Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
same-security-traffic コマンド~ show asdm sessions コマンド
same-security-traffic コマンド~ show asdm sessions コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

same-security-traffic コマンド~ show asdm sessions コマンド

same-security-traffic

sasl-mechanism

sast

secondary

secondary-authentication-server-group

secondary-color

secondary-pre-fill-username

secondary-text-color

secure-unit-authentication

secondary-username-from-certificate

security-level

send response

seq-past-window

serial-number

server

server(TLS プロキシ)

server authenticate-client

server-port

server-separator

server-type

server trust-point

service

service call-home

service(CTL プロバイダー)

service password-recovery

service-policy(クラス)

service-policy(グローバル)

session

set connection

set connection advanced-options

set connection advanced-options tcp-state-bypass

set connection decrement-ttl

set connection timeout

set metric

set metric-type

setup

shape

show aaa local user

show aaa-server

show access-list

show activation-key

show ad-groups

show admin-context

show arp

show arp-inspection

show arp statistics

show asdm history

show asdm image

show asdm log_sessions

show asdm sessions

same-security-traffic コマンド~ show asdm sessions コマンド

same-security-traffic

セキュリティ レベルが等しいインターフェイス間の通信を許可するか、トラフィックが同じインターフェイスに出入りできるようにするには、グローバル コンフィギュレーション モードで same-security-traffic コマンドを使用します。同一セキュリティのトラフィックをディセーブルにするには、このコマンドの no 形式を使用します。

same-security-traffic permit { inter-interface | intra-interface }

no same-security-traffic permit { inter-interface | intra-interface }

 
構文の説明

inter-interface

同じセキュリティ レベルを持つ異なるインターフェイス間の通信を許可します。

intra-interface

同じインターフェイス間の通信を許可します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

intra-interface キーワードを使用すると、IPsec トラフィックだけではなく、すべてのトラフィックが同じインターフェイスに出入りできるようになりました。

 
使用上のガイドライン

同一セキュリティ インターフェイス間の通信を可能にすると( same-security-traffic inter-interface コマンドによってイネーブルにされます)、次の利点があります。

101 を超える通信インターフェイスを設定できます。インターフェイスごとに異なるレベルを使用する場合は、レベル(0 ~ 100)ごとに 1 つだけインターフェイスを設定できます。

アクセス リストなしで、トラフィックがすべての同一セキュリティ インターフェイス間を自由に流れることができます。

same-security-traffic intra-interface コマンドを使用すると、トラフィックは同じインターフェイスに出入りできます。通常、これは許可されません。この機能は、インターフェイスに入るが、その後同じインターフェイス外にルーティングされる VPN トラフィックで役立つことがあります。この場合 VPN トラフィックは暗号化されていないか、別の VPN 接続では再度暗号化される可能性があります。たとえば、適応型セキュリティ アプライアンスがハブであり、リモート VPN ネットワークがスポークであるハブとスポーク VPN ネットワークがある場合は、あるスポークが別のスポークと通信するためには、トラフィックは適応型セキュリティ アプライアンスに入った後、出て他のスポークに再度入る必要があります。


same-security-traffic intra-interface コマンドによって許可されるトラフィックはすべて、引き続きファイアウォール ルールの対象となります。リターン トラフィックが適応型セキュリティ アプライアンスを経由しなくなる原因となる可能性がある非対称ルーティング状況を作らないよう気を付けてください。


次に、同一セキュリティ インターフェイスの通信をイネーブルにする例を示します。

hostname(config)# same-security-traffic permit inter-interface
 

次に、トラフィックが同じインターフェイスに出入りできるようにする例を示します。

hostname(config)# same-security-traffic permit intra-interface
 

 
関連コマンド

コマンド
説明

show running-config same-security-traffic

same-security-traffic 設定を表示します。

sasl-mechanism

LDAP サーバに対して LDAP クライアントを認証するための SASL(Simple Authentication and Security Layer)メカニズムを指定するには、AAA サーバ ホスト コンフィギュレーション モードで sasl-mechanism コマンドを使用します。SASL 認証メカニズム オプションは、 digest-md5 kerberos です。

認証メカニズムをディセーブルにするには、このコマンドの no 形式を使用します。

sasl-mechanism {digest-md5 | kerberos server-group-name}

no sasl-mechanism {digest-md5 | kerberos server-group-name}


) 適応型セキュリティ アプライアンスは VPN ユーザの LDAP サーバに対するクライアント プロキシとして機能するため、ここで言及されている LDAP クライアントは適応型セキュリティ アプライアンスです。


 
構文の説明

 
構文の説明構文の説明

digest-md5

適応型セキュリティ アプライアンスは、ユーザ名とパスワードから計算された MD5 値で応答します。

kerberos

適応型セキュリティ アプライアンスは、Generic Security Services Application Programming Interface(GSSAPI)Kerberos メカニズムを使用して、ユーザ名とレルムを送信することによって応答します。

server-group-name

64 文字までの Kerberos AAA-server グループを指定します。

 
デフォルト

デフォルトの動作や値はありません。適応型セキュリティ アプライアンスは、認証パラメータをプレーン テキストで LDAP サーバに渡します。


) SASL を設定していない場合は、ldap-over-ssl コマンドを使用して、SSL で LDAP 通信を保護することを推奨します。


 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用して、SASL メカニズムを使用した LDAP サーバの適応型セキュリティ アプライアンス認証を指定します。

適応型セキュリティ アプライアンスと LDAP サーバの両方で、複数の SASL 認証メカニズムをサポートできます。SASL 認証のネゴシエーション時に、適応型セキュリティ アプライアンスは、サーバで設定された SASL メカニズムのリストを取得し、認証メカニズムを、適応型セキュリティ アプライアンスとサーバの両方で設定されている最強のメカニズムに設定します。Kerberos メカニズムは、Digest-MD5 メカニズムよりも強いメカニズムです。明らかにするために、LDAP サーバと適応型セキュリティ アプライアンスサーバで両方のメカニズムがサポートされる場合は、適応型セキュリティ アプライアンスは、より強いメカニズムである Kerberos を選択します。

SASL メカニズムをディセーブルにする場合は、ディセーブルにするメカニズムごとに個別の no コマンドを入力する必要があります。メカニズムは単独で設定されるためです。特にディセーブルにしないメカニズムは有効なままになります。たとえば、両方の SASL メカニズムをディセーブルにするには、次の両方のコマンドを入力する必要があります。

no sasl-mechanism digest-md5

no sasl-mechanism kerberos <server-group-name>

AAA サーバ ホスト コンフィギュレーション モードで入力される次の例では、IP アドレスが 10.10.0.1 の ldapsvr1 という名前の LDAP サーバの認証で SASL メカニズムがイネーブルになります。この例では、SASL digest-md5 認証メカニズムをイネーブルにします。

hostname(config)# aaa-server ldapsvr1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
hostname(config-aaa-server-host)# sasl-mechanism digest-md5
 
 

次の例では、SASL Kerberos 認証メカニズムをイネーブルにして、Kerberos AAA サーバとして kerb-servr1 を指定します。

hostname(config)# aaa-server ldapsvr1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
hostname(config-aaa-server-host)# sasl-mechanism kerberos kerbsvr1
 

 
関連コマンド

コマンド
説明

ldap-over-ssl

SSL が LDAP クライアントとサーバ間の接続を保護することを指定します。

server-type

LDAP サーバ ベンダーに Microsoft または Sun のいずれかを指定します。

ldap attribute-map(グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成して名前を付けます。

sast

CTL レコードで作成する SAST 証明書の数を指定するには、CTL ファイル コンフィギュレーション モードで sast コマンドを使用します。CTL ファイルでの SAST 証明書の数をデフォルト値の 2 に戻すには、このコマンドの no 形式を使用します。

sast number_sasts

no sast number_sasts

 
構文の説明

number_sasts

作成する SAST キーの数を指定します。デフォルトは 2 です。許可される最大は 5 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL ファイル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

CTL ファイルは、System Administrator Security Token(SAST)によって署名されます。

Phone Proxy は CTL ファイルを生成するため、CTL ファイル自体に署名する SAST キーを作成する必要があります。このキーは、適応型セキュリティ アプライアンスで生成できます。SAST は自己署名証明書として作成されます。

通常、CTL ファイルには複数の SAST が含まれています。SAST が回復可能ではない場合は、もう 1 つの SAST を使用して後でファイルに署名できます。

次に、 sast コマンドを使用して CTL ファイルで 5 つの SAST 証明書を作成する例を示します。

hostname(config-ctl-file)# sast 5
 

 
関連コマンド

コマンド
説明

ctl-file(グローバル)

Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。

ctl-file(Phone-Proxy)

Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。

phone-proxy

Phone Proxy インスタンスを設定します。

secondary

フェールオーバー グループでセカンダリ ユニットにより高いプライオリティを指定するには、フェールオーバー グループ コンフィギュレーション モードで secondary コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

secondary

no secondary

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

フェールオーバー グループに primary または secondary が指定されていない場合は、フェールオーバー グループはデフォルトで primary に設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

フェールオーバー グループにプライマリまたはセカンダリのプライオリティを割り当てることで、(ユニットのポーリング期間内に)両方のユニットを同時に起動したときに、フェールオーバー グループがアクティブになるユニットが指定されます。あるユニットがもう一方のユニットよりも先にブートした場合、両方のフェールオーバー グループがそのユニットでアクティブになります。もう一方のユニットがオンラインになったとき、フェールオーバー グループが 2 番めのユニットのプライオリティの方を高く設定していても、そのフェールオーバー グループが preempt コマンドを使用して設定されているか、手動で no failover active コマンドを使用してもう一方のユニットに強制しない限り、2 番めのユニット上ではフェールオーバー グループはアクティブになりません。

次に、フェールオーバー グループ 1 ではプライマリ ユニットのプライオリティの方を高く設定し、フェールオーバー グループ 2 ではセカンダリ ユニットのプライオリティの方を高く設定する例を示します。どのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先するユニットが使用可能になったときにそのユニット上で自動的にアクティブになります。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

preempt

優先するユニットが使用可能になったときに、フェールオーバー グループをそのユニット上で強制的にアクティブにします。

primary

プライマリ ユニットに、セカンダリ ユニットよりも高いプライオリティを指定します。

secondary-authentication-server-group

二重認証がイネーブルになっている場合にセッションに関連付けるセカンダリ認証サーバ グループを指定するには、トンネル グループ一般アトリビュート モードで secondary-authentication-server-group コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

secondary-authentication-server-group [ interface_name ] { none | LOCAL | groupname [ LOCAL ]} [ use-primary-username ] }

no secondary-authentication-server-group

 
構文の説明

interface_name

(任意)IPsec トンネルが終端するインターフェイスを指定します。

LOCAL

(任意)通信障害によりサーバ グループにあるすべてのサーバが非アクティブになった場合に、ローカル ユーザ データベースに対する認証を要求します。サーバ グループ名が LOCAL または NONE のいずれかの場合は、ここで LOCAL キーワードを使用しないでください。

none

(任意)サーバ グループ名に、認証を必要としないことを示す NONE を指定します。

groupname [ LOCAL ]

事前に設定済みの認証サーバまたはサーバ グループを指定します。任意で、これは LOCAL グループにできます。

use-primary-username

2 次認証のユーザ名としてプライマリ ユーザ名を使用します。

 
デフォルト

デフォルト値は none です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 secondary-authentication-server-group コマンドは、セカンダリ AAA サーバ グループを指定します。セカンダリ サーバ グループは SDI サーバ グループにできません。

use-primary-username キーワードが設定されている場合は、ログイン ダイアログでは 1 つのユーザ名だけが要求されます。

ユーザ名がデジタル証明書から抽出される場合は、プライマリ ユーザ名だけが認証に使用されます。

グローバル コンフィギュレーション モードで入力される次の例では、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成し、グループ sdi_server をプライマリ サーバ グループとして使用して、グループ ldap_ server を接続のセカンダリ認証サーバ グループとして使用することを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-webvpn)# authentication-server-group sdi_server
hostname(config-tunnel-webvpn)# secondary-authentication-server-group ldap_server
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可時のユーザ名として使用する証明書内のフィールドを指定します。

secondary-color

WebVPN ログイン、ホームページ、およびファイル アクセス ページのセカンダリ カラーを設定するには、webvpn モードで secondary-color コマンドを使用します。設定からカラーを削除して、デフォルトをリセットするには、このコマンドの no 形式を使用します。

secondary-color [ color ]

no secondary-color

 
構文の説明

color

(任意)カラーを指定します。カンマ区切りの RGB 値、HTML カラー値、または HTML で認識される場合はカラーの名前を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

名前の最大長は 32 文字です。

 
デフォルト

デフォルトのセカンダリ カラーは、ラベンダー シェードである HTML #CCCCFF です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

使用が推奨される RGB 値の数は 216 で、数学的な可能性よりもずっと少なくなっています。多くの表示で処理できるのは 256 色だけで、そのうちの 40 色の表示は MAC と PC では異なります。最適な結果のためには、公開されている RGB テーブルを確認してください。RGB テーブルをオンラインで見つけるには、検索エンジンに RGB と入力します。

次に、HTML カラー値 #5F9EAO(ティール シェード)を設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# secondary-color #5F9EAO

 
関連コマンド

コマンド
説明

title-color

ログイン、ホームページ、およびファイル アクセス ページの WebVPN タイトル バーのカラーを設定します。

secondary-pre-fill-username

クライアントレスまたは AnyConnect 接続の二重認証で使用するクライアント証明書からユーザ名を抽出できるようにするには、トンネル グループ webvpn アトリビュート モードで secondary-pre-fill-username コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

secondary-pre-fill-username { ssl-client | clientless } [ hide ]

secondary-pre-fill-username { ssl-client | clientless } hide [ use-primary-password | use-common-password [ type_num ] password ]

no secondary-no pre-fill-username

 
構文の説明

ssl-client

この機能を AnyConnect VPN クライアント接続でイネーブルにします。

clientless

この機能をクライアントレス接続でイネーブルにします。

hide

認証に使用するユーザ名を VPN ユーザに非表示にします。

password

パスワード ストリングを入力します。

type_num

次のいずれかのオプションを入力します。

入力するパスワードがプレーン テキストの場合は 0。

入力するパスワードが暗号化されている場合は 8。パスワードは、入力時にアスタリスクで表示されます。

use-common-password

ユーザにプロンプトを表示せずに、使用する共通の 2 次認証パスワードを指定します。

use-primary-password

ユーザにプロンプトを表示せずに、2 次認証に 1 次認証パスワードを再使用します。

 
デフォルト

この機能はデフォルトでディセーブルになっています。 hide キーワードを指定せずにこのコマンドを入力すると、抽出したユーザ名が VPN ユーザに表示されます。use-primary-password と use-common-password のいずれのキーワードも指定しないと、ユーザにはパスワード プロンプトが表示されます。 type_num のデフォルト値は 8 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

8.3(2)

[ use-primary-password | use-common-password [ type_num ] password ] がコマンドに追加されました。

 
使用上のガイドライン

この機能をイネーブルにするには、トンネル グループ一般アトリビュート モードで secondary-username-from-certificate コマンドも設定する必要があります。

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 secondary-pre-fill-username コマンドは、 secondary-username-from-certificate コマンドで指定された証明書フィールドから抽出されたユーザ名を、セカンダリ ユーザ名またはパスワード認証のユーザ名として使用できるようにします。この secondary-pre-fill username-from-certificate 機能を使用するには、両方のコマンドを設定する必要があります。


) クライアントレスおよび SSL クライアント接続は同時に使用できないオプションではありません。コマンドラインにつき 1 つだけ指定できますが、同時に両方をイネーブルにできます。


2 番めの名を非表示にして、プライマリまたは共通のパスワードを使用する場合は、ユーザ体験は単一認証と似ています。プライマリまたは共通のパスワードを使用すると、デバイス証明書を使用したデバイスの認証がシームレスなユーザ体験になります。

use-primary-password キーワードは、すべての認証のセカンダリ パスワードとしてプライマリ パスワードを使用することを指定します。

use-common-password キーワードは、すべての 2 次認証に共通のセカンダリ パスワードを使用することを指定します。エンドポイントにインストールされているデバイス証明書に BIOS ID またはその他の ID が含まれている場合は、2 次認証要求では、事前に入力された BIOS ID をセカンダリ ユーザ名として使用して、そのトンネル グループでのすべての認証に対して設定された共通のパスワードを使用できます。

次の例では、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成して、接続がブラウザベースである場合に、エンドポイントのデジタル証明書の名前を、認証または認可クエリーに使用する名前として再使用することを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp webvpn-attributes
hostname(config-tunnel-webvpn)# secondary-pre-fill-username clientless
 

次の例では、前のコマンドと同じ機能を実行しますが、抽出されたユーザ名をユーザに非表示にします。

hostname(config-tunnel-webvpn)# secondary-pre-fill-username clientless hide
 

次の例では、AnyConnect 接続だけに適用される点を除いて、前のコマンドと同じ機能を実行します。

hostname(config-tunnel-webvpn)# secondary-pre-fill-username ssl-client hide
 

次の例では、ユーザ名を非表示にして、ユーザにプロンプトを表示せずに、2 次認証に 1 次認証パスワードを再使用します。

hostname(config-tunnel-webvpn)# secondary-pre-fill-username ssl-client hide use-primary-password
 

次の例では、ユーザ名を非表示にして、入力するパスワードを 2 次認証に使用します。

hostname(config-tunnel-webvpn)# secondary-pre-fill-username ssl-client hide use-common-password **********
 

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可時のユーザ名として使用する証明書内のフィールドを指定します。

secondary-text-color

WebVPN ログイン、ホームページ、およびファイル アクセス ページのセカンダリ テキスト カラーを設定するには、webvpn モードで secondary-text-color コマンドを使用します。設定からカラーを削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。

secondary-text-color [ black | white ]

no secondary-text-color

 
構文の説明

auto

text-color コマンドの設定に基づいて黒または白を選択します。つまり、プライマリ カラーが黒の場合は、この値は白です。

black

デフォルトのセカンダリ テキスト カラーは黒です。

white

テキスト カラーを白に変更できます。

 
デフォルト

デフォルトのセカンダリ テキスト カラーは黒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、セカンダリ テキスト カラーを白に設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# secondary-text-color white
 

 
関連コマンド

コマンド
説明

text-color

ログイン、ホームページ、ファイル アクセス ページの WebVPN タイトル バーのテキストのカラーを設定します。

secure-unit-authentication

セキュア ユニット認証をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用します。セキュア ユニット認証をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。実行コンフィギュレーションからセキュア ユニット認証アトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、別のグループ ポリシーからセキュア ユニット認証の値を継承できます。

セキュア ユニット認証は、クライアントがトンネルを開始するたびにユーザ名とパスワードを認証するために VPN ハードウェア クライアントを要求することで、さらなるセキュリティを提供します。この機能がイネーブルになっている場合、ハードウェア クライアントには保存されたユーザ名とパスワードはありません。


) この機能がイネーブルになっている場合、VPN トンネルを開始するには、ユーザはユーザ名とパスワードを入力する必要があります。


secure-unit-authentication { enable | disable }

no secure-unit-authentication

 
構文の説明

disable

セキュア ユニット認証をディセーブルにします。

enable

セキュア ユニット認証をイネーブルにします。

 
デフォルト

セキュア ユニット認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

セキュア ユニット認証では、ハードウェア クライアントが使用するトンネル グループに対して認証サーバ グループが設定されている必要があります。

プライマリ適応型セキュリティ アプライアンスでセキュア ユニット認証が必要な場合は、すべてのバックアップ サーバでも設定してください。

次に、FirstGroup という名前のグループ ポリシーでセキュア ユニット認証をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# secure-unit-authentication enable
 

 
関連コマンド

コマンド
説明

ip-phone-bypass

ユーザ認証を行わずに IP 電話に接続できるようにします。セキュア ユニット認証は有効なままです。

leap-bypass

ユーザ認証(イネーブルになっている場合)の前に、LEAP パケットが、VPN ハードウェア クライアントの背後にある無線デバイスから VPN トンネルを経由できるようにします。これにより、シスコのワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。その後、ユーザ認証ごとに再度認証を行います。

user-authentication

ハードウェア クライアントの背後にいるユーザに対して、接続前に適応型セキュリティ アプライアンスに識別情報を示すように要求します。

secondary-username -from-certificate

クライアントレスまたは AnyConnect(SSL-client)接続の二重認証にセカンダリ ユーザ名として使用する証明書のフィールドを指定するには、トンネル グループ一般アトリビュート モードで secondary-username-from-certificate コマンドを使用します。

アトリビュートをコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。

secondary-username-from-certificate { primary-attr [ secondary-attr ] | use-entire-name | use-script }

no secondary-username-from-certificate

 
構文の説明

primary-attr

証明書から認可クエリー用のユーザ名を生成するときに使用するアトリビュートを指定します。pre-fill-username がイネーブルである場合、生成された名前を認証クエリーでも使用できます。

secondary-attr

(任意)デジタル証明書から認証クエリーまたは認可クエリー用のユーザ名を生成する場合にプライマリ アトリビュートとともに使用する追加のアトリビュートを指定します。pre-fill-username がイネーブルである場合、生成された名前を認証クエリーでも使用できます。

use-entire-name

デジタル証明書から認可クエリー用の名前を生成する場合に適応型セキュリティ アプライアンスがサブジェクト DN(RFC1779)全体を使用するように指定します。

use-script

ASDM によって生成されたスクリプト ファイルを使用して、ユーザ名として使用する証明書から DN フィールドを抽出することを指定します。

 
デフォルト

この機能はデフォルトでディセーブルにされ、二重認証がイネーブルになっている場合に限り有効です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。

二重認証がイネーブルになっている場合、このコマンドは、ユーザ名として使用する証明書で 1 つ以上のフィールドを選択します。 secondary-username-from-certificate コマンドは、2 番めのユーザ名またはパスワード認証の 2 番めのユーザ名として、指定された証明書フィールドを使用するようセキュリティ アプライアンスに強制します。

セカンダリ ユーザ名またはパスワード認証または認可の証明書機能から生成されたこのユーザ名を事前入力のユーザ名で使用するには、トンネル グループ webvpn アトリビュート モードで pre-fill-username および secondary-pre-fill-username コマンドも設定する必要があります。つまり、セカンダリ事前入力ユーザ名機能を使用するには、両方のコマンドを設定する必要があります。

プライマリ アトリビュートおよびセカンダリ アトリビュートの有効値は、次のとおりです。

 

アトリビュート
定義

C

Country(国名):2 文字の国名略語。国名コードは、ISO 3166 国名略語に準拠しています。

CN

Common Name(通常名):人、システム、その他のエンティティの名前。セカンダリ アトリビュートとしては使用できません。

DNQ

Domain Name Qualifier(ドメイン名修飾子)。

EA

E-mail Address(電子メール アドレス)。

GENQ

Generational Qualifier(世代修飾子)。

GN

Given Name(名)。

I

Initials(イニシャル)。

L

Locality(地名):組織が置かれている市または町。

N

Name(名前)。

O

Organization(組織):会社、団体、機関、連合、その他のエンティティの名前。

OU

Organizational Unit(組織ユニット):Organization(O; 組織)内のサブグループ。

SER

Serial Number(シリアル番号)。

SN

Surname(姓)。

SP

State/Province(州または都道府県):組織が置かれている州または都道府県。

T

Title(タイトル)。

UID

User Identifier(ユーザ ID)。

UPN

User Principal Name(ユーザ プリンシパル名)。

use-entire-name

DN 名全体を使用します。セカンダリ アトリビュートとしては使用できません。

use-script

ASDM によって生成されたスクリプト ファイルを使用します。


secondary-username-from-certificate コマンドとともに secondary-authentication-server-group コマンドも指定する場合は、プライマリ ユーザ名だけが認証に使用されます。


グローバル コンフィギュレーション モードで入力される次の例では、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成して、Common Name(CN; 通常名)をプライマリ アトリビュートとして使用し、認可クエリー用の名前をデジタル証明書から生成するために使用するセカンダリ アトリビュートとして OU を使用することを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# username-from-certificate CN
hostname(config-tunnel-general)# secondary-username-from-certificate OU
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

secondary-pre-fill-username

クライアントレスまたは AnyConnect クライアント接続でユーザ名を抽出できるようにします。

username-from-certificate

認可時のユーザ名として使用する証明書内のフィールドを指定します。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

secondary-authentication-server-group

セカンダリ AAA サーバ グループを指定します。ユーザ名がデジタル証明書から抽出される場合は、プライマリ ユーザ名だけが認証に使用されます。

security-level

インターフェイスのセキュリティ レベルを設定するには、インターフェイス コンフィギュレーション モードで security-level コマンドを使用します。セキュリティ レベルをデフォルトに設定するには、このコマンドの no 形式を使用します。セキュリティ レベルは、2 つのネットワーク間に追加の保護を行うことで、セキュリティが高いネットワークをセキュリティが低いネットワークから保護します。

security-level number

no security-level

 
構文の説明

number

0(最低)~ 100(最高)までの整数。

 
デフォルト

デフォルトでは、セキュリティ レベルは 0 です。

インターフェイスに「inside」という名前を付けて、セキュリティ レベルを明示的に設定しない場合は、適応型セキュリティ アプライアンスは、セキュリティ レベルを 100 に設定します( nameif コマンドを参照)。このレベルは、必要に応じて変更できます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 nameif コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移動されました。

 
使用上のガイドライン

レベルは、次の動作を制御します。

ネットワーク アクセス:デフォルトでは、セキュリティが高いインターフェイスからセキュリティが低いインターフェイスへの暗黙的な許可があります(発信)。セキュリティが高いインターフェイスのホストは、セキュリティが低いインターフェイスのすべてのホストにアクセスできます。アクセス リストをインターフェイスに適用することで、アクセスを制限できます。

同一セキュリティ インターフェイスの場合は、インターフェイスが同じセキュリティ レベル以下のその他のインターフェイスにアクセスするための暗黙的な許可があります。

インスペクション エンジン:一部のインスペクション エンジンは、セキュリティ レベルに依存しています。同一セキュリティ インターフェイスでは、インスペクション エンジンはいずれかの方向のトラフィックに適用されます。

NetBIOS インスペクション エンジン:発信接続の場合に限り適用されます。

OraServ インスペクション エンジン:ホスト ペアの間に OraServ ポート用の制御接続が存在する場合は、インバウンド データ接続だけが適応型セキュリティ アプライアンスの通過を許可されます。

フィルタリング:HTTP(S)および FTP フィルタリングは、(より高いレベルからより低いレベルへの)発信接続の場合だけ適用されます。

同一セキュリティ インターフェイスでは、いずれかの方向のトラフィックをフィルタリングできます。

NAT 制御:NAT 制御をイネーブルにする場合は、セキュリティが低いインターフェイス(外部)のホストにアクセスする際に、セキュリティが高いインターフェイス(内部)のホストに対して NAT を設定する必要があります。

NAT 制御がないか、同一セキュリティ インターフェイスでは、インターフェイス間に NAT を使用するか、NAT を使用しないことを選択できます。外部インターフェイスの NAT を設定する場合は、特殊キーワードが必要になる可能性があることを覚えておいてください。

established コマンド:このコマンドを使用すると、高いレベルのホストから低いレベルのホストへの接続がすでに確立されている場合に、セキュリティが低いホストからセキュリティが高いホストへの接続を戻すことができます。

同一セキュリティ インターフェイスでは、両方の接続で established コマンドを設定できます。

通常、同じセキュリティ レベルのインターフェイスは通信できません。同じセキュリティ レベルのインターフェイスを通信させるには、 same-security-traffic コマンドを参照してください。101 を超える通信インターフェイスを作成する必要がある場合に、2 つのインターフェイスを同じレベルに割り当てて、これらのインターフェイスの通信を許可することも、2 つのインターフェイス間のトラフィックで保護機能を均等に適用することもできます(たとえば、等しく安全な 2 つの部署がある場合)。

インターフェイスのセキュリティ レベルを変更する場合に、新しいセキュリティ情報が使用される前に既存の接続がタイムアウトになるのを待たないようにするには、 clear local-host コマンドを使用して接続をクリアします。

次に、2 つのインターフェイスのセキュリティ レベルを 100 と 0 に設定する例を示します。

hostname(config)# interface gigabitethernet0/0
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

clear local-host

すべての接続をリセットします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

nameif

インターフェイス名を設定します。

vlan

サブインターフェイスに VLAN ID を割り当てます。

send response

RADIUS Accounting-Response Start および Accounting-Response Stop メッセージを RADIUS Accounting-Request Start および Stop メッセージの送信側に送信するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで send response コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスします。

このオプションは、デフォルトではディセーブルです。

send response

no send response

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

RADIUS アカウンティング パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、RADIUS アカウンティングでの応答の送信例を示します。

hostname(config)# policy-map type inspect radius-accounting ra
hostname(config-pmap)# send response
hostname(config-pmap-p)# send response
 

 
関連コマンド

コマンド
説明

inspect radius-accounting

RADIUS アカウンティングのインスペクションを設定します。

parameters

インスペクション ポリシー マップのパラメータを設定します。

seq-past-window

パストウィンドウ シーケンス番号(受信した TCP パケットのシーケンス番号は、TCP 受信ウィンドウの右端よりも大きい番号です)があるパケットのアクションを設定するには、TCP マップ コンフィギュレーション モードで、 seq-past-window コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

seq-past-window { allow | drop }

no seq-past-window

 
構文の説明

allow

パストウィンドウ シーケンス番号があるパケットを許可します。このアクションは、 queue-limit コマンドが 0(ディセーブル)に設定されている場合だけ許可されます。

drop

パストウィンドウ シーケンス番号があるパケットをドロップします。

 
デフォルト

デフォルトのアクションは、パストウィンドウ シーケンス番号があるパケットのドロップです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

1. tcp-map :TCP 正規化アクションを指定します。

a. seq-past-window :TCP マップ コンフィギュレーション モードで、 seq-past-window コマンドとその他多数のコマンドを入力できます。

2. class-map :TCP 正規化を実行するトラフィックを指定します。

3. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced-options :作成した TCP マップを指定します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

次に、パストウィンドウ シーケンス番号があるパケットを許可するよう適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# seq-past-window allow
hostname(config)# class-map cmap
hostname(config-cmap)# match any
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

サービス ポリシーに対してトラフィックを指定します。

policy-map

サービス ポリシー内でトラフィックに適用するアクションを指定します。

queue-limit

順序が不正なパケットの制限を設定します。

set connection advanced-options

TCP 正規化をイネーブルにします。

service-policy

サービス ポリシーをインターフェイスに適用します。

show running-config tcp-map

TCP マップ コンフィギュレーションを表示します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

serial-number

登録中に証明書に適応型セキュリティ アプライアンスのシリアル番号を含めるには、暗号 CA トラストポイント コンフィギュレーション モードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

serial-number

no serial-number

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定では、シリアル番号は含められません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次の例では、中央のトラストポイントの暗号 CA トラストポイント コンフィギュレーション モードを開始し、中央のトラストポイントの登録要求に適応型セキュリティ アプライアンスのシリアル番号を含めます。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# serial-number
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

server

デフォルトの電子メール プロキシ サーバを指定するには、該当する電子メール プロキシ モードで server コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no バージョンを使用します。ユーザが、サーバを指定せずに電子メール プロキシに接続すると、適応型セキュリティ アプライアンスは、デフォルトの電子メール サーバに要求を送信します。デフォルトのサーバを設定しない場合、ユーザがサーバを指定しないと、適応型セキュリティ アプライアンスはエラーを戻します。

server { ipaddr or hostname }

no server

 
構文の説明

hostname

デフォルトの電子メール プロキシ サーバの DNS 名。

ipaddr

デフォルトの電子メール プロキシ サーバの IP アドレス。

 
デフォルト

デフォルトでは、デフォルトの電子メール プロキシ サーバはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

pop3s

--

--

Imap4s

--

--

Smtps

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、IP アドレスが 10.1.1.7 のデフォルトの POP3S 電子メール サーバを設定する例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# server 10.1.1.7
 

 

server(TLS プロキシ)

TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定するには、TLS プロキシ コンフィギュレーション モードで server コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

server trust-point p_tp

no server trust-point p_tp

 
構文の説明

trust-point p_tp

定義済みのトラストポイントを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TLS プロキシ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

TLS プロキシでの TLS サーバ ロールとしてセキュリティ アプライアンスの TLS ハンドシェイク パラメータを制御するには、TLS プロキシ コンフィギュレーション モードで server コマンドを使用します。これは、TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定します。この値は、crypto ca trustpoint コマンドによって定義されるトラストポイントに対応します。自己署名証明書または認証局に登録された証明書を使用できます。

server コマンドは、グローバル ssl trust-point コマンドよりも優先されます。

次の例では、TLS プロキシ インスタンスを作成する方法を示します。

hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# server trust-point ccm_proxy
hostname(config-tlsp)# client ldc issuer ldc_server
hostname(config-tlsp)# client ldc keypair phone_common
 

 
関連コマンド

コマンド
説明

client

セキュリティ アプライアンスの TLS ハンドシェイク パラメータを TLS プロキシでの TLS クライアント ロールとして設定します。

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードを開始します。

show tls-proxy

TLS プロキシを表示します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

server authenticate-client

TLS ハンドシェイク中に適応型セキュリティ アプライアンスが TLS クライアントを認証できるようにするには、TLS プロキシ コンフィギュレーション モードで server authenticate-client コマンドを使用します。

クライアント認証をバイパスするには、このコマンドの no 形式を使用します。

server authenticate-client

no server authenticate-client

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。これは、適応型セキュリティ アプライアンスとのハンドシェイク中に証明書を提示するには TLS クライアントが必要であることを意味します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TLS プロキシ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

TLS プロキシ ハンドシェイク中にクライアント認証が必要かどうかを制御するには、 server authenticate-client コマンドを使用します。(デフォルトで)イネーブルになっている場合は、セキュリティ アプライアンスは、証明書要求 TLS ハンドシェイク メッセージを TLS クライアントに送信します。証明書を提示するために TLS クライアントが必要です。

クライアント認証をディセーブルにするには、このコマンドの no 形式を使用します。TLS クライアント認証をディセーブルにするのは、適応型セキュリティ アプライアンスが CUMA クライアントや、クライアント証明書を送信できない Web ブラウザなどのクライアントと相互運用しなければならない場合に適しています。

次の例では、クライアント認証をディセーブルにして TLS プロキシ インスタンスを設定します。

hostname(config)# tls-proxy mmp_tls
hostname(config-tlsp)# no server authenticate-client
hostname(config-tlsp)# server trust-point cuma_server_proxy
 

 
関連コマンド

コマンド
説明

tls-proxy

TLS プロキシ インスタンスを設定します。

server-port

ホストの AAA サーバ ポートを設定するには、AAA-server ホスト モードで server-port コマンドを使用します。指定されたサーバ ポートを削除するには、このコマンドの no 形式を使用します。

server-port port-number

no server-port

 
構文の説明

port-number

範囲 0 ~ 65535 までのポート番号。

 
デフォルト

デフォルトのサーバ ポートは次のとおりです。

SDI:5500

LDAP:389

Kerberos:88

NT:139

TACACS+:49

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA-server グループ

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、サーバ ポート番号 8888 を使用する「srvgrp1」という名前の SDI AAA サーバを設定します。

hostname(config)# aaa-server srvgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# server-port 8888
 

 
関連コマンド

コマンド
説明

aaa-server host

ホスト固有の AAA サーバ パラメータを設定します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

server-separator

電子メールと VPN サーバ名間のデリミタとして文字を指定するには、該当する電子メール プロキシ モードで server-separator コマンドを使用します。デフォルトである「:」に戻すには、このコマンドの no 形式を使用します。

server-separator { symbol }

no server-separator

 
構文の説明

symbol

電子メールと VPN サーバ名を区切る文字。「@」(アットマーク)、「|」(パイプ)、「:」(コロン)、「#」(ハッシュ)、「,」(カンマ)、および「;」(セミコロン)から選択します。

 
デフォルト

デフォルトは「@」(アットマーク)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

pop3s

--

--

--

Imap4s

--

--

--

Smtps

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

サーバの区切り文字は、名前の区切り文字と異なる必要があります。

次に、IMAP4S でパイプ(|)をサーバの区切り文字として設定する例を示します。

hostname(config)# imap4s
hostname(config-imap4s)# server-separator |

 
関連コマンド

コマンド
説明

name-separator

電子メールおよび VPN ユーザ名とパスワードを区切ります。

server-type

LDAP サーバ モデルを手動で設定するには、AAA サーバ ホスト コンフィギュレーション モードで server-type コマンドを使用します。適応型セキュリティ アプライアンスでは次のサーバ モデルがサポートされます。

Microsoft Active Directory

Sun Microsystems JAVA System Directory Server(以前の名前は Sun ONE Directory Server)

LDAPv3 に準拠する汎用 LDAP ディレクトリ サーバ(パスワード管理なし)

このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

server-type {auto-detect | microsoft | sun | generic | openldap | novell}

no server-type {auto-detect | microsoft | sun | generic | openldap | novell}

 
構文の説明

auto-detect

適応型セキュリティ アプライアンスが自動検出によって LDAP サーバ タイプを判別することを指定します。

generic

Sun および Microsoft LDAP ディレクトリ サーバ以外の LDAP v3 準拠のディレクトリ サーバを指定します。パスワード管理は汎用 LDAP サーバではサポートされません。

microsoft

LDAP サーバが Microsoft Active Directory であることを指定します。

openldap

LDAP サーバが OpenLDAP サーバであることを指定します。

novell

LDAP サーバが Novell サーバであることを指定します。

sun

LDAP サーバが Sun Microsystems JAVA System Directory Server サーバであることを指定します。

 
デフォルト

デフォルトでは、自動検出はサーバ タイプを判別しようとします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

8.0(2)

OpenLDAP および Novell サーバ タイプのサポートが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、LDAP バージョン 3 をサポートしており、Sun Microsystems JAVA System Directory Server、Microsoft Active Directory、およびその他の LDAPv3 ディレクトリ サーバとの互換性があります。


) • Sun:Sun ディレクトリ サーバにアクセスするために適応型セキュリティ アプライアンスで設定された DN は、そのサーバのデフォルトのパスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、または DN などのディレクトリ管理者特権を持つユーザを使用することを推奨します。または、デフォルトのパスワード ポリシーに ACI を入れることもできます。

Microsoft:Microsoft Active Directory を使用したパスワード管理を可能にするには、LDAP over SSL を設定する必要があります。

汎用:パスワード管理機能はサポートされません。


 

デフォルトでは、適応型セキュリティ アプライアンスは、接続先が Microsoft ディレクトリ サーバ、Sun LDAP ディレクトリ サーバ、または汎用 LDAPv3 サーバのいずれであるかを自動検出します。ただし、自動検出が LDAP サーバ タイプを判別できない場合に、サーバが Microsoft または Sun サーバのいずれかであることがわかっているときは、 server-type コマンドを使用して、サーバを Microsoft または Sun Microsystems LDAP サーバのいずれかに手動で設定できます。

AAA サーバ ホスト コンフィギュレーション モードで入力される次の例では、IP アドレス 10.10.0.1 にある LDAP サーバ ldapsvr1 のサーバ タイプを設定します。最初の例では、Sun Microsystems LDAP サーバを設定します。

hostname(config)# aaa-server ldapsvr1 protocol ldap
hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
hostname(config-aaa-server-host)# server-type sun
 

次の例では、適応型セキュリティ アプライアンスが自動検出を使用してサーバ タイプを判別することを指定します。

hostname(config)# aaa-server ldapsvr1 protocol LDAP
hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
hostname(config-aaa-server-host)# server-type auto-detect
 

 
関連コマンド

コマンド
説明

ldap-over-ssl

SSL が LDAP クライアントとサーバ間の接続を保護することを指定します。

sasl-mechanism

LDAP クライアントとサーバ間の SASL 認証を設定します。

ldap attribute-map(グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成して名前を付けます。

server trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定するには、TLS サーバ コンフィギュレーション モードで server trust-point コマンドを使用します。

server trust-point proxy_trustpoint

 
構文の説明

proxy_trustpoint

crypto ca trustpoint コマンドによって定義されるトラストポイントを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TLS プロキシ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

トラストポイント証明書には、自己署名証明書、認証局に登録された証明書、またはインポートされたクレデンシャルからの証明書を使用できます。 server trust-point コマンドは、グローバル ssl trust-point コマンドよりも優先されます。

server trust-point コマンドは、TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定します。証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。自己署名証明書、認証局に登録された証明書、またはインポートされたクレデンシャルからの証明書を使用できます。

接続を開始できるエンティティごとに TLS プロキシ インスタンスを作成します。TLS 接続を開始するエンティティは、TLS クライアントのロールにあります。TLS プロキシには、クライアント プロキシとサーバ プロキシの厳格な定義があるため、いずれかのエンティティが接続を開始する可能性がある場合は、2 つの TLS プロキシ インスタンスを定義する必要があります。


) Phone Proxy とともに使用する TLS プロキシ インスタンスを作成する場合は、サーバ トラストポイントは、内部 Phone Proxy トラストポイントが作成した CTL ファイル インスタンスです。トラストポイント名の形式は、internal_PP_<ctl-file_instance_name> です。


次に、 server trust-point コマンドを使用して、TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定する例を示します。

hostname(config-tlsp)# server trust-point ent_y_proxy
 

 
関連コマンド

コマンド
説明

client(TLS プロキシ)

TLS プロキシ インスタンスのトラストポイント、キーペア、および暗号スイートを設定します。

client trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

tls-proxy

TLS プロキシ インスタンスを設定します。

service

拒否された TCP 接続のリセットをイネーブルにするには、グローバル コンフィギュレーション モードで service コマンドを使用します。リセットをディセーブルにするには、このコマンドの no 形式を使用します。

service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }

no service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }

 
構文の説明

interface interface_name

指定されたインターフェイスのリセットをイネーブルまたはディセーブルにします。

resetinbound

アクセス リストまたは AAA 設定に基づいて、適応型セキュリティ アプライアンスを通過しようとして、適応型セキュリティ アプライアンスによって拒否されたすべての着信 TCP セッションの TCP リセットを送信します。適応型セキュリティ アプライアンスは、アクセス リストまたは AAA によって許可されても、既存の接続に属しておらず、ステートフル ファイアウォールによって拒否されたパケットのリセットも送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションがイネーブルになっていない場合は、適応型セキュリティ アプライアンスは拒否されたパケットを、何も通知せずに廃棄します。インターフェイスを指定しないと、この設定はすべてのインターフェイスに適用されます。

resetoutbound

アクセス リストまたは AAA 設定に基づいて、適応型セキュリティ アプライアンスを通過しようとして、適応型セキュリティ アプライアンスによって拒否されたすべての発信 TCP セッションの TCP リセットを送信します。適応型セキュリティ アプライアンスは、アクセス リストまたは AAA によって許可されても、既存の接続に属しておらず、ステートフル ファイアウォールによって拒否されたパケットのリセットも送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションがイネーブルになっていない場合は、適応型セキュリティ アプライアンスは拒否されたパケットを、何も通知せずに廃棄します。このオプションは、デフォルトでイネーブルになります。たとえばトラフィック ストーム中に、CPU 負荷を削減するために、発信リセットをディセーブルにすることを推奨します。

resetoutside

アクセス リストまたは AAA に基づいて、安全性が最も低いインターフェイスを終了し、適応型セキュリティ アプライアンスによって拒否される TCP パケットのリセットをイネーブルにします 。適応型セキュリティ アプライアンスは、アクセス リストまたは AAA によって許可されても、既存の接続に属しておらず、ステートフル ファイアウォールによって拒否されたパケットのリセットも送信します。このオプションがイネーブルになっていない場合は、適応型セキュリティ アプライアンスは拒否されたパケットのパケットを、何も通知せずに廃棄します。インターフェイス PAT とともに resetoutside キーワードを使用することを推奨します。このキーワードを使用すると、適応型セキュリティ アプライアンスは、外部 SMTP または FTP サーバから IDENT を終了できます。これらの接続をアクティブにリセットすると、30 秒のタイムアウト遅延が回避されます。

 
デフォルト

デフォルトでは、 service resetoutbound はすべてのインターフェイスでイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

interface キーワードと resetoutbound コマンドが追加されました。

 
使用上のガイドライン

アイデンティティ要求(IDENT)接続をリセットする必要がある場合は、着信トラフィックのリセットを明示的に送信することを推奨します。拒否されたホストに TCP RST(TCP ヘッダーのリセット フラグ)を送信すると、IDENT がタイムアウトになるのをユーザが待機する必要がないように、RST は着信 IDENT プロセスを停止します。IDENT がタイムアウトになるのを待機すると、IDENT がタイムアウトになるまで外部のホストが SYN を再送信し続けるために、トラフィックが低速になる可能性があるため、 service resetinbound コマンドによってパフォーマンスを改善できることがあります。

次の例では、内部インターフェイスを除くすべてのインターフェイスで発信リセットをディセーブルにします。

hostname(config)# no service resetoutbound
hostname(config)# service resetoutbound interface inside
 

次の例では、DMZ インターフェイスを除くすべてのインターフェイスで着信リセットをイネーブルにします。

hostname(config)# service resetinbound
hostname(config)# no service resetinbound interface dmz
 

次の例では、外部インターフェイスで終了する接続のリセットをイネーブルにします。

hostname(config)# service resetoutside
 

 
関連コマンド

コマンド
説明

show running-config service

サービス設定を表示します。

service call-home

Call Home サービスをイネーブルにするには、グローバル コンフィギュレーション モードで service call-home コマンドを使用します。Call Home サービスをディセーブルにするには、このコマンドの no 形式を使用します。

service call-home

no service call-home

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、service Call Home コマンドはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

次に、Call Home サービスをイネーブルにする例を示します。

hostname(config)# service call-home
 

次に、Call Home サービスをディセーブルにする例を示します。

hostname(config)# no service call-home

 
関連コマンド

コマンド
説明

call-home(グローバル コンフィギュレーション)

Call Home コンフィギュレーション モードを開始します。

call-home test

Call Home テスト メッセージを手動で送信します。

show call-home

Call Home コンフィギュレーション情報を表示します。

service(CTL プロバイダー)

証明書信頼リスト プロバイダーが待ち受けるポートを指定するには、CTL プロバイダー コンフィギュレーション モードで service コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

service port listening_port

no service port listening_port

 
構文の説明

port listening_port

クライアントにエクスポートする証明書を指定します。

 
デフォルト

デフォルトのポートは 2444 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL プロバイダー コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CTL プロバイダーが待ち受けるポートを指定するには、CTL プロバイダー コンフィギュレーション モードで service コマンドを使用します。ポートは、クラスタで CallManager サーバが待ち受けるポートでなければなりません([CallManager administration] ページの [Enterprise Parameters] の下で設定)。デフォルトのポートは 2444 です。

次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。

hostname(config)# ctl-provider my_ctl
hostname(config-ctl-provider)# client interface inside 172.23.45.1
hostname(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
hostname(config-ctl-provider)# export certificate ccm_proxy
hostname(config-ctl-provider)# ctl install
 

 
関連コマンド

コマンド
説明

client

CTL プロバイダーへの接続が許可されるクライアントを指定し、クライアント認証用のユーザ名とパスワードも指定します。

ctl

CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールします。

ctl-provider

CTL プロバイダー モードで CTL プロバイダー インスタンスを設定します。

export

クライアントにエクスポートする証明書を指定します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

service password-recovery

パスワード回復をイネーブルにするには、グローバル コンフィギュレーション モードで service password-recovery コマンドを使用します。パスワード回復をディセーブルにするには、このコマンドの no 形式を使用します。パスワード回復はデフォルトでイネーブルにされますが、無許可ユーザがパスワード回復メカニズムを使用して適応型セキュリティ アプライアンスを侵害できないように、ディセーブルにすることを推奨します。

service password-recovery

no service password-recovery

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

パスワード回復はデフォルトでイネーブルにされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、パスワードを忘れた場合は、スタートアップ中に求められたら端末キーボードで Escape キーを押して、適応型セキュリティ アプライアンスを ROMMON で起動できます。その後、コンフィギュレーション レジスタを変更して( config-register コマンドを参照)、スタートアップ コンフィギュレーションを無視するよう適応型セキュリティ アプライアンスを設定します。たとえば、コンフィギュレーション レジスタがデフォルトの 0x1 である場合は、 confreg 0x41 コマンドを入力して、値を 0x41 に変更します。適応型セキュリティ アプライアンスのリロード後に、デフォルト設定がロードされ、デフォルトのパスワードを使用して特権 EXEC モードを開始できます。その後、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーしてロードし、パスワードをリセットします。最後に、コンフィギュレーション レジスタを元の設定にして、前と同じように起動するよう適応型セキュリティ アプライアンスを設定します。たとえば、グローバル コンフィギュレーション モードで config-register 0x1 コマンドを入力します。

PIX 500 シリーズ セキュリティ アプライアンスでは、スタートアップ中に求められたら端末キーボードで Escape を押して、適応型セキュリティ アプライアンスをモニタ モードで起動します。その後、PIX パスワード ツールを適応型セキュリティ アプライアンスにダウンロードします。これによって、すべてのパスワードと aaa authentication コマンドが削除されます。

ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 no service password-recovery コマンドは、ユーザが設定に影響を与えずに ROMMON を開始できないようにします。ユーザが ROMMON を開始すると、適応型セキュリティ アプライアンスによって、すべてのフラッシュ ファイル システムが削除されることがユーザに示されます。ユーザは、最初にこの削除を実行せずに ROMMON を開始することはできません。ユーザがフラッシュ ファイル システムを削除しないことを選択すると、適応型セキュリティ アプライアンスはリロードします。パスワード回復は、ROMMON の使用と既存の設定のメンテナンスに依存するため、この削除によって、ユーザはパスワードを回復できなくなります。ただし、パスワード回復をディセーブルにすると、無許可ユーザが設定を表示したり、別のパスワードを挿入したりできなくなります。この場合に、システムを動作ステートに回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(使用可能な場合)をロードします。 service password-recovery コマンドは、通知のためだけにコンフィギュレーション ファイルに表示されます。CLI プロンプトにこのコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。別のバージョンのコマンドで新しい設定をロードしても設定は変更されません。適応型セキュリティ アプライアンスが(パスワード回復の準備のために)スタートアップ時にスタートアップ コンフィギュレーションを無視するよう設定されている場合に、パスワード回復をディセーブルにすると、適応型セキュリティ アプライアンスは、通常どおりスタートアップ コンフィギュレーションを起動するよう設定を変更します。フェールオーバーを使用する場合に、スタートアップ コンフィギュレーションを無視するようスタンバイ ユニットが設定されているときは、 no service password recovery コマンドによるスタンバイ ユニットへの複製時にコンフィギュレーション レジスタに同じ変更が行われます。

PIX 500 シリーズ セキュリティ アプライアンスでは、 no service password-recovery コマンドを使用すると、PIX パスワード ツールは、すべてのフラッシュ ファイル システムを削除するようユーザに強制します。ユーザは、最初にこの削除を実行せずに PIX パスワード ツールを使用することはできません。ユーザがフラッシュ ファイル システムを削除しないことを選択すると、適応型セキュリティ アプライアンスはリロードします。パスワード回復は、既存の設定のメンテナンスに依存するため、この削除によって、ユーザはパスワードを回復できなくなります。ただし、パスワード回復をディセーブルにすると、無許可ユーザが設定を表示したり、別のパスワードを挿入したりできなくなります。この場合に、システムを動作ステートに回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(使用可能な場合)をロードします。

次の例では、ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復をディセーブルにします。

hostname(config)# no service password-recovery
WARNING: Executing "no service password-recovery" has disabled the password recovery mechanism and disabled access to ROMMON. The only means of recovering from lost or forgotten passwords will be for ROMMON to erase all file systems including configuration files and images. You should make a backup of your configuration and have a mechanism to restore images from the ROMMON command line.
 

次の例では、PIX 500 シリーズ セキュリティ アプライアンスのパスワード回復をディセーブルにします。

hostname(config)# no service password-recovery
WARNING: Saving "no service password-recovery" in the startup-config will disable password recovery via the npdisk application. The only means of recovering from lost or forgotten passwords will be for npdisk to erase all file systems including configuration files and images. You should make a backup of your configuration and have a mechanism to restore images from the Monitor Mode command line.
 

ASA 5500 シリーズ適応型セキュリティ アプライアンスの次の例は、スタートアップ時に ROMMON を開始するタイミングと、パスワード回復操作を実行する方法を示します。

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
 
 
Use ? for help.
rommon #0> confreg
 
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
 
Do you wish to change this configuration? y/n [n]: n
 
rommon #1> confreg 0x41
 
Update Config Register (0x41) in NVRAM...
 
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
 
 
Loading disk0:/ASA_7.0.bin... Booting...
###################
...
Ignoring startup configuration as instructed by configuration register.
Type help or '?' for a list of available commands.
hostname> enable
Password:
hostname# configure terminal
hostname(config)# copy startup-config running-config
 
Destination filename [running-config]?
Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9
 
892 bytes copied in 6.300 secs (148 bytes/sec)
hostname(config)# enable password NewPassword
hostname(config)# config-register 0x1
 

 
関連コマンド

コマンド
説明

config-register

リロード時にスタートアップ コンフィギュレーションを無視するよう適応型セキュリティ アプライアンスを設定します。

enable password

イネーブル パスワードを設定します。

password

ログイン パスワードを設定します。

service-policy(クラス)

別のポリシー マップの下にある階層ポリシー マップを適用するには、クラス コンフィギュレーション モードで service-policy コマンドを使用します。サービス ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。階層ポリシーは、シェーピングされたトラフィックのサブセットでプライオリティ キューイングを実行する場合は、QoS トラフィック シェーピングだけでサポートされます。

service-policy policymap_name

no service-policy policymap_name

 
構文の説明

policymap_name

policy-map コマンドで設定したポリシー マップ名を指定します。 priority コマンドが含まれるレイヤ 3/4 ポリシー マップだけを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

階層型プライオリティ キューイングは、トラフィック シェーピング キューをイネーブルにしたインターフェイスで使用されます。シェーピングされたトラフィックのサブセットを優先できます。標準プライオリティ キューは使用されません( priority-queue コマンド)。

階層型プライオリティ キューイングでは、モジュラ ポリシー フレームワークを使用して次のタスクを実行します。

1. class-map :プライオリティ キューイングを実行するトラフィックを指定します。

2. policy-map (プライオリティ キューイングの場合):各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. priority :クラス マップのプライオリティ キューイングをイネーブルにします。ポリシー マップを階層的に使用する場合は、このポリシー マップに priority コマンドだけを含めることができます。

3. policy-map (トラフィック シェーピングの場合): class-default クラス マップに関連付けるアクションを指定します。

a. class class-default :アクションを実行する class-default クラス マップを指定します。

b. shape :トラフィック シェーピングをクラス マップに適用します。

c. service-policy :プライオリティ キューイングをシェーピングされたトラフィックのサブセットに適用できるように、 priority コマンドを設定したプライオリティ キューイング ポリシー マップを呼び出します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

次の例では、外部インターフェイスのすべてのトラフィックでトラフィック シェーピングをイネーブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリティを付けます。

hostname(config)# class-map TG1-voice
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# match dscp ef
 
hostname(config)# policy-map priority-sub-policy
hostname(config-pmap)# class TG1-voice
hostname(config-pmap-c)# priority
 
hostname(config-pmap-c)# policy-map shape_policy
hostname(config-pmap)# class class-default
hostname(config-pmap-c)# shape
hostname(config-pmap-c)# service-policy priority-sub-policy
 
hostname(config-pmap-c)# service-policy shape_policy interface outside
 

 
関連コマンド

コマンド
説明

class(ポリシー マップ)

ポリシー マップのクラス マップを指定します。

clear configure service-policy

サービス ポリシーのコンフィギュレーションをクリアします。

clear service-policy

サービス ポリシーの統計情報をクリアします。

policy-map

クラス マップで実行するアクションを指定します。

priority

プライオリティ キューイングをイネーブルにします。

service-policy(グローバル)

インターフェイスにポリシー マップを適用します。

shape

トラフィック シェーピングをイネーブルにします。

show running-config service-policy

実行コンフィギュレーションに設定されているサービス ポリシーを表示します。

show service-policy

サービス ポリシーの統計情報を表示します。

service-policy(グローバル)

ポリシー マップをすべてのインターフェイスでグローバルに、またはターゲットのインターフェイスでアクティブにするには、グローバル コンフィギュレーション モードで service-policy コマンドを使用します。サービス ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。インターフェイスでポリシー セットをイネーブルにするには、 service-policy コマンドを使用します。

service-policy policymap_name [ global | interface intf ]

no service-policy policymap_name [ global | interface intf ]

 
構文の説明

policymap_name

policy-map コマンドで設定したポリシー マップ名を指定します。インスペクション ポリシー マップ( policy-map type inspect )ではなく、レイヤ 3/4 ポリシー マップだけを指定できます。

global

すべてのインターフェイスにポリシー マップを適用します。

interface intf

特定のインターフェイスにポリシー マップを適用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

サービス ポリシーをイネーブルにするには、モジュラ ポリシー フレームワークを使用します。

1. class-map :プライオリティ キューイングを実行するトラフィックを指定します。

2. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. commands for supported features :特定のクラス マップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

インターフェイス サービス ポリシーは、特定の機能のグローバル サービス ポリシーよりも優先されます。たとえば、インスペクションが設定されたグローバル ポリシーおよび TCP 正規化が設定されたインターフェイス ポリシーがある場合は、インスペクションと TCP 正規化の両方がインターフェイスに適用されます。ただし、インスペクションが設定されたグローバル ポリシーおよびインスペクションが設定されたインターフェイス ポリシーがある場合は、インターフェイス ポリシー インスペクションだけがインターフェイスに適用されます。

デフォルトでは、設定には、すべてのデフォルトのアプリケーション インスペクション トラフィックと一致し、インスペクションをトラフィックにグローバルに適用するグローバル ポリシーが含まれています。適用できるグローバル ポリシーは 1 つのみです。このため、グローバル ポリシーを変更する場合は、デフォルトのポリシーを編集するか、ディセーブルにして新しいポリシーを適用する必要があります。

デフォルトのサービス ポリシーには、次のコマンドが含まれています。

service-policy global_policy global
 

次に、外部インターフェイスで inbound_policy ポリシー マップをイネーブルにする例を示します。

hostname(config)# service-policy inbound_policy interface outside
 

次のコマンドは、デフォルトのグローバル ポリシーをディセーブルにして、その他すべての適応型セキュリティ アプライアンス インターフェイスで new_global_policy という新しいグローバル ポリシーをイネーブルにします。

hostname(config)# no service-policy global_policy global
hostname(config)# service-policy new_global_policy global
 

 
関連コマンド

コマンド
説明

clear configure service-policy

サービス ポリシーのコンフィギュレーションをクリアします。

clear service-policy

サービス ポリシーの統計情報をクリアします。

service-policy(クラス)

別のポリシー マップの下にある階層型ポリシーを適用します。

show running-config service-policy

実行コンフィギュレーションに設定されているサービス ポリシーを表示します。

show service-policy

サービス ポリシーの統計情報を表示します。

session

AIP SSM や CSC SSM などのインテリジェント SSM への Telnet セッションを確立するには、特権 EXEC モードで session コマンドを使用します。

session slot [ do | ip ]

 
構文の説明

do

slot 引数によって指定された SSM でコマンドを実行します。Cisco TAC によって指示された場合を除いて、 do キーワードは使用しないでください。

ip

slot 引数によって指定された SSM のロギング IP アドレスを設定します。Cisco TAC によって指示された場合を除いて、 ip キーワードは使用しないでください。

slot

SSM スロット番号を指定します。これは常に 1 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

do および ip キーワードが追加されました。これらのキーワードは、Cisco TAC によって指示された場合に限り使用するキーワードです。

 
使用上のガイドライン

このコマンドは、SSM がアップ状態になっているときに限り使用可能です。ステート情報については、 show module コマンドを参照してください。

セッションを終了するには、 exit または Ctrl+Shift+6 を入力して、X キーを使用します。

次の例は、スロット 1 の SSM へのセッションです。

hostname# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

 
関連コマンド

コマンド
説明

debug session-command

セッションのデバッグ メッセージを表示します。

set connection

トラフィック クラスのポリシー マップ内の接続制限を指定するには、クラス コンフィギュレーション モードで set connection コマンドを使用します。これらの指定を削除して、無制限の接続を許可するには、このコマンドの no 形式を使用します。

set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}

no set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}

 
構文の説明

conn-max n

許可される同時 TCP または UDP 接続もしくはその両方の最大数を 0 ~ 65535 の間で設定します。デフォルトは 0 です。無制限の接続が許可されます。たとえば、同時 TCP または UDP 接続もしくはその両方を許可するように 2 つのサーバが設定されている場合は、接続制限は、設定されているサーバごとに個別に適用されます。クラスで設定すると、このキーワードは、クラス全体で許可される同時接続の最大数を制限します。この場合は、1 つの atack ホストはすべての接続を消費でき、クラスの下のアクセス リストで一致する残りのどのホストも残すことができません。

embryonic-conn-max n

許可される同時初期接続の最大数を 0 ~ 65535 の間で設定します。デフォルトは 0 です。無制限の接続が許可されます。

per-client-embryonic-max n

1 つのクライアントで許可される同時初期接続の最大数を 0 ~ 65535 の間で設定します。クライアントは、適応型セキュリティ アプライアンスから(新規接続を作成する)接続の初期パケットを送信するホストとして定義されます。 access-list class-map とともに使用して、この機能のトラフィックを一致させる場合は、初期制限は、アクセス リストと一致するすべてのクライアントの累積初期接続ではなく、ホスト単位で適用されます。デフォルトは 0 です。無制限の接続が許可されます。このキーワードは、管理クラス マップでは使用できません。

per-client-max n

1 つのクライアントで許可される同時接続の最大数を 0 ~ 65535 の間で設定します。クライアントは、適応型セキュリティ アプライアンスから(新規接続を作成する)接続の初期パケットを送信するホストとして定義されます。 access-list class-map とともに使用して、この機能のトラフィックを一致させる場合は、接続制限は、アクセス リストと一致するすべてのクライアントの累積初期接続ではなく、ホスト単位で適用されます。デフォルトは 0 です。無制限の接続が許可されます。このキーワードは、管理クラス マップでは使用できません。クラスで設定すると、このキーワードは、クラスの下のアクセス リスト経由で一致するホストごとに許可される同時接続の最大数を制限します。

random-sequence-number { enable | disable }

TCP シーケンス番号のランダム化をイネーブルまたはディセーブルにします。このキーワードは、管理クラス マップでは使用できません。詳細については、「使用上のガイドライン」を参照してください。

 
デフォルト

conn-max embryonic-conn-max per-client-embryonic-max 、および per-client-max パラメータの場合、 n のデフォルト値は、無制限の接続を許可する 0 です。

シーケンス番号のランダム化はデフォルトでイネーブルになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

per-client-embryonic-max および per-client-max キーワードが追加されました。

8.0(2)

このコマンドは、to-the-適応型セキュリティ アプライアンス管理トラフィックのレイヤ 3/4 管理クラス マップで使用可能になりました。 conn-max キーワードおよび embryonic-conn-max キーワードだけが使用可能です。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用してこのコマンドを設定します。最初に、 class-map コマンド(通過トラフィックの場合)または class-map type management コマンド(管理トラフィックの場合)を使用して、タイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection コマンドを入力できます。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。


) NAT コンフィギュレーションで、最大接続、最大初期接続、および TCP シーケンスのランダム化を設定することもできます。両方の方法を使用して同じトラフィックにこれらの設定を行う場合は、適応型セキュリティ アプライアンスは低い方の制限を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、適応型セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。


TCP 代行受信の概要

初期接続の数を制限すると、DoS 攻撃から保護できます。適応型セキュリティ アプライアンスは、クライアント単位の制限および初期接続制限を使用して、TCP 代行受信をトリガーします。これによって、内部システムは、TCP SYN パケットでインターフェイスをフラッディングさせることで行われる DoS 攻撃から保護されます。初期接続は、発信元と宛先の間で必要なハンドシェイクを終了していない接続要求です。TCP 代行受信は、SYN クッキー アルゴリズムを使用して、TCP SYN フラッディング攻撃を防ぎます。SYN フラッディング攻撃は、通常はスプーフィングされた IP アドレスから発信される一連の SYN パケットからなります。SYN パケットの定期的なフラッディングによって、サーバの SYN キューはフルの状態になり、保護要求を処理できなくなります。接続の初期接続しきい値を超えると、適応型セキュリティ アプライアンスはサーバのプロキシとして動作し、クライアントの SYN 要求に対して SYN-ACK 応答を生成します。適応型セキュリティ アプライアンスはクライアントから ACK を受信すると、そのクライアントを認証した後でサーバへの接続を許可します。

クライアントレス SSL の互換性のために管理パケットの TCP 代行受信をディセーブル化

デフォルトでは、TCP 管理接続では、常に TCP 代行受信はイネーブルになっています。TCP 代行受信をイネーブルにすると、スリーウェイ TCP 接続確立のハンドシェイク パケットが代行受信されるため、適応型セキュリティ アプライアンスではクライアントレス SSL のパケットを処理できなくなります。クライアントレス SSL では、クライアントレス SSL 接続で選択的 ACK や他の TCP オプションを提供するために、スリーウェイ ハンドシェイク パケットを処理する機能が必要になります。管理トラフィックの TCP 代行受信をディセーブルにするには、初期接続制限を設定します。初期接続制限に達した後だけ TCP 代行受信はイネーブルにされます。

TCP シーケンスのランダム化の概要

それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。適応型セキュリティ アプライアンスは、着信方向と発信方向の両方で通過する TCP SYN の ISN をランダム化します。

保護されたホストの ISN をランダム化することにより、攻撃者が新しい接続で次の ISN を予測できないようにして、新規セッションが乗っ取られるのを防ぎます。

TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次の例を参考にしてください。

別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラフィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要がない場合。

適応型セキュリティ アプライアンスで eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダム化により、MD5 チェックサムは分解されます。

適応型セキュリティ アプライアンスで接続のシーケンス番号をランダム化しないようにする必要がある WAAS デバイスを使用する場合。

次に、 set connection コマンドを使用して、同時接続の最大数を 256 に設定して、TCP シーケンス番号のランダム化をディセーブルにする例を示します。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection conn-max 256 random-sequence-number disable
hostname(config-pmap-c)#
 

次に、トラフィックを CSC SSM に迂回させるサービス ポリシーでの set connection コマンドの使用例を示します。 set connection コマンドは、CSC SSM がトラフィックをスキャンする各クライアントを最大で 5 つの接続に制限します。

hostname(config)# policy-map csc_policy
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection per-client-max 5
hostname(config-pmap-c)# csc fail-close
hostname(config-pmap-c)#
 

複数のパラメータを指定してこのコマンドを入力するか、各パラメータを個別のコマンドとして入力することができます。適応型セキュリティ アプライアンスは、実行コンフィギュレーションでコマンドを 1 つの行にまとめます。たとえば、次の 2 つのコマンドをクラス コンフィギュレーション モードで入力したとします。

hostname(config-pmap-c)# set connection conn-max 600
hostname(config-pmap-c)# set connection embryonic-conn-max 50
 

show running-config policy-map コマンドの出力には、2 つのコマンドの結果が 1 つにまとめられたコマンドで表示されます。

set connection conn-max 600 embryonic-conn-max 50

 
関連コマンド

コマンド
説明

class

トラフィックの分類に使用するクラス マップを指定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

show service-policy

サービス ポリシー設定を表示します。 set connection コマンドが含まれているポリシーを表示するには、 set connection キーワードを使用します。

set connection advanced-options

TCP 正規化をカスタマイズするには、クラス コンフィギュレーション モードで set connection advanced-options コマンドを使用します。TCP 正規化オプションを削除するには、このコマンドの no 形式を使用します。

set connection advanced-options tcp_mapname

no set connection advanced-options tcp_mapname

 
構文の説明

tcp_mapname

tcp-map コマンドによって作成された TCP マップの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

TCP ステート バイパスをイネーブルにするには、モジュラ ポリシー フレームワークを使用します。

1. tcp-map :TCP 正規化アクションを指定します。

2. class-map :TCP 正規化アクションを実行するトラフィックを指定します。

3. policy-map :クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced options :TCP 正規化をクラス マップに適用します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

次に、 set connection advanced-options コマンドを使用して、localmap という名前の TCP マップの使用を指定する例を示します。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
hostname(config-cmap)# exit
hostname(config)# tcp-map localmap
hostname(config)# policy-map global_policy global
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection advanced-options localmap
hostname(config-pmap-c)#
 

 
関連コマンド

コマンド
説明

class

トラフィックの分類に使用するクラス マップを指定します。

class-map

クラス マップ モードで(tunnel-group および default-inspection-traffic を除く)match コマンドを 1 つだけ実行して、一致基準を指定することで、トラフィック クラスを設定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

set connection advanced-options tcp-state-bypass

TCP ステート バイパスをイネーブルにするには、クラス コンフィギュレーション モードで set connection advanced-options コマンドを使用します。クラス コンフィギュレーション モードは、ポリシー マップ コンフィギュレーション モードからアクセス可能です。TCP ステート バイパスをディセーブルにするには、このコマンドの no 形式を使用します。

set connection advanced-options tcp-state-bypass

no set connection advanced-options tcp-state-bypass

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、TCP ステート バイパスはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

TCP ステート バイパスをイネーブルにするには、モジュラ ポリシー フレームワークを使用します。

1. class-map :TCP ステート バイパスを実行するトラフィックを指定します。

2. policy-map :クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced options tcp-state-bypass :トラフィック シェーピングをクラス マップに適用します。

3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

発信および着信フローが個別のデバイスを通過できるようにする

デフォルトでは、適応型セキュリティ アプライアンスを通過するすべてのトラフィックが、アダプティブ セキュリティ アルゴリズムを使用して検査され、セキュリティ ポリシーに基づいて通過を許可されるか、ドロップされます。適応型セキュリティ アプライアンスは、各パケットのステート(新しい接続であるか、確立済みの接続であるか)をチェックして、セッション管理パス(新しい接続の SYN パケット)、高速パス(確立済みの接続)、またはコントロール プレーン パス(拡張インスペクション)のいずれかに割り当てることで、ファイアウォールのパフォーマンスを最大化します。

高速パスの既存の接続と一致する TCP パケットは、セキュリティ ポリシーのすべての側面を再検査することなく、適応型セキュリティ アプライアンスを通過できます。この機能によって、パフォーマンスが最大化されます。ただし、SYN パケットを使用して高速パスでセッションを確立する方法、および高速パスで行われる検査(TCP シーケンス番号など)は、非対称ルーティング ソリューションの障害となることがあります。接続の発信フローと着信フローはいずれも同じ適応型セキュリティ アプライアンスを通過する必要があります。

たとえば、新しい接続は適応型セキュリティ アプライアンス 1 に行きます。SYN パケットは、セッション管理パスを通過し、接続のエントリが高速パス テーブルに追加されます。この接続の後続のパケットが適応型セキュリティ アプライアンス 1 を通過する場合、パケットは高速パスのエントリと照合され、一致すればパススルーできます。ただし、後続のパケットが、セッション管理パスを通過した SYN パケットがない適応型セキュリティ アプライアンス 2 に行くと、接続の高速パスにはエントリが存在せず、パケットはドロップされます。

アップストリーム ルータで非対称ルーティングが設定されていて、トラフィックが 2 つの適応型セキュリティ アプライアンスに交互に送出される場合は、特定のトラフィックに対して TCP ステート バイパスを設定できます。TCP ステート バイパスにより、高速パスでのセッションの確立方法が変更され、高速パス チェックがディセーブルになります。この機能では、UDP 接続の処理と同様の方法で TCP トラフィックが処理されます。指定されたネットワークと一致した非 SYN パケットが適応型セキュリティ アプライアンスに入った時点で高速パス エントリが存在しない場合、高速パスで接続を確立するために、そのパケットはセッション管理パスを通過します。一度高速パスに入ったトラフィックでは、高速パス チェックが回避されます。

サポートされない機能

TCP ステート バイパスを使用する場合にサポートされていない機能は、次のとおりです。

アプリケーション インスペクション:アプリケーション インスペクションは、着信トラフィックと発信トラフィックがいずれも同じ適応型セキュリティ アプライアンスを通過する必要があるため、TCP ステート バイパスでサポートされていません。

AAA 認証セッション:ユーザが一方の適応型セキュリティ アプライアンスだけで認証を行う場合、もう一方の適応型セキュリティ アプライアンスで認証を行わなかったため、その適応型セキュリティ アプライアンスを経由して戻されたトラフィックは拒否されます。

TCP 代行受信、初期接続の最大制限、TCP シーケンス番号のランダム化:適応型セキュリティ アプライアンスは、接続のステートを追跡しないため、これらの機能は適用されません。

TCP 正規化:TCP ノーマライザはディセーブルにされます。

SSM 機能:TCP ステート バイパスおよび SSM で実行されているアプリケーション(IPS や CSC など)は使用できません。

NAT の注意事項

変換セッションは適応型セキュリティ アプライアンスごとに別々に確立されるため、TCP ステート バイパス トラフィックに対して両方の適応型セキュリティ アプライアンスでスタティック NAT を設定する必要があります。ダイナミック NAT を使用すると、セッションに対して選択されるアドレスが適応型セキュリティ アプライアンス 1 と適応型セキュリティ アプライアンス 2 で異なります。

接続タイムアウトの注意事項

特定の接続上でトラフィックが 2 分間存在しないと、その接続がタイムアウトになります。 set connection timeout tcp コマンドを使用して、このデフォルト値を上書きすることができます。通常の TCP 接続は、デフォルトで 60 分後にタイムアウトになります。

次に、TCP ステート バイパスの設定例を示します。

hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
 
hostname(config)# class-map tcp_bypass
hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"
hostname(config-cmap)# match access-list tcp_bypass
 
hostname(config-cmap)# policy-map tcp_bypass_policy
hostname(config-pmap)# class tcp_bypass
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass
 
hostname(config-pmap-c)# service-policy tcp_bypass_policy outside
 
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask 255.255.255.224
 

 
関連コマンド

コマンド
説明

class

ポリシー マップでクラス マップを指定します。

class-map

サービス ポリシーで使用するクラス マップを作成します。

policy-map

クラス マップと 1 つ以上のアクションを関連付けるポリシー マップを設定します。

service-policy

インターフェイスにポリシー マップを割り当てます。

set connection timeout

接続タイムアウトを設定します。

set connection decrement-ttl

トラフィック クラスのポリシー マップ内の存続時間値をデクリメントするには、クラス コンフィギュレーション モードで set connection decrement-ttl コマンドを使用します。存続時間をデクリメントしない場合は、このコマンドの no 形式を使用します。

set connection decrement-ttl

no set connection decrement-ttl

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスでは存続時間はデクリメントされません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドと icmp unreachable コマンドは、適応型セキュリティ アプライアンスをホップの 1 つとして示す適応型セキュリティ アプライアンスを経由した traceroute を許可するために必要です。

次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定します。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection decrement-ttl
hostname(config-pmap-c)# exit
hostname(config)# icmp unreachable rate-limit 50 burst-size 6
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

clear configure policy-map

ポリシー マップが service-policy コマンドで使用中である場合、そのポリシー マップは削除されない点を除いて、すべてのポリシー マップ コンフィギュレーションを削除します。

icmp unreachable

適応型セキュリティ アプライアンスを経由した ICMP 到達不能が許可されるレートを制御します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

show service-policy

サービス ポリシー設定を表示します。

set connection timeout

トラフィック クラスのポリシー マップ内の接続タイムアウトを指定するには、クラス コンフィギュレーション モードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。

set connection timeout {[ embryonic hh : mm : ss] [idle hh : mm : ss [ reset ]] [ half-closed hh : mm : ss] [dcd [retry_interval [ max_retries ]]]}

no set connection timeout {[ embryonic hh : mm : ss] [idle hh : mm : ss [ reset ]] [ half-closed hh : mm : ss] [dcd [retry_interval [ max_retries ]]]}

 
構文の説明

dcd

Dead Connection Detection(DCD; デッド接続検出)をイネーブルにします。DCD は、デッド接続を検出して、まだトラフィックを処理できる接続を期限切れにすることなく、そのデッド接続を期限切れにできます。アイドルだが有効な接続を持続する場合に、DCD を設定します。TCP 接続のタイムアウト後に、適応型セキュリティ アプライアンスは、DCD プローブをエンド ホストに送信して、接続の有効性を判別します。いずれかのエンド ホストが、最大再試行回数に達した後で応答できない場合は、適応型セキュリティ アプライアンスは接続を解放します。両方のエンド ホストが、接続が有効であると応答する場合は、適応型セキュリティ アプライアンスは、アクティビティ タイムアウトを現在の時間に更新して、それに従ってアイドル タイムアウトをスケジュールし直します。

embryonic hh : mm : ss

TCP 初期(ハーフオープン)接続を閉じるまでのタイムアウト期間を 0:0:5 ~ 1193:0:0 の間で設定します。デフォルトは 0:0:30 です。値を 0 に設定することもできます。これは、接続がタイムアウトになることはないことを意味します。スリーウェイ ハンドシェイクが完全ではない TCP 接続は、初期接続です。

half-closed hh : mm : ss

ハーフクローズ接続を閉じるまでのアイドル タイムアウト期間を 0:5:0 ~ 1193:0:0 の間で設定します。デフォルトは 0:10:0 です。値を 0 に設定することもできます。これは、接続がタイムアウトになることはないことを意味します。ハーフクローズ接続は DCD の影響を受けません。また、適応型セキュリティ アプライアンスは、ハーフクローズ接続の切断時にリセットを送信しません。

idle hh : mm : ss

任意のプロトコルの確立済みの接続をクローズするまでのアイドル タイムアウト期間を設定します。

max_retries

接続をデッドとして宣言するまでの、DCD の連続して失敗した再試行数を設定します。最小値は 1 で、最大値は 255 です。デフォルトは 5 です。

reset

TCP トラフィックの場合だけ、アイドル接続が削除された後で、TCP RST パケットを両方のエンド システムに送信します。

retry_interval

応答しない各 DCD プローブの後で、別のプローブを送信するまでに待機する、0:0:1 ~ 24:0:0 の間の hh : mm : ss 形式の期間。デフォルトは 0:0:15 です。

 
デフォルト

デフォルトの embryonic タイムアウトは 30 秒です。

デフォルトの half-closed アイドル タイムアウトは 10 分です。

デフォルトの dcd max_retries 値は 5 です。

デフォルトの dcd retry_interval 値は 15 秒です。

デフォルトの idle アイドル タイムアウトは 1 時間です。

デフォルトの udp アイドル タイムアウトは 2 分です。

デフォルトの icmp アイドル タイムアウトは 2 分です。

デフォルトの esp および ha アイドル タイムアウトは 30 秒です。

その他すべてのプロトコルでは、デフォルトのアイドル タイムアウトは 2 分です。

タイムアウトにならないようにするには、0:0:0 を入力します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

DCD のサポートが追加されました。

8.2(2)

tcp キーワードは、すべてのプロトコルのアイドル タイムアウトを制御する idle キーワードを優先して非推奨になりました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用してこのコマンドを設定します。最初に、 class-map コマンドを使用して、タイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection timeout コマンドを入力できます。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

DCD をイネーブルにすると、TCP ノーマライザでのアイドル タイムアウトの処理動作が変更されます。DCD プローブは、 show conn コマンドで表示される接続のアイドル タイムアウトをリセットします。timeout コマンドで設定したタイムアウト値を超えても、DCD プローブが原因でアライブのままになっている接続を判別するには、 show service-policy コマンドを使用して、DCD からのアクティビティ量を示すカウンタを含めます。

次の例では、すべてのトラフィックの接続タイムアウトを設定します。

hostname(config)# class-map CONNS
hostname(config-cmap)# match any
hostname(config-cmap)# policy-map CONNS
hostname(config-pmap)# class CONNS
hostname(config-pmap-c)# set connection timeout idle 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd
hostname(config-pmap-c)# service-policy CONNS interface outside
 

複数のパラメータを指定して set connection コマンドを入力するか、各パラメータを個別のコマンドとして入力することができます。適応型セキュリティ アプライアンスは、実行コンフィギュレーションでコマンドを 1 つの行にまとめます。たとえば、次の 2 つのコマンドをクラス コンフィギュレーション モードで入力したとします。

hostname(config-pmap-c)# set connection timeout idle 2:0:0
hostname(config-pmap-c)# set connection timeout embryonic 0:40:0
 

show running-config policy-map コマンドの出力には、2 つのコマンドの結果が 1 つにまとめられたコマンドで表示されます。

set connection timeout tcp 2:0:0 embryonic 0:40:0
 

 
関連コマンド

コマンド
説明

class

トラフィックの分類に使用するクラス マップを指定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

show service-policy

DCD およびその他のサービス アクティビティのカウンタを表示します。

set metric

ルーティング プロトコルのメトリック値を設定するには、route-map コンフィギュレーション モードで set metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマンドの no 形式を使用します。

set metric value

no set metric value

 
構文の説明

value

メトリック値。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

no set metric value コマンドを使用すると、デフォルトのメトリック値に戻すことができます。このコンテキストでは、 value は 0 ~ 4294967295 の間の整数です。

次に、OSPF ルーティングのルート マップを設定する例を示します。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# show route-map
route-map maptag1 permit 8
set metric 5
match metric 5
hostname(config-route-map)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したアクセス リストのいずれかによって渡されるネクスト ホップ ルータ アドレスを持つルートを配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

set metric-type

OSPF メトリック ルートのタイプを指定するには、route-map コンフィギュレーション モードで set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

set metric-type { type-1 | type-2 }

no set metric-type

 
構文の説明

type-1

指定された自律システムの外部にある OSPF メトリック ルートのタイプを指定します。

type-2

指定された自律システムの外部にある OSPF メトリック ルートのタイプを指定します。

 
デフォルト

デフォルトは、type-2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、OSPF ルーティングのルート マップを設定する例を示します。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# set metric-type type-2
hostname(config-route-map)# show route-map
route-map maptag1 permit 8
set metric 5
set metric-type type-2
match metric 5
hostname(config-route-map)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

set metric

ルート マップの宛先ルーティング プロトコルのメトリック値を指定します。

setup

インタラクティブ プロンプトを使用して適応型セキュリティ アプライアンスの最小設定を行うには、グローバル コンフィギュレーション モードで setup コマンドを使用します。この設定によって、ASDM を使用する接続が提供されます。

setup

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

フラッシュ メモリにスタートアップ コンフィギュレーションがない場合は、起動時にセットアップ プロンプトが自動的に表示されます。

setup コマンドを使用する前に、内部インターフェイスがすでに設定されている必要があります。ASA 5500 シリーズのデフォルト設定には、内部インターフェイス(イーサネット 1)は含まれていません。 setup コマンドを使用する前に、内部にするインターフェイスに対して interface コマンドを入力してから、 nameif inside コマンドを入力します。

マルチ コンテキスト モードで、システム実行スペース内およびコンテキストごとに setup コマンドを使用できます。

setup コマンドを入力すると、 表 23-1 に示す情報を入力するよう求められます。システムの setup コマンドには、これらのプロンプトのサブセットが含まれています。プロンプトが表示されたパラメータの設定がすでにある場合は、カッコで囲まれて表示されるため、デフォルトを受け入れるか、新しい設定を入力して上書きすることができます。

 

表 23-1 セットアップ プロンプト

プロンプト
説明
Pre-configure Firewall now through interactive prompts [yes]?

yes または no を入力します。 yes を入力すると、セットアップ プロンプトが続きます。 no を入力すると、セットアップ プロンプトは停止し、グローバル コンフィギュレーション プロンプト(hostname(config)#)が表示されます。

Firewall Mode [Routed]:

routed または transparent を入力します。

Enable password:

イネーブル パスワードを入力します(パスワードには少なくとも 3 文字が必要です)。

Allow password recovery [yes]?

yes または no を入力します。

Clock (UTC):

このフィールドには何も入力できません。UTC 時間がデフォルトで使用されます。

Year:

4 桁の年(たとえば、2005)を入力します。年の範囲は 1993 ~ 2035 です。

Month:

月の最初の 3 文字を使用して月を入力します(たとえば、9 月の場合は Sep )。

Day:

1 ~ 31 までの日にちを入力します。

Time:

時間、分、および秒を 24 時間形式で入力します。たとえば、午後 8:54 と 44 秒の場合は、 20:54:44 と入力します。

Inside IP address:

内部インターフェイスの IP アドレスを入力します。

Inside network mask:

内部 IP アドレスに適用するネットワーク マスクを入力します。有効なネットワーク マスク(255.0.0.0 や 255.255.0.0 など)を指定する必要があります。

Host name:

コマンドライン プロンプトで表示するホスト名を入力します。

Domain name:

適応型セキュリティ アプライアンスが稼動するネットワークのドメイン名を入力します。

IP address of host running Device Manager:

ASDM にアクセスする必要があるホストの IP アドレスを入力します。

Use this configuration and write to flash?

yes または no を入力します。 yes を入力すると、内部インターフェイスがイネーブルにされ、要求された設定がフラッシュ パーティションに書き込まれます。

no を入力すると、セットアップ プロンプトが、最初の質問から繰り返されます。

Pre-configure Firewall now through interactive prompts [yes]?
 

no と入力してセットアップ プロンプトを終了するか、 yes と入力して繰り返します。

次に、 setup コマンド プロンプトに入力する例を示します。

hostname(config)# setup
Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]: routed
Enable password [<use current password>]: writer
Allow password recovery [yes]? yes
Clock (UTC):
Year: 2005
Month: Nov
Day: 15
Time: 10:0:0
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: tech_pubs
Domain name: your_company.com
IP address of host running Device Manager: 10.1.1.1
 
The following configuration will be used:
Enable password: writer
Allow password recovery: yes
Clock (UTC): 20:54:44 Sep 17 2005
Firewall Mode: Routed
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: tech_pubs
Domain name: your_company.com
IP address of host running Device Manager: 10.1.1.1
 
Use this configuration and write to flash? yes
 

 
関連コマンド

コマンド
説明

configure factory-default

デフォルト設定を復元します。

shape

QoS トラフィック シェーピングをイネーブルにするには、クラス コンフィギュレーション モードで shape コマンドを使用します。ファスト イーサネットを備えた適応型セキュリティ アプライアンスなど、高い速度でパケットを送信するデバイスがあり、そのデバイスがケーブル モデルなどの低速デバイスに接続されている場合は、ケーブル モデムが、パケットが頻繁にドロップされる障害となります。回線の速度が異なるネットワークを管理するには、固定されたより低いレートでパケットを送信するよう適応型セキュリティ アプライアンスを設定できます。これは、 トラフィック シェーピング と呼ばれます。この設定を削除するには、このコマンドの no 形式を使用します。


) このコマンドは ASA 5580 では使用できません。


shape average rate [ burst_size ]

no shape average rate [ burst_size ]

 
構文の説明

average rate

特定の一定期間にわたるトラフィックの平均レート(ビット/秒)を 64000 ~ 154400000 の範囲で設定します。値は 8000 の倍数で指定します。期間の計算方法の詳細については、「使用上のガイドライン」を参照してください。

burst_size

特定の一定期間に送信できる平均バースト サイズ(ビット)を 2048 ~ 154400000 の範囲で設定します。値は 128 の倍数で指定します。 burst_size を指定しない場合は、デフォルト値は、指定された平均レートでのトラフィックの 4 ミリ秒に相当します。たとえば、平均レートが 1000000 ビット/秒である場合、4 ミリ秒では 1000000 X 4/1000 = 4000 になります。

 
デフォルト

burst_size を指定しない場合は、デフォルト値は、指定された平均レートでのトラフィックの 4 ミリ秒に相当します。たとえば、平均レートが 1000000 ビット/秒である場合、4 ミリ秒では 1000000 X 4/1000 = 4000 になります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

トラフィック シェーピングをイネーブルにするには、モジュラ ポリシー フレームワークを使用します。

1. policy-map class-default クラス マップに関連付けるアクションを指定します。

a. class class-default :アクションを実行する class-default クラス マップを指定します。

b. shape :トラフィック シェーピングをクラス マップに適用します。

c. (任意) service-policy :プライオリティ キューイングをシェーピングされたトラフィックのサブセットに適用できるように、 priority コマンドを設定した別のポリシー マップを呼び出します。

2. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

トラフィック シェーピングの概要

トラフィック シェーピングは、デバイスとリンク速度を一致させるために使用されます。その結果、パケット損失、可変遅延、およびリンクの飽和状態が制御され、ジッタと遅延が生じることがあります。

トラフィック シェーピングは、物理インターフェイスまたは VLAN(ASA 5505 の場合)のすべての発信トラフィックに適用する必要があります。特定のタイプのトラフィックについてトラフィック シェーピングを設定することはできません。

トラフィック シェーピングは、パケットがインターフェイスで送信する準備ができている場合に実装されます。そのため、レートの計算は、IPSec ヘッダーや L2 ヘッダーなどの潜在的なすべてのオーバーヘッドを含む、送信されるパケットの実際のサイズに基づいて実行されます。

シェーピングされるトラフィックには、コンピュータを通過するトラフィックとコンピュータからのトラフィックの両方が含まれます。

シェープ レートの計算は、標準のトークン バケット アルゴリズムに基づいて行われます。トークン バケット サイズは、バースト サイズ値の 2 倍です。トークン バケットの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

バースト トラフィックが指定されたシェープ レートを超えると、パケットはキューに入れられて後で送信されます。次に、シェープ キューに関するいくつかの特性を示します(階層型プライオリティ キューイングについては、 priority コマンドを参照してください)。

キュー サイズは、シェープ レートに基づいて計算されます。キューは、1500 バイトのパケットと仮定すると、200 ミリ秒に相当するシェープ レート トラフィックを保持できます。最小キュー サイズは 64 です。

キューの制限に達すると、パケットはテール ドロップされます。

OSPF hello パケットなどの特定の重要なキープアライブ パケットは、ドロップされません。

時間間隔は、 time_interval = burst_size / average_rate によって取得されます。時間間隔が長くなるほど、シェープされるトラフィックのバースト性は高くなる可能性があり、リンクがアイドルになる時間も長くなることがあります。次の誇張した例を使用すると、効果を最もよく理解できます。

平均レート = 1000000

バースト サイズ = 1000000

上の例では、時間間隔は 1 秒です。これは、100 Mbps FE リンクで 1 秒間隔の最初の 10 ミリ秒以内に 1 Mbps のトラフィックをバーストでき、次の時間間隔までパケットを送信できずに残りの 990 ミリ秒はアイドルのままになることを意味します。そのため、音声トラフィックなどの遅延が問題になるトラフィックがある場合は、時間間隔が短くなるように、バースト サイズは、平均レートと比較して少なくする必要があります。

QoS 機能の相互作用方法

必要に応じて、適応型セキュリティ アプライアンスの各 QoS 機能を個別に設定できます。ただし、多くの場合、たとえば一部のトラフィックを優先して他のトラフィックが帯域幅の問題を引き起こさないようにするために、適応型セキュリティ アプライアンスで複数の QoS 機能を設定します。

インターフェイスごとにサポートされる次の機能の組み合わせを参照してください。

標準プライオリティ キューイング(特定トラフィック)+ ポリシング(その他のトラフィック)。

同じトラフィックのセットに対して、プライオリティ キューイングとポリシングを両方設定することはできません。

トラフィック シェーピング(1 つのインターフェイス上のすべてのトラフィック)+ 階層型プライオリティ キューイング(トラフィックのサブセット)。

同じインターフェイスでトラフィック シェーピングと標準のプライオリティ キューイングを設定することはできません。階層型プライオリティ キューイングだけが許可されます。たとえば、グローバル ポリシーに標準のプライオリティ キューイングを設定して、特定のインターフェイスにトラフィック シェーピングを設定すると、最後に設定した機能は拒否されます。これは、グローバル ポリシーがインターフェイス ポリシーと重複するためです。

適応型セキュリティ アプライアンスで制限されているわけではありませんが、通常、トラフィック シェーピングをイネーブルにした場合、同じトラフィックに対してはポリシングはイネーブルにしません。

次の例では、外部インターフェイスのすべてのトラフィックでトラフィック シェーピングをイネーブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリティを付けます。

hostname(config)# class-map TG1-voice
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# match dscp ef
 
hostname(config)# policy-map priority-sub-policy
hostname(config-pmap)# class TG1-voice
hostname(config-pmap-c)# priority
 
hostname(config-pmap-c)# policy-map shape_policy
hostname(config-pmap)# class class-default
hostname(config-pmap-c)# shape
hostname(config-pmap-c)# service-policy priority-sub-policy
 
hostname(config-pmap-c)# service-policy shape_policy interface outside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップでアクションを実行するクラス マップを指定します。

police

QoS ポリシングをイネーブルにします。

policy-map

サービス ポリシー内でトラフィックに適用するアクションを指定します。

priority

QoS プライオリティ キューイングをイネーブルにします。

service-policy(クラス)

階層型ポリシーを適用します。

service-policy(グローバル)

サービス ポリシーをインターフェイスに適用します。

show service-policy

QoS 統計情報を表示します。

show aaa local user

現在ロックされているユーザ名のリストを表示するか、ユーザ名に関する詳細を表示するには、グローバル コンフィギュレーション モードで show aaa local user コマンドを使用します。

show aaa local user [ locked]

 
構文の説明

locked

(任意)現在ロックされているユーザ名のリストを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

オプションの locked キーワードを省略すると、適応型セキュリティ アプライアンスによって、失敗した試行およびすべての AAA ローカル ユーザに関するロックアウト ステータスの詳細が表示されます。

username オプションを使用して単一のユーザを指定するか、 all オプションを使用してすべてのユーザを指定できます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響します。

管理者をデバイスからロックアウトすることはできません。

次に、 show aaa local user コマンドを使用して、すべてのユーザ名のロックアウト ステータスを表示する例を示します。

次に、 show aaa local user コマンドを使用して、制限が 5 に設定された後で、失敗した認証試行の数と、すべての AAA ローカル ユーザのロックアウト ステータスの詳細を表示する例を示します。

hostname(config)# aaa local authentication attempts max-fail 5
hostname(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 6 Y test
- 2 N mona
- 1 N cisco
- 4 N newuser
hostname(config)#
 

次に、 lockout キーワードを指定して show aaa local user コマンドを使用して、制限が 5 に設定された後で、失敗した認証試行の数と、ロックアウトされた AAA ローカル ユーザだけのロックアウト ステータスの詳細を表示する例を示します。

hostname(config)# aaa local authentication attempts max-fail 5
hostname(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 6 Y test
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ロックアウトされるまでに、ユーザが誤ったパスワードを入力できる最大回数を設定します。

clear aaa local user fail-attempts

ロックアウト ステータスを変更せずに、失敗した試行回数を 0 にリセットします。

clear aaa local user lockout

指定したユーザまたはすべてのユーザのロックアウト ステータスをクリアして、失敗した試行のカウンタを 0 にリセットします。

show aaa-server

AAA サーバの AAA サーバ統計情報を表示するには、特権 EXEC モードで show aaa-server コマンドを使用します。

show aaa-server [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
構文の説明

LOCAL

(任意)LOCAL ユーザ データベースの統計情報を表示します。

groupname

(任意)グループ内のサーバの統計情報を表示します。

host hostname

(任意)グループ内の特定のサーバの統計情報を表示します。

protocol protocol

(任意)指定したプロトコルのサーバの統計情報を表示します。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

デフォルトでは、すべての AAA サーバ統計情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.1(1)

http-form プロトコルが追加されました。

8.0(2)

サーバ ステータスには、ステータスが aaa-server active または fail コマンドを使用して手動で変更されたかどうかが示されるようになりました。

次に、 show aaa-server コマンドを使用して、サーバ グループ group1 の特定のホストの統計情報を表示する例を示します。

hostname(config)# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Server status: ACTIVE. Last transaction (success) at 11:10:08 UTC Fri Aug 22
Number of pending requests 20
Average round trip time 4ms
Number of authentication requests 20
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 1
Number of accepts 16
Number of rejects 4
Number of challenges 5
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 0
Number of unrecognized responses 0
 

次に、 show aaa-server コマンドのフィールドの説明を示します。

 

フィールド
説明

Server Group

aaa-server コマンドによって指定されたサーバ グループ名。

Server Protocol

aaa-server コマンドによって指定されたサーバ グループのサーバ プロトコル。

Server Address

AAA サーバの IP アドレス。

Server port

適応型セキュリティ アプライアンスおよび AAA サーバによって使用される通信ポート。 authentication-port コマンドを使用して、RADIUS 認証ポートを指定できます。 accounting-port コマンドを使用して、RADIUS アカウンティング ポートを指定できます。非 RADIUS サーバでは、ポートは server-port コマンドによって設定されます。

Server status

サーバのステータス。次のいずれかの値が表示されます。

ACTIVE:適応型セキュリティ アプライアンスはこの AAA サーバと通信します。

FAILED:適応型セキュリティ アプライアンスは AAA サーバと通信できません。このステートになったサーバは、設定されているポリシーに基づいてある期間ここに残ってから、再度アクティブにされます。

ステータスの後に「(admin initiated)」が表示される場合は、サーバは、 aaa-server active または fail コマンドを使用して、手動で失敗または再度アクティブにされました。

最終トランザクションの日時も次の形式で表示されます。

Last transaction ( { success | failure } ) at time timezone date
 

適応型セキュリティ アプライアンスがサーバと通信したことがない場合は、次のメッセージが表示されます。

Last transaction at Unknown

Number of pending requests

まだ進行中の要求の数。

Average round trip time

サーバとのトランザクションが完了するまでにかかる平均時間。

Number of authentication requests

適応型セキュリティ アプライアンスによって送信された認証要求の数。この値には、タイムアウト後の再送信は含まれていません。

Number of authorization requests

認可要求の数。この値は、コマンド認可、コンピュータを通過するトラフィック(TACACS+ サーバの場合)の認可、トンネル グループでイネーブルにされた WebVPN および IPsec 認可機能が原因の認可要求を指します。この値には、タイムアウト後の再送信は含まれていません。

Number of accounting requests

アカウンティング要求の数。この値には、タイムアウト後の再送信は含まれていません。

Number of retransmissions

内部タイムアウト後にメッセージが再送信された回数。この値は、Kerberos および RADIUS サーバ(UDP)だけに適用されます。

Number of accepts

成功した認証要求の数。

Number of rejects

拒否された要求の数。この値にはエラー状態のほか、AAA サーバから実際に資格情報が拒否された状態も含まれます。

Number of challenges

初期ユーザ名およびパスワードの情報を受信した後で、AAA サーバがユーザから追加情報を要求した回数。

Number of malformed responses

該当なし。今後使用するために予約されています。

Number of bad authenticators

次のいずれかのことが発生した回数。

RADIUS パケットの「authenticator」ストリングが破損した(まれ)。

適応型セキュリティ アプライアンスの共有秘密キーが RADIUS サーバのキーと一致しない。この問題を修正するには、正しいサーバ キーを入力します。

この値は RADIUS だけに適用されます。

Number of timeouts

適応型セキュリティ アプライアンスが、AAA サーバが応答しないか誤動作を行っていることを検出して、オフラインとして宣言した回数。

Number of unrecognized responses

適応型セキュリティ アプライアンスが、認識またはサポートできない AAA サーバから応答を受信した回数。たとえば、サーバからの RADIUS パケット コードが、既知の「access-accept」、「access-reject」、「access-challenge」、または「accounting-response」タイプ以外の不明なタイプだった場合です。通常、これは、サーバからの RADIUS 応答パケットは破損していたことを意味しますが、これはまれです。

 
関連コマンド

コマンド
説明

show running-config aaa-server

指定されたサーバ グループのすべてのサーバまたは特定のサーバの統計情報を表示します。

clear aaa-server statistics

AAA サーバの統計情報をクリアします。

show access-list

アクセス リストのヒット カウンタおよびタイムスタンプ値を表示するには、特権 EXEC モードで show access-list コマンドを使用します。

show access-list id_1 [...[id_2]] [ brief ]

 
構文の説明

brief

(任意)アクセス リスト ID、ヒット カウント、および最終ルール ヒットのタイムスタンプをすべて 16 進形式で表示します。

id_1

既存のアクセス リストを識別する名前または文字セット。

id_2

(任意)既存のアクセス リストを識別する名前または文字セット。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.0(2)

brief キーワードのサポートが追加されました。

8.3(1)

ACL タイムスタンプを表示するよう ACE 表示パターンを変更しました。

 
使用上のガイドライン

1 つのコマンドにアクセス リスト ID を入力することで、複数のアクセス リストを一度に表示できます。

brief キーワードを指定して、アクセス リスト ヒット カウント、ID、およびタイムスタンプ情報を 16 進形式で表示できます。16 進形式で表示される設定 ID は、3 つの列で表示され、Syslog 106023 および 106100 で使用されるものと同じ ID です。

次に、16 進形式で指定されたアクセス ポリシー(ヒット カウントがゼロではない ACE)に関する簡単な情報の例を示します。最初の 2 列には、ID が 16 進形式で表示され、3 番めの列にはヒット カウントがリストされ、4 番めの列には、タイムスタンプ値が 16 進形式で表示されます。ヒット カウント値は、ルールがトラフィックによってヒットされた回数を表します。タイムスタンプ値は、最終ヒットの時刻を報告します。ヒット カウントがゼロの場合は、情報は表示されません。

次に、 show access-list コマンドの出力例を示します。これは、「IN」方向の外部インターフェイスに適用される、アクセス リスト名「test」を示します。

hostname# show access-list test
access-list test; 3 elements; name hash: 0xcb4257a3
access-list test line 1 extended permit icmp any any (hitcnt=0) 0xb422e9c2
access-list test line 2 extended permit object-group TELNET-SSH object-group S1 object-group D1 0x44ae5901
access-list test line 2 extended permit tcp 100.100.100.0 255.255.255.0 10.10.10.0 255.255.255.0 eq telnet (hitcnt=1) 0xca10ca21
access-list test line 2 extended permit tcp 100.100.100.0 255.255.255.0 10.10.10.0 255.255.255.0 eq ssh(hitcnt=1) 0x5b704158
 

次に、 object-group-search グループがイネーブルになっていない場合の show access-list コマンドの出力例を示します。

hostname# show access-list KH-BLK-Tunnel
access-list KH-BLK-Tunnel; 9 elements
access-list KH-BLK-Tunnel line 1 extended permit ip object-group KH-LAN object-group BLK-LAN 0x724c956b
access-list KH-BLK-Tunnel line 1 extended permit ip 192.168.97.0 255.255.255.0 192.168.4.0 255.255.255.0 (hitcnt=10) 0x30fe29a6
access-list KH-BLK-Tunnel line 1 extended permit ip 13.13.13.0 255.255.255.0 192.168.4.0 255.255.255.0 (hitcnt=4) 0xc6ef2338
access-list KH-BLK-Tunnel line 1 extended permit ip 192.168.97.0 255.255.255.0 14.14.14.0 255.255.255.0 (hitcnt=2) 0xce8596ec
access-list KH-BLK-Tunnel line 1 extended permit ip 13.13.13.0 255.255.255.0 14.14.14.0 255.255.255.0 (hitcnt=0) 0x9a2f1c4d
access-list KH-BLK-Tunnel line 2 extended permit ospf interface pppoe1 host 87.139.87.200 (hitcnt=0) 0xb62d5832
access-list KH-BLK-Tunnel line 3 extended permit ip interface pppoe1 any (hitcnt=0) 0xa2c9ed34
access-list KH-BLK-Tunnel line 4 extended permit ip host 1.1.1.1 any (hitcnt=0) 0xd06f7e6b
access-list KH-BLK-Tunnel line 5 extended deny ip 1.1.0.0 255.255.0.0 any (hitcnt=0) 0x9d979934
access-list KH-BLK-Tunnel line 6 extended permit ip 1.1.1.0 255.255.255.0 any (hitcnt=0) 0xa52a0761
 

次に、 object-group-search グループがイネーブルになっている場合の show access-list コマンドの出力例を示します。

hostname# show access-list KH-BLK-Tunnel
access-list KH-BLK-Tunnel; 6 elements
access-list KH-BLK-Tunnel line 1 extended permit ip object-group KH-LAN(1) object-group BLK-LAN(2)(hitcount=16) 0x724c956b
access-list KH-BLK-Tunnel line 2 extended permit ospf interface pppoe1 host 87.139.87.200 (hitcnt=0) 0xb62d5832
access-list KH-BLK-Tunnel line 3 extended permit ip interface pppoe1 any (hitcnt=0) 0xa2c9ed34
access-list KH-BLK-Tunnel line 4 extended permit ip host 1.1.1.1 any (hitcnt=0) 0xd06f7e6b
access-list KH-BLK-Tunnel line 5 extended deny ip 1.1.0.0 255.255.0.0 any (hitcnt=0) 0x9d979934
access-list KH-BLK-Tunnel line 6 extended permit ip 1.1.1.0 255.255.255.0 any (hitcnt=0) 0xa52a0761
 

次に、Telnet トラフィックが通過する際の show access-list brief コマンドの出力例を示します。

hostname (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
ca10ca21 44ae5901 00000001 4a68aa7e
 

次に、SSH トラフィックが通過する際の show access-list brief コマンドの出力例を示します。

hostname (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
ca10ca21 44ae5901 00000001 4a68aa7e
5b704158 44ae5901 00000001 4a68aaa9
 

次に、 show access-list コマンドの出力例を示します。これは、ACL 最適化がイネーブルになっている、「IN」方向の外部インターフェイスに適用される、アクセス リスト名「test」を示します。

hostname# show access-list test
access-list test; 3 elements; name hash: 0xcb4257a3
access-list test line 1 extended permit icmp any any (hitcnt=0) 0xb422e9c2
access-list test line 2 extended permit object-group TELNET-SSH object-group S1 object-group D1 0x44ae5901
access-list test line 2 extended permit tcp object-group S1(1) object-group D1(2) eq telnet (hitcnt=1) 0x7b1c1660
access-list test line 2 extended permit tcp object-group S1(1) object-group D1(2) eq ssh (hitcnt=1) 0x3666f922
 

次に、Telnet トラフィックが通過する際の show access-list brief コマンドの出力例を示します。

hostname (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
7b1c1660 44ae5901 00000001 4a68ab51
 

次に、SSH トラフィックが通過する際の show access-list brief コマンドの出力例を示します。

hostname (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
7b1c1660 44ae5901 00000001 4a68ab51
3666f922 44ae5901 00000001 4a68ab66
 

 
関連コマンド

コマンド
説明

access-list ethertype

EtherType に基づいてトラフィックを制御するアクセス リストを設定します。

access-list extended

アクセス リストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。

clear access-list

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

show activation-key

永続ライセンス、アクティブな時間ベース ライセンス、および永続ライセンスとアクティブな時間ベース ライセンスの組み合わせである実行ライセンスを表示するには、特権 EXEC モードで show activation-key コマンドを使用します。フェールオーバー ユニットでは、このコマンドによって、プライマリおよびセカンダリ ユニットの結合キーである、「フェールオーバー クラスタ」ライセンスも表示されます。

show activation-key [detail]

 
構文の説明

detail

非アクティブな時間ベース ライセンスを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(4)

detail キーワードが追加されました。

8.2(1)

出力にライセンスの追加情報が含まれるように変更されました。

8.3(1)

出力に、機能で使用されるのが永続キーまたは時間ベース キーのいずれであるか、および使用中の時間ベース キーの期間が含まれるようになりました。インストールされているすべての時間ベース キー(アクティブと非アクティブの両方)も表示されます。

 
使用上のガイドライン

一部の永続ライセンスでは、アクティブ化後に適応型セキュリティ アプライアンスをリロードする必要があります。 表 23-2 に、リロードが必要なライセンスをリストします。

 

表 23-2 永続ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505 および ASA 5510

Base ライセンスと Security Plus ライセンス間の変更。

すべてのモデル

Encryption ライセンスの変更。

すべてのモデル

永続ライセンスのダウングレード(たとえば、10 個のコンテキストから 2 個のコンテキストへ)。

リロードが必要な場合は、 show activation-key 出力は次のようになります。

The flash activation key is DIFFERENT from the running key.
 
The flash activation key takes effect after the next reload.
 

例 23-1 show activation-key のスタンドアロン ユニットの出力

次に、実行ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)、およびアクティブな各時間ベース ライセンスを示す、スタンドアロン ユニットの show activation-key コマンドの出力例を示します。

hostname# show activation-key

 
Serial Number: JMX1232L11M
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Running Timebased Activation Key: 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 0 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Linksys phone : Disabled perpetual
AnyConnect Essentials : Enabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 12 62 days
Total UC Proxy Sessions : 12 62 days
Botnet Traffic Filter : Enabled 646 days
This platform has a Base license.
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 646 days
0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
Total UC Proxy Sessions : 10 62 days
 

例 23-2 show activation-key detail のスタンドアロン ユニットの出力

次に、実行ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)、および永続ライセンスとインストールされている各時間ベース ライセンス(アクティブおよび非アクティブ)を示す、スタンドアロン ユニットの show activation-key detail コマンドの出力例を示します。

hostname# show activation-key detail

 
Serial Number: 88810093382
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
 
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 20 DMZ Unrestricted
Dual ISPs : Enabled perpetual
VLAN Trunk Ports : 8 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Standby perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 39 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5505 Security Plus license.
 
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
 
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 20 DMZ Unrestricted
Dual ISPs : Enabled perpetual
VLAN Trunk Ports : 8 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Standby perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 39 days
 
Inactive Timebased Activation Key:
0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3
SSL VPN Peers : 100 7 days
 

例 23-3 show activation-key detail のフェールオーバー ペアのプライマリ ユニットの出力

次に、プライマリ フェールオーバー ユニットの show activation-key detail コマンドの出力例を示します。

プライマリ ユニット ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)。

プライマリおよびセカンダリ ユニットのライセンスの組み合わせである、「フェールオーバー クラスタ」ライセンス。これは、適応型セキュリティ アプライアンスで実際に実行されているライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを反映したこのライセンスの値は、太字になっています。

プライマリ ユニットの永続ライセンス。

プライマリ ユニットのインストール済みの時間ベース ライセンス(アクティブおよび非アクティブ)。

hostname# show activation-key detail

 
Serial Number: P3000000171
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 10 perpetual
GTP/GPRS : Enabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
 
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 10 perpetual
GTP/GPRS : Enabled perpetual
SSL VPN Peers : 4 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 33 days
 
Inactive Timebased Activation Key:
0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3
Security Contexts : 2 7 days
SSL VPN Peers : 100 7 days
 
0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4
Total UC Proxy Sessions : 100 14 days
 

例 23-4 show activation-key detail のフェールオーバー ペアのセカンダリ ユニットの出力

次に、セカンダリ フェールオーバー ユニットの show activation-key detail コマンドの出力例を示します。

セカンダリ ユニット ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)。

プライマリおよびセカンダリ ユニットのライセンスの組み合わせである、「フェールオーバー クラスタ」ライセンス。これは、適応型セキュリティ アプライアンスで実際に実行されているライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを反映したこのライセンスの値は、太字になっています。

セカンダリ ユニットの永続ライセンス。

セカンダリのインストール済みの時間ベース ライセンス(アクティブおよび非アクティブ)。このユニットには時間ベース ライセンスはないため、この出力例には何も表示されません。

hostname# show activation-key detail

 
Serial Number: P3000000011
Running Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 10 perpetual
GTP/GPRS : Enabled perpetual
SSL VPN Peers : 4 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
 
Running Permanent Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
 
The flash permanent activation key is the SAME as the running permanent key.
 

 
関連コマンド

コマンド
説明

activation-key

アクティベーション キーを変更します。

show ad-groups

Active Directory サーバでリストされるグループを表示するには、特権 EXEC モードで show ad-groups コマンドを使用します。

show ad-groups name [ filter string]

 
構文の説明

name

照会する Active Directory サーバ グループの名前。

string

検索するグループ名のすべてまたは一部を指定した、引用符で囲んだストリング。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

show ad-groups コマンドは、LDAP プロトコルを使用してグループを取得する Active Directory サーバだけに適用されます。ダイナミック アクセス ポリシーの AAA 選択基準に使用できる AD グループを表示するには、このコマンドを使用します。

LDAP アトリビュート タイプが LDAP の場合は、適応型セキュリティ アプライアンスがサーバからの応答を待機するデフォルトの時間は 10 秒です。AAA サーバ ホスト コンフィギュレーション モードで group-search-timeout コマンドを使用して、この時間を調整できます。


) Active Directory サーバに多数のグループがある場合は、show ad-groups コマンドの出力は、サーバが応答パケットに入れることができるデータの量の制限に基づいて省略されることがあります。この問題を回避するには、filter オプションを使用して、サーバによって報告されるグループの数を減らします。


hostname# show ad-groups LDAP-AD17
Server Group LDAP-AD17
Group list retrieved successfully
Number of Active Directory Groups 46
Account Operators
Administrators
APP-SSL-VPN CIO Users
Backup Operators
Cert Publishers
CERTSVC_DCOM_ACCESS
Cisco-Eng
DHCP Administrators
DHCP Users
Distributed COM Users
DnsAdmins
DnsUpdateProxy
Doctors
Domain Admins
Domain Computers
Domain Controllers
Domain Guests
Domain Users
Employees
Engineering
Engineering1
Engineering2
Enterprise Admins
Group Policy Creator Owners
Guests
HelpServicesGroup
 

次に、 filter オプションを指定した場合の同じコマンドの例を示します。

hostname(config)# show ad-groups LDAP-AD17 filter “Eng”
.
Server Group LDAP-AD17
Group list retrieved successfully
Number of Active Directory Groups 4
Cisco-Eng
Engineering
Engineering1
Engineering2

 
関連コマンド

コマンド
説明

ldap-group-base-dn

サーバが、ダイナミック グループ ポリシーで使用されるグループの検索を開始する Active Directory 階層のレベルを指定します。

group-search-timeout

グループのリストについて Active Directory サーバからの応答を適応型セキュリティ アプライアンスが待機する時間を調整します。

 

show admin-context

管理コンテキストとして現在割り当てられているコンテキスト名を表示するには、特権 EXEC モードで show admin-context コマンドを使用します。

show admin-context

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show admin-context コマンドの出力例を示します。次に、フラッシュのルート ディレクトリに格納されている、「admin」という管理コンテキストの例を示します。

hostname# show admin-context
Admin: admin flash:/admin.cfg
 

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

changeto

コンテキスト間またはコンテキストとシステム実行スペースの間で切り替えを行います。

clear configure context

すべてのコンテキストを削除します。

mode

コンテキスト モードをシングルまたはマルチに設定します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show arp

ARP テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。

show arp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(8)/7.2(4)/8.0(4)

表示するダイナミック ARP エージングを追加しました。

 
使用上のガイドライン

表示出力には、ダイナミック、スタティック、およびプロキシ ARP エントリが示されます。ダイナミック ARP エントリには、ARP エントリのエージング(秒単位)が含まれています。スタティック ARP エントリには、エージングの代わりにダッシュ(-)、およびプロキシ ARP エントリ ステートの「エイリアス」が含まれています。

次に、 show arp コマンドの出力例を示します。最初のエントリは、2 秒が経過したダイナミック エントリです。2 番めのエントリはスタティック エントリで、3 番めのエントリはプロキシ ARP からのエントリです。

hostname# show arp
outside 10.86.194.61 0011.2094.1d2b 2
outside 10.86.194.1 001a.300c.8000 -
outside 10.86.195.2 00d0.02a8.440a alias

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調査し、ARP スプーフィングを防止します。

clear arp statistics

ARP 統計情報をクリアします。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

show arp-inspection

各インターフェイスの ARP インスペクションの設定を表示するには、特権 EXEC モードで show arp-inspection コマンドを使用します。

show arp-inspection

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show arp-inspection コマンドの出力例を示します。

hostname# show arp-inspection
interface arp-inspection miss
----------------------------------------------------
inside1 enabled flood
outside disabled -
 

miss 列には、ARP インスペクションがイネーブルになっている場合に、一致しないパケットに対して行うデフォルトのアクション(「flood」または「no-flood」のいずれか)が示されます。

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調査し、ARP スプーフィングを防止します。

clear arp statistics

ARP 統計情報をクリアします。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

show arp statistics

ARP 統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。

show arp statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、 show arp statistics コマンドの出力例を示します。

hostname# show arp statistics
Number of ARP entries:
ASA : 6
Dropped blocks in ARP: 6
Maximum Queued blocks: 3
Queued blocks: 1
Interface collision ARPs Received: 5
ARP-defense Gratuitous ARPS sent: 4
Total ARP retries: 15
Unresolved hosts: 1
Maximum Unresolved hosts: 2
 

表 23-3 に、各フィールドの説明を示します。

 

表 23-3 show arp statistics のフィールド

フィールド
説明

Number of ARP entries

ARP テーブル エントリの総数。

Dropped blocks in ARP

IP アドレスが対応するハードウェア アドレスに解決されている間にドロップされたブロックの数。

Maximum queued blocks

IP アドレスが解決されるのを待機している間に、ARP モジュールのキューに入れられたブロックの最大数。

Queued blocks

現在 ARP モジュールのキューに入れられているブロックの数。

Interface collision ARPs received

適応型セキュリティ アプライアンス インターフェイスと同じ IP アドレスが指定されていたすべての適応型セキュリティ アプライアンス インターフェイスで受信した ARP パケットの数。

ARP-defense gratuitous ARPs sent

ARP-Defense メカニズムの一部として適応型セキュリティ アプライアンスによって送信された gratuitous ARP の数。

Total ARP retries

最初の ARP 要求に応答してアドレスが解決されなかった場合に ARP モジュールによって送信された ARP 要求の総数。

Unresolved hosts

ARP 要求がまだ ARP モジュールによって送信されている未解決ホストの数。

Maximum unresolved hosts

最後にクリアされたか適応型セキュリティ アプライアンスが起動されてから、ARP モジュール内にあった未解決ホストの最大数。

 
関連コマンド

コマンド
説明

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調査し、ARP スプーフィングを防止します。

clear arp statistics

ARP 統計情報をクリアして、値をゼロにリセットします。

show arp

ARP テーブルを表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

show asdm history

ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを使用します。

show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]

 
構文の説明

asdmclient

(任意)ASDM クライアント用にフォーマットされた ASDM 履歴データを表示します。

feature feature

(任意)履歴の表示を指定の機能に制限します。次に、 feature 引数の有効な値を示します。

all :すべての機能の履歴を表示します(デフォルト)。

blocks :システム バッファの履歴を表示します。

cpu :CPU 使用率の履歴を表示します。

failover :フェールオーバーの履歴を表示します。

ids :IDS の履歴を表示します。

interface if_name :指定されたインターフェイスの履歴を表示します。 if_name 引数は、 nameif コマンドで指定されたインターフェイスの名前です。

memory :メモリ使用状況の履歴を表示します。

perfmon :パフォーマンスの履歴を表示します。

sas :セキュリティ アソシエーションの履歴を表示します。

tunnels :トンネルの履歴を表示します。

xlates :変換スロットの履歴を表示します。

snapshot

(任意)最後の ASDM 履歴データ ポイントだけを表示します。

view timeframe

(任意)履歴の表示を指定の期間に制限します。 timeframe 引数の有効な値は次のとおりです。

all :履歴バッファのすべて内容(デフォルト)

12h :12 時間

5d :5 日

60m :60 分

10m :10 分

 
デフォルト

引数またはキーワードを指定しないと、すべての機能の履歴情報がすべて表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 show pdm history コマンドから show asdm history コマンドに変更されました。

 
使用上のガイドライン

show asdm history コマンドでは、ASDM 履歴バッファの内容が表示されます。ASDM 履歴情報を表示する前に、 asdm history enable コマンドを使用して、ASDM 履歴トラッキングをイネーブルにする必要があります。

次に、 show asdm history コマンドの出力例を示します。これは、出力を、最後の 10 分間に収集された外部インターフェイスのデータに制限します。

hostname# show asdm history view 10m feature interface outside
 
Input KByte Count:
[ 10s:12:46:41 Mar 1 2005 ] 62640 62636 62633 62628 62622 62616 62609
Output KByte Count:
[ 10s:12:46:41 Mar 1 2005 ] 25178 25169 25165 25161 25157 25151 25147
Input KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 752 752 751 751 751 751 751
Output KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 55 55 55 55 55 55 55
Input Bit Rate:
[ 10s:12:46:41 Mar 1 2005 ] 3397 2843 3764 4515 4932 5728 4186
Output Bit Rate:
[ 10s:12:46:41 Mar 1 2005 ] 7316 3292 3349 3298 5212 3349 3301
Input Packet Rate:
[ 10s:12:46:41 Mar 1 2005 ] 5 4 6 7 6 8 6
Output Packet Rate:
[ 10s:12:46:41 Mar 1 2005 ] 1 0 0 0 0 0 0
Input Error Packet Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
No Buffer:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Received Broadcasts:
[ 10s:12:46:41 Mar 1 2005 ] 375974 375954 375935 375902 375863 375833 375794
Runts:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Giants:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
CRC:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Frames:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Overruns:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Underruns:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Output Error Packet Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Collisions:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
LCOLL:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Reset:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Deferred:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Lost Carrier:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Hardware Input Queue:
[ 10s:12:46:41 Mar 1 2005 ] 128 128 128 128 128 128 128
Software Input Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Hardware Output Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Software Output Queue:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
Drop KPacket Count:
[ 10s:12:46:41 Mar 1 2005 ] 0 0 0 0 0 0 0
hostname#
 

次に、 show asdm history コマンドの出力例を示します。前の例のように、これは、出力を、最後の 10 分間に収集された外部インターフェイスのデータに制限します。ただし、この例では、出力は ASDM クライアント用にフォーマットされています。

hostname# show asdm history view 10m feature interface outside asdmclient
 
MH|IBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|62439|62445|62453|62457|62464|62469|62474|62486|62489|62496|62501|62506|62511|62518|62522|62530|62534|62539|62542|62547|62553|62556|62562|62568|62574|62581|62585|62593|62598|62604|62609|62616|62622|62628|62633|62636|62640|62653|62657|62665|62672|62678|62681|62686|62691|62695|62700|62704|62711|62718|62723|62728|62733|62738|62742|62747|62751|62761|62770|62775|
MH|OBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|25023|25023|25025|25025|25025|25026|25026|25032|25038|25044|25052|25056|25060|25064|25070|25076|25083|25087|25091|25096|25102|25106|25110|25114|25118|25122|25128|25133|25137|25143|25147|25151|25157|25161|25165|25169|25178|25321|25327|25332|25336|25341|25345|25349|25355|25359|25363|25367|25371|25375|25381|25386|25390|25395|25399|25403|25410|25414|25418|25422|
MH|IPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|749|749|749|749|749|750|750|750|750|750|750|750|750|750|750|750|750|750|750|750|751|751|751|751|751|751|751|751|751|751|751|751|751|751|751|752|752|752|752|752|752|752|752|752|752|752|752|752|752|753|753|753|753|753|753|753|753|753|753|753|
MH|OPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|
MH|IBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|7127|5155|6202|3545|5408|3979|4381|9492|3033|4962|4571|4226|3760|5923|3265|6494|3441|3542|3162|4076|4744|2726|4847|4292|5401|5166|3735|6659|3837|5260|4186|5728|4932|4515|3764|2843|3397|10768|3080|6309|5969|4472|2780|4492|3540|3664|3800|3002|6258|5567|4044|4059|4548|3713|3265|4159|3630|8235|6934|4298|
MH|OBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|82791|57|1410|588|57|639|0|4698|5068|4992|6495|3292|3292|3352|5061|4808|5205|3931|3298|3349|5064|3439|3356|3292|3343|3349|5067|3883|3356|4500|3301|3349|5212|3298|3349|3292|7316|116896|5072|3881|3356|3931|3298|3349|5064|3292|3349|3292|3292|3349|5061|3883|3356|3931|3452|3356|5064|3292|3349|3292|
MH|IPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|8|6|5|7|5|6|14|5|7|7|5|6|9|5|8|6|5|5|7|6|5|6|5|6|7|6|8|6|6|6|8|6|7|6|4|5|19|5|8|7|6|4|7|5|6|6|5|7|8|6|6|7|5|5|7|6|9|7|6|
MH|OPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|0|1|0|0|0|0|4|0|2|2|0|0|0|0|1|1|0|0|0|0|0|0|0|0|0|0|0|0|1|0|0|0|0|0|0|1|28|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|IERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|NB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|374874|374911|374943|374967|375010|375038|375073|375113|375140|375160|375181|375211|375243|375289|375316|375350|375373|375395|375422|375446|375481|375498|375535|375561|375591|375622|375654|375701|375738|375761|375794|375833|375863|375902|375935|375954|375974|375999|376027|376075|376115|376147|376168|376200|376224|376253|376289|376315|376365|376400|376436|376463|376508|376530|376553|376583|376614|376668|376714|376749|
MH|RNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|GNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|CRC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|FRM|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|UR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|COLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCOLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RST|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DEF|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|
MH|SIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|SOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
hostname#
 

次に、 snapshot キーワードを使用した show asdm history コマンドの出力例を示します。

hostname# show asdm history view 10m snapshot
 
Available 4 byte Blocks: [ 10s] : 100
Used 4 byte Blocks: [ 10s] : 0
Available 80 byte Blocks: [ 10s] : 100
Used 80 byte Blocks: [ 10s] : 0
Available 256 byte Blocks: [ 10s] : 2100
Used 256 byte Blocks: [ 10s] : 0
Available 1550 byte Blocks: [ 10s] : 7425
Used 1550 byte Blocks: [ 10s] : 1279
Available 2560 byte Blocks: [ 10s] : 40
Used 2560 byte Blocks: [ 10s] : 0
Available 4096 byte Blocks: [ 10s] : 30
Used 4096 byte Blocks: [ 10s] : 0
Available 8192 byte Blocks: [ 10s] : 60
Used 8192 byte Blocks: [ 10s] : 0
Available 16384 byte Blocks: [ 10s] : 100
Used 16384 byte Blocks: [ 10s] : 0
Available 65536 byte Blocks: [ 10s] : 10
Used 65536 byte Blocks: [ 10s] : 0
CPU Utilization: [ 10s] : 31
Input KByte Count: [ 10s] : 62930
Output KByte Count: [ 10s] : 26620
Input KPacket Count: [ 10s] : 755
Output KPacket Count: [ 10s] : 58
Input Bit Rate: [ 10s] : 24561
Output Bit Rate: [ 10s] : 518897
Input Packet Rate: [ 10s] : 48
Output Packet Rate: [ 10s] : 114
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 377331
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 3672
Output KByte Count: [ 10s] : 4051
Input KPacket Count: [ 10s] : 19
Output KPacket Count: [ 10s] : 20
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 1458
Runts: [ 10s] : 1
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 63
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 15
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Available Memory: [ 10s] : 205149944
Used Memory: [ 10s] : 63285512
Xlate Count: [ 10s] : 0
Connection Count: [ 10s] : 0
TCP Connection Count: [ 10s] : 0
UDP Connection Count: [ 10s] : 0
URL Filtering Count: [ 10s] : 0
URL Server Filtering Count: [ 10s] : 0
TCP Fixup Count: [ 10s] : 0
TCP Intercept Count: [ 10s] : 0
HTTP Fixup Count: [ 10s] : 0
FTP Fixup Count: [ 10s] : 0
AAA Authentication Count: [ 10s] : 0
AAA Authorzation Count: [ 10s] : 0
AAA Accounting Count: [ 10s] : 0
Current Xlates: [ 10s] : 0
Max Xlates: [ 10s] : 0
ISAKMP SAs: [ 10s] : 0
IPSec SAs: [ 10s] : 0
L2TP Sessions: [ 10s] : 0
L2TP Tunnels: [ 10s] : 0
hostname#
 

 
関連コマンド

コマンド
説明

asdm history enable

ASDM 履歴トラッキングをイネーブルにします。

show asdm image

現在の ASDM ソフトウェア イメージ ファイルを指定するには、特権 EXEC モードで asdm image コマンドを使用します。

show asdm image

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 show pdm image コマンドから show asdm image コマンドに変更されました。

次に、 show asdm image コマンドの出力例を示します。

hostname# show asdm image
 
Device Manager image file, flash:/ASDM
 

 
関連コマンド

コマンド
説明

asdm image

現在の ASDM イメージ ファイルを指定します。

show asdm log_sessions

アクティブな ASDM ロギング セッションと関連するセッション ID のリストを表示するには、特権 EXEC モードで show asdm log_sessions コマンドを使用します。

show asdm log_sessions

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

それぞれのアクティブな ASDM セッションには、1 つ以上の関連する ASDM ロギング セッションがあります。ASDM は、ロギング セッションを使用して、適応型セキュリティ アプライアンスから Syslog メッセージを取得します。それぞれの ASDM ロギング セッションには固有のセッション ID が割り当てられています。このセッション ID を asdm disconnect log_session コマンドとともに使用して、指定されたセッションを終了できます。


) 各 ASDM セッションには少なくとも 1 つの ASDM ロギング セッションがあるため、show asdm sessions および show asdm log_sessions の出力は同じように見えることがあります。


次に、 show asdm log_sessions コマンドの出力例を示します。

hostname# show asdm log_sessions
 
0 192.168.1.1
1 192.168.1.2

 
関連コマンド

コマンド
説明

asdm disconnect log_session

アクティブな ASDM ロギング セッションを終了します。

show asdm sessions

アクティブな ASDM セッションと関連するセッション ID のリストを表示するには、特権 EXEC モードで show asdm sessions コマンドを使用します。

show asdm sessions

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 show pdm sessions コマンドから show asdm sessions コマンドに変更されました。

 
使用上のガイドライン

それぞれの ASDM セッションには固有のセッション ID が割り当てられています。このセッション ID を asdm disconnect コマンドとともに使用して、指定されたセッションを終了できます。

次に、 show asdm sessions コマンドの出力例を示します。

hostname# show asdm sessions
 
0 192.168.1.1
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

asdm disconnect

アクティブな ASDM セッションを終了します。