnels: [ 10s] : 0
hostname#
 

 
関連コマンド

コマンド
説明

asdm history enable

ASDM 履歴のトラッキングをイネーブルにします。

 

show asdm image

現在の ASDM ソフトウェア イメージ ファイルを表示するには、特権 EXEC モードで show asdm image コマンドを使用します。

show asdm image

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが、 show pdm image コマンドから show asdm image コマンドに変更されました。

次に、 show asdm image コマンドの出力例を示します。

hostname# show asdm image
 
Device Manager image file, flash:/ASDM
 

 
関連コマンド

コマンド
説明

asdm image

現在の ASDM イメージ ファイルを指定します。

 

show asdm log_sessions

アクティブな ASDM ロギング セッションのリスト、およびそれらのセッションに関連付けられているセッション ID を表示するには、特権 EXEC モードで show asdm log_sessions コマンドを使用します。

show asdm log_sessions

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、このロギング セッションを使用してセキュリティ アプライアンスから syslog メッセージを取得します。各 ASDM ロギング セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect log_session コマンドで使用すると、指定したセッションを終了することができます。


) 各 ASDM セッションは、少なくとも 1 つの ASDM ロギング セッションを保持しているため、show asdm sessionsshow asdm log_sessions の出力は同じ内容になることもあります。


次に、 show asdm log_sessions コマンドの出力例を示します。

hostname# show asdm log_sessions
 
0 192.168.1.1
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

asdm disconnect log_session

アクティブな ASDM ロギング セッションを終了します。

 

show asdm sessions

アクティブな ASDM セッションのリスト、およびそれらに関連付けられているセッション ID を表示するには、特権 EXEC モードで show asdm sessions コマンドを使用します。

show asdm sessions

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが、 show pdm sessions コマンドから show asdm sessions コマンドに変更されました。

 
使用上のガイドライン

アクティブな各 ASDM セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect コマンドで使用すると、指定したセッションを終了することができます。

次に、 show asdm sessions コマンドの出力例を示します。

hostname# show asdm sessions
 
0 192.168.1.1
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

asdm disconnect

アクティブな ASDM セッションを終了します。

 

show asp drop

アクセラレーション セキュリティ パスによってドロップされたパケットまたは接続をデバッグするには、特権 EXEC モードで show asp drop コマンドを使用します。

show asp drop [ flow drop_reason | frame drop_reason ]

 
シンタックスの説明

flow

(オプション)ドロップされたフロー(接続)を表示します。

frame

(オプション)ドロップされたパケットを表示します。

drop_reason

(オプション)特定のプロセスによってドロップされたフローまたはパケットを表示します。ドロップ理由のリストについては、「 使用上のガイドライン 」を参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show asp drop コマンドは、アクセラレーション セキュリティ パスによってドロップされたパケットまたは接続を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。この情報はデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

次のパケット ドロップ理由を指定すると、そのドロップ理由に関する統計情報を表示できます。

acl-drop
audit-failure
closed-by-inspection
conn-limit-exceeded
fin-timeout
flow-reclaimed
fo-primary-closed
fo-standby
fo_rep_err
host-removed
inspect-fail
ips-fail-close
ips-request
ipsec-spoof-detect
loopback
mcast-entry-removed
mcast-intrf-removed
mgmt-lockdown
nat-failed
nat-rpf-failed
need-ike
no-ipv6-ipsec
non_tcp_syn
out-of-memory
parent-closed
pinhole-timeout
recurse
reinject-punt
reset-by-ips
reset-in
reset-oout
shunned
syn-timeout
tcp-fins
tcp-intecept-no-response
tcp-intercept-kill
tcp-intercept-unexpected
tcpnorm-invalid-syn
tcpnorm-rexmit-bad
tcpnorm-win-variation
timeout
tunnel-pending
tunnel-torn-down
xlate-removed

次に、 show asp drop コマンドの出力例を示します。

hostname# show asp drop
 
Frame drop:
Invalid encapsulation 10897
Invalid tcp length 9382
Invalid udp length 10
No valid adjacency 5594
No route to host 1009
Reverse-path verify failed 15
Flow is denied by access rule 25247101
First TCP packet not SYN 36888
Bad TCP flags 67148
Bad option length in TCP 731
TCP MSS was too large 10942
TCP Window scale on non-SYN 2591
Bad TCP SACK ALLOW option 224
TCP Dual open denied 11
TCP data send after FIN 62
TCP failed 3 way handshake 328859
TCP RST/FIN out of order 258871
TCP SEQ in SYN/SYNACK invalid 142
TCP ACK in SYNACK invalid 278
TCP packet SEQ past window 46331
TCP invalid ACK 1234749
TCP packet buffer full 90009943
TCP RST/SYN in window 43136
TCP DUP and has been ACKed 927075
TCP packet failed PAWS test 9907
Early security checks failed 3
Slowpath security checks failed 19
DNS Inspect invalid packet 1097
DNS Inspect invalid domain label 10
DNS Inspect packet too long 5
DNS Inspect id not matched 8270
FP L2 rule drop 783
FP no mcast output intrf 5
Interface is down 3881
Non-IP packet received in routed mode 158
 
Flow drop:
Flow is denied by access rule 24
NAT failed 28739
NAT reverse path failed 22266
Inspection failure 19433
 

 
関連コマンド

コマンド
説明

clear asp drop

アクセラレーション セキュリティ パスのドロップ統計情報を消去します。

show conn

接続に関する情報を表示します。

 

show asp table arp

アクセラレーション セキュリティ パスの ARP テーブルをデバッグするには、特権 EXEC モードで show asp table arp コマンドを使用します。

show asp table arp [ interface interface_name ] [ address ip_address [ netmask mask ]]

 
シンタックスの説明

address ip_address

(オプション)ARP テーブル エントリを表示する IP アドレスを指定します。

interface interface_name

(オプション)ARP テーブルを表示する特定のインターフェイスを指定します。

netmask mask

(オプション)IP アドレスのサブネット マスクを設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show arp コマンドが制御プレーンの内容を表示するのに対して、 show asp table arp コマンドはアクセラレーション セキュリティ パスの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

次に、 show asp table arp コマンドの出力例を示します。

hostname# show asp table arp
 
Context: single_vf, Interface: inside
10.86.194.50 Active 000f.66ce.5d46 hits 0
10.86.194.1 Active 00b0.64ea.91a2 hits 638
10.86.194.172 Active 0001.03cf.9e79 hits 0
10.86.194.204 Active 000f.66ce.5d3c hits 0
10.86.194.188 Active 000f.904b.80d7 hits 0
 
Context: single_vf, Interface: identity
:: Active 0000.0000.0000 hits 0
0.0.0.0 Active 0000.0000.0000 hits 50208
 

 
関連コマンド

コマンド
説明

show arp

ARP テーブルを表示します。

show arp statistics

ARP 統計情報を表示します。

 

show asp table classify

アクセラレーション セキュリティ パスの分類子テーブルをデバッグするには、特権 EXEC モードで show asp table classify コマンドを使用します。分類子は、着信パケットのプロパティ(プロトコル、送信元アドレス、宛先アドレスなど)を検査して、各パケットを適切な分類規則と対応付けます。それぞれの規則には、パケットのドロップや通過の許可など、どのタイプのアクションを実行するかを規定した分類ドメインのラベルが付けられます。

show asp table classify [ crypto | domain domain_name | interface interface_name ]

 
シンタックスの説明

domain domain_name

(オプション)特定の分類子ドメインのエントリを表示します。ドメインのリストについては、「 使用上のガイドライン 」を参照してください。

interface interface_name

(オプション)分類子テーブルを表示する特定のインターフェイスを指定します。

crypto

(オプション)encrypt ドメイン、decrypt ドメイン、および ipsec-tunnel-flow ドメインのみを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show asp table classify コマンドは、アクセラレーション セキュリティ パスの分類子の内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

分類子ドメインには、次のものがあります。

aaa-acct
aaa-auth
aaa-user
accounting
arp
capture
capture
conn-nailed
conn-set
ctcp
decrypt
encrypt
established
filter-activex
filter-ftp
filter-https
filter-java
filter-url
host
ids
inspect
inspect-ctiqbe
inspect-dns
inspect-dns-ids
inspect-ftp
inspect-ftp-data
inspect-gtp
inspect-h323
inspect-http
inspect-icmp
inspect-icmp-error
inspect-ils
inspect-mgcp
inspect-netbios
inspect-pptp
inspect-rsh
inspect-rtsp
inspect-sip
inspect-skinny
inspect-smtp
inspect-snmp
inspect-sqlnet
inspect-sqlnet-plus
inspect-sunrpc
inspect-tftp
inspect-xdmcp
ipsec-natt
ipsec-tunnel-flow
ipsec-user
limits
lu
mac-permit
mgmt-lockdown
mgmt-tcp-intercept
multicast
nat
nat-exempt
nat-exempt-reverse
nat-reverse
null
permit
permit-ip-option
permit-log
pim
ppp
priority-q
punt
punt-l2
punt-root
qos
qos-per-class
qos-per-dest
qos-per-flow
qos-per-source
shun
tcp-intercept

次に、 show asp table classify コマンドの出力例を示します。

hostname# show asp table classify
 
Interface test:
in id=0x36f3800, priority=10, domain=punt, deny=false
hits=0, user_data=0x0, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=10.86.194.60, mask=255.255.255.255, port=0
in id=0x33d3508, priority=99, domain=inspect, deny=false
hits=0, user_data=0x0, use_real_addr, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
in id=0x33d3978, priority=99, domain=inspect, deny=false
hits=0, user_data=0x0, use_real_addr, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=53
dst ip=0.0.0.0, mask=0.0.0.0, port=0
...
 

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットのアクセラレーション セキュリティ パス カウンタを表示します。

 

show asp table interfaces

アクセラレーション セキュリティ パスのインターフェイス テーブルをデバッグするには、特権 EXEC モードで show asp table interfaces コマンドを使用します。

show asp table interfaces

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show asp table interfaces コマンドは、アクセラレーション セキュリティ パスのインターフェイス テーブルの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

次に、 show asp table interfaces コマンドの出力例を示します。

hostname# show asp table interfaces
 
** Flags: 0x0001-DHCP, 0x0002-VMAC, 0x0010-Ident Ifc, 0x0020-HDB Initd,
0x0040-RPF Enabled
Soft-np interface 'dmz' is up
context single_vf, nicnum 0, mtu 1500
vlan 300, Not shared, seclvl 50
0 packets input, 1 packets output
flags 0x20
 
Soft-np interface 'foo' is down
context single_vf, nicnum 2, mtu 1500
vlan <None>, Not shared, seclvl 0
0 packets input, 0 packets output
flags 0x20
 
Soft-np interface 'outside' is down
context single_vf, nicnum 1, mtu 1500
vlan <None>, Not shared, seclvl 50
0 packets input, 0 packets output
flags 0x20
 
Soft-np interface 'inside' is up
context single_vf, nicnum 0, mtu 1500
vlan <None>, Not shared, seclvl 100
680277 packets input, 92501 packets output
flags 0x20
...

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

 

show asp table mac-address-table

アクセラレーション セキュリティ パスの MAC アドレス テーブルをデバッグするには、特権 EXEC モードで show asp table mac-address-table コマンドを使用します。

show asp table mac-address-table [ interface interface_name ]

 
シンタックスの説明

interface interface_name

(オプション)特定のインターフェイスの MAC アドレス テーブルを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show asp table mac-address-table コマンドは、アクセラレーション セキュリティ パスの MAC アドレス テーブルの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

次に、 show asp table mac-address-table コマンドの出力例を示します。

hostname# show asp table mac-address-table
 
interface mac address flags
--------------------------------------------------------
inside1 0009.b74d.3800 None
inside1 0007.e903.ad6e None
inside1 0007.e950.2067 None
inside1 0050.0499.3749 None
inside1 0012.d96f.e200 None
inside1 0001.02a7.f4ec None
inside1 0001.032c.6477 None
inside1 0004.5a2d.a1c8 None
inside1 0003.4773.c87b None
inside1 000d.88ef.5d1c None
inside1 00c0.b766.adce None
inside1 0050.5640.450d None
inside1 0001.03cf.0431 None
...

 
関連コマンド

コマンド
説明

show mac-address-table

ダイナミック エントリとスタティック エントリを含め、MAC アドレス テーブルを表示します。

show asp table routing

アクセラレーション セキュリティ パスのルーティング テーブルをデバッグするには、特権 EXEC モードで show asp table routing コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。

show asp table routing [ input | output ] [ address ip_address [ netmask mask ] | interface interface_name ]

 
シンタックスの説明

address ip_address

ルーティング エントリを表示する IP アドレスを設定します。IPv6 アドレスの場合は、サブネット マスクを含めることができます。スラッシュ(/)に続けて、プレフィックス(0 ~ 128)を入力します。たとえば、次のように入力します。

fe80::2e0:b6ff:fe01:3b7a/128

input

入力ルート テーブルにあるエントリを表示します。

interface interface_name

(オプション)ルーティング テーブルを表示する特定のインターフェイスを指定します。

netmask mask

IPv4 アドレスの場合に、サブネット マスクを指定します。

output

出力ルート テーブルにあるエントリを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show asp table routing コマンドは、アクセラレーション セキュリティ パスのルーティング テーブルの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

次に、 show asp table routing コマンドの出力例を示します。

hostname# show asp table routing
 
in 255.255.255.255 255.255.255.255 identity
in 224.0.0.9 255.255.255.255 identity
in 10.86.194.60 255.255.255.255 identity
in 10.86.195.255 255.255.255.255 identity
in 10.86.194.0 255.255.255.255 identity
in 209.165.202.159 255.255.255.255 identity
in 209.165.202.255 255.255.255.255 identity
in 209.165.201.30 255.255.255.255 identity
in 209.165.201.0 255.255.255.255 identity
in 10.86.194.0 255.255.254.0 inside
in 224.0.0.0 240.0.0.0 identity
in 0.0.0.0 0.0.0.0 inside
out 255.255.255.255 255.255.255.255 foo
out 224.0.0.0 240.0.0.0 foo
out 255.255.255.255 255.255.255.255 test
out 224.0.0.0 240.0.0.0 test
out 255.255.255.255 255.255.255.255 inside
out 10.86.194.0 255.255.254.0 inside
out 224.0.0.0 240.0.0.0 inside
out 0.0.0.0 0.0.0.0 via 10.86.194.1, inside
out 0.0.0.0 0.0.0.0 via 0.0.0.0, identity
out :: :: via 0.0.0.0, identity
 

 
関連コマンド

コマンド
説明

show route

制御プレーン内のルーティング テーブルを表示します。

 

show asp table vpn-context

アクセラレーション セキュリティ パスの VPN コンテキスト テーブルをデバッグするには、特権 EXEC モードで show asp table vpn-context コマンドを使用します。

show asp table vpn-context [ detail ]

 
シンタックスの説明

detail

(オプション)VPN コンテキスト テーブルに関する追加の詳細情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show asp table vpn-context コマンドは、アクセラレーション セキュリティ パスの VPN コンテキストの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。

次に、 show asp table vpn-context コマンドの出力例を示します。

hostname# show asp table vpn-context
 
VPN ID=0058070576, DECR+ESP, UP, pk=0000000000, rk=0000000000, gc=0
VPN ID=0058193920, ENCR+ESP, UP, pk=0000000000, rk=0000000000, gc=0
VPN ID=0058168568, DECR+ESP, UP, pk=0000299627, rk=0000000061, gc=2
VPN ID=0058161168, ENCR+ESP, UP, pk=0000305043, rk=0000000061, gc=1
VPN ID=0058153728, DECR+ESP, UP, pk=0000271432, rk=0000000061, gc=2
VPN ID=0058150440, ENCR+ESP, UP, pk=0000285328, rk=0000000061, gc=1
VPN ID=0058102088, DECR+ESP, UP, pk=0000268550, rk=0000000061, gc=2
VPN ID=0058134088, ENCR+ESP, UP, pk=0000274673, rk=0000000061, gc=1
VPN ID=0058103216, DECR+ESP, UP, pk=0000252854, rk=0000000061, gc=2
...
 

次に、 show asp table vpn-context detail コマンドの出力例を示します。

hostname# show asp table vpn-context detail
 
VPN Ctx = 0058070576 [0x03761630]
State = UP
Flags = DECR+ESP
SA = 0x037928F0
SPI = 0xEA0F21F0
Group = 0
Pkts = 0
Bad Pkts = 0
Bad SPI = 0
Spoof = 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
 
VPN Ctx = 0058193920 [0x0377F800]
State = UP
Flags = ENCR+ESP
SA = 0x037B4B70
SPI = 0x900FDC32
Group = 0
Pkts = 0
Bad Pkts = 0
Bad SPI = 0
Spoof = 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
...
 

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットのアクセラレーション セキュリティ パス カウンタを表示します。

 

show blocks

パケット バッファの使用状況を表示するには、特権 EXEC モードで show blocks コマンドを使用します。

show blocks [{ address hex | all | assigned | free | old | pool size [ summary ]} [ diagnostics | dump | header | packet ] | queue history [ detail ]]

 
シンタックスの説明

address hex

(オプション)このアドレスに対応するブロックを 16 進形式で表示します。

all

(オプション)すべてのブロックを表示します。

assigned

(オプション)アプリケーションによって割り当てられ、使用されているブロックを表示します。

detail

(オプション)一意の各キュー タイプの最初のブロックの一部(128 バイト)を表示します。

dump

(オプション)ヘッダーとパケットの情報を含めて、ブロックの内容全体を表示します。dump と packet の相違点は、dump の場合、ヘッダーとパケットに関する追加情報が含まれることです。

diagnostics

(オプション)ブロックに関する診断を表示します。

free

(オプション)使用可能なブロックを表示します。

header

(オプション)ブロックのヘッダーを表示します。

old

(オプション)1 分より前に割り当てられたブロックを表示します。

packet

(オプション)パケットの内容をブロックのヘッダーとともに表示します。

pool size

(オプション)特定のサイズのブロックを表示します。

queue history

(オプション)セキュリティ アプライアンスがブロックを使い果たしたときに、ブロックが割り当てられる位置を表示します。ブロックはプールから割り当てられますが、一度もキューに割り当てられないことがあります。この場合に表示される位置は、ブロックを割り当てたコードのアドレスです。

summary

(オプション)ブロックの使用状況に関する詳細情報を表示します。この情報は、このクラスにブロックを割り当てたアプリケーションのプログラム アドレス、このクラスのブロックを解放したアプリケーションのプログラム アドレス、およびこのクラスの有効なブロックが属しているキューを基準としてソートされています。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

pool summary オプションが追加されました。

 
使用上のガイドライン

show blocks コマンドは、セキュリティ アプライアンスが過負荷になっているかどうかを判断する場合に役立ちます。このコマンドは、事前割り当て済みのシステム バッファの使用状況を表示します。トラフィックがセキュリティ アプライアンスを経由して移動している限り、メモリがすべて使用されている状態は問題にはなりません。 show conn コマンドを使用すると、トラフィックが移動しているかどうかを確認できます。トラフィックが移動していないで、かつメモリがすべて使用されている場合は、問題がある可能性があります。

この情報は、SNMP を使用して表示することもできます。

セキュリティ コンテキスト内で表示される情報には、使用中のブロック、およびブロック使用状況の最高水準点について、コンテキスト固有の情報とともにシステム全体の情報も含まれています。

表示される出力については、「 」の項を参照してください。

次に、シングルモードでの show blocks コマンドの出力例を示します。

hostname# show blocks
SIZE MAX LOW CNT
4 1600 1598 1599
80 400 398 399
256 3600 3540 3542
1550 4716 3177 3184
16384 10 10 10
2048 1000 1000 1000
 

表 7-3 に、各フィールドの説明を示します。

 

表7-3 show blocks のフィールド

フィールド
説明

SIZE

ブロック プールのサイズ(バイト単位)。それぞれのサイズは、特定のタイプを表しています。下に例を示します。

4

DNS モジュール、ISAKMP モジュール、URL フィルタリング モジュール、uauth モジュール、TFTP モジュール、TCP モジュールなどのアプリケーションの既存ブロックを複製します。

80

TCP 代行受信で確認応答パケットを生成するために、およびフェールオーバー hello メッセージに使用されます。

256

ステートフル フェールオーバーのアップデート、syslog 処理、およびその他の TCP 機能に使用されます。

これらのブロックは、主にステートフル フェールオーバーのメッセージに使用されます。アクティブなセキュリティ アプライアンスは、パケットを生成してスタンバイ セキュリティ アプライアンスに送信し、変換と接続のテーブルをアップデートします。接続が頻繁に作成または破棄されるバースト トラフィックが発生すると、使用可能なブロックの数が 0 まで低下することがあります。この状況は、1 つまたはそれ以上の接続がスタンバイ セキュリティ アプライアンスに対してアップデートされなかったことを示しています。ステートフル フェールオーバー プロトコルは、不明な変換または接続を次回に捕捉します。256 バイト ブロックの CNT カラムが長時間にわたって 0 またはその付近で停滞している場合は、セキュリティ アプライアンスの処理している 1 秒あたりの接続数が非常に多いために、変換テーブルと接続テーブルの同期が取れている状態をセキュリティ アプライアンスが維持できない問題が発生しています。

セキュリティ アプライアンスから送信される syslog メッセージも 256 バイト ブロックを使用しますが、256 バイト ブロック プールが枯渇するような量が発行されることは通常ありません。CNT カラムの示す 256 バイト ブロックの数が 0 に近い場合は、Debugging(レベル 7)のログを syslog サーバに記録していないことを確認してください。この情報は、セキュリティ アプライアンス コンフィギュレーションの logging trap 行に示されています。ロギングは、デバッグのために詳細な情報が必要となる場合を除いて、Notification(レベル 5)以下に設定することをお勧めします。

1550

セキュリティ アプライアンスで処理するイーサネット パケットを格納するために使用されます。

パケットは、セキュリティ アプライアンス インターフェイスに入ると入力インターフェイス キューに配置され、次にオペレーティング システムに渡されてブロックに配置されます。セキュリティ アプライアンスは、パケットを許可するか拒否するかをセキュリティ ポリシーに基づいて決定し、パケットを出力インターフェイス上の出力キューに配置します。セキュリティ アプライアンスがトラフィックの負荷に対応できていない場合は、使用可能なブロックの数が 0 付近で停滞します(このコマンドの出力の CNT カラムに示されます)。CNT カラムが 0 になると、セキュリティ アプライアンスはさらにブロックを確保しようとします(最大で 8,192 個まで)。使用可能なブロックがなくなった場合、セキュリティ アプライアンスはパケットをドロップします。

16384

64 ビット 66 MHz のギガビット イーサネット カード(i82543)にのみ使用されます。

イーサネット パケットの詳細については、1550 の説明を参照してください。

2048

制御アップデートに使用される制御フレームまたはガイド付きフレーム。

MAX

指定したバイト ブロックのプールで使用可能なブロックの最大数。ブロックの最大数は、ブートアップ時にメモリに基づいて配分されます。ブロックの最大数は、通常は変化しません。例外は 256 バイト ブロックと 1,550 バイト ブロックで、セキュリティ アプライアンスはこれらのブロックを必要に応じて動的に作成できます(最大で 8,192 個まで)。

LOW

最低水準点。この数は、セキュリティ アプライアンスの電源がオンになった時点、またはブロックの内容が( clear blocks コマンドで)最後に消去された時点から、このサイズの使用可能なブロックが最も少なくなったときの数を示しています。LOW カラムが 0 である場合は、先行のイベントでメモリがすべて使用されたことを示します。

CNT

指定したサイズのブロック プールで現在使用可能なブロックの数。CNT カラムが 0 である場合は、メモリが現在すべて使用されていることを意味します。

次に、 show blocks all コマンドの出力例を示します。

hostname# show blocks all
Class 0, size 4
Block allocd_by freed_by data size alloccnt dup_cnt oper location
0x01799940 0x00000000 0x00101603 0 0 0 alloc not_specified
0x01798e80 0x00000000 0x00101603 0 0 0 alloc not_specified
0x017983c0 0x00000000 0x00101603 0 0 0 alloc not_specified
 
...
 
Found 1000 of 1000 blocks
Displaying 1000 of 1000 blocks
 

表 7-4 に、各フィールドの説明を示します。

 

表7-4 show blocks all のフィールド

フィールド
説明

Block

ブロックのアドレス。

allocd_by

ブロックを最後に使用したアプリケーションのプログラム アドレス(使用されていない場合は 0)。

freed_by

ブロックを最後に解放したアプリケーションのプログラム アドレス。

data size

ブロック内部のアプリケーション バッファまたはパケット データのサイズ。

alloccnt

このブロックが作成されてから使用された回数。

dup_cnt

このブロックに対する現時点での参照回数(このブロックが使用されている場合)。0 は 1 回の参照、1 は 2 回の参照を意味します。

oper

ブロックに対して最後に実行された操作。割り当て、取得、入力、解放の 4 つのいずれかです。

location

ブロックを使用しているアプリケーション。または、ブロックを最後に割り当てたアプリケーションのプログラム アドレス(allocd_by フィールドと同じ)。

次に、コンテキスト内での show blocks コマンドの出力例を示します。

hostname/contexta# show blocks
SIZE MAX LOW CNT INUSE HIGH
4 1600 1599 1599 0 0
80 400 400 400 0 0
256 3600 3538 3540 0 1
1550 4616 3077 3085 0 0
 

次に、 show blocks queue history コマンドの出力例を示します。

hostname# show blocks queue history
Each Summary for User and Queue_type is followed its top 5 individual queues
Block Size: 4
Summary for User "http", Queue "tcp_unp_c_in", Blocks 1595, Queues 1396
Blk_cnt Q_cnt Last_Op Queue_Type User Context
186 1 put contexta
15 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
Summary for User "aaa", Queue "tcp_unp_c_in", Blocks 220, Queues 200
Blk_cnt Q_cnt Last_Op Queue_Type User Context
21 1 put contexta
1 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
Blk_cnt Q_cnt Last_Op Queue_Type User Context
200 1 alloc ip_rx tcp contexta
108 1 get ip_rx udp contexta
85 1 free fixup h323_ras contextb
42 1 put fixup skinny contextb
 
Block Size: 1550
Summary for User "http", Queue "tcp_unp_c_in", Blocks 1595, Queues 1000
Blk_cnt Q_cnt Last_Op Queue_Type User Context
186 1 put contexta
15 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
...
 

次に、 show blocks queue history detail コマンドの出力例を示します。

hostname# show blocks queue history detail
History buffer memory usage: 2136 bytes (default)
Each Summary for User and Queue type is followed its top 5 individual queues
Block Size: 4
Summary for User "http", Queue_Type "tcp_unp_c_in", Blocks 1595, Queues 1396
Blk_cnt Q_cnt Last_Op Queue_Type User Context
186 1 put contexta
15 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
First Block information for Block at 0x.....
dup_count 0, flags 0x8000000, alloc_pc 0x43ea2a,
start_addr 0xefb1074, read_addr 0xefb118c, write_addr 0xefb1193
urgent_addr 0xefb118c, end_addr 0xefb17b2
0efb1150: 00 00 00 03 47 c5 61 c5 00 05 9a 38 76 80 a3 00 | ....G.a....8v...
0efb1160: 00 0a 08 00 45 00 05 dc 9b c9 00 00 ff 06 f8 f3 | ....E...........
0efb1170: 0a 07 0d 01 0a 07 00 50 00 17 cb 3d c7 e5 60 62 | .......P...=..`b
0efb1180: 7e 73 55 82 50 18 10 00 45 ca 00 00 2d 2d 20 49 | ~sU.P...E...-- I
0efb1190: 50 20 2d 2d 0d 0a 31 30 2e 37 2e 31 33 2e 31 09 | P --..10.7.13.1.
0efb11a0: 3d 3d 3e 09 31 30 2e 37 2e 30 2e 38 30 0d 0a 0d | ==>.10.7.0.80...
 
Summary for User "aaa", Queue "tcp_unp_c_in", Blocks 220, Queues 200
Blk_cnt Q_cnt Last_Op Queue_Type User Context
21 1 put contexta
1 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
First Block information for Block at 0x.....
dup_count 0, flags 0x8000000, alloc_pc 0x43ea2a,
start_addr 0xefb1074, read_addr 0xefb118c, write_addr 0xefb1193
urgent_addr 0xefb118c, end_addr 0xefb17b2
0efb1150: 00 00 00 03 47 c5 61 c5 00 05 9a 38 76 80 a3 00 | ....G.a....8v...
0efb1160: 00 0a 08 00 45 00 05 dc 9b c9 00 00 ff 06 f8 f3 | ....E...........
0efb1170: 0a 07 0d 01 0a 07 00 50 00 17 cb 3d c7 e5 60 62 | .......P...=..`b
0efb1180: 7e 73 55 82 50 18 10 00 45 ca 00 00 2d 2d 20 49 | ~sU.P...E...-- I
0efb1190: 50 20 2d 2d 0d 0a 31 30 2e 37 2e 31 33 2e 31 09 | P --..10.7.13.1.
0efb11a0: 3d 3d 3e 09 31 30 2e 37 2e 30 2e 38 30 0d 0a 0d | ==>.10.7.0.80...
...
 
total_count: total buffers in this class
 

次に、 show blocks pool summary コマンドの出力例を示します。

hostname# show blocks pool 1550 summary
Class 3, size 1550
 
=================================================
total_count=1531 miss_count=0
Alloc_pc valid_cnt invalid_cnt
0x3b0a18 00000256 00000000
0x01ad0760 0x01acfe00 0x01acf4a0 0x01aceb40 00000000 0x00000000
0x3a8f6b 00001275 00000012
0x05006aa0 0x05006140 0x050057e0 0x05004520 00000000
0x00000000
 
=================================================
total_count=9716 miss_count=0
Freed_pc valid_cnt invalid_cnt
0x9a81f3 00000104 00000007
0x05006140 0x05000380 0x04fffa20 0x04ffde00 00000000 0x00000000
0x9a0326 00000053 00000033
0x05006aa0 0x050057e0 0x05004e80 0x05003260 00000000 0x00000000
0x4605a2 00000005 00000000
0x04ff5ac0 0x01e8e2e0 0x01e2eac0 0x01e17d20 00000000 0x00000000
...
=================================================
total_count=1531 miss_count=0
Queue valid_cnt invalid_cnt
0x3b0a18 00000256 00000000 Invalid Bad qtype
0x01ad0760 0x01acfe00 0x01acf4a0 0x01aceb40 00000000 0x00000000
0x3a8f6b 00001275 00000000 Invalid Bad qtype
0x05006aa0 0x05006140 0x050057e0 0x05004520 00000000
0x00000000
 
=================================================
free_cnt=8185 fails=0 actual_free=8185 hash_miss=0
03a8d3e0 03a8b7c0 03a7fc40 03a6ff20 03a6f5c0 03a6ec60 kao-f1#
 

表 7-5 に、各フィールドの説明を示します。

 

表7-5 show blocks pool summary のフィールド

フィールド
説明

total_count

指定したクラスのブロックの数。

miss_count

技術的な理由により、指定したカテゴリで報告されなかったブロックの数。

Freed_pc

このクラスのブロックを解放したアプリケーションのプログラム アドレス。

Alloc_pc

このクラスにブロックを割り当てたアプリケーションのプログラム アドレス。

Queue

このクラスの有効なブロックが属しているキュー。

valid_cnt

現時点で割り当てられているブロックの数。

invalid_cnt

現時点では割り当てられていないブロックの数。

Invalid Bad qtype

このキューが解放されてコンテンツが無効になっているか、このキューは初期化されていませんでした。

Valid tcp_usr_conn_inp

キューは有効です。

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てられているメモリを増やします。

clear blocks

システム バッファの統計情報を消去します。

show conn

アクティブな接続を表示します。

 

show bootvar

ブート ファイルとコンフィギュレーションのプロパティを表示するには、特権コンフィギュレーション モードで show bootvar コマンドを使用します。

show bootvar

 
シンタックスの説明

show bootvar

システムのブート プロパティ。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権モード

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

BOOT 変数は、さまざまなデバイス上の起動イメージのリストを指定するものです。CONFIG_FILE 変数は、システム初期化中に使用されるコンフィギュレーション ファイルを指定します。これらの変数は、それぞれ boot system コマンドと boot config コマンドで設定します。

次の例では、BOOT 変数が disk0:/f1_image を保持しています。これは、システムのリロード時にブートされるイメージです。BOOT の現在の値は、disk0:/f1_image; disk0:f1_backupimage です。これは、BOOT 変数が boot system コマンドで変更されているものの、実行コンフィギュレーションがまだ write memory コマンドで保存されていないことを意味しています。実行コンフィギュレーションを保存すると、BOOT 変数と現在の BOOT 変数が両方とも disk0:/f1_image; disk0:f1_backupimage になります。実行コンフィギュレーションが保存済みである場合、ブート ローダーは BOOT 変数の内容をロードしようとします。つまり、disk0:/f1image を起動します。このイメージが存在しないか無効である場合は、disk0:/f1_backupimage をブートしようとします。

CONFIG_FILE 変数は、システムのスタートアップ コンフィギュレーションをポイントします。この例ではこの変数が設定されていないため、スタートアップ コンフィギュレーション ファイルは、 boot config コマンドで指定したデフォルトです。現在の CONFIG_FILE 変数は、 boot config コマンドで変更して、 write memory コマンドで保存することができます。

hostname# show bootvar
BOOT variable = disk0:/f1_image
Current BOOT variable = disk0:/f1_image; disk0:/f1_backupimage
CONFIG_FILE variable =
Current CONFIG_FILE variable =
hostname#

 
関連コマンド

コマンド
説明

boot

起動時に使用されるコンフィギュレーション ファイルまたはイメージ ファイルを指定します。

show capture

キャプチャのコンフィギュレーションを表示するには、オプションを指定せずに show capture コマンドを使用します。

show capture [ capture_name ] [ access-list access_list_name ] [ count number ] [ decode ] [ detail ] [ dump ] [ packet-number number ]

 
シンタックスの説明

capture_name

(オプション)パケット キャプチャの名前。

access-list access_list_name

(オプション)特定のアクセスリストの IP フィールドまたはより高位のフィールドに基づいて、パケットに関する情報を表示します。

count number

(オプション)指定したパケットの数に関するデータを表示します。

decode

このオプションは、isakmp タイプのキャプチャがインターフェイスに適用されている場合に役立ちます。当該のインターフェイスを通過する isakmp データは、復号化の後にすべてキャプチャされ、フィールドをデコードした後にその他の情報とともに表示されます。

detail

(オプション)各パケットの詳細なプロトコル情報を表示します。

dump

(オプション)データ リンク トランスポート経由で伝送されるパケットの 16 進ダンプを表示します。

packet-number number

指定したパケット番号から表示を開始します。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキストのコマンドライン

コマンド モード:特権モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよび透過ファイアウォール モード

 
コマンド履歴

リリース
変更内容

PIX バージョン 7.0

セキュリティ アプライアンスでこのコマンドがサポートされるようになりました。

 
使用上のガイドライン

capture_name を指定した場合は、そのキャプチャのキャプチャ バッファの内容が表示されます。

dump キーワードを指定しても、MAC に関する情報は 16 進ダンプに表示されません。

パケットのデコード出力は、パケットのプロトコルによって形式が異なります。 表 7-6 で [ ] に囲まれている出力は、 detail キーワードを指定した場合に表示されます。

 

表7-6 パケット キャプチャの出力形式

パケットのタイプ
キャプチャの出力形式

802.1Q

HH:MM:SS.ms [ether-hdr] VLAN-info encap-ether-packet

ARP

HH:MM:SS.ms [ether-hdr] arp-type arp-info

IP/ICMP

HH:MM:SS.ms [ether-hdr] ip-source > ip-destination: icmp: icmp-type icmp-code [checksum-failure]

IP/UDP

HH:MM:SS.ms [ether-hdr] src-addr . src-port dest-addr . dst-port : [checksum-info] udp payload-len

IP/TCP

HH:MM:SS.ms [ether-hdr] src-addr . src-port d est-addr . dst-port : tcp-flags [header-check] [checksum-info] sequence-number ack-number tcp-window urgent-info tcp-options

IP/その他

HH:MM:SS.ms [ether-hdr] src-addr dest-addr : ip-protocol ip-length

その他

HH:MM:SS.ms ether-hdr : hex-dump

次の例は、キャプチャのコンフィギュレーションを表示する方法を示しています。

hostname(config)# show capture
capture arp ethernet-type arp interface outside
capture http access-list http packet-length 74 interface inside
 

次の例は、ARP キャプチャによってキャプチャされたパケットを表示する方法を示しています。

hostname(config)# show capture arp
2 packets captured
19:12:23.478429 arp who-has 171.69.38.89 tell 171.69.38.10
19:12:26.784294 arp who-has 171.69.38.89 tell 171.69.38.10
2 packets shown
 

 
関連コマンド

コマンド
説明

capture

パケット キャプチャ機能を有効にして、パケットのスニッフィングやネットワーク障害を検出できるようにします。

clear capture

キャプチャ バッファをクリアします。

copy capture

キャプチャ ファイルをサーバにコピーします。

 

show chardrop

シリアル コンソールからドロップされた文字の数を表示するには、特権 EXEC モードで show chardrop コマンドを使用します。

show chardrop

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、 show chardrop コマンドの出力例を示します。

hostname# show chardrop

Chars dropped pre-TxTimeouts: 0, post-TxTimeouts: 0

 
関連コマンド

コマンド
説明

show running-config

現在の実行コンフィギュレーションを表示します。

 

show checkheaps

チェックヒープに関する統計情報を表示するには、特権 EXEC モードで show checkheaps コマンドを使用します。チェックヒープは、ピープ メモリ バッファ(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられる)の健全性およびコード領域の完全性を確認する定期的なプロセスです。

show checkheaps

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、 show checkheapls コマンドの出力例を示します。

hostname# show checkheaps
 
Checkheaps stats from buffer validation runs
--------------------------------------------
Time elapsed since last run : 42 secs
Duration of last run : 0 millisecs
Number of buffers created : 8082
Number of buffers allocated : 7808
Number of buffers free : 274
Total memory in use : 43570344 bytes
Total memory in free buffers : 87000 bytes
Total number of runs : 310
 

 
関連コマンド

コマンド
説明

checkheaps

チェックヒープの確認間隔を設定します。

 

show checksum

コンフィギュレーションのチェックサムを表示するには、特権 EXEC モードで show checksum コマンドを使用します。

show checksum

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

セキュリティ アプライアンスでこのコマンドがサポートされるようになりました。

 
使用上のガイドライン

show checksum コマンドを使用すると、コンフィギュレーションの内容のデジタル サマリーとして機能する 16 進数の 4 つのグループを表示できます。このチェックサムが計算されるのは、コンフィギュレーションをフラッシュ メモリに格納するときのみです。

show config コマンドまたは show checksum コマンドの出力でチェックサムの前にドット「.」が表示された場合、この出力は、通常のコンフィギュレーション読み込みまたは書き込みモードのインジケータを示しています(セキュリティ アプライアンス フラッシュ パーティションからの読み込み、またはセキュリティ アプライアンス フラッシュ パーティションへの書き込み時)。「.」は、セキュリティ アプライアンスが処理に占有されているが「ハングアップ」していないことを示しています。このメッセージは、「system processing, please wait」メッセージと同様です。

次の例は、コンフィギュレーションまたはチェックサムを表示する方法を示しています。

hostname(config)# show checksum
Cryptochecksum: 1a2833c0 129ac70b 1a88df85 650dbb81
 

 

show chunkstat

チャンクに関する統計情報を表示するには、特権 EXEC モードで show chunkstat コマンドを使用します。

show chunkstat

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例は、チャンクに関する統計情報を表示する方法を示しています。

hostname# show chunkstat
Global chunk statistics: created 181, destroyed 34, siblings created 94, siblings destroyed 34
 
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01edb4cc, name "Managed Chunk Queue Elements", data start @ 01edbd24, end @ 01eddc54
next: 01eddc8c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 499, elt size: 16, index first free 498
# chunks in use: 1, HWM of total used: 1, alignment: 0
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01eddc8c, name "Registry Function List", data start @ 01eddea4, end @ 01ede348
next: 01ede37c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 99, elt size: 12, index first free 42
# chunks in use: 57, HWM of total used: 57, alignment: 0
 

 
関連コマンド

コマンド
説明

show counters

プロトコル スタック カウンタを表示します。

show cpu

CPU の使用状況に関する情報を表示します。

 

show clock

セキュリティ アプライアンス上の時刻を表示するには、ユーザ EXEC モードで show clock コマンドを使用します。

show clock [ detail ]

 
シンタックスの説明

detail

(オプション)クロックのソース(NTP またはユーザ設定)と現在のサマータイム設定(存在する場合)を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、 show clock コマンドの出力例を示します。

hostname> show clock
12:35:45.205 EDT Tue Jul 27 2004
 

次に、 show clock detail コマンドの出力例を示します。

hostname> show clock detail
12:35:45.205 EDT Tue Jul 27 2004
Time source is user configuration
Summer time starts 02:00:00 EST Sun Apr 4 2004
Summer time ends 02:00:00 EDT Sun Oct 31 2004
 

 
関連コマンド

コマンド
説明

clock set

セキュリティ アプライアンスのクロックを手動で設定します。

clock summer-time

夏時間を表示する日付範囲を設定します。

clock timezone

時間帯を設定します。

ntp server

NTP サーバを指定します。

show ntp status

NTP アソシエーションのステータスを表示します。

 

show conn

指定した接続タイプの接続状態を表示するには、特権 EXEC モードで show conn コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。

show conn [ all | count ] [ state state_type ] | [{{ foreign | local } ip [ - ip2 ] netmask mask }] | [ long | detail ] | [{{ lport | fport } port1 } [ - port2 ]] | [ protocol { tcp | udp }]

 
シンタックスの説明

all

デバイスを通過するトラフィックの接続に加えて、デバイスへの接続とデバイスからの接続を表示します。

count

(オプション)アクティブな接続の数を表示します。

detail

変換タイプとインターフェイスの情報を含めて、接続の詳細を表示します。

foreign

指定した外部 IP アドレスとの接続を表示します。

fport

指定した外部ポートとの接続を表示します。

ip

ドット付き 10 進表記の IP アドレス。または、IP アドレス範囲の開始アドレス。

- ip2

(オプション)IP アドレス範囲の終了 IP アドレス。

local

指定したローカル IP アドレスとの接続を表示します。

long

(オプション)接続をロング フォーマットで表示します。

lport

指定したローカル ポートとの接続を表示します。

netmask

指定した IP アドレスに使用するサブネット マスクを指定します。

mask

ドット付き 10 進表記のサブネット マスク。

port1

ポート番号。または、ポート番号範囲の開始ポート番号。

- port2

(オプション)ポート番号範囲の終了ポート番号。

protocol

(オプション)接続プロトコルを指定します。

state

(オプション)指定した接続の状態を表示します。

state_type

接続状態タイプを指定します。接続状態タイプに使用できるキーワードのリストについては、 表 7-7 を参照してください。

tcp

TCP プロトコル接続を表示します。

udp

UDP プロトコル接続を表示します。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show conn コマンドは、アクティブな TCP 接続の数を表示し、さまざまなタイプの接続に関する情報を提供します。接続のテーブル全体を参照するには、 show conn all コマンドを使用します。


) セカンダリ接続を可能にするためのピンホールをセキュリティ アプライアンスが作成するとき、この接続は show conn コマンドでは不完全な接続として表示されます。この不完全な接続を消去するには、clear local コマンドを使用します。


表 7-7 に、 show conn state コマンドを使用するときに指定できる接続タイプを示します。複数の接続タイプを指定する場合は、キーワードをカンマで区切り、スペースは入れません。

 

表7-7 接続状態のタイプ

キーワード
表示される接続タイプ

up

アップ状態の接続。

conn_inbound

着信接続。

ctiqbe

CTIQBE 接続。

data_in

着信データ接続。

data_out

発信データ接続。

finin

FIN 着信接続。

finout

FIN 発信接続。

h225

H.225 接続。

h323

H.323 接続。

http_get

HTTP get 接続。

mgcp

MGCP 接続。

nojava

Java アプレットへのアクセスを拒否する接続。

rpc

RPC 接続。

sip

SIP 接続。

skinny

SCCP 接続。

smtp_data

SMTP メール データ接続。

sqlnet_fixup_data

SQL*Net データ検査エンジン接続。

detail オプションを使用すると、 表 7-8 に示した接続フラグを使用して、変換タイプとインターフェイスに関する情報が表示されます。

 

表7-8 接続フラグ

フラグ
説明

a

SYN に対する外部 ACK(確認応答)を待機

A

SYN に対する内部 ACK(確認応答)を待機

B

外部からの初期 SYN

C

Computer Telephony Interface Quick Buffer Encoding(CTIQBE)メディア接続

d

ダンプ

D

DNS

E

外部バック接続

f

内部 FIN

F

外部 FIN

g

Media Gateway Control Protocol(MGCP)接続

G

接続がグループの一部1

h

H.225

H

H.323

i

不完全な TCP または UDP 接続

I

着信データ

k

Skinny Client Control Protocol(SCCP)メディア接続

m

SIP メディア接続

M

SMTP データ

O

発信データ

p

複製(未使用)

P

内部バック接続

q

SQL*Net データ

r

確認応答された内部 FIN

R

TCP 接続に対する、確認応答された外部 FIN

R

UDP RPC2

s

外部 SYN を待機

S

内部 SYN を待機

t

SIP 一時接続3

T

SIP 接続4

U

アップ

1.G フラグは、接続がグループの一部であることを示します。GRE および FTP の Strict フィックスアップによって設定され、制御接続と関連するすべてのセカンダリ接続を指定します。制御接続が終了すると、関連するすべてのセカンダリ接続も終了します。

2.show conn コマンド出力の各行は 1 つの接続(TCP または UDP)を表すため、1 行に 1 つの R フラグだけが存在します。

3.UDP 接続の場合、値 t は接続が 1 分後にタイムアウトすることを示しています。

4.UDP 接続の場合、値 T は、timeout sip コマンドを使用して指定した値に従って接続がタイムアウトすることを示しています。


) DNS サーバを使用する接続の場合、show conn コマンドの出力で、接続の送信元ポートが DNS サーバの IP アドレスに置き換えられることがあります。


複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、それらのセッションに対しては接続が 1 つのみ作成されます。DNS の識別情報は、app_id によって追跡され、各 app_id のアイドル タイマーはそれぞれ独立して動作します。

app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答がセキュリティ アプライアンスを通過できるのは、限られた期間内のみであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力すると、DNS 接続のアイドル タイマーが新しい DNS セッションによってリセットされているように見えます。これは共有 DNS 接続の性質によるものであり、仕様です。


conn timeout コマンドで定義した非アクティブ期間(デフォルトは 01:00:00)中に TCP トラフィックがまったく発生しなかった場合は、接続が終了し、対応する接続フラグ エントリも表示されなくなります。


複数の接続タイプを指定する場合は、キーワードをカンマで区切り、スペースは入れません。次の例では、アップ状態の RPC 接続、H.323 接続、および SIP 接続に関する情報を表示しています。

hostname# show conn state up,rpc,h323,sip
 

次の例は、内部ホスト 10.1.1.15 から 192.168.49.10 の外部 Telnet サーバへの TCP セッション接続を示しています。B フラグが存在しないため、接続は内部から開始されています。「U」フラグ、「I」フラグ、および「O」フラグは、接続がアクティブであり、着信データと発信データを受信したことを示しています。

hostname# show conn
2 in use, 2 most used
TCP out 192.168.49.10:23 in 10.1.1.15:1026 idle 0:00:22
Bytes 1774 flags UIO
UDP out 192.168.49.10:31649 in 10.1.1.15:1028 idle 0:00:14
flags D-
 

次の例は、外部ホスト 192.168.49.10 から内部ホスト 10.1.1.15 への UDP 接続を示しています。D フラグは、DNS 接続であることを示しています。1028 は、接続上の DNS ID です。

hostname(config)# show conn detail
2 in use, 2 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIBQE media, D - DNS, d - dump,
E - outside back connection, f - inside FIN, F - outside FIN,
G - group, g - MGCP, H - H.323, h - H.255.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media
O - outbound data, P - inside back connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
TCP outside:192.168.49.10/23 inside:10.1.1.15/1026 flags UIO
UDP outside:192.168.49.10/31649 inside:10.1.1.15/1028 flags dD
 

次に、 show conn all コマンドの出力例を示します。

hostname# show conn all
6 in use, 6 most used
TCP out 209.165.201.1:80 in 10.3.3.4:1404 idle 0:00:00 Bytes 11391
TCP out 209.165.201.1:80 in 10.3.3.4:1405 idle 0:00:00 Bytes 3709
TCP out 209.165.201.1:80 in 10.3.3.4:1406 idle 0:00:01 Bytes 2685
TCP out 209.165.201.1:80 in 10.3.3.4:1407 idle 0:00:01 Bytes 2683
TCP out 209.165.201.1:80 in 10.3.3.4:1403 idle 0:00:00 Bytes 15199
TCP out 209.165.201.1:80 in 10.3.3.4:1408 idle 0:00:00 Bytes 2688
UDP out 209.165.201.7:24 in 10.3.3.4:1402 idle 0:01:30
UDP out 209.165.201.7:23 in 10.3.3.4:1397 idle 0:01:30
UDP out 209.165.201.7:22 in 10.3.3.4:1395 idle 0:01:30
 

例では、内部のホスト 10.3.3.4 が 209.165.201.1 の Web サイトにアクセスしています。外部インターフェイス上のグローバル アドレスは、209.165.201.7 です。

 
関連コマンド

コマンド
説明

inspect ctiqbe

CTIQBE アプリケーション検査をイネーブルにします。

inspect h323

H.323 アプリケーション検査をイネーブルにします。

inspect mgcp

MGCP アプリケーション検査をイネーブルにします。

inspect sip

Java アプレットを HTTP トラフィックから削除します。

inspect skinny

SCCP アプリケーション検査をイネーブルにします。

 

show console-output

現在キャプチャされているコンソール出力を表示するには、特権 EXEC モードで
show console-output コマンドを使用します。

show console-output

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例は、コンソール出力がない場合に表示されるメッセージを示しています。

hostname# show console-output
Sorry, there are no messages to display
 

 
関連コマンド

コマンド
説明

show console-output

キャプチャされたコンソール出力を表示します。

 

show context

割り当てられているインターフェイス、コンフィギュレーション ファイルの URL、および設定済みコンテキストの数を含めてコンテキスト情報を表示するには(または、システム実行スペースからすべてのコンテキストのリストを表示するには)、特権 EXEC モードで show context コマンドを使用します。

show context [ name | detail | count ]

 
シンタックスの説明

count

(オプション)設定済みコンテキストの数を表示します。

detail

(オプション)実行状態および内部使用のための情報を含めて、コンテキストに関する詳細な情報を表示します。

name

(オプション)コンテキスト名を設定します。名前を指定しない場合、セキュリティ アプライアンスはすべてのコンテキストを表示します。コンテキスト内で入力できるのは、現在のコンテキスト名のみです。

 
デフォルト

システム実行スペースでは、名前を指定しない場合、セキュリティ アプライアンスはすべてのコンテキストを表示します。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが導入されました。

 
使用上のガイドライン

表示される出力については、「 」の項を参照してください。

次に、 show context コマンドの出力例を示します。この表示例では、3 つのコンテキストが表示されています。

hostname# show context
 
Context Name Interfaces URL
*admin GigabitEthernet0/1.100 flash:/admin.cfg
GigabitEthernet0/1.101
contexta GigabitEthernet0/1.200 flash:/contexta.cfg
GigabitEthernet0/1.201
contextb GigabitEthernet0/1.300 flash:/contextb.cfg
GigabitEthernet0/1.301
Total active Security Contexts: 3
 

表 7-9 に、各フィールドの説明を示します。

 

表7-9 show context のフィールド

フィールド
説明

Context Name

すべてのコンテキスト名が一覧表示されます。アスタリスク(*)の付いているコンテキスト名は、管理コンテキストです。

Interfaces

コンテキストに割り当てられるインターフェイス。

URL

セキュリティ アプライアンスがコンテキストのコンフィギュレーションをロードする URL。

次に、 show context detail コマンドの出力例を示します。

hostname# show context detail
 
Context "admin", has been created, but initial ACL rules not complete
Config URL: flash:/admin.cfg
Real Interfaces: Management0/0
Mapped Interfaces: Management0/0
Flags: 0x00000013, ID: 1
 
Context "ctx", has been created, but initial ACL rules not complete
Config URL: ctx.cfg
Real Interfaces: GigabitEthernet0/0.10, GigabitEthernet0/1.20,
GigabitEthernet0/2.30
Mapped Interfaces: int1, int2, int3
Flags: 0x00000011, ID: 2
 
Context "system", is a system resource
Config URL: startup-config
Real Interfaces:
Mapped Interfaces: Control0/0, GigabitEthernet0/0,
GigabitEthernet0/0.10, GigabitEthernet0/1, GigabitEthernet0/1.10,
GigabitEthernet0/1.20, GigabitEthernet0/2, GigabitEthernet0/2.30,
GigabitEthernet0/3, Management0/0, Management0/0.1
Flags: 0x00000019, ID: 257
 
Context "null", is a system resource
Config URL: ... null ...
Real Interfaces:
Mapped Interfaces:
Flags: 0x00000009, ID: 258
 

表 7-10 に、各フィールドの説明を示します。

 

表7-10 コンテキストの状態

フィールド
説明

Context

コンテキストの名前。ヌル コンテキストの情報は内部でのみ使用されます。system というコンテキストは、システム実行スペースを表しています。

(状態メッセージ)

コンテキストの状態。次に、表示される可能性のあるメッセージを示します。

Has been created, but initial ACL rules not complete

セキュリティ アプライアンスはコンフィギュレーションを解析しましたが、デフォルト セキュリティ ポリシーを確立するためのデフォルト ACL をまだダウンロードしていません。デフォルト セキュリティ ポリシーは、すべてのコンテキストに対して最初に適用されるもので、セキュリティ レベルの低い方から高い方に向かうトラフィックを拒否し、アプリケーション検査およびその他のパラメータをイネーブルにします。このセキュリティ ポリシーによって、コンフィギュレーションが解析されてからコンフィギュレーションの ACL がコンパイルされるまでの間に、トラフィックがセキュリティ アプライアンスを一切通過しないことが保証されます。コンフィギュレーションの ACL は非常に高速でコンパイルされるため、この状態が表示されることはほとんどありません。

Has been created, but not initialized

context name コマンドを入力しましたが、まだ config-url コマンドを入力していません。

Has been created, but the config hasn’t been parsed

デフォルトの ACL がダウンロードされましたが、まだセキュリティ アプライアンスがコンフィギュレーションを解析していません。この状態が表示される場合は、ネットワーク接続に問題があるために、コンフィギュレーションのダウンロードが失敗した可能性があります。または、 config-url コマンドをまだ入力していません。コンフィギュレーションをリロードするには、コンテキスト内から copy startup-config running-config を入力します。システムから、 config-url コマンドを再度入力します。または、空白の実行コンフィギュレーションの設定を開始します。

Is a system resource

この状態に該当するのは、システム実行スペースとヌル コンテキストのみです。ヌル コンテキストはシステムによって使用され、この情報は内部でのみ使用されます。

Is a zombie

no context コマンドまたは clear context コマンドを使用してコンテキストを削除しましたが、コンテキストの情報は、セキュリティ アプライアンスがコンテキスト ID を新しいコンテキストに再利用するか、セキュリティ アプライアンスを再起動するまでメモリに保持されます。

Is active

このコンテキストは現在実行中であり、コンテキスト コンフィギュレーションのセキュリティ ポリシーに従ってトラフィックを通過させることができます。

Is ADMIN and active

このコンテキストは管理コンテキストであり、現在実行中です。

Was a former ADMIN, but is now a zombie

clear configure context コマンドを使用して管理コンテキストを削除しましたが、コンテキストの情報は、セキュリティ アプライアンスがコンテキスト ID を新しいコンテキストに再利用するか、セキュリティ アプライアンスを再起動するまでメモリに保持されます。

Real Interfaces

コンテキストに割り当てられるインターフェイス。インターフェイスの ID を allocate-interface コマンドでマッピングした場合、この表示内容はインターフェイスの実際の名前を示しています。システム実行スペースは、すべてのインターフェイスを含んでいます。

Mapped Interfaces

インターフェイスの ID を allocate-interface コマンドでマッピングした場合、この表示内容はマッピングされた名前を示しています。インターフェイスをマッピングしなかった場合は、実際の名前がもう一度表示されます。

Flag

内部でのみ使用されます。

ID

このコンテキストの内部 ID。

次に、 show context count コマンドの出力例を示します。

hostname# show context count
Total active contexts: 2
 

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

allocate-interface

コンテキストにインターフェイスを割り当てます。

changeto

コンテキスト間またはコンテキストとシステム実行スペースの間で切り替えを行います。

config-url

コンテキスト コンフィギュレーションの場所を指定します。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。

 

show counters

プロトコル スタック カウンタを表示するには、特権 EXEC モードで show counters コマンドを使用します。

show counters [all | context context-name | summary | top N ] [ detail ] [protocol protocol_name [: counter_name ]] [ threshold N ]

 
シンタックスの説明

all

フィルタの詳細を表示します。

context context-name

コンテキスト名を指定します。

: counter_name

カウンタを名前で指定します。

detail

詳細なカウンタ情報を表示します。

protocol protocol_name

指定したプロトコルのカウンタを表示します。

summary

カウンタの要約を表示します。

threshold N

指定したしきい値以上のカウンタのみ表示します。
範囲は 1 ~ 4294967295 です。

top N

指定したしきい値以上のカウンタを表示します。
範囲は 1 ~ 4294967295 です。

 
デフォルト

show counters summary detail threshold 1

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例は、すべてのカウンタを表示する方法を示しています。

hostname# show counters all
Protocol Counter Value Context
IOS_IPC IN_PKTS 2 single_vf
IOS_IPC OUT_PKTS 2 single_vf
 
hostname# show counters
Protocol Counter Value Context
NPCP IN_PKTS 7195 Summary
NPCP OUT_PKTS 7603 Summary
IOS_IPC IN_PKTS 869 Summary
IOS_IPC OUT_PKTS 865 Summary
IP IN_PKTS 380 Summary
IP OUT_PKTS 411 Summary
IP TO_ARP 105 Summary
IP TO_UDP 9 Summary
UDP IN_PKTS 9 Summary
UDP DROP_NO_APP 9 Summary
FIXUP IN_PKTS 202 Summary

次の例は、カウンタの要約を表示する方法を示しています。

hostname# show counters summary
Protocol Counter Value Context
IOS_IPC IN_PKTS 2 Summary
IOS_IPC OUT_PKTS 2 Summary
 

次の例は、コンテキストのカウンタを表示する方法を示しています。

hostname# show counters context single_vf
Protocol Counter Value Context
IOS_IPC IN_PKTS 4 single_vf
IOS_IPC OUT_PKTS 4 single_vf

 
関連コマンド

コマンド
説明

clear counters

プロトコル スタック カウンタをクリアします。

show cpu

CPU の使用状況に関する情報を表示するには、特権 EXEC モードで show cpu usage コマンドを使用します。

show cpu [usage]

マルチ コンテキスト モードでは、システム コンフィギュレーションから次のように入力します。

show cpu [usage] [context {all | context_name }]

 
シンタックスの説明

all

すべてのコンテキストを表示の対象にすることを指定します。

context

1 つのコンテキストを表示の対象にすることを指定します。

context_name

表示の対象にするコンテキストの名前を指定します。

usage

(オプション)CPU 使用状況を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

CPU の使用状況は、負荷の近似値を使用して 5 秒ごとに算出されます。この近似値は、次回と次々回の移動平均に提供されます。

show cpu コマンドを使用すると、負荷に関係しているプロセス(つまり、シングルモードで実行した show process コマンドと、マルチ コンテキスト モードのシステム コンフィギュレーションから実行した show process コマンドの両方の出力に表示されている項目のためのアクティビティ)を発見できます。

さらに、マルチ コンテキスト モードでは、いずれかの設定済みコンテキストが CPU に負荷をかけている場合、その負荷に関係しているプロセスを中断するように要求できます。このためには、各コンテキストに移動して show cpu コマンドを入力するか、このコマンドの変化型である show cpu context を入力します。

プロセスに関係する負荷は、直近の整数に四捨五入されます。それに対して、コンテキストに関係する負荷には小数点第 1 位が含まれています。たとえば、 show cpu をシステム コンテキストから入力すると、 show cpu context system コマンドを入力したときとは別の数値が示されます。前者は show cpu context all のすべての要素の近似的な要約であり、後者はその要約の一部にすぎません。

次の例は、CPU 使用状況を表示する方法を示しています。

hostname# show cpu usage
CPU utilization for 5 seconds = 18%; 1 minute: 18%; 5 minutes: 18%
 

次の例は、マルチ モードでシステム コンテキストの CPU 使用状況を表示する方法を示しています。

hostname# show cpu context system
CPU utilization for 5 seconds = 9.1%; 1 minute: 9.2%; 5 minutes: 9.1%
 

次の例は、すべてのコンテキストの CPU 使用状況を表示する方法を示しています。

hostname# show cpu usage context all
5 sec 1 min 5 min Context Name
9.1% 9.2% 9.1% system
0.0% 0.0% 0.0% admin
5.0% 5.0% 5.0% one
4.2% 4.3% 4.2% two
 

次の例は、one というコンテキストの CPU 使用状況を表示する方法を示しています。

hostname/one# show cpu usage
CPU utilization for 5 seconds = 5.0%; 1 minute: 5.0%; 5 minutes: 5.0%
 

 
関連コマンド

コマンド
説明

show counters

プロトコル スタック カウンタを表示します。

show crashinfo

フラッシュ メモリに格納されているクラッシュ ファイルの内容を表示するには、特権 EXEC モードで show crashinfo コマンドを入力します。

show crashinfo [ save ]

 
シンタックスの説明

save

(オプション)クラッシュ情報をフラッシュ メモリに保存するようにセキュリティ アプライアンスが設定されているかどうかを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

クラッシュ ファイルがテスト クラッシュ( crashinfo test コマンドで生成)のものである場合、クラッシュ ファイルの最初の文字列は「 : Saved_Test_Crash 」であり、最後の文字列は
: End_Test_Crash 」です。クラッシュ ファイルが実際のクラッシュのものである場合、クラッシュ ファイルの最初の文字列は「 : Saved_Crash 」であり、最後の文字列は「 : End_Crash 」です( crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドを使用して発生させたクラッシュを含む)。

クラッシュ データがフラッシュにまったく保存されていない場合や、 clear crashinfo コマンドを入力してクラッシュ データを消去していた場合は、 show crashinfo コマンドを実行するとエラー メッセージが表示されます。

次の例は、現在のクラッシュ情報コンフィギュレーションを表示する方法を示しています。

hostname# show crashinfo save
crashinfo save enable
 

次の例は、クラッシュ ファイル テストの出力を示しています(このテストによって、セキュリティ アプライアンスが実際にクラッシュすることはありません。このテストで生成されるのは、擬似的なサンプル ファイルです)。

hostname(config)# crashinfo test
hostname(config)# exit
hostname# show crashinfo
: Saved_Test_Crash
 
Thread Name: ci/console (Old pc 0x001a6ff5 ebp 0x00e88920)
 
Traceback:
0: 00323143
1: 0032321b
2: 0010885c
3: 0010763c
4: 001078db
5: 00103585
6: 00000000
vector 0x000000ff (user defined)
edi 0x004f20c4
esi 0x00000000
ebp 0x00e88c20
esp 0x00e88bd8
ebx 0x00000001
edx 0x00000074
ecx 0x00322f8b
eax 0x00322f8b
error code n/a
eip 0x0010318c
cs 0x00000008
eflags 0x00000000
CR2 0x00000000
Stack dump: base:0x00e8511c size:16384, active:1476
0x00e89118: 0x004f1bb4
0x00e89114: 0x001078b4
0x00e89110-0x00e8910c: 0x00000000
0x00e89108-0x00e890ec: 0x12345678
0x00e890e8: 0x004f1bb4
0x00e890e4: 0x00103585
0x00e890e0: 0x00e8910c
0x00e890dc-0x00e890cc: 0x12345678
0x00e890c8: 0x00000000
0x00e890c4-0x00e890bc: 0x12345678
0x00e890b8: 0x004f1bb4
0x00e890b4: 0x001078db
0x00e890b0: 0x00e890e0
0x00e890ac-0x00e890a8: 0x12345678
0x00e890a4: 0x001179b3
0x00e890a0: 0x00e890b0
0x00e8909c-0x00e89064: 0x12345678
0x00e89060: 0x12345600
0x00e8905c: 0x20232970
0x00e89058: 0x616d2d65
0x00e89054: 0x74002023
0x00e89050: 0x29676966
0x00e8904c: 0x6e6f6328
0x00e89048: 0x31636573
0x00e89044: 0x7069636f
0x00e89040: 0x64786970
0x00e8903c-0x00e88e50: 0x00000000
0x00e88e4c: 0x000a7473
0x00e88e48: 0x6574206f
0x00e88e44: 0x666e6968
0x00e88e40: 0x73617263
0x00e88e3c-0x00e88e38: 0x00000000
0x00e88e34: 0x12345600
0x00e88e30-0x00e88dfc: 0x00000000
0x00e88df8: 0x00316761
0x00e88df4: 0x74706100
0x00e88df0: 0x12345600
0x00e88dec-0x00e88ddc: 0x00000000
0x00e88dd8: 0x00000070
0x00e88dd4: 0x616d2d65
0x00e88dd0: 0x74756f00
0x00e88dcc: 0x00000000
0x00e88dc8: 0x00e88e40
0x00e88dc4: 0x004f20c4
0x00e88dc0: 0x12345600
0x00e88dbc: 0x00000000
0x00e88db8: 0x00000035
0x00e88db4: 0x315f656c
0x00e88db0: 0x62616e65
0x00e88dac: 0x0030fcf0
0x00e88da8: 0x3011111f
0x00e88da4: 0x004df43c
0x00e88da0: 0x0053fef0
0x00e88d9c: 0x004f1bb4
0x00e88d98: 0x12345600
0x00e88d94: 0x00000000
0x00e88d90: 0x00000035
0x00e88d8c: 0x315f656c
0x00e88d88: 0x62616e65
0x00e88d84: 0x00000000
0x00e88d80: 0x004f20c4
0x00e88d7c: 0x00000001
0x00e88d78: 0x01345678
0x00e88d74: 0x00f53854
0x00e88d70: 0x00f7f754
0x00e88d6c: 0x00e88db0
0x00e88d68: 0x00e88d7b
0x00e88d64: 0x00f53874
0x00e88d60: 0x00e89040
0x00e88d5c-0x00e88d54: 0x12345678
0x00e88d50-0x00e88d4c: 0x00000000
0x00e88d48: 0x004f1bb4
0x00e88d44: 0x00e88d7c
0x00e88d40: 0x00e88e40
0x00e88d3c: 0x00f53874
0x00e88d38: 0x004f1bb4
0x00e88d34: 0x0010763c
0x00e88d30: 0x00e890b0
0x00e88d2c: 0x00e88db0
0x00e88d28: 0x00e88d88
0x00e88d24: 0x0010761a
0x00e88d20: 0x00e890b0
0x00e88d1c: 0x00e88e40
0x00e88d18: 0x00f53874
0x00e88d14: 0x0010166d
0x00e88d10: 0x0000000e
0x00e88d0c: 0x00f53874
0x00e88d08: 0x00f53854
0x00e88d04: 0x0048b301
0x00e88d00: 0x00e88d30
0x00e88cfc: 0x0000000e
0x00e88cf8: 0x00f53854
0x00e88cf4: 0x0048a401
0x00e88cf0: 0x00f53854
0x00e88cec: 0x00f53874
0x00e88ce8: 0x0000000e
0x00e88ce4: 0x0048a64b
0x00e88ce0: 0x0000000e
0x00e88cdc: 0x00f53874
0x00e88cd8: 0x00f7f96c
0x00e88cd4: 0x0048b4f8
0x00e88cd0: 0x00e88d00
0x00e88ccc: 0x0000000f
0x00e88cc8: 0x00f7f96c
0x00e88cc4-0x00e88cc0: 0x0000000e
0x00e88cbc: 0x00e89040
0x00e88cb8: 0x00000000
0x00e88cb4: 0x00f5387e
0x00e88cb0: 0x00f53874
0x00e88cac: 0x00000002
0x00e88ca8: 0x00000001
0x00e88ca4: 0x00000009
0x00e88ca0-0x00e88c9c: 0x00000001
0x00e88c98: 0x00e88cb0
0x00e88c94: 0x004f20c4
0x00e88c90: 0x0000003a
0x00e88c8c: 0x00000000
0x00e88c88: 0x0000000a
0x00e88c84: 0x00489f3a
0x00e88c80: 0x00e88d88
0x00e88c7c: 0x00e88e40
0x00e88c78: 0x00e88d7c
0x00e88c74: 0x001087ed
0x00e88c70: 0x00000001
0x00e88c6c: 0x00e88cb0
0x00e88c68: 0x00000002
0x00e88c64: 0x0010885c
0x00e88c60: 0x00e88d30
0x00e88c5c: 0x00727334
0x00e88c58: 0xa0ffffff
0x00e88c54: 0x00e88cb0
0x00e88c50: 0x00000001
0x00e88c4c: 0x00e88cb0
0x00e88c48: 0x00000002
0x00e88c44: 0x0032321b
0x00e88c40: 0x00e88c60
0x00e88c3c: 0x00e88c7f
0x00e88c38: 0x00e88c5c
0x00e88c34: 0x004b1ad5
0x00e88c30: 0x00e88c60
0x00e88c2c: 0x00e88e40
0x00e88c28: 0xa0ffffff
0x00e88c24: 0x00323143
0x00e88c20: 0x00e88c40
0x00e88c1c: 0x00000000
0x00e88c18: 0x00000008
0x00e88c14: 0x0010318c
0x00e88c10-0x00e88c0c: 0x00322f8b
0x00e88c08: 0x00000074
0x00e88c04: 0x00000001
0x00e88c00: 0x00e88bd8
0x00e88bfc: 0x00e88c20
0x00e88bf8: 0x00000000
0x00e88bf4: 0x004f20c4
0x00e88bf0: 0x000000ff
0x00e88bec: 0x00322f87
0x00e88be8: 0x00f5387e
0x00e88be4: 0x00323021
0x00e88be0: 0x00e88c10
0x00e88bdc: 0x004f20c4
0x00e88bd8: 0x00000000 *
0x00e88bd4: 0x004eabb0
0x00e88bd0: 0x00000001
0x00e88bcc: 0x00f5387e
0x00e88bc8-0x00e88bc4: 0x00000000
0x00e88bc0: 0x00000008
0x00e88bbc: 0x0010318c
0x00e88bb8-0x00e88bb4: 0x00322f8b
0x00e88bb0: 0x00000074
0x00e88bac: 0x00000001
0x00e88ba8: 0x00e88bd8
0x00e88ba4: 0x00e88c20
0x00e88ba0: 0x00000000
0x00e88b9c: 0x004f20c4
0x00e88b98: 0x000000ff
0x00e88b94: 0x001031f2
0x00e88b90: 0x00e88c20
0x00e88b8c: 0xffffffff
0x00e88b88: 0x00e88cb0
0x00e88b84: 0x00320032
0x00e88b80: 0x37303133
0x00e88b7c: 0x312f6574
0x00e88b78: 0x6972772f
0x00e88b74: 0x342f7665
0x00e88b70: 0x64736666
0x00e88b6c: 0x00020000
0x00e88b68: 0x00000010
0x00e88b64: 0x00000001
0x00e88b60: 0x123456cd
0x00e88b5c: 0x00000000
0x00e88b58: 0x00000008
 
Cisco XXX Firewall Version X.X
Cisco XXX Device Manager Version X.X
 
Compiled on Fri 15-Nov-04 14:35 by root
 
hostname up 10 days 0 hours
 
Hardware: XXX-XXX, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
 
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This XXX has a Restricted (R) license.
 
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 13:49:42.148 UTC Wed Nov 20 2004
 
------------------ show clock ------------------
 
15:34:28.129 UTC Sun Nov 24 2004
 
------------------ show memory ------------------
 
Free memory: 50444824 bytes
Used memory: 16664040 bytes
------------- ----------------
Total memory: 67108864 bytes
 
------------------ show conn count ------------------
 
0 in use, 0 most used
 
------------------ show xlate count ------------------
 
0 in use, 0 most used
 
------------------ show blocks ------------------
 
SIZE MAX LOW CNT
4 1600 1600 1600
80 400 400 400
256 500 499 500
1550 1188 795 927
 
------------------ show interface ------------------
 
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0003.e300.73fd
IP address 172.23.59.232, subnet mask 255.255.0.0
MTU 1500 bytes, BW 10000 Kbit half duplex
6139 packets input, 830375 bytes, 0 no buffer
Received 5990 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
90 packets output, 6160 bytes, 0 underruns
0 output errors, 13 collisions, 0 interface resets
0 babbles, 0 late collisions, 47 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (5/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet1 "inside" is up, line protocol is down
Hardware is i82559 ethernet, address is 0003.e300.73fe
IP address 10.1.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 60 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet2 "intf2" is administratively down, line protocol is down
Hardware is i82559 ethernet, address is 00d0.b7c8.139e
IP address 127.0.0.1, subnet mask 255.255.255.255
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
 
------------------ show cpu usage ------------------
 
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
 
------------------ show process ------------------
 
 
PC SP STATE Runtime SBASE Stack Process
Hsi 001e3329 00763e7c 0053e5c8 0 00762ef4 3784/4096 arp_timer
Lsi 001e80e9 00807074 0053e5c8 0 008060fc 3792/4096 FragDBGC
Lwe 00117e3a 009dc2e4 00541d18 0 009db46c 3704/4096 dbgtrace
Lwe 003cee95 009de464 00537718 0 009dc51c 8008/8192 Logger
Hwe 003d2d18 009e155c 005379c8 0 009df5e4 8008/8192 tcp_fast
Hwe 003d2c91 009e360c 005379c8 0 009e1694 8008/8192 tcp_slow
Lsi 002ec97d 00b1a464 0053e5c8 0 00b194dc 3928/4096 xlate clean
Lsi 002ec88b 00b1b504 0053e5c8 0 00b1a58c 3888/4096 uxlate clean
Mrd 002e3a17 00c8f8d4 0053e600 0 00c8d93c 7908/8192 tcp_intercept_times
Lsi 00423dd5 00d3a22c 0053e5c8 0 00d392a4 3900/4096 route_process
Hsi 002d59fc 00d3b2bc 0053e5c8 0 00d3a354 3780/4096 PIX Garbage Collecr
Hwe 0020e301 00d5957c 0053e5c8 0 00d55614 16048/16384 isakmp_time_keepr
Lsi 002d377c 00d7292c 0053e5c8 0 00d719a4 3928/4096 perfmon
Hwe 0020bd07 00d9c12c 0050bb90 0 00d9b1c4 3944/4096 IPSec
Mwe 00205e25 00d9e1ec 0053e5c8 0 00d9c274 7860/8192 IPsec timer handler
Hwe 003864e3 00db26bc 00557920 0 00db0764 6904/8192 qos_metric_daemon
Mwe 00255a65 00dc9244 0053e5c8 0 00dc8adc 1436/2048 IP Background
Lwe 002e450e 00e7bb94 00552c30 0 00e7ad1c 3704/4096 pix/trace
Lwe 002e471e 00e7cc44 00553368 0 00e7bdcc 3704/4096 pix/tconsole
Hwe 001e5368 00e7ed44 00730674 0 00e7ce9c 7228/8192 pix/intf0
Hwe 001e5368 00e80e14 007305d4 0 00e7ef6c 7228/8192 pix/intf1
Hwe 001e5368 00e82ee4 00730534 2470 00e8103c 4892/8192 pix/intf2
H* 001a6ff5 0009ff2c 0053e5b0 4820 00e8511c 12860/16384 ci/console
Csi 002dd8ab 00e8a124 0053e5c8 0 00e891cc 3396/4096 update_cpu_usage
Hwe 002cb4d1 00f2bfbc 0051e360 0 00f2a134 7692/8192 uauth_in
Hwe 003d17d1 00f2e0bc 00828cf0 0 00f2c1e4 7896/8192 uauth_thread
Hwe 003e71d4 00f2f20c 00537d20 0 00f2e294 3960/4096 udp_timer
Hsi 001db3ca 00f30fc4 0053e5c8 0 00f3004c 3784/4096 557mcfix
Crd 001db37f 00f32084 0053ea40 508286220 00f310fc 3688/4096 557poll
Lsi 001db435 00f33124 0053e5c8 0 00f321ac 3700/4096 557timer
Hwe 001e5398 00f441dc 008121e0 0 00f43294 3912/4096 fover_ip0
Cwe 001dcdad 00f4523c 00872b48 120 00f44344 3528/4096 ip/0:0
Hwe 001e5398 00f4633c 008121bc 10 00f453f4 3532/4096 icmp0
Hwe 001e5398 00f47404 00812198 0 00f464cc 3896/4096 udp_thread/0
Hwe 001e5398 00f4849c 00812174 0 00f475a4 3456/4096 tcp_thread/0
Hwe 001e5398 00f495bc 00812150 0 00f48674 3912/4096 fover_ip1
Cwe 001dcdad 00f4a61c 008ea850 0 00f49724 3832/4096 ip/1:1
Hwe 001e5398 00f4b71c 0081212c 0 00f4a7d4 3912/4096 icmp1
Hwe 001e5398 00f4c7e4 00812108 0 00f4b8ac 3896/4096 udp_thread/1
Hwe 001e5398 00f4d87c 008120e4 0 00f4c984 3832/4096 tcp_thread/1
Hwe 001e5398 00f4e99c 008120c0 0 00f4da54 3912/4096 fover_ip2
Cwe 001e542d 00f4fa6c 00730534 0 00f4eb04 3944/4096 ip/2:2
Hwe 001e5398 00f50afc 0081209c 0 00f4fbb4 3912/4096 icmp2
Hwe 001e5398 00f51bc4 00812078 0 00f50c8c 3896/4096 udp_thread/2
Hwe 001e5398 00f52c5c 00812054 0 00f51d64 3832/4096 tcp_thread/2
Hwe 003d1a65 00f78284 008140f8 0 00f77fdc 300/1024 listen/http1
Mwe 0035cafa 00f7a63c 0053e5c8 0 00f786c4 7640/8192 Crypto CA
 
------------------ show failover ------------------
 
No license for Failover
 
------------------ show traffic ------------------
 
outside:
received (in 865565.090 secs):
6139 packets 830375 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 865565.090 secs):
90 packets 6160 bytes
0 pkts/sec 0 bytes/sec
inside:
received (in 865565.090 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 865565.090 secs):
1 packets 60 bytes
0 pkts/sec 0 bytes/sec
intf2:
received (in 865565.090 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 865565.090 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
 
------------------ show perfmon ------------------
 
 
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
: End_Test_Crash
 

 
関連コマンド

コマンド
説明

clear crashinfo

クラッシュ ファイルの内容を削除します。

crashinfo force

セキュリティ アプライアンスを強制的にクラッシュさせます。

crashinfo save disable

フラッシュ メモリへのクラッシュ情報の書き込みをディセーブルにします。

crashinfo test

フラッシュ メモリ内のファイルにクラッシュ情報を保存する、セキュリティ アプライアンスの機能をテストします。

show crashinfo console

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行うには、crashinfo console disable コマンドを使用します。このコマンドは、クラッシュを強制的に発生させます。

show crashinfo console

 
シンタックスの説明

console

クラッシュ情報をコンソールに出力するかどうかを制御します。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが導入されました。

 
使用上のガイドライン

FIPS 140-2 に準拠すると、キーやパスワードなどのクリティカル セキュリティ パラメータを暗号境界(シャーシ)の外側に配布することができません。アサートまたはチェックヒープのエラーによってデバイスがクラッシュしたとき、コンソールにダンプされるスタック領域やメモリ領域は、機密データを含んでいることがあります。この出力は、FIPS モードでは表示されないようにする必要があります。

sw8-5520(config)# show crashinfo console
 

 
関連コマンド

コマンド
説明

clear configure fips

NVRAM に格納されている、システムまたはモジュールの FIPS コンフィギュレーション情報を消去します。

crashinfo console disable

フラッシュに対するクラッシュ書き込み情報の読み取り、書き込み、および設定をディセーブルにします。

fips enable

システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。

fips self-test poweron

パワーオン セルフテストを実行します。

show running-config fips

セキュリティ アプライアンスで実行されている FIPS コンフィギュレーションを表示します。

show crypto accelerator statistics

ハードウェア暗号アクセラレータ MIB 内のグローバルな統計情報またはアクセラレータ固有の統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto accelerator statistics コマンドを使用します。

show crypto accelerator statistics

 
シンタックスの説明

このコマンドには、キーワードも変数もありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

グローバル コンフィギュレーション モードで入力した次の例では、グローバルな暗号アクセラレータ統計情報を表示しています。

hostname # show crypto accelerator statistics
 
Crypto Accelerator Status
-------------------------
[Capacity]
Supports hardware crypto: True
Supports modular hardware crypto: False
Max accelerators: 1
Max crypto throughput: 100 Mbps
Max crypto connections: 750
[Global Statistics]
Number of active accelerators: 1
Number of non-operational accelerators: 0
Input packets: 700
Input bytes: 753488
Output packets: 700
Output error packets: 0
Output bytes: 767496
[Accelerator 0]
Status: Active
Software crypto engine
Slot: 0
Active time: 167 seconds
Total crypto transforms: 7
Total dropped packets: 0
[Input statistics]
Input packets: 0
Input bytes: 0
Input hashed packets: 0
Input hashed bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[Output statistics]
Output packets: 0
Output bad packets: 0
Output bytes: 0
Output hashed packets: 0
Output hashed bytes: 0
Encrypted packets: 0
Encrypted bytes: 0
[Diffie-Hellman statistics]
Keys generated: 0
Secret keys derived: 0
[RSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
Encrypted packets: 0
Encrypted bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[DSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
[SSL statistics]
Outbound records: 0
Inbound records: 0
[RNG statistics]
Random number requests: 98
Random number request failures: 0
[Accelerator 1]
Status: Active
Encryption hardware device : Cisco ASA-55x0 on-board accelerator
(revision 0x0)
Boot microcode : CNlite-MC-Boot-Cisco-1.2
SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.03
Slot: 1
Active time: 170 seconds
Total crypto transforms: 1534
Total dropped packets: 0
[Input statistics]
Input packets: 700
Input bytes: 753544
Input hashed packets: 700
Input hashed bytes: 736400
Decrypted packets: 700
Decrypted bytes: 719944
[Output statistics]
Output packets: 700
Output bad packets: 0
Output bytes: 767552
Output hashed packets: 700
Output hashed bytes: 744800
Encrypted packets: 700
Encrypted bytes: 728352
[Diffie-Hellman statistics]
Keys generated: 97
Secret keys derived: 1
[RSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
Encrypted packets: 0
Encrypted bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[DSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
[SSL statistics]
Outbound records: 0
Inbound records: 0
[RNG statistics]
Random number requests: 1
Random number request failures: 0
hostname #
 

 
関連コマンド

コマンド
説明

clear crypto accelerator statistics

暗号アクセラレータ MIB 内のグローバルな統計情報およびアクセラレータ固有の統計情報を消去します。

clear crypto protocol statistics

暗号アクセラレータ MIB 内のプロトコル固有の統計情報を消去します。

show crypto protocol statistics

暗号アクセラレータ MIB 内のプロトコル固有の統計情報を表示します。

 

show crypto ca certificates

特定のトラストポイントに関連付けられている証明書、またはシステムにインストールされているすべての証明書を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ca certificates コマンドを使用します。

show crypto ca certificates [ trustpointname ]

 
シンタックスの説明

trustpointname

(オプション)トラストポイントの名前。名前を指定しない場合は、システムにインストールされているすべての証明書が表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

グローバル コンフィギュレーション モードで入力した次の例では、tp1 というトラストポイントの CA 証明書を表示しています。

hostname(config)# show crypto ca certificates tp1
CA Certificate
Status: Available
Certificate Serial Number 2957A3FF296EF854FD0D6732FE25B45
Certificate Usage: Signature
Issuer:
CN = ms-root-sha-06-2004
OU = rootou
O = cisco
L = franklin
ST - massachusetts
C = US
EA = a@b.con
Subject:
CN = ms-root-sha-06-2004
OU = rootou
O = cisco
L = franklin
ST = massachusetts
C = US
EA = a@b.com
CRL Distribution Point
ldap://w2kadvancedsrv/CertEnroll/ms-root-sha-06-2004.crl
Validity Date:
start date: 14:11:40 UTC Jun 26 2004
end date: 14:01:30 UTC Jun 4 2022
Associated Trustpoints: tp2 tp1
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ca authenticate

指定したトラストポイントの CA 証明書を取得します。

crypto ca crl request

指定したトラストポイントのコンフィギュレーション パラメータに基づいて、CRL を要求します。

crypto ca enroll

CA との登録プロセスを開始します。

crypto ca import

指定したトラストポイントに証明書をインポートします。

crypto ca trustpoint

指定したトラストポイントのトラストポイント モードに入ります。

 

show crypto ca crls

キャッシュされているすべての CRL、または指定したトラストポイントでキャッシュされているすべての CRL を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ca crls コマンドを使用します。

show crypto ca crls [ trustpointname ]

 
シンタックスの説明

trustpointname

(オプション)トラストポイントの名前。名前を指定しない場合は、システムにキャッシュされているすべての CRL が表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

グローバル コンフィギュレーション モードで入力した次の例では、tp1 というトラストポイントの CRL を表示しています。

hostname(config)# show crypto ca crls tp1
CRL Issuer Name:
cn=ms-sub1-ca-5-2004,ou=Franklin DevTest,o=Cisco
Systems,l=Franklin,st=MA,c=US,ea=user@cisco.com
LastUpdate: 19:45:53 UTC Dec 24 2004
NextUpdate: 08:05:53 UTC Jan 1 2005
Retrieved from CRL Distribution Point:
http://win2k-ad2.frk-ms-pki.cisco.com/CertEnroll/ms-sub1-ca-5-2004.crl
Associated Trustpoints: tp1
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ca authenticate

指定したトラストポイントの CA 証明書を取得します。

crypto ca crl request

指定したトラストポイントのコンフィギュレーション パラメータに基づいて、CRL を要求します。

crypto ca enroll

CA との登録プロセスを開始します。

crypto ca import

指定したトラストポイントに証明書をインポートします。

crypto ca trustpoint

指定したトラストポイントのトラストポイント モードに入ります。

 

show crypto ipsec df-bit

指定したインターフェイスの IPSec パケットの IPSec DF ビット ポリシーを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec df-bit コマンドを使用します。

show crypto ipsec df-bit interface

 
シンタックスの説明

interface

インターフェイス名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、inside というインターフェイスの IPSec DF ビット ポリシーを表示しています。

hostname(config)# show crypto ipsec df-bit inside
df-bit inside copy
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ipsec df-bit

IPSec パケットの IPSec DF ビット ポリシーを設定します。

crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを設定します。

show crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを表示します。

 

show crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec fragmentation コマンドを使用します。

show crypto ipsec fragmentation interface

 
シンタックスの説明

interface

インターフェイス名を指定します。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

グローバル コンフィギュレーション モードで入力した次の例では、inside というインターフェイスの IPSec フラグメンテーション ポリシーを表示しています。

hostname(config)# show crypto ipsec fragmentation inside
fragmentation inside before-encryption
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを設定します。

crypto ipsec df-bit

IPSec パケットの DF ビット ポリシーを設定します。

show crypto ipsec df-bit

指定したインターフェイスの DF ビット ポリシーを表示します。

 

show crypto key mypubkey

指定したタイプのキー ペアを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto key mypubkey コマンドを使用します。

show crypto key mypubkey { rsa | dsa }

 
シンタックスの説明

dsa

DSA キー ペアを表示します。

rsa

RSA キー ペアを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

グローバル コンフィギュレーション モードで入力した次の例では、RSA キー ペアを表示しています。

hostname(config)# show crypto key mypubkey rsa
[Display]
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto key generate dsa

DSA キー ペアを生成します。

crypto key generate rsa

RSA キー ペアを生成します。

crypto key zeroize

指定したタイプのすべてのキー ペアを削除します。

 

show crypto protocol statistics

暗号アクセラレータ MIB 内のプロトコル固有の統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto protocol statistics コマンドを使用します。

show crypto protocol statistics protocol

 
シンタックスの説明

protocol

統計情報を表示するプロトコルの名前を指定します。指定できるプロトコルは、次のとおりです。

ikev1 :Internet Key Exchange バージョン 1

ipsec :IP セキュリティ フェーズ 2 プロトコル

ssl :Secure Socket Layer

other :新しいプロトコルのために予約済み

all :現在サポートされているすべてのプロトコル

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

グローバル コンフィギュレーション モードで入力した次の例では、指定したプロトコルに関する暗号アクセラレータ統計情報を表示しています。

hostname # show crypto protocol statistics ikev1
[IKEv1 statistics]
Encrypt packet requests: 39
Encapsulate packet requests: 39
Decrypt packet requests: 35
Decapsulate packet requests: 35
HMAC calculation requests: 84
SA creation requests: 1
SA rekey requests: 3
SA deletion requests: 2
Next phase key allocation requests: 2
Random number generation requests: 0
Failed requests: 0
 
hostname # show crypto protocol statistics ipsec
[IPsec statistics]
Encrypt packet requests: 700
Encapsulate packet requests: 700
Decrypt packet requests: 700
Decapsulate packet requests: 700
HMAC calculation requests: 1400
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
 
hostname # show crypto protocol statistics ssl
[SSL statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
 
hostname # show crypto protocol statistics other
[Other statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 99
Failed requests: 0
 
hostname # show crypto protocol statistics all
[IKEv1 statistics]
Encrypt packet requests: 46
Encapsulate packet requests: 46
Decrypt packet requests: 40
Decapsulate packet requests: 40
HMAC calculation requests: 91
SA creation requests: 1
SA rekey requests: 3
SA deletion requests: 3
Next phase key allocation requests: 2
Random number generation requests: 0
Failed requests: 0
[IKEv2 statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[IPsec statistics]
Encrypt packet requests: 700
Encapsulate packet requests: 700
Decrypt packet requests: 700
Decapsulate packet requests: 700
HMAC calculation requests: 1400
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[SSL statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[SSH statistics are not supported]
[SRTP statistics are not supported]
[Other statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 99
Failed requests: 0
hostname #
 

 
関連コマンド

コマンド
説明

clear crypto accelerator statistics

暗号アクセラレータ MIB 内のグローバルな統計情報およびアクセラレータ固有の統計情報を消去します。

clear crypto protocol statistics

暗号アクセラレータ MIB 内のプロトコル固有の統計情報を消去します。

show crypto accelerator statistics

暗号アクセラレータ MIB 内のグローバルな統計情報およびアクセラレータ固有の統計情報を表示します。

 

show ctiqbe

セキュリティ アプライアンスを越えて確立されている CTIQBE セッションの情報を表示するには、特権 EXEC モードで show ctiqbe コマンドを使用します。

show ctiqbe

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show ctiqbe コマンドは、セキュリティ アプライアンスを越えて確立されている CTIQBE セッションの情報を表示します。 debug ctiqbe show local-host と共に、このコマンドは、CTIQBE 検査エンジンの問題のトラブルシューティングに使用されます。


show ctiqbe コマンドを使用する前に pager コマンドを設定することを推奨します。多くの CTIQBE セッションが存在し、pager コマンドが設定されていない場合、show ctiqbe コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。


次の条件における show ctiqbe コマンドの出力例を示します。セキュリティ アプライアンスを越えてセットアップされているアクティブ CTIQBE セッションは 1 つだけです。そのセッションは、ローカル アドレス 10.0.0.99 の内部 CTI デバイス(たとえば、Cisco IP SoftPhone)と 172.29.1.77 の外部 Cisco Call Manager の間で確立されています。ここで、TCP ポート 2748 は、Cisco CallManager です。このセッションのハートビート間隔は 120 秒です。

hostname# | show ctiqbe
 
Total: 1
| LOCAL | FOREIGN | STATE | HEARTBEAT
---------------------------------------------------------------
1 | 10.0.0.99/1117 172.29.1.77/2748 | 1 | 120
| RTP/RTCP: PAT xlates: mapped to 172.29.1.99(1028 | 1029)
| MEDIA: Device ID 27 | Call ID 0
| Foreign 172.29.1.99 | (1028 | 1029)
| Local | 172.29.1.88 | (26822 | 26823)
| ----------------------------------------------
 

CTI デバイスは、すでに CallManager に登録されています。デバイスの内部アドレスと RTP リスン ポートは、172.29.1.99 UDP ポート 1028 に PAT 変換されています。その RTCP リスン ポートは、UDP 1029 に PAT 変換されています。

RTP/RTCP: PAT xlates: で始まる行は、内部 CTI デバイスが外部 CallManager に登録され、CTI デバイスのアドレスとポートは、その外部インターフェイスに PAT 変換されている場合に限り表示されます。この行は、CallManager が内部インターフェイス上に位置する場合、または内部 CTI デバイスのアドレスとポートが、CallManager が使用しているのと同じ外部インターフェイスに NAT 変換されている場合は、表示されません。

この出力は、コールがこの CTI デバイスと 172.29.1.88 にある別の電話機の間に確立されていることを示します。他の電話機の RTP および RTCP リスン ポートは、UDP 26822 および 26823 です。セキュリティ アプライアンスは 2 番目の電話機と CallManager に関連する CTIQBE セッション レコードを維持できないので、他の電話機は、CallManager と同じインターフェイス上にあります。CTI デバイス側のアクティブ コール レグは、Device ID 27 および Call ID 0 で確認できます。

次に、これらの CTIBQE 接続に対する xlate 情報を示します。

hostname# show xlate debug
3 in use, 3 most used
Flags: D | DNS, d | dump, I | identity, i | inside, n | no random,
| o | outside, r | portmap, s | static
TCP PAT from inside:10.0.0.99/1117 to outside:172.29.1.99/1025 flags ri idle 0:00:22 timeout 0:00:30
UDP PAT from inside:10.0.0.99/16908 to outside:172.29.1.99/1028 flags ri idle 0:00:00 timeout 0:04:10
UDP PAT from inside:10.0.0.99/16909 to outside:172.29.1.99/1029 flags ri idle 0:00:23 timeout 0:04:10
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

inspect ctiqbe

CTIQBE アプリケーション検査をイネーブルにします。

service-policy

1 つまたは複数のインターフェイスにポリシーマップを適用します。

show conn

さまざまな接続タイプの接続状態を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

 

show curpriv

現在のユーザ特権を表示するには、 show curpriv コマンドを使用します。

show curpriv

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

ユーザ

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

CLI ガイドラインに準拠するように修正されました。

 
使用上のガイドライン

show curpriv コマンドは、現在の特権レベルを表示します。特権レベルの数値が小さいほど、特権レベルが低いことを示しています。

次の例は、enable_15 という名前のユーザが異なる特権レベルにある場合の show curpriv コマンドの出力を示しています。ユーザ名はログイン時にユーザが入力した名前を示し、P_PRIV はユーザが enable コマンドを入力したことを示し、P_CONF は config terminal コマンドを入力したことを示します。

hostname(config)# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV P_CONF
hostname(config)# exit
 
hostname(config)# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV
hostname(config)# exit
 
hostname(config)# show curpriv
Username : enable_1
Current privilege level : 1
Current Mode/s : P_UNPR
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure privilege

コンフィギュレーションから privilege コマンド文を削除します。

show running-config privilege

コマンドの特権レベルを表示します。

 

show debug

現在のデバッグ コンフィギュレーションを表示するには、 show debug コマンドを使用します。

show debug [ command [ keywords ]]

 
シンタックスの説明

command

(オプション)現在のコンフィギュレーションを表示するデバッグ コマンドを指定します。 command 以降のシンタックスは、各 command の関連 debug コマンドでサポートされているシンタックスと同じです。たとえば、 show debug aaa 以降で有効となる keywords は、 debug aaa コマンドで有効となるキーワードと同じです。つまり、 show debug aaa の場合は accounting キーワードをサポートしています。このキーワードを使用すると、AAA デバッグの当該部分のデバッグ コンフィギュレーションを表示することを指定できます。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

有効となる command 値は、次のとおりです。 command 以降で有効となるシンタックスについては、該当する debug command のエントリを参照してください。


) それぞれの command 値を入力できるかどうかは、該当する debug コマンドをサポートしているコマンド モードによって異なります。


aaa

appfw

arp

asdm

context

crypto

ctiqbe

ctm

dhcpc

dhcpd

dhcprelay

disk

dns

email

entity

fixup

fover

fsm

ftp

generic

gtp

h323

http

http-map

icmp

igmp

ils

imagemgr

ipsec-over-tcp

ipv6

iua-proxy

kerberos

ldap

mfib

mgcp

mrib

ntdomain

ntp

ospf

parser

pim

pix

pptp

radius

rip

rtsp

sdi

sequence

sip

skinny

smtp

sqlnet

ssh

ssl

sunrpc

tacacs

timestamps

vpn-sessiondb

webvpn

xdmcp

次のコマンドでは、認証、アカウンティング、およびフラッシュ メモリについてデバッグをイネーブルにしています。 show debug コマンドを 3 つの方法で使用して、すべてのデバッグ コンフィギュレーション、特定の機能のデバッグ コンフィギュレーション、および機能のサブセットのデバッグ コンフィギュレーションを表示する方法を示しています。

hostname# debug aaa authentication
debug aaa authentication enabled at level 1
hostname# debug aaa accounting
debug aaa accounting enabled at level 1
hostname# debug disk filesystem
debug disk filesystem enabled at level 1
hostname# show debug
debug aaa authentication enabled at level 1
debug aaa accounting enabled at level 1
debug disk filesystem enabled at level 1
hostname# show debug aaa
debug aaa authentication enabled at level 1
debug aaa authorization is disabled.
debug aaa accounting enabled at level 1
debug aaa internal is disabled.
debug aaa vpn is disabled.
hostname# show debug aaa accounting
debug aaa accounting enabled at level 1
hostname#
 

 
関連コマンド

コマンド
説明

debug

すべての debug コマンドを参照してください。

 

show dhcpd

DHCP のバインディング、状態、および統計情報を表示するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで show dhcpd コマンドを使用します。

show dhcpd { binding [ IP_address ] | state | statistics }

 
シンタックスの説明

binding

与えられたサーバの IP アドレスとそれに関連付けられているクライアント ハードウェア アドレスとリース期間に対するバインディング情報を表示します。

IP_address

指定した IP アドレスのバインディング情報を表示します。

state

DHCP サーバの状態を表示します。たとえば、現在のコンテキストでイネーブルになっているかどうか、各インターフェイスでイネーブルになっているかどうかなどです。

statistics

アドレス プール、バインディング、有効期限切れのバインディング、形式が誤っているメッセージ、送信済みメッセージ、および受信済みメッセージの数などの統計情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show dhcpd binding コマンドにオプションの IP アドレスを含めると、その IP アドレスのバインディングのみが表示されます。

show dhcpd binding | state | statistics コマンドは、グローバル コンフィギュレーション モードでも使用できます。

次に、 show dhcpd binding コマンドの出力例を示します。

hostname# show dhcpd binding
IP Address Hardware Address Lease Expiration Type
10.0.1.100 0100.a0c9.868e.43 84985 seconds automatic
 

次に、 show dhcpd state コマンドの出力例を示します。

hostname# show dhcpd state
Context Not Configured for DHCP
Interface outside, Not Configured for DHCP
Interface inside, Not Configured for DHCP
 

次に、 show dhcpd statistics コマンドの出力例を示します。

hostname# show dhcpd statistics
 
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
 
Address pools 1
Automatic bindings 1
Expired bindings 1
Malformed messages 0
 
Message Received
BOOTREQUEST 0
DHCPDISCOVER 1
DHCPREQUEST 2
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
 
Message Sent
BOOTREPLY 0
DHCPOFFER 1
DHCPACK 1
DHCPNAK 1
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバの設定をすべて削除します。

clear dhcpd

DHCP サーバのバインディングおよび統計情報カウンタをクリアします。

dhcpd lease

クライアントに与える DHCP 情報のリース期間を定義します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

 

show dhcprelay state

DHCP リレー エージェントの状態を表示するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで show dhcprelay state コマンドを使用します。

show dhcprelay state

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドは、現在のコンテキストおよび各インターフェイスの DHCP リレー エージェントの状態情報を表示します。

次に、 show dhcprelay state コマンドの出力例を示します。

hostname# show dhcprelay state
 
Context Configured as DHCP Relay
Interface outside, Not Configured for DHCP
Interface infrastructure, Configured for DHCP RELAY SERVER
Interface inside, Configured for DHCP RELAY
 

 
関連コマンド

コマンド
説明

show dhcpd

DHCP サーバの統計情報と状態情報を表示します。

show dhcprelay statistics

DHCP リレーの統計情報を表示します。

show running-config dhcprelay

現在の DHCP リレー エージェント コンフィギュレーションを表示します。

 

show dhcprelay statistics

DHCP リレーの統計情報を表示するには、特権 EXEC モードで show dhcprelay statistics コマンドを使用します。

show dhcprelay statistics

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show dhcprelay statistics コマンドの出力は、 clear dhcprelay satistics コマンドを入力するまでは増分します。

次に、 show dhcprelay statistics コマンドの出力例を示します。

hostname# show dhcprelay statistics
 
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
 
Packets Relayed
BOOTREQUEST 0
DHCPDISCOVER 7
DHCPREQUEST 3
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
 
BOOTREPLY 0
DHCPOFFER 7
DHCPACK 3
DHCPNAK 0
FeralPix(config)#
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェントの設定をすべて削除します。

clear dhcprelay statistics

DHCP リレー エージェント統計情報カウンタをクリアします。

debug dhcprelay

DHCP リレー エージェントに関するデバッグ情報を表示します。

show dhcprelay state

DHCP リレー エージェントの状態を表示します。

show running-config dhcprelay

現在の DHCP リレー エージェント コンフィギュレーションを表示します。

 

show disk

フラッシュ メモリの内容を表示するには、特権 EXEC モードで show disk コマンドを使用します。PIX セキュリティ アプライアンスのフラッシュ メモリを表示するには、 show flash コマンドを参照してください。

show disk [ 0 | 1 ] [ filesys | all ]

 
シンタックスの説明

0 | 1

内部フラッシュ メモリ(0。デフォルト)または外部フラッシュメモリ(1)を指定します。

filesys

コンパクト フラッシュ カードに関する情報を表示します。

all

フラッシュ メモリの内容に加えてファイル システム情報を表示します。

 
デフォルト

デフォルトでは、内部フラッシュ メモリが表示されます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが導入されました。

次に、 show disk コマンドの出力例を示します。

hostname# show disk
-#- --length-- -----date/time------ path
11 1301 Feb 21 2005 18:01:34 test.cfg
12 1949 Feb 21 2005 20:13:36 test1.cfg
13 2551 Jan 06 2005 10:07:36 test2.cfg
14 609223 Jan 21 2005 07:14:18 test3.cfg
15 1619 Jul 16 2004 16:06:48 test4.cfg
16 3184 Aug 03 2004 07:07:00 old_running.cfg
17 4787 Mar 04 2005 12:32:18 test5.cfg
20 1792 Jan 21 2005 07:29:24 test6.cfg
21 7765184 Mar 07 2005 19:38:30 test7.cfg
22 1674 Nov 11 2004 02:47:52 test8.cfg
23 1863 Jan 21 2005 07:29:18 test9.cfg
24 1197 Jan 19 2005 08:17:48 test10.cfg
25 608554 Jan 13 2005 06:20:54 backupconfig.cfg
26 5124096 Feb 20 2005 08:49:28 cdisk1
27 5124096 Mar 01 2005 17:59:56 cdisk2
28 2074 Jan 13 2005 08:13:26 test11.cfg
29 5124096 Mar 07 2005 19:56:58 cdisk3
30 1276 Jan 28 2005 08:31:58 lead
31 7756788 Feb 24 2005 12:59:46 asdmfile.dbg
32 7579792 Mar 08 2005 11:06:56 asdmfile1.dbg
33 7764344 Mar 04 2005 12:17:46 asdmfile2.dbg
34 5124096 Feb 24 2005 11:50:50 cdisk4
35 15322 Mar 04 2005 12:30:24 hs_err.log
 
10170368 bytes available (52711424 bytes used)
 

次に、 show disk filesys コマンドの出力例を示します。

hostname# show disk filesys
******** Flash Card Geometry/Format Info ********
 
COMPACT FLASH CARD GEOMETRY
Number of Heads: 4
Number of Cylinders 978
Sectors per Cylinder 32
Sector Size 512
Total Sectors 125184
 
COMPACT FLASH CARD FORMAT
Number of FAT Sectors 61
Sectors Per Cluster 8
Number of Clusters 15352
Number of Data Sectors 122976
Base Root Sector 123
Base FAT Sector 1
Base Data Sector 155
 

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

show flash

内部フラッシュ メモリの内容を表示します。

 

show dns-hosts

DNS キャッシュを表示するには、特権 EXEC モードで show dns-hosts コマンドを使用します。DNS キャッシュには、DNS サーバから動的にラーニングしたエントリとともに、 name コマンドを使用して手作業で入力した名前および IP アドレスが保持されています。

show dns-hosts

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

表示される出力については、「 」の項を参照してください。

次に、 show dns-hosts コマンドの出力例を示します。

hostname# show dns-hosts
Host Flags Age Type Address(es)
ns2.example.com (temp, OK) 0 IP 10.102.255.44
ns1.example.com (temp, OK) 0 IP 192.168.241.185
snowmass.example.com (temp, OK) 0 IP 10.94.146.101
server.example.com (temp, OK) 0 IP 10.94.146.80
 

表 7-11 に、各フィールドの説明を示します。

 

表7-11 show dns-hosts のフィールド

フィールド
説明

Host

ホスト名を表示します。

Flags

次のフラグを組み合せて、エントリのステータスを表示します。

temp:このエントリは、DNS サーバから取得した一時的なものです。セキュリティ アプライアンスは、非アクティブ状態が 72 時間を過ぎるとこのエントリを削除します。

perm:このエントリは、 name コマンドで追加された永続的なものです。

OK:このエントリは有効です。

??:このエントリは問題のある可能性があり、再確認が必要です。

EX:このエントリは、有効期限が切れています。

Age

このエントリが最後に参照された時点からの経過時間を表示します。

Type

DNS レコードのタイプを表示します。この値は、常に IP です。

Address(es)

IP アドレス。

 
関連コマンド

コマンド
説明

clear dns-hosts cache

DNS キャッシュをクリアします。

dns domain-lookup

セキュリティ アプライアンスがネーム ルックアップを実行できるようにします。

dns name-server

DNS サーバのアドレスを設定します。

dns retries

セキュリティ アプライアンスが応答を受け取らなかった場合に、DNS サーバのリストを再試行する回数を指定します。

dns timeout

次の DNS サーバを試すまでに待つ時間を指定します。

 

show failover

装置のフェールオーバー ステータスに関する情報を表示するには、特権 EXEC モードで show failover コマンドを使用します。

show failover [ group num | history | interface | state | statistics ]

 
シンタックスの説明

group

指定したフェールオーバー グループの動作状態を表示します。

history

フェールオーバーの履歴を表示します。フェールオーバーの履歴には、過去のフェールオーバーの状態変化、および状態変化の理由が表示されます。

interface

フェールオーバー コマンドとステートフル リンクの情報を表示します。

num

フェールオーバー グループの番号。

state

両方のフェールオーバー装置のフェールオーバー状態を表示します。表示される情報には、装置がプライマリとセカンダリのどちらであるか、アクティブとスタンバイのどちらであるかというステータス情報が含まれ、装置が障害状態になっている場合は障害の理由も含まれています。

statistics

フェールオーバー コマンド インターフェイスの送信パケットと受信パケットの数を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが変更されました。出力に含まれる情報を追加しています。

 
使用上のガイドライン

show failover コマンドは、ダイナミック フェールオーバーの情報、インターフェイスのステータス、およびステートフル フェールオーバーの統計情報を表示します。Stateful Failover Logical Update Statistics の出力は、ステートフル フェールオーバーがイネーブルになっている場合のみ表示されます。「xerrs」値および「rerr」値は、フェールオーバーにおけるエラーは指摘しませんが、むしろ、パケット送信または受信のエラーの数を示します。

show failover コマンドの出力で、各フィールドに表示される値は次のとおりです。

Stateful Obj には、次の値が表示されます。

xmit:送信したパケット数を示します。

xerr:送信エラーの数を示します。

rcv:受信したパケット数を示します。

rerr:受信エラーの数を示します。

各行は、次に示す特定オブジェクトのスタティック カウント用です。

General:ステートフル オブジェクト全部の合計を示します。

sys cmd:論理アップデート システム コマンド、たとえば、login または stay alive を参照します。

up time:アクティブ セキュリティ アプライアンスがスタンバイ セキュリティ アプライアンスに渡すアップタイムの値を示します。

RPC services:リモート プロシージャ コール接続の情報。

TCP conn:ダイナミック TCP 接続の情報。

UDP conn:ダイナミック UDP 接続の情報。

ARP tbl:ダイナミック ARP テーブルの情報。

Xlate_Timeout:接続変換タイムアウトの情報を示します。

VPN IKE upd:IKE 接続の情報。

VPN IPSEC upd:IPSec 接続の情報。

VPN CTCP upd:cTCP トンネル接続の情報。

VPN SDI upd:SDI AAA 接続の情報。

VPN DHCP upd:トンネリングされた DHCP 接続の情報。

フェールオーバー IP アドレスを入力していなければ、 show failover コマンドは IP アドレスに対して 0.0.0.0 を表示し、インターフェイスのモニタリングは、「waiting」状態のままになります。フェールオーバーが動作するためには、フェールオーバー IP アドレスを設定する必要があります。

マルチ コンフィギュレーション モードでは、セキュリティ コンテキストで使用できるのは show failover コマンドのみです。オプションのキーワードは入力できません。

次に、Active/Standby フェールオーバーでの show failover コマンドの出力例を示します。

hostname# show failover
 
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fover Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
Interface inside (10.130.9.3): Normal
Interface outside (10.132.9.3): Normal
Other host: Secondary - Standby Ready
Active time: 0 (sec)
Interface inside (10.130.9.4): Normal
Interface outside (10.132.9.4): Normal
 
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 1733 0 1733 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 6 0 0 0
UDP conn 0 0 0 0
ARP tbl 106 0 0 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 1733
Xmit Q: 0 2 15225
 

次に、Active/Active フェールオーバーでの show failover コマンドの出力例を示します。

hostname# show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: third GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 4 seconds
Interface Policy 1
Monitored Interfaces 8 of 250 maximum
failover replication http
Group 1 last failover at: 13:40:18 UTC Dec 9 2004
Group 2 last failover at: 13:40:06 UTC Dec 9 2004
 
This host: Primary
Group 1 State: Active
Active time: 2896 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.11)S91(0.11)) status (Up)
admin Interface outside (10.132.8.5): Normal
admin Interface third (10.132.9.5): Normal
admin Interface inside (10.130.8.5): Normal
admin Interface fourth (10.130.9.5): Normal
ctx1 Interface outside (10.1.1.1): Normal
ctx1 Interface inside (10.2.2.1): Normal
ctx2 Interface outside (10.3.3.2): Normal
ctx2 Interface inside (10.4.4.2): Normal
 
Other host: Secondary
Group 1 State: Standby Ready
Active time: 190 (sec)
Group 2 State: Active
Active time: 3322 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.1)S91(0.1)) status (Up)
admin Interface outside (10.132.8.6): Normal
admin Interface third (10.132.9.6): Normal
admin Interface inside (10.130.8.6): Normal
admin Interface fourth (10.130.9.6): Normal
ctx1 Interface outside (10.1.1.2): Normal
ctx1 Interface inside (10.2.2.2): Normal
ctx2 Interface outside (10.3.3.1): Normal
ctx2 Interface inside (10.4.4.1): Normal
 
Stateful Failover Logical Update Statistics
Link : third GigabitEthernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 380 0 380 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1435 0 1450 0
UDP conn 0 0 0 0
ARP tbl 124 0 65 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 1895
Xmit Q: 0 0 1940

 
関連コマンド

コマンド
説明

show running-config failover

現在のコンフィギュレーション内の failover コマンドを表示します。

show file

ファイル システムに関する情報を表示するには、特権 EXEC モードで show file コマンドを使用します。

show file descriptors | system | information filename

 
シンタックスの説明

descriptors

開かれているファイル記述子をすべて表示します。

information

特定のファイルに関する情報を表示します。

filename

ファイル名を指定します。

system

ディスク ファイル システムについて、サイズ、利用可能なバイト数、メディアのタイプ、フラグ、およびプレフィックス情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例は、ファイル システムに関する情報を表示する方法を示しています。

hostname# show file descriptors
No open file descriptors
hostname# show file system
File Systems:
Size(b) Free(b) Type Flags Prefixes
* 60985344 60973056 disk rw disk:
 

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

pwd

現在の作業ディレクトリを表示します。

show firewall

現在のファイアウォール モード(ルーテッドまたは透過)を表示するには、特権 EXEC モードで show firewall コマンドを使用します。

show firewall

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、 show firewall コマンドの出力例を示します。

hostname# show firewall
Firewall mode: Router
 

 
関連コマンド

コマンド
説明

firewall transparent

ファイアウォール モードを設定します。

show mode

現在のコンテキスト モード(シングルまたはマルチ)を表示します。

 

show flash

内部フラッシュ メモリの内容を表示するには、特権 EXEC モードで show flash: コマンドを使用します。

show flash:


) ASA 5500 シリーズでは、flash キーワードは disk0 のエイリアスです。


 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例は、内部フラッシュ メモリの内容を表示する方法を示しています。

hostname# show flash:
-#- --length-- -----date/time------ path
11 1301 Feb 21 2005 18:01:34 test.cfg
12 1949 Feb 21 2005 20:13:36 pepsi.cfg
13 2551 Jan 06 2005 10:07:36 Leo.cfg
14 609223 Jan 21 2005 07:14:18 rr.cfg
15 1619 Jul 16 2004 16:06:48 hackers.cfg
16 3184 Aug 03 2004 07:07:00 old_running.cfg
17 4787 Mar 04 2005 12:32:18 admin.cfg
20 1792 Jan 21 2005 07:29:24 Marketing.cfg
21 7765184 Mar 07 2005 19:38:30 asdmfile-RLK
22 1674 Nov 11 2004 02:47:52 potts.cfg
23 1863 Jan 21 2005 07:29:18 r.cfg
24 1197 Jan 19 2005 08:17:48 tst.cfg
25 608554 Jan 13 2005 06:20:54 500kconfig
26 5124096 Feb 20 2005 08:49:28 cdisk70102
27 5124096 Mar 01 2005 17:59:56 cdisk70104
28 2074 Jan 13 2005 08:13:26 negateACL
29 5124096 Mar 07 2005 19:56:58 cdisk70105
30 1276 Jan 28 2005 08:31:58 steel
31 7756788 Feb 24 2005 12:59:46 asdmfile.50074.dbg
32 7579792 Mar 08 2005 11:06:56 asdmfile.gusingh
33 7764344 Mar 04 2005 12:17:46 asdmfile.50075.dbg
34 5124096 Feb 24 2005 11:50:50 cdisk70103
35 15322 Mar 04 2005 12:30:24 hs_err_pid2240.log
 
10170368 bytes available (52711424 bytes used)

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

show disk0

内部フラッシュ メモリの内容を表示します。

show disk1

外部フラッシュ メモリ カードの内容を表示します。

 

show fragment

IP フラグメント再構成モジュールの運用データを表示するには、特権 EXEC モードで show fragment コマンドを入力します。

show fragment [ interface ]

 
シンタックスの説明

interface

(オプション)セキュリティ アプライアンスのインターフェイスを指定します。

 
デフォルト

interface が指定されていない場合、このコマンドはすべてのインターフェイスに適用されます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

イネーブル EXEC モード

 
コマンド履歴

リリース
変更内容

7.0(1)

コンフィギュレーション データを運用データから分離するために、コマンドが show fragment show running-config fragment の 2 つのコマンドに分割されました。

次の例は、IP フラグメント再構成モジュールの運用データを表示する方法を示しています。

hostname# show fragment
Interface: inside
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: outside1
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: test1
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: test2
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
 

 
関連コマンド

コマンド
説明

clear configure fragment

IP フラグメント再構成コンフィギュレーションを消去し、デフォルトにリセットします。

clear fragment

IP フラグメント再構成モジュールの運用データを消去します。

fragment

特別なパケット フラグメント化の管理を提供して、NFS との互換性を改善します。

show running-config fragment

IP フラグメント再構成コンフィギュレーションを表示します。

show gc

ガーベッジ コレクション プロセスに関する統計情報を表示するには、特権 EXEC モードで show gc コマンドを使用します。

show gc

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、 show gc コマンドの出力例を示します。

hostname# show gc
 
Garbage collection process stats:
Total tcp conn delete response : 0
Total udp conn delete response : 0
Total number of zombie cleaned : 0
Total number of embryonic conn cleaned : 0
Total error response : 0
Total queries generated : 0
Total queries with conn present response : 0
Total number of sweeps : 946
Total number of invalid vcid : 0
Total number of zombie vcid : 0
 

 
関連コマンド

コマンド
説明

clear gc

ガーベッジ コレクション プロセスに関する統計情報を削除します。

show h225

セキュリティ アプライアンスを越えて確立されている H.225 セッションの情報を表示するには、特権 EXEC モードで show h225 コマンドを使用します。

show h225

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show h225 コマンドは、セキュリティ アプライアンスを越えて確立されている H.225 セッションの情報を表示します。 debug h323 h225 event debug h323 h245 event 、および show local-host コマンドと共に、このコマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用されます。

show h225 show h245 、または show h323-ras コマンドを使用する前に、 pager コマンドを設定することを推奨します。多くのセッション レコードが存在し、 pager コマンドが設定されていない場合、 show コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。異常なほど多くの接続が存在する場合は、デフォルトのタイムアウト値または設定した値を基づいてセッションがタイムアウトしているかどうか確認します。タイムアウトしていなければ問題があるので、調査が必要です。

次に、 show h225 コマンドの出力例を示します。

hostname# show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
| Local: | 10.130.56.3/1040 | Foreign: 172.30.254.203/1720
| 1. CRV 9861
| Local: | 10.130.56.3/1040 | Foreign: 172.30.254.203/1720
0 Concurrent Call(s) for
| Local: | 10.130.56.4/1050 | Foreign: 172.30.254.205/1720
 

この出力は、現在セキュリティ アプライアンスを通過しているアクティブ H.323 コールが 1 つ、ローカル エンドポイント 10.130.56.3 と外部のホスト 172.30.254.203 の間にあることを示しています。また、これらの特定のエンドポイントの間に、同時コールが 1 つあり、そのコールの CRV(Call Reference Value)が 9861 であることを示しています。

ローカル エンドポイント 10.130.56.4 と外部ホスト 172.30.254.205 に対して、同時コールは 0 です。つまり H.225 セッションがまだ存在しているものの、このエンドポイント間にはアクティブ コールがないことを意味します。この状況は、 show h225 コマンドを実行したときに、コールはすでに終了しているが、H.225 セッションがまだ削除されていない場合に発生する可能性があります。または、2 つのエンドポイントが、「maintainConnection」を TRUE に設定しているため、TCP 接続をまだ開いたままにしていることを意味する可能性もあります。したがって、「maintainConnection」を再度 FALSE に設定するまで、またはコンフィギュレーション内の H.225 タイムアウト値に基づくセッションのタイムアウトが起こるまで、セッションは開いたままになります。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

inspect h323

H.323 アプリケーション検査をイネーブルにします。

show h245

スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。

show h323-ras

セキュリティ アプライアンスを越えて確立された H.323 RAS セッションの情報を表示します。

timeout h225 | h323

H.225 シグナリング接続または H.323 制御接続に許容されるアイドル時間で、経過後にその接続が終了します。

 

show h245

スロー スタートを使用しているエンドポイントによって、セキュリティ アプライアンスを越えて確立されている H.245 セッションの情報を表示するには、特権 EXEC モードで show h245 コマンドを使用します。

show h245

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show h245 コマンドは、スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します(スロースタートは、コールの 2 つのエンドポイントが H.245 用の別の TCP コントロール チャネルを開いた場合です。ファースト スタートは、H.245 メッセージが H.225 コントロール チャネル上の H.225 メッセージの一部として交換された場合です)。 debug h323 h245 event debug h323 h225 event 、および show local-host コマンドと共に、このコマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用されます。

次に、 show h245 コマンドの出力例を示します。

hostname# show h245
Total: 1
| LOCAL | TPKT | FOREIGN | TPKT
1 | 10.130.56.3/1041 | 0 | 172.30.254.203/1245 | 0
| MEDIA: LCN 258 Foreign 172.30.254.203 RTP 49608 RTCP 49609
| Local | 10.130.56.3 RTP 49608 RTCP 49609
| MEDIA: LCN 259 Foreign 172.30.254.203 RTP 49606 RTCP 49607
| Local | 10.130.56.3 RTP 49606 RTCP 49607
 

セキュリティ アプライアンスを越えているアクティブな H.245 コントロール セッションが、現在 1 つあります。ローカル エンドポイントは、10.130.56.3 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します(TKTP ヘッダーは、各 H.225/H.245 メッセージの前に送られる 4 バイトのヘッダーです。このヘッダーで、この 4 バイトのヘッダーを含むメッセージの長さが分かります)。外部のホストのエンドポイントは、172.30.254.203 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します。

これらのエンドポイント間でネゴシエートされたメディアには、258 という LCN(論理チャネル番号)があり、外部に 172.30.254.203/49608 という RTP IP アドレス/ポート ペアと 172.30.254.203/49609 という RTCP IP アドレス/ポート ペアを持ち、ローカルに 10.130.56.3/49608 という RTP IP アドレス/ポート ペアと 49609 という RTCP ポートを持っています。

259 という 2 番目の LCN には、外部に 172.30.254.203/49606 という RTP IP アドレス/ポート ペアと 172.30.254.203/49607 という RTCP IP アドレス/ポート ペアがあり、ローカルに 10.130.56.3/49606 という RTP IP アドレス/ポート ペアと 49607 という RTCP ポートを持っています。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

inspect h323

H.323 アプリケーション検査をイネーブルにします。

show h245

スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。

show h323-ras

セキュリティ アプライアンスを越えて確立された H.323 RAS セッションの情報を表示します。

timeout h225 | h323

H.225 シグナリング接続または H.323 制御接続に許容されるアイドル時間で、経過後にその接続が終了します。

 

show h323-ras

ゲートキーパーとその H.323 エンドポイントの間でセキュリティ アプライアンスを越えて確立されている H.323 RAS セッションの情報を表示するには、特権 EXEC モードで show h323-ras コマンドを使用します。

show h323-ras

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show h323-ras コマンドは、セキュリティ アプライアンスを越えてゲートキーパーとその H.323 エンドポイントの間に確立されている H.323 RAS セッションの情報を表示します。 debug h323 ras event および show local-host コマンドと共に、このコマンドは、H.323 RAS 検査エンジンの問題のトラブルシューティングに使用されます。

show h323-ras コマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用される接続情報を表示します。詳細については、inspect protocol h323 {h225 | ras} コマンドのページを参照してください。

次に、 show h323-ras コマンドの出力例を示します。

hostname# show h323-ras
Total: 1
| GK | Caller
| 172.30.254.214 10.130.56.14
 

この出力は、ゲートキーパー 172.30.254.214 とそのクライアント 10.130.56.14 の間にアクティブな登録が 1 つあることを示しています。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

inspect h323

H.323 アプリケーション検査をイネーブルにします。

show h245

スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。

show h323-ras

セキュリティ アプライアンスを越えて確立された H.323 RAS セッションの情報を表示します。

timeout h225 | h323

H.225 シグナリング接続または H.323 制御接続に許容されるアイドル時間で、経過後にその接続が終了します。

 

show history

以前に入力したコマンドを表示するには、ユーザ EXEC モードで show history コマンドを使用します。

show history

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show history コマンドを使用すると、以前に入力したコマンドを表示できます。上矢印キーと下矢印キーを使用したり、^p を入力して入力済みの行を表示したり、^n を入力して次の行を表示したりして、コマンドを個々に調べることができます。

次の例は、以前に入力したコマンドをユーザ EXEC モードに入っているときに表示する方法を示しています。

hostname> show history
show history
help
show history
 

次の例は、以前に入力したコマンドを特権 EXEC モードに入っているときに表示する方法を示しています。

hostname# show history
show history
help
show history
enable
show history
 

次の例は、以前に入力したコマンドをグローバル コンフィギュレーション モードに入っているときに表示する方法を示しています。

hostname(config)# show history
show history
help
show history
enable
show history
config t
show history
 

 
関連コマンド

コマンド
説明

help

指定したコマンドのヘルプを表示します。

 

show icmp

ICMP コンフィギュレーションを表示するには、特権 EXEC モードで show icmp コマンドを使用します。

show icmp

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show icmp コマンドは、ICMP コンフィギュレーションを表示します。

次の例では、ICMP コンフィギュレーションを表示しています。

hostname# show icmp
 

 
関連コマンド

clear configure icmp

ICMP コンフィギュレーションを消去します。

debug icmp

ICMP に関するデバッグ情報の表示をイネーブルにします。

icmp

セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに対して、アクセス規則を設定します。

inspect icmp

ICMP 検査エンジンをイネーブルまたはディセーブルにします。

timeout icmp

ICMP のアイドル タイムアウトを設定します。

 

show idb

インターフェイス記述子ブロックのステータスに関する情報を表示するには、特権 EXEC モードで show idb コマンドを使用します。

show idb

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IDB は、インターフェイスのリソースを表現するための内部データ構造です。表示される出力については、「 」の項を参照してください。

次に、 show idb コマンドの出力例を示します。

hostname# show idb
Maximum number of Software IDBs 280. In use 23.
 
HWIDBs SWIDBs
Active 6 21
Inactive 1 2
Total IDBs 7 23
Size each (bytes) 116 212
Total bytes 812 4876
 
HWIDB# 1 0xbb68ebc Control0/0
HWIDB# 2 0xcd47d84 GigabitEthernet0/0
HWIDB# 3 0xcd4c1dc GigabitEthernet0/1
HWIDB# 4 0xcd5063c GigabitEthernet0/2
HWIDB# 5 0xcd54a9c GigabitEthernet0/3
HWIDB# 6 0xcd58f04 Management0/0
 
SWIDB# 1 0x0bb68f54 0x01010001 Control0/0
SWIDB# 2 0x0cd47e1c 0xffffffff GigabitEthernet0/0
SWIDB# 3 0x0cd772b4 0xffffffff GigabitEthernet0/0.1
PEER IDB# 1 0x0d44109c 0xffffffff 3 GigabitEthernet0/0.1
PEER IDB# 2 0x0d2c0674 0x00020002 2 GigabitEthernet0/0.1
PEER IDB# 3 0x0d05a084 0x00010001 1 GigabitEthernet0/0.1
SWIDB# 4 0x0bb7501c 0xffffffff GigabitEthernet0/0.2
SWIDB# 5 0x0cd4c274 0xffffffff GigabitEthernet0/1
SWIDB# 6 0x0bb75704 0xffffffff GigabitEthernet0/1.1
PEER IDB# 1 0x0cf8686c 0x00020003 2 GigabitEthernet0/1.1
SWIDB# 7 0x0bb75dec 0xffffffff GigabitEthernet0/1.2
PEER IDB# 1 0x0d2c08ac 0xffffffff 2 GigabitEthernet0/1.2
SWIDB# 8 0x0bb764d4 0xffffffff GigabitEthernet0/1.3
PEER IDB# 1 0x0d441294 0x00030001 3 GigabitEthernet0/1.3
SWIDB# 9 0x0cd506d4 0x01010002 GigabitEthernet0/2
SWIDB# 10 0x0cd54b34 0xffffffff GigabitEthernet0/3
PEER IDB# 1 0x0d3291ec 0x00030002 3 GigabitEthernet0/3
PEER IDB# 2 0x0d2c0aa4 0x00020001 2 GigabitEthernet0/3
PEER IDB# 3 0x0d05a474 0x00010002 1 GigabitEthernet0/3
SWIDB# 11 0x0cd58f9c 0xffffffff Management0/0
PEER IDB# 1 0x0d05a65c 0x00010003 1 Management0/0
 

表 7-12 に、各フィールドの説明を示します。

 

表7-12 show idb stats のフィールド

フィールド
説明

HWIDBs

すべての HWIDB の統計情報を表示します。HWIDB は、システムのハードウェア ポートごとに作成されます。

SWIDBs

すべての SWIDB の統計情報を表示します。SWIDB は、システムのメイン インターフェイスとサブインターフェイスごと、およびコンテキストに割り当てられているインターフェイスごとに作成されます。

他の一部の内部ソフトウェア モジュールも IDB を作成します。

HWIDB#

ハードウェア インターフェイスのエントリを示します。IDB シーケンス番号、アドレス、およびインターフェイス名が各行に表示されます。

SWIDB#

ソフトウェア インターフェイスのエントリを示します。IDB シーケンス番号、アドレス、対応する vPif ID、およびインターフェイス名が各行に表示されます。

PEER IDB#

コンテキストに割り当てられているインターフェイスを示します。IDB シーケンス番号、アドレス、対応する vPif ID、コンテキスト ID、およびインターフェイス名が各行に表示されます。

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

 

show igmp groups

セキュリティ アプライアンスに直接接続し、IGMP によってラーニングされたレシーバーがあるマルチキャスト グループを表示するには、特権 EXEC モードで show igmp groups コマンドを使用します。

show igmp groups [[ reserved | group ] [ if_name ] [ detail ]] | summary ]

 
シンタックスの説明

detail

(オプション)送信元の詳細な説明を表示します。

group

(オプション)IGMP グループのアドレス。このオプション引数を指定すると、表示される情報は指定したグループに関するものだけになります。

if_name

(オプション)指定したインターフェイスのグループ情報を表示します。

reserved

(オプション)予約済みグループに関する情報を表示します。

summary

(オプション)グループ加入の要約情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

オプションの引数とキーワードをすべて省略した場合、 show igmp groups コマンドは、直接接続しているすべてのマルチキャスト グループをグループ アドレス、インターフェイス タイプ、およびインターフェイス番号別に表示します。

次に、 show igmp groups コマンドの出力例を示します。

hostname#show igmp groups
 
IGMP Connected Group Membership
Group Address Interface Uptime Expires Last Reporter
224.1.1.1 inside 00:00:53 00:03:26 192.168.1.6
 

 
関連コマンド

コマンド
説明

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

 

show igmp interface

インターフェイスのマルチキャスト情報を表示するには、特権 EXEC モードで show igmp interface コマンドを使用します。

show igmp interface [ if_name ]

 
シンタックスの説明

if_name

(オプション)選択したインターフェイスの IGMP グループ情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが変更されました。 detail キーワードが削除されました。

 
使用上のガイドライン

オプションの if_name 引数を省略した場合、 show igmp interface コマンドはすべてのインターフェイスの情報を表示します。

次に、 show igmp interface コマンドの出力例を示します。

hostname# show igmp interface inside
 
inside is up, line protocol is up
Internet address is 192.168.37.6, subnet mask is 255.255.255.0
IGMP is enabled on interface
IGMP query interval is 60 seconds
Inbound IGMP access group is not set
Multicast routing is enabled on interface
Multicast TTL threshold is 0
Multicast designated router (DR) is 192.168.37.33
No multicast groups joined
 

 
関連コマンド

コマンド
説明

show igmp groups

セキュリティ アプライアンスに直接接続される受信者を保持していて、IGMP を通じてラーニングされたマルチキャスト グループを表示します。

 

show igmp traffic

IGMP トラフィックに関する統計情報を表示するには、特権 EXEC モードで show igmp traffic コマンドを使用します。

show igmp traffic

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、 show igmp traffic コマンドの出力例を示します。

hostname# show igmp traffic
 
IGMP Traffic Counters
Elapsed time since counters cleared: 00:02:30
Received Sent
Valid IGMP Packets 3 6
Queries 2 6
Reports 1 0
Leaves 0 0
Mtrace packets 0 0
DVMRP packets 0 0
PIM packets 0 0
 
Errors:
Malformed Packets 0
Martian source 0
Bad Checksums 0
 

 
関連コマンド

コマンド
説明

clear igmp counters

すべての IGMP 統計情報カウンタをクリアします。

clear igmp traffic

IGMP トラフィック カウンタをクリアします。

 

show interface

インターフェイスに関する統計情報を表示するには、ユーザ EXEC モードで show interface コマンドを使用します。

show interface [ physical_interface [ . subinterface ] | mapped_name | interface_name ] [ stats | detail ]

 
シンタックスの説明

detail

(オプション)インターフェイスの詳細な情報を表示します。この情報には、インターフェイスが追加された順序、設定されている状態、実際の状態が含まれ、非対称ルーティングが asr-group コマンドによってイネーブルになっている場合は、非対称ルーティングの統計情報も含まれています。すべてのインターフェイスを表示する場合、SSM 用の内部インターフェイスが ASA 5500 シリーズ適応型セキュリティ アプライアンスにインストールされているときは、それらのインターフェイスに関する情報が表示されます。内部インターフェイスは、ユーザが設定することはできません。この情報は、デバッグのみを目的としたものです。

interface_name

(オプション) nameif コマンドで設定したインターフェイス名を指定します。

mapped_name

(オプション)マルチ コンテキスト モードで、マッピング名を
allocate-interface
コマンドを使用して割り当てた場合、その名前を指定します。

physical_interface

(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。

stats

(デフォルト)インターフェイスに関する情報と統計情報を表示します。このキーワードはデフォルトであるため、入力を省略できます。

subinterface

(オプション)論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。

 
デフォルト

オプションを指定しない場合は、すべてのインターフェイスに関する基本的な統計情報が表示されます。

 
コマンドのモード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過