Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
show asp drop コマンド~ show curpriv コマンド
show asp drop コマンド~ show curpriv コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

show asp drop コマンド~ show curpriv コマンド

show asp drop

show asp load-balance per-packet

show asp table arp

show asp table classify

show asp table dynamic-filter

show asp table interfaces

show asp table routing

show asp table socket

show asp table vpn-context

show blocks

show bootvar

show call-home

show call-home registered-module status

show capture

show chardrop

show checkheaps

show checksum

show chunkstat

show class

show clock

show compression svc

show configuration

show conn

show console-output

show context

show controller

show coredump filesystem

show coredump log

show counters

show cpu

show crashinfo

show crashinfo console

show crypto accelerator statistics

show crypto ca certificates

show crypto ca crls

show crypto ca server

show crypto ca server cert-db

show crypto ca server certificate

show crypto ca server crl

show crypto ca server user-db

show crypto debug-condition

show crypto ipsec df-bit

show crypto ipsec fragmentation

show crypto ipsec sa

show crypto ipsec stats

show crypto isakmp stats

show crypto isakmp sa

show crypto isakmp stats

show crypto protocol statistics

show csc node-count

show ctiqbe

show ctl-file

show curpriv

show asp drop コマンド~ show curpriv コマンド

show asp drop

高速セキュリティ パスによりドロップされたパケットまたは接続のデバッグには、特権 EXEC モードで show asp drop コマンドを使用します。

show asp drop [ flow [ flow_drop_reason ] | frame [ frame_drop_reason ]]

 
構文の説明

flow [ flow_drop_reason ]

(任意)ドロップされたフロー(接続)を表示します。 flow_drop_reason 引数を使用して、特定の理由を指定することができます。 flow_drop_reason 引数に対する有効な値については、後述の「使用上のガイドライン」を参照してください。

frame [ frame_drop_reason ]

(任意)ドロップされたパケットを表示します。 frame_drop_reason 引数を使用して、特定の理由を指定することができます。 frame_drop_reason 引数に対する有効な値については、後述の「使用上のガイドライン」を参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.0(8)/7.2(4)/8.0(4)

出力に、カウンタの最終クリア時刻を示すタイムスタンプが追加されました( clear asp drop コマンドを参照してください)。また、説明の隣にはドロップの理由を表すキーワードが表示されるため、このキーワードを使用して、 capture asp-drop コマンドを簡単に使用できます。

 
使用上のガイドライン

show asp drop コマンドは、高速セキュリティ パスによりドロップされたパケットまたは接続を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性があります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

それぞれのドロップ理由の名前、説明、および推奨事項については、次の項を参照してください。

「フレームのドロップ理由」

「フローのドロップ理由」

フレームのドロップ理由

----------------------------------------------------------------
Name: punt-rate-limit
Punt rate limit exceeded:
This counter will increment when the appliance attempts to forward a layer-2 packet to a rate-limited control point service routine and the rate limit (per/second) is now being exceeded. Currently, the only layer-2 packets destined for a control point service routine which are rate limited are ARP packets. The ARP packet rate limit is 500 ARPs per second per interface.
 
Recommendation:
Analyze your network traffic to determine the reason behind the high rate of ARP packets.
 
Syslogs:
322002, 322003
 
 
----------------------------------------------------------------
Name: punt-no-mem
Punt no memory:
This counter is incremented and the packet is dropped when there is no memory to create data structure for punting a packet to Control Point.
Recommendation:
No action needs to be taken if this condition is transient. If this condition persists due to low memory, then system upgrade might be necessary.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: punt-queue-limit
Punt queue limit exceeded:
This counter is incremented and the packet is dropped when punt queue limit is exceeded, an indication that a bottle-neck is forming at Control Point.
Recommendation:
No action needs to be taken. This is a design limitation.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: flow-being-freed
Flow is being freed:
This counter is incremented when the flow is being freed and all packets queued for inspection are dropped.
Recommendation:
No action needs to be taken.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: invalid-encap
Invalid Encapsulation:
This counter is incremented when the security appliance receives a frame belonging to an unsupported link-level protocol or if the L3type specified in the frame is not supported by the appliance. The packet is dropped.
 
Recommendation:
Verify that directly connected hosts have proper link-level protocol settings.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: invalid-ip-header
Invalid IP header:
This counter is incremented and the packet is dropped when the appliance receives an IP packet whose computed checksum of the IP header does not match the recorded checksum in the header.
 
Recommendation:
The packet corruption may be caused by a bad cable or noise on the line. It may also be that a peer is sending corrupted packets and an attack is in progress. Please use the packet capture feature to learn more about the origin of the packet.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: unsupported-ip-version
Unsupported IP version:
This counter is incremented when the security appliance receives an IP packet that has an unsupported version in version field of IP header. Specifically, if the packet does not belong to version 4 or version 6. The packet is dropped.
 
Recommendation:
Verify that other devices on connected network are configured to send IP packets belonging to versions 4 or 6 only.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: invalid-ip-length
Invalid IP Length:
This counter is incremented when the security appliance receives an IPv4 or IPv6 packet in which the header length or total length fields in IP header are not valid or do not conform to the received packet length.
 
Recommendation:
None.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: invalid-ethertype
Invalid Ethertype:
This counter is incremented when the fragmentation module on the security appliance receives or tries to send a fragmented packet that does not belong IP version 4 or version 6. The packet is dropped.
 
Recommendation:
Verify mtu of device and other devices on connected network to determine why the device is processing such fragments.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: invalid-tcp-hdr-length
Invalid TCP Length:
This counter is incremented when the security appliance receives a TCP packet whose size is smaller than minimum-allowed header length or does not conform to the received packet length.
 
Recommendation:
The invalid packet could be a bogus packet being sent by an attacker.
Investigate the traffic from source in the following syslog.
Syslogs:
500003.
 
 
----------------------------------------------------------------
Name: invalid-udp-length
Invalid UDP Length:
This counter is incremented when the security appliance receives a UDP packet whose size as calculated from the fields in header is different from the measured size of packet as received from the network.
 
Recommendation:
The invalid packet could be a bogus packet being sent by an attacker.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: no-adjacency
No valid adjacency:
This counter is incremented when the security appliance has tried to obtian an adjacency and could not obtain mac-address for next hop. The packet is dropped.
 
Recommendation:
Configure a capture for this drop reason and check if a host with specified destination address exists on connected network or is routable from the device.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: unexpected-packet
Unexpected packet:
This counter is incremented when the appliance in transparent mode receives a non-IP packet, destined to it's MAC address, but there is no corresponding service running on the appliance to process the packet.
 
Recommendation:
Verify if the appliance is under attack. If there are no suspicious packets, or the device is not in transparent mode, this counter is most likely being incremented due to a software error. Attempt to capture the traffic that is causing the counter to increment and contact the Cisco TAC.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: no-route
No route to host:
This counter is incremented when the security appliance tries to send a packet out of an interface and does not find a route for it in routing table.
 
Recommendation:
Verify that a route exists for the destination address obtained from thegenerated syslog.
 
Syslogs:
110001.
 
 
----------------------------------------------------------------
Name: rpf-violated
Reverse-path verify failed:
This counter is incremented when ip-verify is configured on an interface and the security appliance receives a packet for which the route lookup of source-ip did not yield the same interface as the one on which the packet was received.
 
Recommendation:
Trace the source of traffic based on source-ip printed in syslog below and investigate why it is sending spoofed traffic.
 
Syslogs:
106021.
 
 
----------------------------------------------------------------
Name: acl-drop
Flow is denied by configured rule:
This counter is incremented when a drop rule is hit by the packet and gets dropped. This rule could be a default rule created when the box comes up, when various features are turned on or off, when an acl is applied to interface or any other feature etc. Apart from default rule drops, a packet could be dropped because of:
1) ACL configured on an interface
2) ACL configured for AAA and AAA denied the user
3) Thru-box traffic arriving at management-only ifc
4) Unencrypted traffic arriving on a ipsec-enabled interface
 
Recommendation:
Note if one of ACLs listed below are fired.
 
Syslogs:
106023, 106100, 106004
 
 
----------------------------------------------------------------
Name: unable-to-create-flow
Flow denied due to resource limitation:
This counter is incremented and the packet is dropped when flow creation fails due to a system resource limitation. The resource limit may be either:
1) system memory
2) packet block extension memory
3) system connection limit
Causes 1 and 2 will occur simultaneously with flow drop reason "No memory to complete flow".
 
Recommendation:
- Observe if free system memory is low.
- Observe if flow drop reason "No memory to complete flow" occurs.
- Observe if connection count reaches the system connection limit with the command "show resource usage".
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: unable-to-add-flow
Flow hash full:
This counter is incremented when a newly created flow is inserted into flow hash table and the insertion failed because the hash table was full. The flow and the packet are dropped. This is different from counter that gets incremented when maximum connection limit is reached.
 
Recommendation:
This message signifies lack of resources on the device to support an operation that should have been successful. Please check if the connections in the 'show conn' output have exceeded their configured idle timeout values. If so, contact the Cisco Technical Assistance Center (TAC).
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: np-sp-invalid-spi
Invalid SPI:
This counter will increment when the appliance receives an IPSec ESP packet addressed to the appliance which specifies a SPI (security parameter index) not currently known by the appliance.
 
Recommendation:
Occasional invalid SPI indications are common, especially during rekey processing. Many invalid SPI indications may suggest a problem or DoS attack. If you are experiencing a high rate of invalid SPI indications, analyze your network traffic to determine the source of the ESP traffic.
 
Syslogs:
402114
 
 
----------------------------------------------------------------
Name: unsupport-ipv6-hdr
Unsupported IPv6 header:
This counter is incremented and the packet is dropped if an IPv6 packet is received with an unsupported IPv6 extension header. The supported IPv6 extension headers are: TCP, UDP, ICMPv6, ESP, AH, Hop Options, Destination Options, and Fragment. The IPv6 routing extension header is not supported, and any extension header not listed above is not supported. IPv6 ESP and AH headers are supported only if the packet is through-the-box. To-the-box IPv6 ESP and AH packets are not supported and will be dropped.
 
Recommendation:
This error may be due to a misconfigured host. If this error occurs repeatedly or in large numbers, it could also indicate spurious or malicious activity such as an attempted DoS attack.
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: natt-keepalive
NAT-T keepalive message:
This counter will increment when the appliance receives an IPSec NAT-T keepalive message. NAT-T keepalive messages are sent from the IPSec peer to the appliance to keep NAT/PAT flow information current in network devices between the NAT-T IPSec peer and the appliance.
 
Recommendation:
If you have configured IPSec NAT-T on your appliance, this indication is normal and doesn't indicate a problem. If NAT-T is not configured on your appliance, analyze your network traffic to determine the source of the NAT-T traffic.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-not-syn
First TCP packet not SYN:
Received a non SYN packet as the first packet of a non intercepted and non nailed connection.
 
Recommendation:
Under normal conditions, this may be seen when the appliance has already closed a connection, and the client or server still believe the connection is open, and continue to transmit data. Some examples where this may occur is just after a 'clear local-host' or 'clear xlate' is issued. Also, if connections have not been recently removed, and the counter is incrementing rapidly, the appliance may be under attack. Capture a sniffer trace to help isolate the cause.
Syslogs:
6106015
 
 
----------------------------------------------------------------
Name: bad-tcp-cksum
Bad TCP checksum:
This counter is incremented and the packet is dropped when the appliance receives a TCP packet whose computed TCP checksum does not match the recorded checksum in TCP header.
 
Recommendation:
The packet corruption may be caused by a bad cable or noise on the line. It may also be that a TCP endpoint is sending corrupted packets and an attack is in progress. Please use the packet capture feature to learn more about the origin of the packet. To allow packets with incorrect TCP checksum disable checksum-verification feature under tcp-map.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: bad-tcp-flags
Bad TCP flags:
This counter is incremented and the packet is dropped when the appliance receives a TCP packet with invalid TCP flags in TCP header. Example a packet with SYN and FIN TCP flags set will be dropped.
 
Recommendations:
The packet corruption may be caused by a bad cable or noise on the line. It may also be that a TCP endpoint is sending corrupted packets and an attack is in progress. Please use the packet capture feature to learn more about the origin of the packet.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-reserved-set
TCP reserved flags set:
This counter is incremented and the packet is dropped when the appliance receives a TCP packet with reserved flags set in TCP header.
 
Recommendations:
The packet corruption may be caused by a bad cable or noise on the line. It may also be that a TCP endpoint is sending corrupted packets and an attack is in progress. Please use the packet capture feature to learn more about the origin of the packet. To allow such TCP packets or clear reserved flags and then pass the packet use reserved-bits configuration under tcp-map.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-bad-option-list
TCP option list invalid:
This counter is incremented and the packet is dropped when the appliance receives a TCP packet with a non-standard TCP header option.
 
Recommendations:
To allow such TCP packets or clear non-standard TCP header options and then allow the packet, use tcp-options configuration under tcp-map.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-mss-exceeded
TCP data exceeded MSS:
This counter is incremented and the packet is dropped when the appliance receives a TCP packet with data length greater than the MSS advertized by peer TCP endpoint.
 
Recommendations:
To allow such TCP packets use exceed-mss configuration under tcp-map
 
Syslogs:
4419001
 
 
----------------------------------------------------------------
Name: tcp-synack-data
TCP SYNACK with data:
This counter is incremented and the packet is dropped when the appliance receives a TCP SYN-ACK packet with data.
 
Recommendations:
The packet corruption may be caused by a bad cable or noise on the line. It may also be that a TCP endpoint is sending corrupted packets and an attack is in progress. Please use the packet capture feature to learn more about the origin of the packet.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-syn-data
TCP SYN with data:
This counter is incremented and the packet is dropped when the appliance receives a TCP SYN packet with data.
 
Recommendations:
To allow such TCP packets use syn-data configuration under tcp-map.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-dual-open
TCP Dual open denied:
This counter is incremented and the packet is dropped when the appliance recevies a TCP SYN packet from the server, when an embryonic TCP connection is already open.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-data-past-fin
TCP data send after FIN:
This counter is incremented and the packet is dropped when the appliance recevies new TCP data packet from an endpoint which had sent a FIN to close the connection.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-3whs-failed
TCP failed 3 way handshake:
This counter is incremented and the packet is dropped when appliance receives an invalid TCP packet during three-way-handshake. Example SYN-ACK from client will be dropped for this reason.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-rstfin-ooo
TCP RST/FIN out of order:
This counter is incremented and the packet is dropped when appliance receives a RST or a FIN packet with incorrect TCP sequence number.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-seq-syn-diff
TCP SEQ in SYN/SYNACK invalid:
This counter is incremented and the packet is dropped when appliance receives a SYN or SYN-ACK packet during three-way-handshake with incorrect TCP sequence number.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-ack-syn-diff
TCP ACK in SYNACK invalid:
This counter is incremented and the packet is dropped when appliance receives a SYN-ACK packet during three-way-handshake with incorrect TCP acknowledgement number.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-syn-ooo
TCP SYN on established conn:
This counter is incremented and the packet is dropped when appliance receives a TCP SYN packet on an established TCP connection.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-synack-ooo
TCP SYNACK on established conn:
This counter is incremented and the packet is dropped when appliance receives a TCP SYN-ACK packet on an established TCP connection.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-seq-past-win
TCP packet SEQ past window:
This counter is incremented and the packet is dropped when appliance receives a TCP data packet with sequence number beyond the window allowed by the peer TCP endpoint.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-invalid-ack
TCP invalid ACK:
This counter is incremented and the packet is dropped when appliance receives a TCP packet with acknowledgement number greater than data sent by peer TCP endpoint.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-fo-drop
TCP replicated flow pak drop:
This counter is incremented and the packet is dropped when appliance receives a TCP packet with control flag like SYN, FIN or RST on an established connection just after the appliance has taken over as active unit.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-discarded-ooo
TCP ACK in 3 way handshake invalid:
This counter is incremented and the packet is dropped when appliance receives a TCP ACK packet from client during three-way-handshake and the sequence number is not next expected sequence number.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-buffer-full
TCP Out-of-Order packet buffer full:
This counter is incremented and the packet is dropped when appliance receives an out-of-order TCP packet on a connection and there is no buffer space to store this packet. Typically TCP packets are put into order on connections that are inspected by the appliance or when packets are sent to SSM for inspection. There is a default queue size and when packets in excess of this default queue size are received they will be dropped.
 
Recommendations:
On ASA platforms the queue size could be increased using queue-limit configuration under tcp-map.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-global-buffer-full
TCP global Out-of-Order packet buffer full:
This counter is incremented and the packet is dropped when the security appliance receives an out-of-order TCP packet on a connection and there are no more global buffers available. Typically TCP packets are put into order on connections that are inspected by the security appliance or when packets are sent to the SSM for inspection. When the global Out-of-Order buffer queue is full, the packet will be dropped and this counter will increment.
 
Recommendations:
This is a temporary condition when all global buffers are used. If this counter is constantly incrementing, then please check your network for large amounts of Out-of-Order traffic, which could be caused by traffic of the same flow taking different routes through the network.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-buffer-timeout
TCP Out-of-Order packet buffer timeout:
This counter is incremented and the packet is dropped when a queued out of order TCP packet has been held in the buffer for too long.Typically, TCP packets are put into order on connections that are inspected by the security appliance or when packets are sent to the SSM for inspection. When the next expected TCP packet does not arrive within a certain period, the queued out of order packet is dropped.
 
Recommendations:
The next expected TCP packet may not arrive due to congestion in the network which is normal in a busy network. The TCP retransmission mechanism in the end host will retransmit the packet and the session will continue.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-rst-syn-in-win
TCP RST/SYN in window:
This counter is incremented and the packet is dropped when appliance receives a TCP SYN or TCP RST packet on an established connection with sequence number within window but not next expected sequence number.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-acked
TCP DUP and has been ACKed:
This counter is incremented and the packet is dropped when appliance receives a retransmitted data packet and the data has been acknowledged by the peer TCP endpoint.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-dup-in-queue
TCP dup of packet in Out-of-Order queue:
This counter is incremented and the packet is dropped when appliance receives a retransmitted data packet that is already in our out of order packet queue.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-paws-fail
TCP packet failed PAWS test:
This counter is incremented and the packet is dropped when TCP packet with timestamp header option fails the PAWS (Protect Against Wrapped Sequences) test.
 
Recommendations:
To allow such connections to proceed, use tcp-options configuration under tcp-map to clear timestamp option.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-conn-limit
TCP connection limit reached:
This reason is given for dropping a TCP packet during TCP connection establishment phase when the connection limit has been exceeded. The connection limit is configured via the 'set connection conn-max' action command.
 
Recommendation:
If this is incrementing rapidly, check the syslogs to determine which host's connection limit is reached. The connection limit may need to be increased if the traffic is normal, or the host may be under attack.
 
Syslogs:
201011
 
 
----------------------------------------------------------------
Name: conn-limit
Connection limit reached:
This reason is given for dropping a packet when the connection limit or host connection limit has been exceeded. If this is a TCP packet which is dropped during TCP connection establishment phase due to connection limit, the drop reason 'TCP connection limit reached' is also reported.
 
Recommendation:
If this is incrementing rapidly, check the syslogs to determine which host's connection limit is reached. The connection limit may need to be increased if the traffic is normal, or the host may be under attack.
 
Syslogs:
201011
 
 
----------------------------------------------------------------
Name: tcp_xmit_partial
TCP retransmission partial:
This counter is incremented and the packet is dropped when check-retranmission feature is enabled and a partial TCP retransmission was received.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcpnorm-rexmit-bad
TCP bad retransmission:
This counter is incremented and the packet is dropped when check-retranmission feature is enabled and a TCP retranmission with different data from the original packet was received.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcpnorm-win-variation
TCP unexpected window size variation:
This counter is incremented and the packet is dropped when window size advertized by TCP endpoint is drastically changed without accepting that much data.
 
Recommendations:
In order to allow such packet, use the window-variation configuration under tcp-map.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ipsecudp-keepalive
IPSEC/UDP keepalive message:
This counter will increment when the appliance receives an IPSec over UDP keepalive message. IPSec over UDP keepalive messages are sent from the IPSec peer to the appliance to keep NAT/PAT flow information current in network devices between the IPSec over UDP peer and the appliance. Note - These are not industry standard NAT-T keepalive messages which are also carried over UDP and addressed to UDP port 4500.
Recommendation:
If you have configured IPSec over UDP on your appliance, this indication is normal and doesn't indicate a problem. If IPSec over UDP is not configured on your appliance, analyze your network traffic to determine the source of the IPSec over UDP traffic.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: rate-exceeded
QoS rate exceeded:
This counter is incremented when rate-limiting (policing) is configured on an egress/ingress interface and the egress/ingress traffic rate exceeds the burst rate configured. The counter is incremented for each packet dropped.
 
Recommendation:
Investigate and determine why the rate of traffic leaving/entering the interface is higher than the configured rate. This may be normal, or could be an indication of virus or attempted attack.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: queue-removed
Rate-limiter queued packet dropped:
When QoS config is changed or removed, the existing packets in the output queues awaiting transmission are dropped and this counter is incremented.
 
Recommendation:
Under normal conditions, this may be seen when the QoS configuration has been changed by the user. If this occurs when no changes to QoS config were performed, please contact Cisco Technical Assistance Center (TAC).
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: bad-crypto
Bad crypto return in packet:
This counter will increment when the appliance attempts to perform a crypto operation on a packet and the crypto operation fails. This is not a normal condition and could indicate possible software or hardware problems with the appliance
 
Recommendation:
If you are receiving many bad crypto indications your appliance may need servicing. You should enable syslog 402123 to determine whether the crypto errors are hardware or software errors. You can also check the error counter in the global IPSec statistics with the 'show ipsec stats' CLI command. If the IPSec SA which is triggering these errors is known, the SA statistics from the 'show ipsec sa detail' command will also be useful in diagnosing the problem.
 
Syslogs:
402123
 
 
----------------------------------------------------------------
Name: bad-ipsec-prot
IPSec not AH or ESP:
This counter will increment when the appliance receives a packet on an IPSec connection which is not an AH or ESP protocol. This is not a normal condition.
 
Recommendation:
If you are receiving many IPSec not AH or ESP indications on your appliance, analyze your network traffic to determine the source of the traffic.
 
Syslogs:
402115
 
 
----------------------------------------------------------------
Name: ipsec-ipv6
IPSec via IPV6:
This counter will increment when the appliance receives an IPSec ESP packet, IPSec NAT-T ESP packet or an IPSec over UDP ESP packet encapsulated in an IP version 6 header. The appliance does not currently support any IPSec sessions encapsulated in IP version 6.
 
Recommendation:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: bad-ipsec-natt
BAD IPSec NATT packet:
This counter will increment when the appliance receives a packet on an IPSec connection which has negotiated NAT-T but the packet is not addressed to the NAT-T UDP destination port of 4500 or had an invalid payload length.
 
Recommendation:
Analyze your network traffic to determine the source of the NAT-T traffic.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: bad-ipsec-udp
BAD IPSec UDP packet:
This counter will increment when the appliance receives a packet on an IPSec connection which has negotiated IPSec over UDP but the packet has an invalid payload length.
 
Recommendation:
Analyze your network traffic to determine the source of the NAT-T traffic.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ipsec-need-sa
IPSec SA not negotiated yet:
This counter will increment when the appliance receives a packet which requires encryption but has no established IPSec security association. This is generally a normal condition for LAN-to-LAN IPSec configurations. This indication will cause the appliance to begin ISAKMP negotiations with the destination peer.
 
Recommendation:
If you have configured IPSec LAN-to-LAN on your appliance, this indication is normal and doesn't indicate a problem. However, if this counter increments rapidly it may indicate a crypto configuration error or network error preventing the ISAKMP negotiation from completing. Verify that you can communicate with the destination peer and verify your crypto configuration via the 'show running-config' command.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ctm-error
CTM returned error:
This counter will increment when the appliance attempts to perform a crypto operation on a packet and the crypto operation fails. This is not a normal condition and could indicate possible software or hardware problems with the appliance.
 
Recommendation:
If you are receiving many bad crypto indications your appliance may need servicing. You should enable syslog 402123 to determine whether the crypto errors are hardware or software errors. You can also check the error counter in the global IPSec statistics with the 'show ipsec stats' CLI command. If the IPSec SA which is triggering these errors is known, the SA statistics from the 'show ipsec sa detail' command will also be useful in diagnosing the problem.
 
Syslogs:
402123
 
 
----------------------------------------------------------------
Name: send-ctm-error
Send to CTM returned error:
This counter is obsolete in the appliance and should never increment.
 
Recommendation:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ipsec-spoof
IPSec spoof detected:
This counter will increment when the appliance receives a packet which should have been encrypted but was not. The packet matched the inner header security policy check of a configured and established IPSec connection on the appliance but was received unencrypted. This is a security issue.
 
Recommendation:
Analyze your network traffic to determine the source of the spoofed IPSec traffic.
 
Syslogs:
402117
 
 
----------------------------------------------------------------
Name: ipsec-clearpkt-notun
IPSec Clear Pkt w/no tunnel:
This counter will increment when the appliance receives a packet which should have been encrypted but was not. The packet matched the inner header security policy check of a configured and established IPSec connection on the appliance but was received unencrypted. This is a security issue.
 
Recommendation:
Analyze your network traffic to determine the source of the spoofed IPSec traffic.
 
Syslogs:
402117
 
 
----------------------------------------------------------------
Name: ipsec-tun-down
IPSec tunnel is down:
This counter will increment when the appliance receives a packet associated with an IPSec connection which is in the process of being deleted.
 
Recommendation:
This is a normal condition when the IPSec tunnel is torn down for any reason.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: security-failed
Early security checks failed:
This counter is incremented and packet is dropped when the security appliance :
- receives an IPv4 multicast packet when the packets multicast MAC address doesn't match the packets multicast destination IP address
- receives an IPv6 or IPv4 teardrop fragment containing either small offset or fragment overlapping
- receives an IPv4 packet that matches an IP audit (IPS) signature
 
Recommendation:
Contact the remote peer administrator or escalate this issue according to your security policy
For detailed description and syslogs for IP audit attack checks please refer the ip audit signature section of command reference guide
 
Syslogs:
106020
400xx in case of ip audit checks
 
 
----------------------------------------------------------------
Name: sp-security-failed
Slowpath security checks failed:
This counter is incremented and packet is dropped when the security appliance is:
1) In routed mode receives a through-the-box:
- L2 broadcast packet
- IPv4 packet with destination IP address equal to 0.0.0.0
- IPv4 packet with source IP address equal to 0.0.0.0
2) In routed or transparent mode and receives a through-the-box IPv4 packet with:
- first octet of the source IP address equal to zero
- source IP address equal to the loopback IP address
- network part of source IP address equal to all 0's
- network part of the source IP address equal to all 1's
- source IP address host part equal to all 0's or all 1's
3) In routed or transparent mode and receives an IPv4 or IPv6 packet with same source and destination IP addresses
 
Recommendation:
1 and 2) Determine if an external user is trying to compromise the protected network. Check for misconfigured clients.
3) If this message counter is incrementing rapidly, an attack may be in progress. Use the packet capture feature to capture type asp packets, and check the source MAC address in the packet to see where they are coming from.
 
Syslogs:
1 and 2) 106016
3) 106017
 
 
----------------------------------------------------------------
Name: ipv6_sp-security-failed
IPv6 slowpath security checks failed:
This counter is incremented and the packet is dropped for one of the following reasons:
1) IPv6 through-the-box packet with identical source and destination address.
2) IPv6 through-the-box packet with linklocal source or destination address.
3) IPv6 through-the-box packet with multicast destination address.
 
Recommendation:
These packets could indicate malicious activity, or could be the result of a misconfigured IPv6 host. Use the packet capture feature to capture type asp packets, and use the source MAC address to identify the source.
Syslogs:
For identical source and destination address, syslog 106016, else none.
 
 
----------------------------------------------------------------
Name: invalid-ip-option
IP option drop:
This counter is incremented when any unicast packet with ip options or a multicast packet with ip-options that have not been configured to be accepted, is received by the security appliance. The packet is dropped.
 
Recommendation:
Investigate why a packet with ip options is being sent by the sender.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: lu-invalid-pkt
Invalid LU packet:
Standby unit received a corrupted Logical Update packet.
 
Recommendation:
The packet corruption could be caused by a bad cable, interface card, line noise, or software defect. If the interface appears to be functioning properly, then report the problem to Cisco TAC.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: fo-standby
Dropped by standby unit:
If a through-the-box packet arrives at an appliance or context in a Standby state and a flow is created, the packet is dropped and the flow removed. This counter will increment each time a packet is dropped in this manner.
 
Recommendation:
This counter should never be incrementing on the Active appliance or context. However, it is normal to see it increment on the Standby appliance or context.
 
Syslogs:
302014, 302016, 302018
 
 
----------------------------------------------------------------
Name: dst-l2_lookup-fail
Dst MAC L2 Lookup Failed:
This counter will increment when the appliance is configured for transparent mode and the appliance does a Layer 2 destination MAC address lookup which fails. Upon the lookup failure, the appliance will begin the destination MAC discovery process and attempt to find the location of the host via ARP and/or ICMP messages.
 
Recommendation:
This is a normal condition when the appliance is configured for transparent mode. You can also execute (show mac-address-table) to list the L2 MAC address locations currently discovered by the appliance.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: l2_same-lan-port
L2 Src/Dst same LAN port:
This counter will increment when the appliance/context is configured for transparent mode and the appliance determines that the destination interface's L2 MAC address is the same as its ingress interface.
 
Recommendation:
This is a normal condition when the appliance/context is configured for transparent mode. Since the appliance interface is operating in promiscuous mode, the appliance/context receives all packets on the local LAN seqment.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: flow-expired
Expired flow:
This counter is incremented when the security appliance tries to inject a new or cached packet belonging to a flow that has already expired.It is also incremented when the appliance attempts to send an rst on a tcp flow that has already expired or when a packet returns from IDS blade but the flow had already expired. The packet is dropped
 
Recommendation:
If valid applications are getting pre-empted, investigate if a longer timeout is needed.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-icmp-out-of-app-id
ICMP Inspect out of App ID:
This counter will increment when the ICMP inspection engine fails to allocate an 'App ID' data structure. The structure is used to store the sequence number of the ICMP packet.
 
Recommendation:
Check the system memory usage. This event normally happens when the system runs short of memory.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-icmp-seq-num-not-matched
ICMP Inspect seq num not matched:
This counter will increment when the sequence number in the ICMP echo reply message does not match any ICMP echo message that passed across the appliance earlier on the same connection.
 
Recommendation:
No action required if it is an intermittent event. If the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
313004
 
 
----------------------------------------------------------------
Name: inspect-icmp-error-no-existing-conn
ICMP Error Inspect no existing conn:
This counter will increment when the appliance is not able to find any established connection related to the frame embedded in the ICMP error message.
 
Recommendation:
No action required if it is an intermittent event. If the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
313005
 
 
----------------------------------------------------------------
Name: inspect-icmp-error-different-embedded-conn
ICMP Error Inspect different embedded conn:
This counter will increment when the frame embedded in the ICMP error message does not match the established connection that has been identified when the ICMP connection is created.
 
Recommendation:
No action required if it is an intermittent event. If the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
313005
 
 
----------------------------------------------------------------
Name: inspect-icmpv6-error-invalid-pak
ICMPv6 Error Inspect invalid packet:
This counter will increment when the appliance detects an invalid frame embedded in the ICMPv6 packet. This check is the same as that on IPv6 packets. Examples: Incomplete IPv6 header; malformed IPv6 Next Header; etc.
 
Recommendation:
No action required.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-icmpv6-error-no-existing-conn
ICMPv6 Error Inspect no existing conn:
This counter will increment when the appliance is not able to find any established connection related to the frame embedded in the ICMPv6 error message.
 
Recommendation:
No action required if it is an intermittent event. If the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
313005
 
 
----------------------------------------------------------------
Name: inspect-dns-invalid-pak
DNS Inspect invalid packet:
This counter will increment when the appliance detects an invalid DNS packet. Examples: A DNS packet with no DNS header; the number of DNS resource records not matching the counter in the header; etc.
 
Recommendation:
No action required.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-dns-invalid-domain-label
DNS Inspect invalid domain label:
This counter will increment when the appliance detects an invalid DNS domain name or label. DNS domain name and label is checked per RFC 1035.
 
Recommendation:
No action required. If the domain name and label check is not desired, disable the protocol-enforcement parameter in the DNS inspection policy-map (in supported releases).
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-dns-pak-too-long
DNS Inspect packet too long:
This counter is incremented when the length of the DNS message exceeds the configured maximum allowed value.
 
Recommendation:
No action required. If DNS message length checking is not desired, enable DNS inspection without the 'maximum-length' option, or disable the 'message-length maximum' parameter in the DNS inspection policy-map (in supported releases).
 
Syslogs:
410001
 
 
----------------------------------------------------------------
Name: inspect-dns-out-of-app-id
DNS Inspect out of App ID:
This counter will increment when the DNS inspection engine fails to allocate a data structure to store the identification of the DNS message.
Recommendation:
Check the system memory usage. This event normally happens when the system runs short of memory.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-dns-id-not-matched
DNS Inspect ID not matched:
This counter will increment when the identification of the DNS response message does not match any DNS queries that passed across the appliance earlier on the same connection.
 
Recommendation:
No action required if it is an intermittent event. If the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: dns-guard-out-of-app-id
DNS Guard out of App ID:
This counter will increment when the DNS Guard function fails to allocate a data structure to store the identification of the DNS message.
 
Recommendation:
Check the system memory usage. This event normally happens when the system runs short of memory.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: dns-guard-id-not-matched
DNS Guard ID not matched:
This counter will increment when the identification of the DNS response message does not match any DNS queries that passed across the appliance earlier on the same connection. This counter will increment by the DNS Guard function.
 
Recommendation:
No action required if it is an intermittent event. If the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-rtp-invalid-length
Invalid RTP Packet length:
This counter will increment when the UDP packet length is less than the size of the RTP header.
 
Recommendation:
No action required. A capture can be used to figure out which RTP source is sending the incorrect packets and you can deny the host using the ACLs.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-rtp-invalid-version
Invalid RTP Version field:
This counter will increment when the RTP version field contains a version other than 2.
 
Recommendation:
The RTP source in your network does not seem to be sending RTP packets conformant with the RFC 1889. The reason for this has to be identified and you can deny the host using ACLs if required.
 
Syslogs:
431001.
 
 
----------------------------------------------------------------
Name: inspect-rtp-invalid-payload-type
Invalid RTP Payload type field:
This counter will increment when the RTP payload type field does not contain an audio payload type when the signalling channel negotiated an audio media type for this RTP secondary connection. The counter increments similarly for the video payload type.
 
Recommendation:
The RTP source in your network is using the audio RTP secondary connection to send video or vice versa. If you wish to prevent this you can deny the host using ACLs.
 
Syslogs:
431001.
 
 
----------------------------------------------------------------
Name: inspect-rtp-ssrc-mismatch
Invalid RTP Synchronization Source field:
This counter will increment when the RTP SSRC field in the packet does not match the SSRC which the inspect has been seeing from this RTP source in all the RTP packets.
 
Recommendation:
This could be because the RTP source in your network is rebooting and hence changing the SSRC or it could be because of another host on your network trying to use the opened secondary RTP connections on the firewall to send RTP packets. This should be investigated further to confirm if there is a problem.
 
Syslogs:
431001.
 
 
----------------------------------------------------------------
Name: inspect-rtp-sequence-num-outofrange
RTP Sequence number out of range:
This counter will increment when the RTP sequence number in the packet is not in the range expected by the inspect.
 
Recommendation:
No action is required because the inspect tries to recover and start tracking from a new sequence number after a lapse in the sequence numbers from the RTP source.
 
Syslogs:
431001.
 
 
----------------------------------------------------------------
Name: inspect-rtp-max-outofseq-paks-probation
RTP out of sequence packets in probation period:
This counter will increment when the out of sequence packets when the RTP source is being validated exceeds 20. During the probation period, the inspect looks for 5 in-sequence packets to consider the source validated.
 
Recommendation:
Check the RTP source to see why the first few packets do not come in sequence and correct it.
 
Syslogs:
431001.
 
 
----------------------------------------------------------------
Name: inspect-rtcp-invalid-length
Invalid RTCP Packet length:
This counter will increment when the UDP packet length is less than the size of the RTCP header.
 
Recommendation:
No action required. A capture can be used to figure out which RTP source is sending the incorrect packets and you can deny the host using the ACLs.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-rtcp-invalid-version
Invalid RTCP Version field:
This counter will increment when the RTCP version field contains a version other than 2.
 
Recommendation:
The RTP source in your network does not seem to be sending RTCP packets conformant with the RFC 1889. The reason for this has to be identified and you can deny the host using ACLs if required.
 
Syslogs:
431002.
 
 
----------------------------------------------------------------
Name: inspect-rtcp-invalid-payload-type
Invalid RTCP Payload type field:
This counter will increment when the RTCP payload type field does not contain the values 200 to 204.
 
Recommendation:
The RTP source should be validated to see why it is sending payload types outside of the range recommended by the RFC 1889.
 
Syslogs:
431002.
 
 
----------------------------------------------------------------
Name: inspect-srtp-encrypt-failed
Inspect SRTP Encryption failed:
This counter will increment when SRTP encryption fails.
 
Recommendation:
If error persists even after a reboot please call TAC to see why SRTP encryption is failing in the hardware crypto accelerator.
 
Syslogs:
337001.
 
 
----------------------------------------------------------------
Name: inspect-srtp-decrypt-failed
Inspect SRTP Decryption failed:
This counter will increment when SRTP decryption fails.
 
Recommendation:
If error persists even after a reboot please call TAC to see why SRTP decryption is failing in the hardware crypto accelerator.
 
Syslogs:
337002.
 
 
----------------------------------------------------------------
Name: inspect-srtp-validate-authtag-failed
Inspect SRTP Authentication tag validation failed:
This counter will increment when SRTP authentication tag validation fails.
 
Recommendation:
No action is required. If error persists SRTP packets arriving at the firewall are being tampered with and the administrator has to identify the cause.
 
Syslogs:
337003.
 
 
----------------------------------------------------------------
Name: inspect-srtp-generate-authtag-failed
Inspect SRTP Authentication tag generation failed:
This counter will increment when SRTP authentication tag generation fails.
 
Recommendation:
No action is required.
 
Syslogs:
337004.
 
 
----------------------------------------------------------------
Name: inspect-srtp-no-output-flow
Inspect SRTP failed to find output flow:
This counter will increment when the flow from the Phone proxy could not be created or if the flow has been torn down
 
Recommendation:
No action is required. The flow creation could have failed because of low memory conditions.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-srtp-setup-srtp-failed
Inspect SRTP setup in CTM failed:
This counter will increment when SRTP setup in the CTM fails.
 
Recommendation:
No action is required. If error persists call TAC to see why the CTM calls are failing.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-srtp-one-part-no-key
Inspect SRTP failed to find keys for both parties:
This counter will increment when Inspect SRTP finds only one party's keys populated in the media session.
 
Recommendation:
No action is required. This counter could increment in the beginning phase of the call but eventually when the call signaling exchange completes both parties should know their respective keys.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-srtp-no-media-session
Inspect SRTP Media session lookup failed:
This counter will increment when SRTP media session lookup fails.
 
Recommendation:
No action is required. The media session is created by Inspect SIP or Skinny when the IP address is parsed as part of the signaling exchange. Debug the signaling messages to figure out the cause.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-srtp-no-remote-phone-proxy-ip
Inspect SRTP Remote Phone Proxy IP not populated:
This counter will increment when remote phone proxy IP is not populated
 
Recommendation:
No action is required. The remote phone proxy IP address is populated from the signaling exchange. If error persists debug the signaling messages to figure out if ASA is seeing all the signaling messages.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: inspect-srtp-client-port-not-present
Inspect SRTP client port wildcarded in media session:
This counter will increment when client port is not populated in media session
 
Recommendation:
No action is required. The client port is populated dynamically when the media stream comes in from the client. Capture the media packets to see if the client is sending media packets.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ips-request
IPS Module requested drop:
This counter is incremented and the packet is dropped as requested by IPS module when the packet matches a signature on the IPS engine.
 
Recommendations:
Check syslogs and alerts on IPS module.
 
Syslogs:
420002
 
 
----------------------------------------------------------------
Name: ips-fail-close
IPS card is down:
This counter is incremented and the packet is dropped when IPS card is down and fail-close option was used in IPS inspection.
 
Recommendations:
Check and bring up the IPS card.
 
Syslogs:
420001
 
 
----------------------------------------------------------------
Name: ips-fail
IPS config removed for connection:
This counter is incremented and the packet is dropped when IPS configuration is not found for a particular connection.
 
Recommendations:
check if any configuration changes have been done for IPS.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ips-no-ipv6
Executing IPS software does not support IPv6:
This counter is incremented when an IPv6 packet, configured to be directed toward IPS SSM, is discarded since the software executing on IPS SSM card does not support IPv6.
 
Recommendations:
Upgrade the IPS software to version 6.2 or later.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: l2_acl
FP L2 rule drop:
This counter will increment when the appliance denies a packet due to a layer-2 ACL. By default, in routed mode the appliance will PERMIT:
1) IPv4 packets
2) IPv6 packets
3) ARP packets
4) L2 Destination MAC of FFFF:FFFF:FFFF (broadcast)
5) IPv4 MCAST packet with destination L2 of 0100:5E00:0000-0100:5EFE:FFFF
6) IPv6 MCAST packet with destination L2 of 3333:0000:0000-3333:FFFF:FFFF
 
By default, in Transparent mode permits the routed mode ACL and PERMITS:
 
1) BPDU packets with destination L2 of 0100:0CCC:CCCD
2) Appletalk packets with destination L2 of 0900:0700:0000-0900:07FF:FFFF
 
The user can also configure ethertype ACL(s) and apply them to an interface to permit other types of L2 traffic.
 
Note - Packets permitted by L2 ACLs may still be dropped by L3-L4 ACLs.
 
Recommendation:
If your running the appliance/context in transparent mode and your NON-IP packets are dropped by the appliance, you can configure an ethertype ACL and apply the ACL to an access group. Note - the appliance ethertype CLI only supports protocol types and not L2 destination MAC addresses.
 
Syslogs:
106026, 106027
 
 
----------------------------------------------------------------
Name: intercept-unexpected
Intercept unexpected packet:
Either received data from client while waiting for SYNACK from server or received a packet which cannot be handled in a particular state of TCP intercept.
 
Recommendation:
If this drop is causing the connection to fail, please have a sniffer trace of the client and server side of the connection while reporting the issue. The box could be under attack and the sniffer traces or capture would help narrowing down the culprit.
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: no-mcast-entry
FP no mcast entry:
A packet has arrived that matches a multicast flow, but the multicast service is no longer enabled, or was re-enabled after the flow was built.
- OR -
A multicast entry change has been detected after a packet was punted to the CP, and the NP can no longer forward the packet since no entry is present.
 
Recommendation:
Reenable multicast if it is disabled.
- OR -
No action required.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: no-mcast-intrf
FP no mcast output intrf:
All output interfaces have been removed from the multicast entry.
- OR -
The multicast packet could not be forwarded.
 
Recommendation:
Verify that there are no longer any receivers for this group.
- OR -
Verify that a flow exists for this packet.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: fragment-reassembly-failed
Fragment reassembly failed:
This counter is incremented when the appliance fails to reassemble a chain of fragmented packets into a single packet. All the fragment packets in the chain are dropped. This is most probably because of failure while allocating memory for the reassembled packet.
 
Recommendation:
Use the show blocks command to monitor the current block memory.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ifc-classify
Virtual firewall classification failed:
A packet arrived on a shared interface, but failed to classify to any specific context interface.
 
Recommendation:
For software versions without customizable mac-address support, use the "global" or "static" command to specify the IPv4 addresses that belong to each context interface. For software versions with customizable mac-address support, enable "mac-address auto" in system context. Alternatively, configure unique MAC addresses for each context interfaces residing over a shared interface with "mac-address" command under each context interface submode.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: connection-lock
Connection locking failed:
While the packet was waiting for processing, the flow that would be usedwas destroyed.
 
Recommendation:
The message could occur from user interface command to remove connection in an device that is actively processing packet. Otherwise, investigate flow drop counter. This message may occur if the flow are forced dropped from error.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: interface-down
Interface is down:
This counter will increment for each packet received on an interface that is shutdown via the 'shutdown' interface sub-mode command. For ingress traffic, the packet is dropped after security context classification and if the interface associated with the context is shut down. For egress traffic, the packet is dropped when the egress interface is shut down.
 
Recommendation:
No action required.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: invalid-app-length
Invalid App length:
This counter will increment when the appliance detects an invalid length of the Layer 7 payload in the packet. Currently, it counts the drops by the DNS Guard function only. Example: Incomplete DNS header.
 
Recommendation:
No action required.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: loopback-buffer-full
Loopback buffer full:
This counter is incremented and the packet is dropped when packets are sent from one context of the appliance to another context through a shared interface and there is no buffer space in loopback queue.
 
Recommendations:
Check system CPU to make sure it is not overloaded.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: non-ip-pkt-in-routed-mode
Non-IP packet received in routed mode:
This counter will increment when the appliance receives a packet which is NOT IPv4, IPv6 or ARP and the appliance/context is configured for ROUTED mode. In normal operation such packets should be dropped by the default L2 ACL configuration.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
106026, 106027
 
 
----------------------------------------------------------------
Name: host-move-pkt
FP host move packet:
This counter will increment when the appliance/context is configured for transparent and source interface of a known L2 MAC address is detected on a different interface.
 
Recommendation:
This indicates that a host has been moved from one interface (i.e. LAN segment) to another. This condition is normal while in transparent mode if the host has in fact been moved. However, if the host move toggles back and forth between interfaces, a network loop may be present.
 
Syslogs:
412001, 412002, 322001
 
 
----------------------------------------------------------------
Name: tfw-no-mgmt-ip-config
No management IP address configured for TFW:
This counter is incremented when the security appliance receives an IP packet in transparent mode and has no management IP address defined. The packet is dropped.
 
Recommendation:
Configure the device with management IP address and mask values.
 
Syslogs:
322004
 
 
----------------------------------------------------------------
Name: shunned
Packet shunned:
This counter will increment when a packet is received which has a source IP address that matches a host in the shun database.
 
Recommendation:
No action required.
 
Syslogs:
401004
 
 
----------------------------------------------------------------
Name: rm-conn-limit
RM connection limit reached:
This counter is incremented when the maximum number of connections for a context or the system has been reached and a new connection is attempted.
 
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource usage system' to view context and system resource limits and 'Denied' counts and adjust resource limits if desired.
 
Syslogs:
321001
 
 
----------------------------------------------------------------
Name: rm-conn-rate-limit
RM connection rate limit reached:
This counter is incremented when the maximum connection rate for a context or the system has been reached and a new connection is attempted.
 
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource usage system' to view context and system resource limits and 'Denied' counts and adjust resource limits if desired.
 
Syslogs:
321002
 
 
----------------------------------------------------------------
Name: np-socket-closed
Dropped pending packets in a closed socket:
If a socket is abruptly closed, by the user or software, then any pending packets in the pipeline for that socket are also dropped. This counter is incremented for each packet in the pipeline that is dropped.
 
Recommendation:
It is common to see this counter increment as part of normal operation. However, if the counter is rapidly incrementing and there is a major malfunction of socket-based applications, then this may be caused by a software defect. Contact the Cisco TAC to investigate the issue further.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-pf-queue-full
Port Forwarding Queue Is Full:
This counter is incremented when the Port Forwarding application's internal queue is full and it receives another packet for transmission.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-delete-in-progress
SVC Module received data while connection was being deleted:
This counter will increment when the security appliance receives a packet associated with an SVC connection that is in the process of being deleted.
 
Recommendation:
This is a normal condition when the SVC connection is torn down for any reason. If this error occurs repeatedly or in large numbers, it could indicate that clients are having network connectivity issues.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-bad-framing
SVC Module received badly framed data:
This counter will increment when the security appliance receives a packet from an SVC or the control software that it is unable to decode.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC. The SVC or security appliance could be at fault.
 
Syslogs:
722037 (Only for SVC received data).
 
 
----------------------------------------------------------------
Name: mp-svc-bad-length
SVC Module received bad data length:
This counter will increment when the security appliance receives a packet from an SVC or the control software where the calculated and specified lengths do not match.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC. The SVC or security appliance could be at fault.
 
Syslogs:
722037 (Only for SVC received data).
 
 
----------------------------------------------------------------
Name: mp-svc-unknown-type
SVC Module received unknown data frame:
This counter will increment when the security appliance receives a packet from an SVC where the data type is unknown.
 
Recommendation:
Validate that the SVC being used by the client is compatible with the version of security appliance software.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-addr-renew-response
SVC Module received address renew response data frame:
This counter will increment when the security appliance receives an Address Renew Response message from an SVC. The SVC should not be sending this message.
 
Recommendation:
This indicates that an SVC software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-no-prepend
SVC Module does not have enough space to insert header:
This counter will increment when there is not enough space before the packet data to prepend a MAC header in order to put the packet onto the network.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-no-channel
SVC Module does not have a channel for reinjection:
This counter will increment when the interface that the encrypted data was received upon cannot be found in order to inject the decrypted data.
 
Recommendation:
If an interface is shut down during a connection, this could happen; re-enable/check the interface. Otherwise, this indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-no-session
SVC Module does not have a session:
This counter will increment when the security appliance cannot determine the SVC session that this data should be transmitted over.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-decompres-error
SVC Module decompression error:
This counter will increment when the security appliance encounters an error during decompression of data from an SVC.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC. The SVC or security appliance could be at fault.
 
Syslogs:
722037.
 
 
----------------------------------------------------------------
Name: mp-svc-compress-error
SVC Module compression error:
This counter will increment when the security appliance encounters an error during compression of data to an SVC.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC. The SVC or security appliance could be at fault.
 
Syslogs:
722037.
 
 
----------------------------------------------------------------
Name: mp-svc-no-mac
SVC Module unable to find L2 data for frame:
This counter will increment when the security appliance is unable to find an L2 MAC header for data received from an SVC.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-invalid-mac
SVC Module found invalid L2 data in the frame:
This counter will increment when the security appliance is finds an invalid L2 MAC header attached to data received from an SVC.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-invalid-mac-len
SVC Module found invalid L2 data length in the frame:
This counter will increment when the security appliance is finds an invalid L2 MAC length attached to data received from an SVC.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-flow-control
SVC Session is in flow control:
This counter will increment when the security appliance needs to drop data because an SVC is temporarily not accepting any more data.
 
Recommendation:
This indicates that the client is unable to accept more data. The client should reduce the amount of traffic it is attempting to receive.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: mp-svc-no-fragment
SVC Module unable to fragment packet:
This counter is incremented when a packet to be sent to the SVC is not permitted to be fragmented or when there are not enough data buffers to fragment the packet.
 
Recommendation:
Increase the MTU of the SVC to reduce fragmentation. Avoid using applications that do not permit fragmentation. Decrease the load on the device to increase available data buffers.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ssm-dpp-invalid
Invalid packet received from SSM card:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when the security appliance receives a packet from the internal data plane interface but could not find the proper driver to parse it.
 
Recommendation:
The data plane driver is dynamically registered depending on the type of SSM installed in the system. So this could happen if data plane packets arrive before the security appliance is fully initialized. This counter is usually 0. You should not be concerned if there are a few drops. However, if this counter keeps rising when system is up and running, it may indicate a problem. Please contact Cisco Technical Assistance Center (TAC) if you suspect it affects the normal operation of your the security appliance.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ssm-asdp-invalid
Invalid ASDP packet received from SSM card:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when the security appliance receives an ASA SSM Dataplane Protocol (ASDP) packet from the internal data plane interface, but the driver encountered a problem when parsing the packet. ASDP is a protocol used by the security appliance to communicate with certain types of SSMs, like the CSC-SSM. This could happen for various reasons, for example ASDP protocol version is not compatible between the security appliance and SSM, in which case the card manager process in the control plane issues system messages and CLI warnings to inform you of the proper version of images that need to be installed; the ASDP packet belongs to a connection that has already been terminated on the security appliance; the security appliance has switched to the standby state (if failover is enable) in which case it can no longer pass traffic; or any unexpected value when parsing the ASDP header and payload.
 
Recommendation:
The counter is usually 0 or a very small number. But user should not be concerned if the counter slowly increases over the time, especially when there has been a failover, or you have manually cleared connections on the security appliance via CLI. If the counter increases drastically during normal operation, please contact Cisco Technical Assistance Center (TAC).
 
Syslogs:
421003
421004
 
 
----------------------------------------------------------------
Name: ssm-app-request
Service module requested drop:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when the application running on the SSM requests the security appliance to drop a packet.
 
Recommendation:
More information could be obtained by querying the incident report or system messages generated by the SSM itself. Please consult the documentation that comes with your SSM for instructions.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ssm-app-fail
Service module is down:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when a packet to be inspected by the SSM is dropped because the SSM has become unavailable. Some examples of this are: software or hardware failure, software or signature upgrade, or the module being shut down.
 
Recommendation:
The card manager process running in the security appliance control plane would have issued system messages and CLI warning to inform you of the failure. Please consult the documentation that comes with the SSM to trouble shoot the SSM failure. Contact Cisco Technical Assistance Center (TAC) if needed.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: wccp-return-no-route
No route to host for WCCP returned packet:
This counter is incremented when a packet is returned from the Cache Engine and the security appliance does not find a route for the original source of the packet.
 
Recommendation:
Verify that a route exists for the source ip address of the packet returned from Cache Engine.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: wccp-redirect-no-route
No route to Cache Engine:
This counter is incremented when the security appliance tries to redirect a packet and does not find a route to the Cache Engine.
 
Recommendation:
Verify that a route exists for Cache Engine.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: vpn-handle-error
VPN Handle Error:
This counter is incremented when the appliances is unable to create a VPN handle because the VPN handle already exists.
 
Recommendation:
It is possible to see this counter increment as part of normal operation However, if the counter is rapidly incrementing and there is a major malfunction of vpn-based applications, then this may be caused by a software defect. Contact the Cisco TAC to investigate the issue further.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: telnet-not-permitted
Telnet not permitted on least secure interface:
This counter is incremented and packet is dropped when the appliance receives a TCP SYN packet attempting to establish a TELNET session to the appliance and that packet was received on the least secure interface.
 
Recommendation:
To establish a TELNET session to the appliance via the least secure interface, first establish an IPSec tunnel to that interface and then connect the TELNET session over that tunnel.
 
Syslogs:
402117
 
 
----------------------------------------------------------------
Name: channel-closed
Data path channel closed:
This counter is incremented when the data path channel has been closed before the packet attempts to be sent out through this channel. Recommendation:
It is normal in multi-processor system when one processor closes the channel (e.g., via CLI), and another processor tries to send a packet through the channel.
Syslogs:
None
 
 
----------------------------------------------------------------
Name: dispatch-decode-err
Diapatch decode error:
This counter is incremented when the packet dispatch module finds an error when decoding the frame. An example is an unsupported packet frame. Recommendation:
Verify the packet format with a capture tool.
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ipsec-lock-error
IPSec locking error:
This counter is incremented when an IPSec operation is attempted but fails due to an internal locking error.
 
Recommendation:
This condition should never be encountered during normal operation and may indicate a software problem with the appliance. Contact the Cisco Technical Assistance Center (TAC) if this error occurs.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: cp-event-queue-error
CP event queue error:
This counter is incremented when a CP event queue enqueue attempt has failed due to queue length exceeded. This queue is used by the data-path to punt packets to the control-point for additional processing. This condition is only possible in a multi-processor enviroment. The module that attempted to enqueue the packet may issue it's own packet specific drop in response to this error. Recommendation:
While this error does indicate a failure to completely process a packet, it may not adversely affect the connection. If the condition persists or connections are adversely affected contact the Cisco Technical Assistance Center (TAC). Syslogs:
None
 
 
----------------------------------------------------------------
Name: host-limit
Host limit exceeded:
This counter is incremented when the licensed host limit is exceeded.
 
Recommendation:
None.
 
Syslogs:
450001
 
 
----------------------------------------------------------------
Name: cp-syslog-event-queue-error
CP syslog event queue error:
This counter is incremented when a CP syslog event queue enqueue attempt has failed due to queue length exceeded. This queue is used by the data-path to punt logging events to the control-point when logging destinations other than to a UDP server are configured. This condition is only possible in a multi-processor environment. Recommendation:
While this error does indicate a failure to completely process a logging event, logging to UDP servers should not be affected. If the condition persists consider lowering the logging level and/or removing logging destinations or contact the Cisco Technical Assistance Center (TAC). Syslogs:
None
 
 
----------------------------------------------------------------
Name: dispatch-block-alloc
Dispatch block unavailable:
This counter is incremented and the packet is dropped when the appliance could not allocate a core local block to process the packet that was received by the interface driver.
Recommendation:
This may be due to packets being queued for later processing or a block leak. Core local blocks may also not be available if they are not replenished on time by the free resource rebalancing logic. Please use "show blocks core" to further diagnose the problem.
Syslogs:
None
 
 
----------------------------------------------------------------
Name: vpn-handle-mismatch
VPN Handle Mismatch:
This counter is incremented when the appliance wants to forward a block and the flow referred to by the VPN Handle is different than the flow associated with the block.
 
Recommendation:
This is not a normal occurrence. Please perform a "show console-output" and forward that output to CISCO TAC for further analysis
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: async-lock-queue-limit
Async lock queue limit exceeded:
Each async lock working queue has a limit of 1000. When more SIP packets are attempted to be dispatch to the work queue, packet will be dropped.
Recommendation:
Only SIP traffic may be dropped. When SIP packets have the same parent lock and they can be queued into the same async lock queue, thus may result into blocks depletion, becasue only single core is handling all the media. If a SIP packet attempts to be queued when the size of the async lock queue exceeds the limit, the packet will be dropped.
Syslogs:
None.
 
 
----------------------------------------------------------------
 

フローのドロップ理由

----------------------------------------------------------------
Name: tunnel-torn-down
Tunnel has been torn down:
This counter will increment when the appliance receives a packet associated with an established flow whose IPSec security association is in the process of being deleted.
 
Recommendation:
This is a normal condition when the IPSec tunnel is torn down for any reason.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: out-of-memory
No memory to complete flow:
This counter is incremented when the appliance is unable to create a flow because of insufficient memory.
 
Recommendation:
Verify that the box is not under attack by checking the current connections. Also verify if the configured timeout values are too large resulting in idle flows residing in memory longer. Check the free memory available by issuing 'show memory'. If free memory is low, issue the command 'show processes memory' to determine which processes are utilizing most of the memory.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: parent-closed
Parent flow is closed:
When the parent flow of a subordinating flow is closed, the subordinating flow is also closed. For example, an FTP data flow (subordinating flow) will be closed with this specific reason when its control flow (parent flow) is terminated. This reason is also given when a secondary flow (pin-hole) is closed by its controlling application. For example, when the BYE messaged is received, the SIP inspection engine (controlling application) will close the corresponding SIP RTP flows (secondary flow).
 
Recommendation:
None.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: closed-by-inspection
Flow closed by inspection:
This reason is given for closing a flow due to an error detected during application inspection. For example, if an error is detected during inspecting an H323 message, the corresponding H323 flow is closed with this reason.
 
Recommendation:
None.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: fo-primary-closed
Failover primary closed:
Standby unit received a flow delete message from the active unit and terminated the flow.
 
Recommendation:
If the appliance is running stateful failover, then this counter should increment for every replicated connection that is torn down on the standby appliance.
 
Syslogs:
302014, 302016, 302018
 
 
----------------------------------------------------------------
Name: fo-standby
Flow closed by failover standby:
If a through-the-box packet arrives at an appliance or context is in a Standby state, and a flow is created, the packet is dropped and the flow removed. This counter will increment each time a flow is removed in this manner.
 
Recommendation:
This counter should never be incrementing on the Active appliance or context. However, it is normal to see it increment on the Standby appliance or context.
 
Syslogs:
302014, 302016, 302018
 
 
----------------------------------------------------------------
Name: fo_rep_err
Standby flow replication error:
Standby unit failed to replicate a flow.
 
Recommendation:
If appliance is processing VPN traffic, then this counter could be constantly increasing on the standby unit because of the flow could be replicated before the IKE SA info. No action is required in this case. If the appliance is not processing VPN traffic, then this indicate a software detect, turn on the debug: "debug fover fail" on the standby unit, collect the debug output, and report the problem to Cisco TAC.
 
Syslogs:
302014, 302016, 302018
 
 
----------------------------------------------------------------
Name: loopback
Flow is a loopback:
This reason is given for closing a flow due to the following conditions: 1) when U-turn traffic is present on the flow, and, 2) 'same-security-traffic permit intra-interface' is not configured.
 
Recommendation:
To allow U-turn traffic on an interface, configure the interface with 'same-security-traffic permit intra-interface'.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: acl-drop
Flow is denied by access rule:
This counter is incremented when a drop rule is hit by the packet and flow creation is denied. This rule could be a default rule created when the box comes up, when various features are turned on or off, when an acl is applied to interface or any other feature etc. Apart from default rule drops, a flow could be denied because of:
1) ACL configured on an interface
2) ACL configured for AAA and AAA denied the user
3) Thru-box traffic arriving at management-only ifc
4) Unencrypted traffic arriving on a ipsec-enabled interface
5) Implicity deny 'ip any any' at the end of an ACL
 
Recommendation:
Observe if one of syslogs related to packet drop are fired. Flow drop results in the corresponding packet-drop that would fire requisite syslog.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: pinhole-timeout
Pinhole timeout:
This counter is incremented to report that the appliance opened a secondary flow, but no packets passed through this flow within the timeout interval, and hence it was removed. An example of a secondary flow is the FTP data channel that is created after successful negotiation on the FTP control channel.
 
Recommendation:
No action required.
 
Syslogs:
302014, 302016
 
 
----------------------------------------------------------------
Name: host-removed
Host is removed:
Flow removed in response to "clear local-host" command.
 
Recommendation:
This is an information counter.
 
Syslogs:
302014, 302016, 302018, 302021, 305010, 305012, 609002
 
 
----------------------------------------------------------------
Name: xlate-removed
Xlate Clear:
Flow removed in response to "clear xlate" or "clear local-host" command.
 
Recommendation:
This is an information counter.
 
Syslogs:
302014, 302016, 302018, 302021, 305010, 305012, 609002
 
 
----------------------------------------------------------------
Name: connection-timeout
Connection timeout:
This counter is incremented when a flow is closed because of the expiration of it's inactivity timer.
 
Recommendation:
No action required.
 
Syslogs:
302014, 302016, 302018, 302021
 
 
----------------------------------------------------------------
Name: conn-limit-exceeded
Connection limit exceeded:
This reason is given for closing a flow when the connection limit has been exceeded. The connection limit is configured via the 'set connection conn-max' action command.
 
Recommendation:
None.
 
Syslogs:
201011
 
 
----------------------------------------------------------------
Name: tcp-fins
TCP FINs:
This reason is given for closing a TCP flow when TCP FIN packets are received.
 
Recommendations:
This counter will increment for each TCP connection that is terminated normally with FINs.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: syn-timeout
SYN Timeout:
This reason is given for closing a TCP flow due to expiry of embryonic timer.
 
Recommendations:
If these are valid session which take longer to establish a connection increase the embryonic timeout.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: fin-timeout
FIN Timeout:
This reason is given for closing a TCP flow due to expiry of half-closed timer.
 
Recommendations:
If these are valid session which take longer to close a TCP flow, increase the half-closed timeout.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: reset-in
TCP Reset-I:
This reason is given for closing an outbound flow (from a low-security interface to a same- or high-security interface) when a TCP reset is received on the flow.
 
Recommendation:
None.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: reset-out
TCP Reset-O:
This reason is given for closing an inbound flow (from a high-security interface to low-security interface) when a TCP reset is received on the flow.
 
Recommendation:
None.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: reset-appliance
TCP Reset-APPLIANCE:
This reason is given for closing a flow when a TCP reset is generated by appliance.
 
Recommendation:
None.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: recurse
Close recursive flow:
A flow was recursively freed. This reason applies to pair flows, multicast slave flows, and syslog flows to prevent syslogs being issued for each of these subordinate flows.
 
Recommendation:
No action required.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-intecept-no-response
TCP intercept, no response from server:
SYN retransmission timeout after trying three times, once every second. Server unreachable, tearing down connection.
 
Recommendation:
Check if the server is reachable from the ASA.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-intercept-unexpected
TCP intercept unexpected state:
Logic error in TCP intercept module, this should never happen.
 
Recommendation:
Indicates memory corruption or some other logic error in the TCP intercept module.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcpnorm-rexmit-bad
TCP bad retransmission:
This reason is given for closing a TCP flow when check-retranmission feature is enabled and the TCP endpoint sent a retranmission with different data from the original packet.
 
Recommendations:
The TCP endpoint maybe attacking by sending different data in TCP retransmits. Please use the packet capture feature to learn more about the origin of the packet.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: tcpnorm-win-variation
TCP unexpected window size variation:
This reason is given for closing a TCP flow when window size advertized by TCP endpoint is drastically changed without accepting that much data.
 
Recommendations:
In order to allow this connection, use the window-variation configuration under tcp-map.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: tcpnorm-invalid-syn
TCP invalid SYN:
This reason is given for closing a TCP flow when the SYN packet is invalid.
 
Recommendations:
SYN packet could be invalid for number of reasons, like invalid checksum, invalid TCP header. Please use the packet capture feature to understand why the SYN packet is invalid. If you would like to allow these connection use tcp-map configurations to bypass checks.
 
Syslogs:
302014
 
 
----------------------------------------------------------------
Name: mcast-intrf-removed
Multicast interface removed:
An output interface has been removed from the multicast entry.
- OR -
All output interfaces have been removed from the multicast entry.
 
Recommendation:
No action required.
- OR -
Verify that there are no longer any receivers for this group.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: mcast-entry-removed
Multicast entry removed:
A packet has arrived that matches a multicast flow, but the multicast service is no longer enabled, or was re-enabled after the flow was built.
- OR -
The multicast entry has been deleted so the flow is being cleaned up, but the packet will be reinjected into the data path.
 
Recommendation:
Reenable multicast if it is disabled.
- OR -
No action required.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tcp-intercept-kill
Flow terminated by TCP Intercept:
TCP intercept would teardown a connection if this is the first SYN, a connection is created for the SYN, and TCP intercept replied with a SYN cookie, or after seeing a valid ACK from client, when TCP intercept sends a SYN to server, server replies with a RST.
 
Recommendation:
TCP intercept normally does not create a connection for first SYN, except when there are nailed rules or the packet comes over a VPN tunnel or the next hop gateway address to reach the client is not resolved. So for the first SYN this indicates that a connection got created. When TCP intercept receives a RST from server, its likely the corresponding port is closed on the server.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: audit-failure
Audit failure:
A flow was freed after matching an "ip audit" signature that had reset as the associated action.
 
Recommendation:
If removing the flow is not the desired outcome of matching this signature, then remove the reset action from the "ip audit" command.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ips-request
Flow terminated by IPS:
This reason is given for terminating a flow as requested by IPS module.
 
Recommendations:
Check syslogs and alerts on IPS module.
 
Syslogs:
420002
 
 
----------------------------------------------------------------
Name: ips-fail-close
IPS fail-close:
This reason is given for terminating a flow since IPS card is down and fail-close option was used with IPS inspection.
 
Recommendations:
Check and bring up IPS card
 
Syslogs:
420001
 
 
----------------------------------------------------------------
Name: reinject-punt
Flow terminated by punt action:
This counter is incremented when a packet is punted to the exception-path for processing by one of the enhanced services such as inspect, aaa etc and the servicing routine, having detected a violation in the traffic flowing on the flow, requests that the flow be dropped. The flow is immediately dropped.
 
Recommendation:
Please watch for syslogs fired by servicing routine for more information. Flow drop terminates the corresponding connection.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: shunned
Flow shunned:
This counter will increment when a packet is received which has a source IP address that matches a host in the shun database. When a shun command is applied, it will be incremented for each existing flow that matches the shun command.
 
Recommendation:
No action required.
 
Syslogs:
401004
 
 
----------------------------------------------------------------
Name: host-limit
host-limit
 
----------------------------------------------------------------
Name: nat-failed
NAT failed:
Failed to create an xlate to translate an IP or transport header.
 
Recommendation:
If NAT is not desired, disable "nat-control". Otherwise, use the "static", "nat" or "global" command to configure NAT policy for the dropped flow. For dynamic NAT, ensure that each "nat" command is paired with at least one "global" command. Use "show nat" and "debug pix process" to verify NAT rules.
 
Syslogs:
305005, 305006, 305009, 305010, 305011, 305012
 
 
----------------------------------------------------------------
Name: nat-rpf-failed
NAT reverse path failed:
Rejected attempt to connect to a translated host using the translated host's real address.
 
Recommendation:
When not on the same interface as the host undergoing NAT, use the mapped address instead of the real address to connect to the host. Also, enable the appropriate inspect command if the application embeds IP address.
 
Syslogs:
305005
 
 
----------------------------------------------------------------
Name: no-ipv6-ipsec
IPSec over IPv6 unsupported:
This counter will increment when the appliance receives an IPSec ESP packet, IPSec NAT-T ESP packet or an IPSec over UDP ESP packet encapsulated in an IP version 6 header. The appliance does not currently support any IPSec sessions encapsulated in IP version 6.
 
Recommendation:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: tunnel-pending
Tunnel being brought up or torn down:
This counter will increment when the appliance receives a packet matching an entry in the security policy database (i.e. crypto map) but the security association is in the process of being negotiated; its not complete yet.
 
This counter will also increment when the appliance receives a packet matching an entry in the security policy database but the security association has been or is in the process of being deleted. The difference between this indication and the 'Tunnel has been torn down' indication is that the 'Tunnel has been torn down' indication is for established flows.
 
Recommendation:
This is a normal condition when the IPSec tunnel is in the process of being negotiated or deleted.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: need-ike
Need to start IKE negotiation:
This counter will increment when the appliance receives a packet which requires encryption but has no established IPSec security association. This is generally a normal condition for LAN-to-LAN IPSec configurations. This indication will cause the appliance to begin ISAKMP negotiations with the destination peer.
 
Recommendation:
If you have configured IPSec LAN-to-LAN on your appliance, this indication is normal and does not indicate a problem. However, if this counter increments rapidly it may indicate a crypto configuration error or network error preventing the ISAKMP negotiation from completing.
 
Verify that you can communicate with the destination peer and verify your crypto configuration via the 'show running-config' command.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: vpn-handle-error
VPN handle error:
This counter is incremented when the appliance is unable to create a VPN handle because the VPN handle already exists.
 
Recommendation:
It is possible to see this counter increment as part of normal operation. However, if the counter is rapidly incrementing and there is a major malfunction of vpn-based applications, then this may be caused by a software defect. Use the following command sto gather more information about this counter and ontact the Cisco TAC to investigate the issue further.
 
capture <name> type asp-drop vpn-handle-error
show asp table classify crypto
show asp table vpn-context detail
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: vpn-handle-not-found
VPN handle not found:
This counter is incremented when a datagram hits an encrypt or decrypt rule, and no VPN handle is found for the flow the datagram is on.
 
Recommendation:
It is possible to see this counter increment as part of normal operation. However, if the counter is rapidly incrementing and there is a major malfunction of vpn-based applications, then this may be caused by a software defect. Use the following command sto gather more information about this counter and ontact the Cisco TAC to investigate the issue further.
 
capture <name> type asp-drop vpn-handle-not-found
show asp table classify crypto
show asp table vpn-context detail
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: inspect-fail
Inspection failure:
This counter will increment when the appliance fails to enable protocol inspection carried out by the NP for the connection. The cause could be memory allocation failure, or for ICMP error message, the appliance not being able to find any established connection related to the frame embedded in the ICMP error message.
 
Recommendation:
Check system memory usage. For ICMP error message, if the cause is an attack, you can deny the host using the ACLs.
 
Syslogs:
313004 for ICMP error.
 
 
----------------------------------------------------------------
Name: no-inspect
Failed to allocate inspection:
This counter will increment when the security appliance fails to allocate a run-time inspection data structure upon connection creation. The connection will be dropped.
 
Recommendation:
This error condition is caused when the security appliance runs out of system memory. Please check the current available free memory by executing the "show memory" command.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: reset-by-ips
Flow reset by IPS:
This reason is given for terminating a TCP flow as requested by IPS module.
 
Recommendations:
Check syslogs and alerts on IPS module.
 
Syslogs:
420003
 
 
----------------------------------------------------------------
Name: flow-reclaimed
Non-tcp/udp flow reclaimed for new request:
This counter is incremented when a reclaimable flow is removed to make room for a new flow. This occurs only when the number of flows through the appliance equals the maximum number permitted by the software imposed limit, and a new flow request is received. When this occurs, if the number of reclaimable flows exceeds the number of VPN tunnels permitted by the appliance, then the oldest reclaimable flow is removed to make room for the new flow. All flows except the following are deemed to be reclaimable:
1. TCP, UDP, GRE and Failover flows
2. ICMP flows if ICMP stateful inspection is enabled
3. ESP flows to the appliance
 
Recommendation:
No action is required if this counter is incrementing slowly. If this counter is incrementing rapidly, it could mean that the appliance is under attack and the appliance is spending more time reclaiming and rebuilding flows.
 
Syslogs
302021
 
 
----------------------------------------------------------------
Name: non_tcp_syn
non-syn TCP:
This reason is given for terminating a TCP flow when the first packet is not a SYN packet.
 
Recommendations:
None
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ipsec-spoof-detect
IPSec spoof packet detected:
This counter will increment when the appliance receives a packet which should have been encrypted but was not. The packet matched the inner header security policy check of a configured and established IPSec connection on the appliance but was received unencrypted. This is a security issue.
 
Recommendation:
Analyze your network traffic to determine the source of the spoofed IPSec traffic.
 
Syslogs:
402117
 
 
----------------------------------------------------------------
Name: rm-xlate-limit
RM xlate limit reached:
This counter is incremented when the maximum number of xlates for a context or the system has been reached and a new connection is attempted.
 
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource usage system' to view context and system resource limits and 'Denied' counts and adjust resource limits if desired.
 
Syslogs:
321001
 
 
----------------------------------------------------------------
Name: rm-host-limit
RM host limit reached:
This counter is incremented when the maximum number of hosts for a context or the system has been reached and a new connection is attempted.
 
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource usage system' to view context and system resource limits and 'Denied' counts and adjust resource limits if desired.
 
Syslogs:
321001
 
 
----------------------------------------------------------------
Name: rm-inspect-rate-limit
RM inspect rate limit reached:
This counter is incremented when the maximum inspection rate for a context or the system has been reached and a new connection is attempted.
 
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource usage system' to view context and system resource limits and 'Denied' counts and adjust resource limits if desired.
 
Syslogs:
321002
 
 
----------------------------------------------------------------
Name: tcpmod-connect-clash
A TCP connect socket clashes with an existing listen connection. This is an internal system error. Contact TAC.
 
----------------------------------------------------------------
Name: svc-spoof-detect
SVC spoof packet detected:
This counter will increment when the security appliance receives a packet which should have been encrypted but was not. The packet matched the inner header security policy check of a configured and established SVC connection on the security appliance but was received unencrypted. This is a security issue.
 
Recommendation:
Analyze your network traffic to determine the source of the spoofed SVC traffic.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ssm-app-request
Flow terminated by service module:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when the application running on the SSM requests the security appliance to terminate a connection.
 
Recommendation:
You can obtain more information by querying the incident report or system messages generated by the SSM itself. Please consult the documentation that comes with comes with the SSM for instructions.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ssm-app-fail
Service module failed:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when a connection that is being inspected by the SSM is terminated because the SSM has failed.
 
Recommendation:
The card manager process running in the security appliance control plane issued system messages and CLI warning to inform you of the failure. Please consult the documentation that comes with the SSM to trouble shoot the SSM failure. Contact Cisco Technical Assistance Center (TAC) if needed.
 
Syslog:
421001.
 
 
----------------------------------------------------------------
Name: ssm-app-incompetent
Service module incompetent:
This counter only applies to the ASA 5500 series adaptive security appliance. It is incremented when a connection is supposed to be inspected by the SSM, but the SSM is not able to inspect it. This counter is reserved for future use. It should always be 0 in the current release.
 
Recommendation:
None.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: ssl-bad-record-detect
SSL bad record detected:
This counter is incremented for each unknown SSL record type received from the remote peer. Any unknown record type received from the peer is treated as a fatal error and the SSL connections that encounter this error must be terminated.
 
Recommendation:
It is not normal to see this counter increment at any time. If this counter is incremented, it usually means that the SSL protocol state is out of sync with the client software. The most likely cause of this problem is a software defect in the client software. Contact the Cisco TAC with the client software or web browser version and provide a network trace of the SSL data exchange to troubleshoot this problem.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ssl-handshake-failed
SSL handshake failed:
This counter is incremented when the TCP connection is dropped because the SSL handshake failed.
 
Recommendation:
This is to indicate that the TCP connection is dropped because the SSL handshake failed. If the problem cannot be resolved based on the syslog information generated by the handshake failure condition, please include the related syslog information when contacting the Cisco TAC.
 
Syslogs:
725006.
725014.
 
 
----------------------------------------------------------------
Name: ssl-malloc-error
SSL malloc error:
This counter is incremented for each malloc failure that occurs in the SSL lib. This is to indicate that SSL encountered a low memory condition where it can't allocate a memory buffer or packet block.
 
Recommendation:
Check the security appliance memory and packet block condition and contact Cisco the TAC with this memory information.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ctm-crypto-request-error
CTM crypto request error:
This counter is incremented each time CTM cannot accept our crypto request. This usually means the crypto hardware request queue is full.
 
Recommendation:
Issue the show crypto protocol statistics ssl command and contact the Cisco TAC with this information.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: ssl-record-decrypt-error
SSL record decryption failed:
This counter is incremented when a decryption error occurs during SSL data receive. This usually means that there is a bug in the SSL code of the ASA or peer, or an attacker may be modifying the data stream. The SSL connection has been closed.
 
Recommendation:
Investigate the SSL data streams to and from your ASA. If there is no attacker, then this indicates a software error that should be reported to the Cisco TAC.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: np-socket-conn-not-accepted
A new socket connection was not accepted:
This counter is incremented for each new socket connection that is not accepted by the security appliance.
 
Recommendation:
It is possible to see this counter increment as part of normal operation. However, if the counter is rapidly incrementing and there is a major malfunction of socket-based applications, then this may be caused by a software defect. Contact the Cisco TAC to investigate the issue further.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-socket-failure
NP socket failure:
This is a general counter for critical socket processing errors.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-socket-relay-failure
NP socket relay failure:
This is a general counter for socket relay processing errors.
 
Recommendation:
It is possible to see this counter increment as part of normal operation. However, if the counter is rapidly incrementing and there is a major malfunction of socket-based applications, then this may be caused by a software defect. Contact the Cisco TAC to investigate the issue further.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-socket-data-move-failure
NP socket data movement failure:
This counter is incremented for socket data movement errors.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-socket-new-conn-failure
NP socket new connection failure:
This counter is incremented for new socket connection failures.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-socket-transport-closed
NP socket transport closed:
This counter is incremented when the transport attached to the socket is abruptly closed.
 
Recommendation:
It is possible to see this counter increment as part of normal operation. However, if the counter is rapidly incrementing and there is a major malfunction of socket-based applications, then this may be caused by a software defect. Contact the Cisco TAC to investigate the issue further.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-socket-block-conv-failure
NP socket block conversion failure:
This counter is incremented for socket block conversion failures.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: ssl-received-close-alert
SSL received close alert:
This counter is incremented each time the security appliance receives a close alert from the remote client. This indicates that the client has notified us they are going to drop the connection. It is part of the normal disconnect process.
 
Recommendation:
None.
 
Syslog:
725007.
 
 
----------------------------------------------------------------
Name: svc-failover
An SVC socket connection is being disconnected on the standby unit:
This counter is incremented for each new SVC socket connection that is disconnected when the active unit is transitioning into standby state as part of a failover transition.
 
Recommendation:
None. This is part of a normal cleanup of a SVC connection when the current device is transitioning from active to standby. Existing SVC connections on the device are no longer valid and need to be removed.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: children-limit
Max per-flow children limit exceeded:
The number of children flows associated with one parent flow exceeds the internal limit of 200.
 
Recommendation:
This message indicates either a misbehaving application or an active attempt to exhaust the firewall memory. Use "set connection per-client-max" command to further fine tune the limit. For FTP, additionally enable the "strict" option in "inspect ftp".
 
Syslogs:
210005
 
 
----------------------------------------------------------------
Name: tracer-flow
packet-tracer traced flow drop:
This counter is internally used by packet-tracer for flow freed once tracing is complete.
 
Recommendation:
None.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: sp-looping-address
looping-address:
This counter is incremented when the source and destination addresses in a flow are the same. SIP flows where address privacy is enabled are excluded, as it is normal for those flows to have the same source and destination address.
 
Recommendation:
There are two possible conditions when this counter will increment. One is when the appliance receives a packet with the source address equal to the destination. This represents a type of DoS attack. The second is when the NAT configuration of the appliance NATs a source address to equal that of the destination. One should examine syslog message 106017 to determine what IP address is causing the counter to increment, then enable packet captures to capture the offending packet, and perform additional analysis.
 
Syslogs:
106017
 
 
----------------------------------------------------------------
Name: no-adjacency
No valid adjacency:
This counter will increment when the security appliance receives a packet on an existing flow that no longer has a valid output adjacency. This can occur if the nexthop is no longer reachable or if a routing change has occurred typically in a dynamic routing environment.
 
Recommendation:
No action required.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: ipsec-selector-failure
IPSec VPN inner policy selector mismatch detected:
This counter is incremented when an IPSec packet is received with an inner IP header that does not match the configured policy for the tunnel.
 
Recommendation:
Verify that the crypto ACLs for the tunnel are correct and that all acceptable packets are included in the tunnel identity. Verify that the box is not under attack if this message is repeatedly seen.
 
Syslogs:
402116
 
 
----------------------------------------------------------------
Name: np-midpath-service-failure
NP midpath service failure:
This is a general counter for critical midpath service errors.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: svc-replacement-conn
SVC replacement connection established:
This counter is incremented when an SVC connection is replaced by a new connection.
 
Recommendation:
None. This may indicate that users are having difficulty maintaining connections to the ASA. Users should evaluate the quality of their home network and Internet connection.
 
Syslog:
722032
 
 
----------------------------------------------------------------
Name: np-midpath-cp-event-failure
NP midpath CP event failure:
This is counter for critical midpath events that could not be sent to the CP.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: np-context-removed
NP virtual context removed:
This counter is incremented when the virtual context with which the flow is going to be associated has been removed. This could happen in multi-core environment when one CPU core is in the process of destroying the virtual context, and another CPU core tries to create a flow in the context.
 
Recommendation:
No action is required.
 
Syslog:
None.
 
 
----------------------------------------------------------------
Name: vpn-context-expired
Expired VPN context:
This counter will increment when the security appliance receives a packet that requires encryption or decryption, and the ASP VPN context required to perform the operation is no longer valid.
 
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
 
Syslogs:
None
 
 
----------------------------------------------------------------
Name: vpn-lock-error
IPSec locking error:
This counter is incremented when VPN flow cannot be created due to an internal locking error.
 
Recommendation:
This condition should never be encountered during normal operation and may indicate a software problem with the appliance. Contact the Cisco Technical Assistance Center (TAC) if this error occurs.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: fover-idle-timeout
Flow removed from standby unit due to idle timeout:
A flow is considered idle if standby unit no longer receives periodical update from active which is supposed to happen to at fixed internal when flow is alive. This counter is incremented when such flow is removed from standby unit.
 
Recommendation:
This counter is informational.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
Name: dynamic-filter
Flow matched dynamic-filter blacklist:
A flow matched a dynamic-filter blacklist or greylist entry with a threat-level higher than the threat-level threshold configured to drop traffic.
 
Recommendation:
Use the internal IP address to trace the infected host. Take remidiation steps to remove the infection.
 
Syslogs:
None.
 
 
----------------------------------------------------------------
 

次に、 show asp drop コマンドの出力例を示します。これにはカウンタの最終クリア時刻を示すタイムスタンプも含まれます。

hostname# show asp drop
 
Frame drop:
Flow is denied by configured rule (acl-drop) 3
Dst MAC L2 Lookup Failed (dst-l2_lookup-fail) 4110
L2 Src/Dst same LAN port (l2_same-lan-port) 760
Expired flow (flow-expired) 1
 
Last clearing: Never
 
Flow drop:
Flow is denied by access rule (acl-drop) 24
NAT failed (nat-failed) 28739
NAT reverse path failed (nat-rpf-failed) 22266
Inspection failure (inspect-fail) 19433
 
Last clearing: 17:02:12 UTC Jan 17 2008 by enable_15
 

 
関連コマンド

コマンド
説明

capture

パケットをキャプチャします。asp drop コードに基づいてパケットをキャプチャするオプションもあります。

clear asp drop

その高速セキュリティ パスのドロップ統計をクリアします。

show conn

接続に関する情報を表示します。

show asp load-balance per-packet

高速セキュリティ パス ディスパッチ ユニットのデバッグには、特権 EXEC モードで show asp load-balance per-packet コマンドを使用します。セキュリティ アプライアンスの特定の動作を削除するには、このコマンドの no 形式を使用します。

show asp load-balance per-packet

[no] asp load-balance per-packet

 
構文の説明

detail

(任意)ディスパッチ ユニットに関する詳細情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

show asp load-balance per-packet コマンドは、ディスパッチ ユニットの詳細情報を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性があります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次に、 show asp load-balance per-packet コマンドの出力例を示します。

hostname# show asp load-balance per-packet
 
Histogram of 'ASP load balancer queue sizes'
64 buckets sampling from 1 to 65 (1 per bucket)
0 samples within range (average=0)
<no data for 'ASP load balancer queue sizes' histogram>
 
show asp load-balance per-packet
 
Histogram of 'ASP load balancer queue sizes'
64 buckets sampling from 1 to 65 (1 per bucket)
6 samples within range (average=6)
ASP load balancer queue sizes
100 +
|
|
|
S |
a |
m |
p |
l 10 +
e |
s |
|
|
|
| #### # #
| #### # #
+---------+---------+---------+---------+---------+---------+----
10 20 30 40 50 60

 

 
関連コマンド

コマンド
説明

show blocks

システム バッファの使用状況を表示します。

show asp table arp

高速セキュリティ パスの ARP テーブルのデバッグには、特権 EXEC モードで show asp table arp コマンドを使用します。

show asp table arp [ interface interface_name ] [ address ip_address [ netmask mask ]]

 
構文の説明

address ip_address

(任意)ARP テーブル エントリの表示対象となる IP アドレスを指定します。

interface interface_name

(任意)ARP テーブルの表示対象となる特定のインターフェイスを指定します。

netmask mask

(任意)IP アドレスのサブネット マスクを設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

show arp コマンドはコントロール プレーンの内容を表示しますが、 show asp table arp コマンドは高速セキュリティ パスの内容を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次のサンプルは、 show asp table arp コマンドからの出力です。

hostname# show asp table arp
 
Context: single_vf, Interface: inside
10.86.194.50 Active 000f.66ce.5d46 hits 0
10.86.194.1 Active 00b0.64ea.91a2 hits 638
10.86.194.172 Active 0001.03cf.9e79 hits 0
10.86.194.204 Active 000f.66ce.5d3c hits 0
10.86.194.188 Active 000f.904b.80d7 hits 0
 
Context: single_vf, Interface: identity
:: Active 0000.0000.0000 hits 0
0.0.0.0 Active 0000.0000.0000 hits 50208
 

 
関連コマンド

コマンド
説明

show arp

ARP テーブルを表示します。

show arp statistics

ARP 統計情報を表示します。

show asp table classify

高速セキュリティ パスの分類子表のデバッグには、特権 EXEC モードで show asp table classify コマンドを使用します。この分類子は、個々のパケットを適切な分類ルールに一致させるために、プロトコル、送信元および宛先アドレスなどの着信パケットのプロパティを調べます。ルールにはそれぞれ、分類ドメイン ラベルが付けられています。このラベルにより、パケットのドロップ、通過など、実行するアクションのタイプが決定されます。

show asp table classify [hit | crypto | domain domain_name | interface interface_name ]

 
構文の説明

domain domain_name

(任意)特定の分類子ドメインに対するエントリを表示します。ドメインのリストについては、「使用上のガイドライン」を参照してください。

hits

(任意)0 以外のヒット値を持つ分類子エントリを表示します。

interface interface_name

(任意)分類子表の表示対象となる特定のインターフェイスを指定します。

crypto

(任意)encrypt、decrypt、および ipsec トンネル フロー ドメインのみを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(4)

hits オプション、および asp 表カウンタの最終クリア時刻を示すタイムスタンプが追加されました。

8.0(2)

tmatch コンパイルが中止された回数を示す新規カウンタが追加されました。このカウンタは、この値が 0 を超える場合のみ表示されます。

 
使用上のガイドライン

show asp table classifier コマンドは、高速セキュリティ パスの分類子の内容を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

分類子ドメインは次のとおりです。

aaa-acct
aaa-auth
aaa-user
accounting
arp
capture
capture
conn-nailed
conn-set
ctcp
decrypt
encrypt
established
filter-activex
filter-ftp
filter-https
filter-java
filter-url
host
ids
inspect
inspect-ctiqbe
inspect-dns
inspect-dns-ids
inspect-ftp
inspect-ftp-data
inspect-gtp
inspect-h323
inspect-http
inspect-icmp
inspect-icmp-error
inspect-ils
inspect-mgcp
inspect-netbios
inspect-pptp
inspect-rsh
inspect-rtsp
inspect-sip
inspect-skinny
inspect-smtp
inspect-snmp
inspect-sqlnet
inspect-sqlnet-plus
inspect-sunrpc
inspect-tftp
inspect-xdmcp
ipsec-natt
ipsec-tunnel-flow
ipsec-user
limits
lu
mac-permit
mgmt-lockdown
mgmt-tcp-intercept
multicast
nat
nat-exempt
nat-exempt-reverse
nat-reverse
null
permit
permit-ip-option
permit-log
pim
ppp
priority-q
punt
punt-l2
punt-root
qos
qos-per-class
qos-per-dest
qos-per-flow
qos-per-source
shun
tcp-intercept

次のサンプルは、 show asp table classify コマンドからの出力です。

hostname# show asp table classify
 
Interface test:
No. of aborted compiles for input action table 0x33b3d70: 29
in id=0x36f3800, priority=10, domain=punt, deny=false
hits=0, user_data=0x0, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=10.86.194.60, mask=255.255.255.255, port=0
in id=0x33d3508, priority=99, domain=inspect, deny=false
hits=0, user_data=0x0, use_real_addr, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
in id=0x33d3978, priority=99, domain=inspect, deny=false
hits=0, user_data=0x0, use_real_addr, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=53
dst ip=0.0.0.0, mask=0.0.0.0, port=0
...
 

次に、 show asp table classify hits コマンドの出力例を示します。これには最後にクリアされた hits カウンタの記録も含まれます。

Interface mgmt:
in id=0x494cd88, priority=210, domain=permit, deny=true
hits=54, user_data=0x1, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=255.255.255.255, mask=255.255.255.255, port=0, dscp=0x0
in id=0x494d1b8, priority=112, domain=permit, deny=false
hits=1, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=1 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
 
Interface inside:
in id=0x48f1580, priority=210, domain=permit, deny=true
hits=54, user_data=0x1, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=255.255.255.255, mask=255.255.255.255, port=0, dscp=0x0
in id=0x48f09e0, priority=1, domain=permit, deny=false
hits=101, user_data=0x0, cs_id=0x0, l3_type=0x608 src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0000.0000.0000
Interface outside:
in id=0x48c0970, priority=210, domain=permit, deny=true
hits=54, user_data=0x1, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=255.255.255.255, mask=255.255.255.255, port=0, dscp=0x0

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットの高速セキュリティ パス カウンタを示します。

show asp table dynamic-filter

高速セキュリティ パスの Botnet Traffic Filter 表のデバッグには、特権 EXEC モードで show asp table dynamic-filter コマンドを使用します。

show asp table dynamic-filter [hits]

 
構文の説明

hits

(任意)0 以外のヒット値を持つ分類子エントリを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

show asp table dynamic-filter コマンドは、高速セキュリティ パスのボットネット トラフィック フィルタ ルールを表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次のサンプルは、 show asp table dynamic-filter コマンドからの出力です。

hostname# show asp table dynamic-filter
 
Context: admin
Address 10.246.235.42 mask 255.255.255.255 name: example.info
flags: 0x44 hits 0
Address 10.40.9.250 mask 255.255.255.255 name: bad3.example.com
flags: 0x44 hits 0
Address 10.64.147.20 mask 255.255.255.255 name: bad2.example.com flags: 0x44
hits 0
Address 10.73.210.121 mask 255.255.255.255 name: bad1.example.com flags:
0x44 hits 0
Address 10.34.131.135 mask 255.255.255.255 name: bad.example.com flags:
0x44 hits 0
Address 10.64.147.16 mask 255.255.255.255 name:
1st-software-downloads.com flags: 0x44 hits 2
Address 10.131.36.158 mask 255.255.255.255 name: www.example.com flags: 0x41 hits 0
Address 10.129.205.209 mask 255.255.255.255 flags: 0x1 hits 0
Address 10.166.20.10 mask 255.255.255.255 flags: 0x1 hits 0
...
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show asp table interfaces

高速セキュリティ パスのインターフェイス テーブルのデバッグには、特権 EXEC モードで show asp table interfaces コマンドを使用します。

show asp table interfaces

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

show asp table interfaces コマンドは、高速セキュリティ パスのインターフェイス表の内容を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次のサンプルは、 show asp table interfaces コマンドからの出力です。

hostname# show asp table interfaces
 
** Flags: 0x0001-DHCP, 0x0002-VMAC, 0x0010-Ident Ifc, 0x0020-HDB Initd,
0x0040-RPF Enabled
Soft-np interface 'dmz' is up
context single_vf, nicnum 0, mtu 1500
vlan 300, Not shared, seclvl 50
0 packets input, 1 packets output
flags 0x20
 
Soft-np interface 'foo' is down
context single_vf, nicnum 2, mtu 1500
vlan <None>, Not shared, seclvl 0
0 packets input, 0 packets output
flags 0x20
 
Soft-np interface 'outside' is down
context single_vf, nicnum 1, mtu 1500
vlan <None>, Not shared, seclvl 50
0 packets input, 0 packets output
flags 0x20
 
Soft-np interface 'inside' is up
context single_vf, nicnum 0, mtu 1500
vlan <None>, Not shared, seclvl 100
680277 packets input, 92501 packets output
flags 0x20
...
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show asp table routing

高速セキュリティ パスのルーティング テーブルのデバッグには、特権 EXEC モードで show asp table routing コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

show asp table routing [ input | output ] [ address ip_address [ netmask mask ] | interface interface_name ]

 
構文の説明

address ip_address

ルーティング エントリの表示対象となる IP アドレスを設定します。IPv6 アドレスでは、スラッシュ(/)とそれに続くプレフィクス(0 ~ 128)の形式でサブネット マスクを含めることができます。たとえば、次のように入力します。

fe80::2e0:b6ff:fe01:3b7a/128

input

入力ルート表のエントリを表示します。

interface interface_name

(任意)ルーティング テーブルの表示対象となる特定のインターフェイスを指定します。

netmask mask

IPv4 アドレスで使用されるサブネット マスクを指定します。

output

出力ルート表のエントリを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

show asp table routing コマンドは、高速セキュリティ パスのルーティング テーブルの内容を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次のサンプルは、 show asp table routing コマンドからの出力です。

hostname# show asp table routing
 
in 255.255.255.255 255.255.255.255 identity
in 224.0.0.9 255.255.255.255 identity
in 10.86.194.60 255.255.255.255 identity
in 10.86.195.255 255.255.255.255 identity
in 10.86.194.0 255.255.255.255 identity
in 209.165.202.159 255.255.255.255 identity
in 209.165.202.255 255.255.255.255 identity
in 209.165.201.30 255.255.255.255 identity
in 209.165.201.0 255.255.255.255 identity
in 10.86.194.0 255.255.254.0 inside
in 224.0.0.0 240.0.0.0 identity
in 0.0.0.0 0.0.0.0 inside
out 255.255.255.255 255.255.255.255 foo
out 224.0.0.0 240.0.0.0 foo
out 255.255.255.255 255.255.255.255 test
out 224.0.0.0 240.0.0.0 test
out 255.255.255.255 255.255.255.255 inside
out 10.86.194.0 255.255.254.0 inside
out 224.0.0.0 240.0.0.0 inside
out 0.0.0.0 0.0.0.0 via 10.86.194.1, inside
out 0.0.0.0 0.0.0.0 via 0.0.0.0, identity
out :: :: via 0.0.0.0, identity
 

 
関連コマンド

コマンド
説明

show route

コントロール プレーンにルーティング テーブルを表示します。

show asp table socket

高速セキュリティ パスのソケット情報のデバッグ支援には、特権 EXEC モードで show asp table socket コマンドを使用します。

show asp table socket [socket handle] [stats]

 
構文の説明

socket handle

ソケットの長さを指定します。

stats

高速セキュリティ パス ソケット表の統計情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

show asp table socket コマンドは、高速セキュリティ パス ソケットの情報を表示します。高速セキュリティ パス ソケットの問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次のサンプルは、show asp table socket コマンドからの出力です。

TCP Statistics:
Rcvd:
total 14794
checksum errors 0
no port 0
Sent:
total 0
 
UDP Statistics:
Rcvd:
total 0
checksum errors 0
Sent:
total 0
copied 0
 
NP SSL System Stats:
Handshake Started: 33
Handshake Complete: 33
SSL Open: 4
SSL Close: 117
SSL Server: 58
SSL Server Verify: 0
SSL Client: 0
 

TCP/UDP 統計情報は、Telnet、SSH、HTTPS など、適応型セキュリティ アプライアンスで実行または待ちうけられているサービスに向けた送信または受信パケットの個数を表すパケット カウンタです。チェックサム エラーは、計算で求められたパケットのチェックサムがパケットに格納されたチェックサムの値と一致しなかった(つまり、パケットが壊れていた)ため、ドロップされたパケットの数です。NP SSL 統計情報は、受信した各メッセージ タイプの数を示します。

 
関連コマンド

コマンド
説明

show asp table vpn-context

高速セキュリティ パス VPN コンテキスト表を示します。

show asp table vpn-context

高速セキュリティ パスの VPN コンテキスト表のデバッグには、特権 EXEC モードで show asp table vpn-context コマンドを使用します。

show asp table vpn-context [ detail ]

 
構文の説明

detail

(任意)VPN コンテキスト表の詳細を示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(4)

トンネルのドロップ後、ステートフル フローを保持しているコンテキストそれぞれについて、+PRESERVE フラグが追加されました。

 
使用上のガイドライン

show asp table vpn-context コマンドは、高速セキュリティ パスの VPN コンテキスト表の内容を表示します。これは問題のトラブルシューティングに役立つことがあります。高速セキュリティ パスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。

次のサンプルは、 show asp table vpn-context コマンドからの出力です。

hostname# show asp table vpn-context
 
VPN ID=0058070576, DECR+ESP, UP, pk=0000000000, rk=0000000000, gc=0
VPN ID=0058193920, ENCR+ESP, UP, pk=0000000000, rk=0000000000, gc=0
VPN ID=0058168568, DECR+ESP, UP, pk=0000299627, rk=0000000061, gc=2
VPN ID=0058161168, ENCR+ESP, UP, pk=0000305043, rk=0000000061, gc=1
VPN ID=0058153728, DECR+ESP, UP, pk=0000271432, rk=0000000061, gc=2
VPN ID=0058150440, ENCR+ESP, UP, pk=0000285328, rk=0000000061, gc=1
VPN ID=0058102088, DECR+ESP, UP, pk=0000268550, rk=0000000061, gc=2
VPN ID=0058134088, ENCR+ESP, UP, pk=0000274673, rk=0000000061, gc=1
VPN ID=0058103216, DECR+ESP, UP, pk=0000252854, rk=0000000061, gc=2
...
 

次のサンプルは、PRESERVE フラグが示すとおり、この例では永続 IPsec トンネル フロー機能がイネーブルにされている場合の show asp table vpn-context コマンドからの出力です。

hostname(config)# show asp table vpn-context
VPN CTX=0x0005FF54, Ptr=0x6DE62DA0, DECR+ESP+PRESERVE, UP, pk=0000000000, rk=0000000000, gc=0
VPN CTX=0x0005B234, Ptr=0x6DE635E0, ENCR+ESP+PRESERVE, UP, pk=0000000000, rk=0000000000, gc=0
 

次のサンプルは、 show asp table vpn-context detail コマンドからの出力です。

hostname# show asp table vpn-context detail
 
VPN Ctx = 0058070576 [0x03761630]
State = UP
Flags = DECR+ESP
SA = 0x037928F0
SPI = 0xEA0F21F0
Group = 0
Pkts = 0
Bad Pkts = 0
Bad SPI = 0
Spoof = 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
 
VPN Ctx = 0058193920 [0x0377F800]
State = UP
Flags = ENCR+ESP
SA = 0x037B4B70
SPI = 0x900FDC32
Group = 0
Pkts = 0
Bad Pkts = 0
Bad SPI = 0
Spoof = 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
...
 

次のサンプルは、PRESERVE フラグが示すとおり、この例では永続 IPsec トンネル フロー機能がイネーブルにされている場合の show asp table vpn-context detail コマンドからの出力です。

hostname(config)# show asp table vpn-context detail
 
VPN CTX = 0x0005FF54
 
Peer IP = ASA_Private
Pointer = 0x6DE62DA0
State = UP
Flags = DECR+ESP+PRESERVE
SA = 0x001659BF
SPI = 0xB326496C
Group = 0
Pkts = 0
Bad Pkts = 0
Bad SPI = 0
Spoof = 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
 
VPN CTX = 0x0005B234
 
Peer IP = ASA_Private
Pointer = 0x6DE635E0
State = UP
Flags = ENCR+ESP+PRESERVE
SA = 0x0017988D
SPI = 0x9AA50F43
Group = 0
Pkts = 0
Bad Pkts = 0
Bad SPI = 0
Spoof = 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
hostname(config)#
Configuration and Restrictions
This configuration option is subject to the same CLI configuration restrictions as other sysopt VPN CLI.
 

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットの高速セキュリティ パス カウンタを示します。

show blocks

パケット バッファの使用状況を表示するには、特権 EXEC モードで show blocks コマンドを使用します。

show blocks [{ address hex | all | assigned | free | old | pool size [ summary ]} [ diagnostics | dump | header | packet ] | queue history [ detail ]]

 
構文の説明

address hex

(任意)このアドレスに対応するブロックを、16 進数で表示します。

all

(任意)すべてのブロックを表示します。

assigned

(任意)アプリケーションにより割り当てられ、使用されているブロックを表示します。

detail

(任意)固有のキュー タイプそれぞれについて、先頭ブロックの一部(128 バイト)を表示します。

dump

(任意)ヘッダーおよびパケット情報を含むブロック コンテンツ全体を表示します。ダンプは、ヘッダーとパケットの間に追加情報が含まれるという点でパケットと異なります。

diagnostics

(任意)ブロック診断を表示します。

free

(任意)使用できるブロックを表示します。

header

(任意)ブロックのヘッダーを表示します。

old

(任意)1 分よりも前に割り当てられたブロックを表示します。

packet

(任意)ブロックのヘッダー、およびパケットのコンテンツを表示します。

pool size

(任意)指定されたサイズのブロックを表示します。

queue history

(任意)適応型セキュリティ アプライアンスでブロックが不足したときのブロックの割り当て先を示します。場合によっては、ブロックはプールから割り当てられますが、キューに割り当てられることはありません。この場合の場所は、ブロックを割り当てたコード アドレスになります。

summary

(任意)ブロックの使用状況に関する詳細情報を、このクラスにブロックを割り当てたアプリケーションのプログラム アドレス、このクラスにブロックをリリースしたアプリケーションのプログラム アドレス、およびこのクラスで有効なブロックが属するキューの順に表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

pool summary オプションが追加されました。

8.0(2)

これまで 4 バイトのブロックを使用していた dupb ブロックが長さ 0 のブロックを使用するようになりました。0 バイトのブロックに対する 1 行が追加されました。

 
使用上のガイドライン

show blocks コマンドは、適応型セキュリティ アプライアンスが過負荷状態かどうかを判断するために役立ちます。このコマンドは、あらかじめ割り当てられたシステム バッファの使用状況の一覧を表示するものです。トラフィックが適応型セキュリティ アプライアンスを通過して移動している限り、メモリがいっぱいの状態でも問題はありません。トラフィックが移動しているかどうかを確認するには、 show conn コマンドを使用します。トラフィックが移動せず、メモリがいっぱいである場合は、問題が発生している可能性があります。

SNMP を使用して、この情報を表示することもできます。

セキュリティの関係で表示される情報には、システム全体の情報の他、使用されているブロックやブロックの使用状況に対する高レベルのウォーター マークに関連するセキュリティ固有の情報があります。

出力の説明については、「」の項を参照してください。

次のサンプルは、シングル モードでの show blocks コマンドからの出力です。

hostname# show blocks
SIZE MAX LOW CNT
0 100 99 100
4 1600 1598 1599
80 400 398 399
256 3600 3540 3542
1550 4716 3177 3184
16384 10 10 10
2048 1000 1000 1000
 

表 24-1 に各フィールドの説明を示します。

 

表 24-1 show blocks のフィールド

フィールド
説明

SIZE

ブロック プールのサイズをバイト単位で表したもの。サイズによって表しているタイプが異なります。次にその例を示します。

0

dupb ブロックによって使用されています。

4

DNS、ISAKMP、URL フィルタリング、uauth、TFTP、TCP モジュールなど、アプリケーションに既存のブロックを複製します。また、このサイズのブロックは、通常、コードにより、ドライバなどへのパケットの送信に使用されます。

80

TCP 代行受信において、受信確認パケットの生成、およびフェールオーバー hello メッセージのために使用されます。

256

ステートフル フェールオーバー アップデート、syslog の作成などの TCP 機能で使用されます。

これらのブロックは、主にステートフル フェールオーバー メッセージで使用されます。アクティブな適応型セキュリティ アプライアンスはパケットを生成し、トランスレーション表や接続表を更新するために、スタンバイしている適応型セキュリティ アプライアンスへ送信します。接続が急上昇または急下降するバースト トラフィックでは、使用可能なブロックの数が 0 まで急激に低下する可能性があります。この状況は、1 つ以上の接続が、スタンバイしている適応型セキュリティ アプライアンスにアップデートされなかったことを示します。ステートフル フェールオーバー プロトコルは、次回、失われたトランスレーションまたは接続を細くします。256 バイト ブロックの CNT 列の値が長い間、0 または 0 付近に留まっている場合、適応型セキュリティ アプライアンスにより 1 秒あたりに処理されている接続数の関係で、適応型セキュリティ アプライアンスはトランスレーション表と接続表が同期された状態を保持することが困難になっています。

適応型セキュリティ アプライアンスから送信される Syslog メッセージも 256 バイトのブロックを使用しますが、通常、256 バイト ブロック プールが足りなくなるほど大量にリリースされることはありません。CNT 列に表示されている 256 バイト ブロックの値が 0 に近い場合、Syslog サーバにデバッグ レベル(レベル 7)でログを記録していないことを確認してください。これは適応型セキュリティ アプライアンス コンフィギュレーションのロギング トラップ行に表示されます。デバッグの目的で詳細情報が必要である場合を除いて、ロギングは通知レベル(レベル 5)以下に設定することを推奨します。

1550

適応型セキュリティ アプライアンスを介した処理で使用するイーサネット パケットの格納に使用されます。

適応型セキュリティ アプライアンス インターフェイスに入ったパケットは、入力インターフェイス キューに配置され、オペレーティング システムに渡されて、ブロックに入れられます。適応型セキュリティ アプライアンスは、セキュリティ ポリシーに基づいて、このパケットを許可または拒否するべきかどうかを判断し、パケットを処理して、発信インターフェイス常の出力キューに入れます。適応型セキュリティ アプライアンスがトラフィックの負荷について行くことが困難である場合、使用可能なブロックの数は、コマンド出力の CNT 列に示すとおり、0 付近を推移します。CNT 列が 0 の場合、適応型セキュリティ アプライアンスは最高 8192 バイトまで、ブロックの追加割り当てを試みます。使用できるブロックがなくなった場合、適応型セキュリティ アプライアンスはパケットをドロップします。

16384

64 ビット、66 MHz のギガビット イーサネット カード(i82543)でのみ使用されます。

イーサネット パケットの詳細については、1550 の説明を参照してください。

2048

コントロールのアップデートに使用されるコントロール フレーム、またはガイドされたフレーム。

MAX

指定されたバイト数のブロック プールで使用可能な最大ブロック数。この最大ブロック数は、ブート時のメモリに基づいて決定されます。通常、最大ブロック数は変化しません。例外は 256 バイト ブロックと 1550 バイト ブロックで、より多くのブロックが必要になった場合には、適応型セキュリティ アプライアンスは最大 8192 のバイト ブロックを動的に作成できます。

LOW

低ウォーター マーク。この値は、このサイズのブロックについて、適応型セキュリティ アプライアンスの起動後、または clear blocks コマンドでブロックを最後にクリアした後に使用できた最低ブロック数を示します。LOW 列の 0 は、直前のイベントでメモリが一杯であったことを示します。

CNT

指定されたバイト数のブロック プールで現在使用可能なブロック数。CNT 列の 0 は、現在、メモリがいっぱいであることを示します。

次に、 show blocks all コマンドの出力例を示します。

hostname# show blocks all
Class 0, size 4
Block allocd_by freed_by data size alloccnt dup_cnt oper location
0x01799940 0x00000000 0x00101603 0 0 0 alloc not_specified
0x01798e80 0x00000000 0x00101603 0 0 0 alloc not_specified
0x017983c0 0x00000000 0x00101603 0 0 0 alloc not_specified
 
...
 
Found 1000 of 1000 blocks
Displaying 1000 of 1000 blocks
 

表 24-2 に各フィールドの説明を示します。

 

表 24-2 show blocks all のフィールド

フィールド
説明

Block

ブロックのアドレス

allocd_by

そのブロックを最後に使用したアプリケーションのプログラム アドレス(ブロックが使用されていない場合は 0)。

freed_by

そのブロックを最後に解放したアプリケーションのプログラム アドレス。

data size

ブロック内のアプリケーション バッファ/パケット データのサイズ。

alloccnt

このブロックが作成されてから、それまでに使用された回数。

dup_cnt

このブロックが使用されている場合、現在の参照された回数。0 は 1 回、1 は 2 回参照されたことを示します。

oper

alloc、get、put、free の 4 種類の中で、このブロックに対して最後に行われた操作。

location

このブロックを使用するアプリケーション、またはこのブロックを最後に割り当てたアプリケーションのプログラム アドレス(allocd_by フィールドと同じ)。

次のサンプルは、あるコンテキストでの show blocks コマンドからの出力です。

hostname/contexta# show blocks
SIZE MAX LOW CNT INUSE HIGH
4 1600 1599 1599 0 0
80 400 400 400 0 0
256 3600 3538 3540 0 1
1550 4616 3077 3085 0 0
 

次に、 show blocks queue history コマンドの出力例を示します。

hostname# show blocks queue history
Each Summary for User and Queue_type is followed its top 5 individual queues
Block Size: 4
Summary for User "http", Queue "tcp_unp_c_in", Blocks 1595, Queues 1396
Blk_cnt Q_cnt Last_Op Queue_Type User Context
186 1 put contexta
15 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
Summary for User "aaa", Queue "tcp_unp_c_in", Blocks 220, Queues 200
Blk_cnt Q_cnt Last_Op Queue_Type User Context
21 1 put contexta
1 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
Blk_cnt Q_cnt Last_Op Queue_Type User Context
200 1 alloc ip_rx tcp contexta
108 1 get ip_rx udp contexta
85 1 free fixup h323_ras contextb
42 1 put fixup skinny contextb
 
Block Size: 1550
Summary for User "http", Queue "tcp_unp_c_in", Blocks 1595, Queues 1000
Blk_cnt Q_cnt Last_Op Queue_Type User Context
186 1 put contexta
15 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
...
 

次に、 show blocks queue history detail コマンドの出力例を示します。

hostname# show blocks queue history detail
History buffer memory usage: 2136 bytes (default)
Each Summary for User and Queue type is followed its top 5 individual queues
Block Size: 4
Summary for User "http", Queue_Type "tcp_unp_c_in", Blocks 1595, Queues 1396
Blk_cnt Q_cnt Last_Op Queue_Type User Context
186 1 put contexta
15 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
First Block information for Block at 0x.....
dup_count 0, flags 0x8000000, alloc_pc 0x43ea2a,
start_addr 0xefb1074, read_addr 0xefb118c, write_addr 0xefb1193
urgent_addr 0xefb118c, end_addr 0xefb17b2
0efb1150: 00 00 00 03 47 c5 61 c5 00 05 9a 38 76 80 a3 00 | ....G.a....8v...
0efb1160: 00 0a 08 00 45 00 05 dc 9b c9 00 00 ff 06 f8 f3 | ....E...........
0efb1170: 0a 07 0d 01 0a 07 00 50 00 17 cb 3d c7 e5 60 62 | .......P...=..`b
0efb1180: 7e 73 55 82 50 18 10 00 45 ca 00 00 2d 2d 20 49 | ~sU.P...E...-- I
0efb1190: 50 20 2d 2d 0d 0a 31 30 2e 37 2e 31 33 2e 31 09 | P --..10.7.13.1.
0efb11a0: 3d 3d 3e 09 31 30 2e 37 2e 30 2e 38 30 0d 0a 0d | ==>.10.7.0.80...
 
Summary for User "aaa", Queue "tcp_unp_c_in", Blocks 220, Queues 200
Blk_cnt Q_cnt Last_Op Queue_Type User Context
21 1 put contexta
1 1 put contexta
1 1 put contexta
1 1 put contextb
1 1 put contextc
First Block information for Block at 0x.....
dup_count 0, flags 0x8000000, alloc_pc 0x43ea2a,
start_addr 0xefb1074, read_addr 0xefb118c, write_addr 0xefb1193
urgent_addr 0xefb118c, end_addr 0xefb17b2
0efb1150: 00 00 00 03 47 c5 61 c5 00 05 9a 38 76 80 a3 00 | ....G.a....8v...
0efb1160: 00 0a 08 00 45 00 05 dc 9b c9 00 00 ff 06 f8 f3 | ....E...........
0efb1170: 0a 07 0d 01 0a 07 00 50 00 17 cb 3d c7 e5 60 62 | .......P...=..`b
0efb1180: 7e 73 55 82 50 18 10 00 45 ca 00 00 2d 2d 20 49 | ~sU.P...E...-- I
0efb1190: 50 20 2d 2d 0d 0a 31 30 2e 37 2e 31 33 2e 31 09 | P --..10.7.13.1.
0efb11a0: 3d 3d 3e 09 31 30 2e 37 2e 30 2e 38 30 0d 0a 0d | ==>.10.7.0.80...
...
 
total_count: total buffers in this class
 

次に、 show blocks pool summary コマンドの出力例を示します。

hostname# show blocks pool 1550 summary
Class 3, size 1550
 
=================================================
total_count=1531 miss_count=0
Alloc_pc valid_cnt invalid_cnt
0x3b0a18 00000256 00000000
0x01ad0760 0x01acfe00 0x01acf4a0 0x01aceb40 00000000 0x00000000
0x3a8f6b 00001275 00000012
0x05006aa0 0x05006140 0x050057e0 0x05004520 00000000
0x00000000
 
=================================================
total_count=9716 miss_count=0
Freed_pc valid_cnt invalid_cnt
0x9a81f3 00000104 00000007
0x05006140 0x05000380 0x04fffa20 0x04ffde00 00000000 0x00000000
0x9a0326 00000053 00000033
0x05006aa0 0x050057e0 0x05004e80 0x05003260 00000000 0x00000000
0x4605a2 00000005 00000000
0x04ff5ac0 0x01e8e2e0 0x01e2eac0 0x01e17d20 00000000 0x00000000
...
=================================================
total_count=1531 miss_count=0
Queue valid_cnt invalid_cnt
0x3b0a18 00000256 00000000 Invalid Bad qtype
0x01ad0760 0x01acfe00 0x01acf4a0 0x01aceb40 00000000 0x00000000
0x3a8f6b 00001275 00000000 Invalid Bad qtype
0x05006aa0 0x05006140 0x050057e0 0x05004520 00000000
0x00000000
 
=================================================
free_cnt=8185 fails=0 actual_free=8185 hash_miss=0
03a8d3e0 03a8b7c0 03a7fc40 03a6ff20 03a6f5c0 03a6ec60 kao-f1#
 

表 24-3 に各フィールドの説明を示します。

 

表 24-3 show blocks pool summary のフィールド

フィールド
説明

total_count

指定されたクラスのブロック数。

miss_count

技術的な理由により、指定されたカテゴリで報告されていないブロックの数。

Freed_pc

このクラスでブロックをリリースしたアプリケーションのプログラム アドレス。

Alloc_pc

このクラスでブロックを割り当てたアプリケーションのプログラム アドレス。

Queue

このクラスの有効なブロックが属しているキュー。

valid_cnt

現在割り当てられているブロックの数。

invalid_cnt

現在割り当てられていないブロックの数。

Invalid Bad qtype

このキューが解放され、コンテンツが無効化されているか、またはこのキューが一度も初期化されていないかを示します。

Valid tcp_usr_conn_inp

このキューは有効です。

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てられたメモリの量を増やします。

clear blocks

システム バッファの統計情報をクリアします。

show conn

アクティブな接続を表示します。

show bootvar

ブート ファイルおよび設定プロパティを表示するには、特権 EXEC モードで show boot コマンドを使用します。

show bootvar

 
構文の説明

show bootvar

システム ブート プロパティ。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

BOOT 変数は、各種デバイスにあるブート可能なイメージのリストを指定します。CONFIG_FILE 変数は、システムの初期化中に使用されるコンフィギュレーション ファイルを指定します。BOOT 変数は boot system コマンド、CONFIG_FILE 変数は boot config コマンドで設定します。

次の例の BOOT 変数には、システムを再ロードしたときにブートされるイメージ disk0:/f1_image が設定されています。BOOT の現在値は disk0:/f1_image; disk0:/f1_backupimage です。これは、BOOT 変数は boot system コマンドにより変更されていますが、実行コンフィギュレーションは write memory コマンドで保存されていないことを意味します。実行中のコンフィギュレーションを保存すると、BOOT 変数、および現在の BOOT 変数はいずれも disk0:/f1_image; disk0:/f1_backupimage になります。実行コンフィギュレーションが保存されていると仮定して、ブート ローダーは disk0:/f1image から始めて BOOT 変数の内容のロードを試行しますが、これが存在しない、または正しくない場合、boot disk0:1/f1_backupimage のブートを試みます。

CONFIG_FILE 変数はシステム スタートアップ コンフィギュレーションをポイントしています。この例では、これは設定されていないため、スタートアップ コンフィギュレーション ファイルは boot config コマンドで指定されたデフォルトです。現在の CONFIG_FILE 変数は、 boot config コマンドで変更し、 write memory コマンドで保存できます。

hostname# show bootvar
BOOT variable = disk0:/f1_image
Current BOOT variable = disk0:/f1_image; disk0:/f1_backupimage
CONFIG_FILE variable =
Current CONFIG_FILE variable =
hostname#
 

 
関連コマンド

コマンド
説明

boot

起動時に使用されるコンフィギュレーション ファイルまたはイメージ ファイルを指定します。

show call-home

設定済みの Call Home 情報を表示するには、特権 EXEC モードで show call-home コマンドを使用します。

show call-home [ alert-group | detail | events | mail-server status | profile { profile _name | all } | statistics ]

 
構文の説明

alert-group

(任意)使用可能なアラート グループを表示します。

detail

(任意)Call Home 設定の詳細を表示します。

events

(任意)現在検出されているイベントを表示します。

mail-server status

(任意)Call Home メール サーバのステータス情報を表示します。

profile profile _name all

(任意)既存のプロファイルすべてに対するコンフィギュレーション情報を表示します。

statistics

(任意)Call Home の統計情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

次に、show call-home コマンドの出力例と、Call Home 設定の内容を示します。

hostname# show call-home
Current Smart Call-Home settings:
Smart Call-Home feature : enable
Smart Call-Home message's from address: from@example.com
Smart Call-Home message's reply-to address: reply-to@example.com
contact person's email address: example@example.com
contact person's phone: 111-222-3333
street address: 1234 Any Street, Any city, Any state, 12345
customer ID: ExampleCorp
contract ID: X123456789
site ID: SantaClara
Mail-server[1]: Address: smtp.example.com Priority: 1
Mail-server[2]: Address: 192.168.0.1 Priority: 10
Rate-limit: 60 message(s) per minute
Available alert groups:
Keyword State
------------------------ -------
Syslog Enable
diagnostic Enable
environmental Enable
inventory Enable
configuration Enable
firewall Enable
troubleshooting Enable
report Enable
Profiles:
Profile Name: CiscoTAC-1
Profile Name: prof1
Profile Name: prof2
 

次に、show call-home detail コマンドの出力例と、詳細な Call Home コンフィギュレーション情報を示します。

hostname# show call-home detail
Description: Show smart call-home configuration in detail.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Current Smart Call-Home settings:
Smart Call-Home feature : enable
Smart Call-Home message's from address: from@example.example.com
Smart Call-Home message's reply-to address: reply-to@example.example.com
contact person's email address: abc@example.com
contact person's phone: 111-222-3333
street address: 1234 Any Street, Any city, Any state, 12345
customer ID: 111111
contract ID: 123123
site ID: SantaClara
Mail-server[1]: Address: example.example.com Priority: 1
Mail-server[2]: Address: example.example.com Priority: 10
Rate-limit: 60 message(s) per minute
Available alert groups:
Keyword State
------------------------ -------
syslog Enable
diagnostic Enable
environmental Enable
inventory Enable
configuration Enable
firewall Enable
troubleshooting Enable
report Enable
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): anstage@cisco.com
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory message is scheduled monthly at 01:00
Alert-group Severity
------------------------ ------------
inventory n/a
Profile Name: prof1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): example@example.com
HTTP address(es): https://kafan-lnx-01.cisco.com:8443/sch/sch.jsp
Periodic configuration message is scheduled daily at 01:00
Periodic inventory message is scheduled every 60 minutes
Alert-group Severity
------------------------ ------------
configuration n/a
inventory n/a
Profile Name: prof2
Profile status: ACTIVE Preferred Message Format: short-text
Message Size Limit: 1048576 Bytes
Email address(es): example@example.com
HTTP address(es): https://example.example.com:8443/sch/sch.jsp
Periodic configuration message is scheduled every 1 minutes
Periodic inventory message is scheduled every 1 minutes
Alert-group Severity
------------------------ ------------
configuration n/a
inventory n/a
 

次に、show call-home コマンドの出力例と、使用可能な Call Home イベントを示します。

hostname# show call-home events
Description: Show current detected events.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Active event list:
Event client alert-group severity active (sec)
--------------------------------------------------------------------
Configuration Client configuration none 5
Inventory inventory none 15
 

次に、show call-home mail-server status コマンドの出力例と、使用可能な Call Home メール サーバ ステータスを示します。

hostname# show call-home mail-server status
Description: Show smart call-home configuration, status, and statistics.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Mail-server[1]: Address: example.example.com Priority: 1 [Available]
Mail-server[2]: Address: example.example.com Priority: 10 [Not Available]

次に、show call-home alert-group コマンドの出力例と、使用可能なアラート グループを示します。

hostname# show call-home alert-group
Description: Show smart call-home alert-group states.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Available alert groups:
Keyword State
------------------------ -------
syslog Enable
diagnostic Enable
environmental Enable
inventory Enable
configuration Enable
firewall Enable
troubleshooting Enable
report Enable
 

次に、show call-home profile {<profile-name> | all} コマンドの出力例と、すべての定義済みプロファイルおよびユーザ定義プロファイルに関する情報を示します。

hostname# show call-home profile {profile-name | all}
Description: Show smart call-home profile configuration.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): anstage@cisco.com
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory message is scheduled monthly at 01:00
Alert-group Severity
------------------------ ------------
inventory n/a
Profile Name: prof1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): example@example.com
HTTP address(es): https://example.example.com:8443/sch/sch.jsp
Periodic configuration message is scheduled daily at 01:00
Periodic inventory message is scheduled every 60 minutes
Alert-group Severity
------------------------ ------------
configuration n/a
inventory n/a
Profile Name: prof2
Profile status: ACTIVE Preferred Message Format: short-text
Message Size Limit: 1048576 Bytes
Email address(es): example@example.com
HTTP address(es): https://example.example.com:8443/sch/sch.jsp
Periodic configuration message is scheduled every 1 minutes
Periodic inventory message is scheduled every 1 minutes
Alert-group Severity
------------------------ ------------
configuration n/a
inventory n/a
 

次に、show call-home statistics コマンドの出力例と、Call Home 統計情報を示します。

hostname# show call-home statistics
Description: Show smart call-home statistics.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Message Types Total Email HTTP
-------------------- ---------------- ---------------- ----------------
Total Success 0 0 0
Total In-Queue 0 0 0
Total Dropped 5 4 1
Tx Failed 5 4 1
inventory 3 2 1
configuration 2 2 0
Event Types Total
-------------------- ----------------
Total Detected 2
inventory 1
configuration 1
Total In-Queue 0
Total Dropped 0
Last call-home message sent time: 2009-06-17 14:22:09 GMT-07:00

 
関連コマンド

コマンド
説明

call-home

Call Home コンフィギュレーション モードを開始します。

call-home send alert-group

特定のアラート グループ メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home registered-module status

登録済みのモジュール ステータスを表示するには、特権 EXEC モードで show call-home registered-module status コマンドを使用します。

show call-home registered-module status [ all ]


) [all] オプションは、システム コンテキスト モードでのみ有効です。


 
構文の説明

all

コンテキスト単位ではなく、デバイスに基づいてモジュール ステータスを表示します。マルチ コンテキスト モードでは、少なくとも 1 つのコンテキストでモジュールがイネーブルにされている場合、「 all 」オプションが含まれていれば、イネーブルにされていると表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

次の例は、 show call-home registered-module status [ all ] 出力を表示します。

Output:
Module Name Status
---------------------------------------- --------------------
Smart Call-Home enabled
Failover Standby/Active

 
関連コマンド

コマンド
説明

call-home

call-home コンフィギュレーション モードを開始します。

call-home send alert-group

特定のアラート グループ メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show capture

オプションが何も指定されていないときのキャプチャ コンフィギュレーションを表示するには、 show capture コマンドを使用します。

show capture [ capture_name ] [ access-list access_list_name ] [ count number ] [ decode ] [ detail ] [ dump ] [ packet-number number ]

 
構文の説明

capture_name

(任意)パケット キャプチャの名前。

access-list access_list_name

(任意)指定されたアクセス リスト ID の IP 以降のフィールドに基づいてパケット情報を表示します。

count number

(任意)指定されたデータのパケット数を表示します。

decode

isakmp タイプのキャプチャをインターフェイスに適用する場合にはこのオプションが便利です。このインターフェイスを通過してフローする isakmp データはすべて、暗号化後にキャプチャされ、フィールドのデコード後にさらに多くの情報が表示されます。

detail

(任意)各パケットについて、プロトコル情報を追加表示します。

dump

(任意)データ リンク トランスポートを介して転送されるパケットの 16 進ダンプを表示します。

packet-number number

指定されたパケット番号から表示を開始します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

capture_name を指定した場合、キャプチャするキャプチャ バッファの内容が表示されます。

dump キーワードでは、16 進ダンプ内の MAC 情報は表示されません。

デコード済みのパケット出力は、パケットのプロトコルによって異なります。 表 24-4 で角カッコで囲まれている出力は、 detail キーワードを指定した場合に表示されます。

 

表 24-4 パケット キャプチャの出力形式

パケット タイプ
キャプチャの出力形式

802.1Q

HH:MM:SS.ms [ether-hdr] VLAN-info encap-ether-packet

ARP

HH:MM:SS.ms [ether-hdr] arp-type arp-info

IP/ICMP

HH:MM:SS.ms [ether-hdr] ip-source > ip-destination: icmp: icmp-type icmp-code [checksum-failure]

IP/UDP

HH:MM:SS.ms [ether-hdr] src-addr . src-port dest-addr . dst-port : [checksum-info] udp payload-len

IP/TCP

HH:MM:SS.ms [ether-hdr] src-addr . src-port d est-addr . dst-port : tcp-flags [header-check] [checksum-info] sequence-number ack-number tcp-window urgent-info tcp-options

IP/Other

HH:MM:SS.ms [ether-hdr] src-addr dest-addr : ip-protocol ip-length

その他

HH:MM:SS.ms ether-hdr : hex-dump

次に、キャプチャの設定を表示する例を示します。

hostname(config)# show capture
capture arp ethernet-type arp interface outside
capture http access-list http packet-length 74 interface inside
 

次に、ARP キャプチャによりキャプチャされたパケットを表示する例を示します。

hostname(config)# show capture arp
2 packets captured
19:12:23.478429 arp who-has 171.69.38.89 tell 171.69.38.10
19:12:26.784294 arp who-has 171.69.38.89 tell 171.69.38.10
2 packets shown
 

 
関連コマンド

コマンド
説明

capture

パケット スニッフィングおよびネットワーク障害の切り分けのためにパケット キャプチャ機能をイネーブルにします。

clear capture

キャプチャ バッファをクリアします。

copy capture

キャプチャ ファイルをサーバにコピーします。

show chardrop

シリアル コンソールからドロップされた文字数を表示するには、特権 EXEC モードで show chardrop コマンドを使用します。

show chardrop

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show chardrop コマンドの出力例を示します。

hostname# show chardrop
Chars dropped pre-TxTimeouts: 0, post-TxTimeouts: 0
 

 
関連コマンド

コマンド
説明

show running-config

現在の動作コンフィギュレーションを表示します。

show checkheaps

checkheaps 統計情報を表示するには、特権 EXEC モードで show checkheaps コマンドを使用します。チェックヒープは、ヒープ メモリ バッファの正常性およびコード領域の完全性を検証する定期的なプロセスです(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられます)。

show checkheaps

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show checkheaps コマンドの出力例を示します。

hostname# show checkheaps
 
Checkheaps stats from buffer validation runs
--------------------------------------------
Time elapsed since last run : 42 secs
Duration of last run : 0 millisecs
Number of buffers created : 8082
Number of buffers allocated : 7808
Number of buffers free : 274
Total memory in use : 43570344 bytes
Total memory in free buffers : 87000 bytes
Total number of runs : 310

 
関連コマンド

コマンド
説明

checkheaps

checkheap 検証の間隔を設定します。

show checksum

コンフィギュレーションのチェックサムを表示するには、特権 EXEC モードで show checksum コマンドを使用します。

show checksum

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

適応型セキュリティ アプライアンスでこのコマンドがサポートされるようになりました。

 
使用上のガイドライン

show checksum コマンドを使用して、コンフィギュレーション コンテンツのデジタル サマリーとして機能する 4 グループの 16 進数を表示することができます。このチェックサムは、コンフィギュレーションをフラッシュ メモリに保存した場合のみ計算されます。

show config または show checksum コマンド出力のチェックサムの前にドット(「.」)が表示されている場合、この出力は、適応型セキュリティ アプライアンス フラッシュ パーティションからロード、またはここへ書き込みするときの、標準のコンフィギュレーション ロードまたは書き込みモード インジケータを示します。「.」は、適応型セキュリティ アプライアンスが操作にかかりきりになっているが、「ハング アップ」はしていないことを示します。このメッセージは、「システムは処理中です。しばらくお待ちください」メッセージに似ています。

次に、コンフィギュレーションまたはチェックサムを表示する例を示します。

hostname(config)# show checksum
Cryptochecksum: 1a2833c0 129ac70b 1a88df85 650dbb81
 

show chunkstat

チャンク統計情報を表示するには、特権 EXEC モードで show chunkstat コマンドを使用します。

show chunkstat

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、チャンク統計情報を表示する例を示します。

hostname# show chunkstat
Global chunk statistics: created 181, destroyed 34, siblings created 94, siblings destroyed 34
 
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01edb4cc, name "Managed Chunk Queue Elements", data start @ 01edbd24, end @ 01eddc54
next: 01eddc8c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 499, elt size: 16, index first free 498
# chunks in use: 1, HWM of total used: 1, alignment: 0
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01eddc8c, name "Registry Function List", data start @ 01eddea4, end @ 01ede348
next: 01ede37c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 99, elt size: 12, index first free 42
# chunks in use: 57, HWM of total used: 57, alignment: 0
 

 
関連コマンド

コマンド
説明

show counters

プロトコル スタック カウンタを表示します。

show cpu

CPU 使用率情報を表示します。

show class

あるクラスに割り当てられたコンテキストを表示するには、特権 EXEC モードで show class コマンドを使用します。

show class name

 
構文の説明

name

20 文字までの文字列で名前を指定します。デフォルト クラスを表示するには、名前に default と入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、 show class default コマンドの出力例を示します。

hostname# show class default
 
Class Name Members ID Flags
default All 1 0001
 

 
関連コマンド

コマンド
説明

class

リソース クラスを設定します。

clear configure class

クラス コンフィギュレーションをクリアします。

context

セキュリティ コンテキストを設定します。

limit-resource

クラスのリソース制限を設定します。

member

コンテキストをリソース クラスに割り当てます。

show clock

適応型セキュリティ アプライアンスに時刻を表示するには、ユーザ EXEC モードで show clock コマンドを使用します。

show clock [ detail ]

 
構文の説明

detail

(任意)クロック ソース(NTP またはユーザ設定)、および現在の夏時間の設定(設定されている場合)を示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、 show ip clock コマンドの出力例を示します。

hostname> show clock
12:35:45.205 EDT Tue Jul 27 2004
 

次に、 show ip clock detail コマンドの出力例を示します。

hostname> show clock detail
12:35:45.205 EDT Tue Jul 27 2004
Time source is user configuration
Summer time starts 02:00:00 EST Sun Apr 4 2004
Summer time ends 02:00:00 EDT Sun Oct 31 2004
 

 
関連コマンド

コマンド
説明

clock set

適応型セキュリティ アプライアンスのクロックを手動で設定します。

clock summer-time

夏時間を表示する日付の範囲を設定します。

clock timezone

時間帯を設定します。

ntp server

NTP サーバを指定します。

show ntp status

NTP アソシエーションのステータスを表示します。

show compression svc

セキュリティ アプライアンスで SVC 接続の圧縮統計情報を表示するには、特権 EXEC モードで show compression svc コマンドを使用します。

show compression svc

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次に、 show compression svc コマンドの出力例を示します。

hostname# show compression svc
Compression SVC Sessions 1
Compressed Frames 249756
Compressed Data In (bytes) 0048042
Compressed Data Out (bytes) 4859704
Expanded Frames 1
Compression Errors 0
Compression Resets 0
Compression Output Buf Too Small 0
Compression Ratio 2.06
Decompressed Frames 876687
Decompressed Data In 279300233
 

 
関連コマンド

コマンド
説明

compression

すべての SVC 接続および WebVPN 接続の圧縮をイネーブルにします。

svc compression

特定のグループまたはユーザに対して SVC 接続を介する HTTP データの圧縮をイネーブルにします。

show configuration

適応型セキュリティ アプライアンスでフラッシュ メモリに保存されているコンフィギュレーションを表示するには、特権 EXEC モードで show configuration コマンドを使用します。

show configuration

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドが変更されました。

 
使用上のガイドライン

show configuration コマンドは、適応型セキュリティ アプライアンスでフラッシュ メモリに保存されているコンフィギュレーションを表示します。 show running-config コマンドとは異なり、 show configuration コマンドの実行には大量の CPU リソースは必要ありません。

保存済みの設定変更を含め、適応型セキュリティ アプライアンスのメモリ内のアクティブなコンフィギュレーションを表示するには、 show running-config コマンドを使用します。

次に、適応型セキュリティ アプライアンスのフラッシュ メモリに保存されているコンフィギュレーションを表示する例を示します。

hostname# show configuration
: enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.2.5 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.132.12.6 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 40.0.0.5 255.0.0.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/newImage
ftp mode passive
access-list acl1 extended permit ip any any
access-list mgcpacl extended permit udp any any eq 2727
access-list mgcpacl extended permit udp any any eq 2427
access-list mgcpacl extended permit udp any any eq tftp
access-list mgcpacl extended permit udp any any eq 1719
access-list permitIp extended permit ip any any
pager lines 25
logging enable
logging console debugging
logging buffered debugging
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
icmp permit any dmz
asdm image disk0:/pdm
no asdm history enable
arp timeout 14400
global (outside) 1 10.132.12.50-10.132.12.52
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group permitIp in interface inside
access-group permitIp in interface outside
access-group mgcpacl in interface dmz
!
router ospf 1
network 40.0.0.0 255.0.0.0 area 192.168.2.0
network 192.168.2.0 255.255.255.0 area 192.168.2.0
log-adj-changes
redistribute static subnets
default-information originate
!
route outside 0.0.0.0 0.0.0.0 10.132.12.1 1
route outside 10.129.0.0 255.255.0.0 10.132.12.1 1
route outside 88.0.0.0 255.0.0.0 10.132.12.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 10.132.12.0 255.255.255.0 outside
http 192.168.2.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.0 255.255.255.0 inside
telnet 10.132.12.0 255.255.255.0 outside
telnet timeout 5
ssh 192.168.2.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect mgcp
policy-map type inspect mgcp mgcpapp
parameters
call-agent 150.0.0.210 101
gateway 50.0.0.201 101
gateway 100.0.0.201 101
command-queue 150
!
service-policy global_policy global
webvpn
memory-size percent 25
enable inside
internal-password enable
onscreen-keyboard logon
username snoopy password /JcYsjvxHfBHc4ZK encrypted
prompt hostname context
Cryptochecksum:62bf8f5de9466cdb64fe758079594635:
end

 
関連コマンド

コマンド
説明

configure

ターミナルから適応型セキュリティ アプライアンスを設定します。

show conn

指定された接続タイプの接続状態を表示するには、特権 EXEC モードで show conn コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

show conn [ count | [ all ] [ detail ] [ long ] [ state state_type ] [ protocol { tcp | udp }] [ address src_ip [ - src_ip ] [ netmask mask ]] [ port src_port [ - src_port ]] [ address dest_ip [ - dest_ip ] [ netmask mask ]] [ port dest_port [ - dest_port ]]]

 
構文の説明

address

(任意)指定された送信元および宛先 IP アドレスを持つ接続を表示します。

all

(任意)スルートラフィック接続に加え、デバイスから、またはデバイスへの接続を表示します。

count

(任意)アクティブ接続の数を表示します。

dest_ip

(任意)宛先 IP アドレス(IPv4 または IPv6)を指定します。範囲を指定するには、次のように、IP アドレスをダッシュ(-)で区切ります。

10.1.1.1-10.1.1.5

dest_port

(任意)宛先ポート番号を指定します。範囲を指定するには、次のように、ポート番号をダッシュ(-)で区切ります。

1000-2000

detail

(任意)トランスレーションのタイプやインターフェイス情報を含む接続の詳細を表示します。

long

(任意)接続を長い形式で表示します。

netmask mask

(任意)指定された IP アドレスで使用するサブネット マスクを指定します。

port

(任意)指定された送信元および宛先ポートを持つ接続を表示します。

protocol {tcp | udp}

(任意)接続プロトコル、 tcp または udp を指定します。

src_ip

(任意)送信元 IP アドレス(IPv4 または IPv6)を指定します。範囲を指定するには、次のように、IP アドレスをダッシュ(-)で区切ります。

10.1.1.1-10.1.1.5

src_port

(任意)送信元ポートの番号を指定します。範囲を指定するには、次のように、ポート番号をダッシュ(-)で区切ります。

1000-2000

state state_type

(任意)接続状態のタイプを指定します。接続状態のタイプで使用できるキーワードのリストについては、 表 24-5 を参照してください。

 
デフォルト

デフォルトでは、すべてのスルー接続が表示されます。このデバイスへの管理接続も表示するには、 all キーワードを使用する必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(8)/7.2(4)/8.0(4)

「ローカル」や「外部」の代わりに送信元および宛先の概念を使用できるように、構文が簡略化されました。この新しい構文では、最初に入力するアドレスが送信元アドレスで、2 つめは宛先アドレスです。これまでの構文では宛先アドレスやポートの決定に、 foreign fport などのキーワードが使用されていました。

8.2(1)

TCP ステート バイパスに、b フラグが追加されました。

 
使用上のガイドライン

show conn コマンドは、アクティブな TCP 接続および UDP 接続の数を表示し、さまざまなタイプの接続に関する情報を提供します。接続表全体を表示するには、 show conn all コマンドを使用します。


) 適応型セキュリティ アプライアンスで第 2 の接続を許すピンホールが作成された場合、このピンホールは、show conn コマンドでは不完全な接続として表示されます。この不完全な接続をクリアするには、clear conn コマンドを使用します。


show conn state コマンドを使用して指定できる接続のタイプは、 表 24-5 のとおりです。複数の接続タイプを指定する場合、キーワードの区切りにはカンマを使用します。ただし、スペースは必要ありません。

 

表 24-5 接続状態のタイプ

キーワード
表示される接続タイプ

up

アップ状態での接続。

conn_inbound

着信接続。

ctiqbe

CTIQBE 接続。

data_in

インバウンド データ接続。

data_out

アウトバウンド データ接続。

finin

FIN 着信接続。

finout

FIN 発信接続。

h225

H.225 接続。

h323

H.323 接続。

http_get

HTTP get 接続。

mgcp

MGCP 接続。

nojava

Java アプレットへのアクセスを拒否する接続。

rpc

RPC 接続。

service_module

SSM によりスキャンされている接続。

sip

SIP 接続。

skinny

SCCP 接続。

smtp_data

SMTP メール データ接続。

sqlnet_fixup_data

SQL*Net データ インスペクション エンジン接続。

vpn_orphan

孤立した VPN トンネル フロー。

detail オプションを使用すると、 表 24-6 で定義された接続フラグを使用して、トランスレーションのタイプおよびインターフェイスに関する情報が表示されます。

 

表 24-6 接続フラグ

フラグ
説明

a

SYN への外部 ACK を待機中

A

SYN への内部 ACK を待機中

b

TCP ステート バイパス

B

外部からの初期 SYN

C

Computer Telephony Interface Quick Buffer Encoding(CTIQBE)メディア接続

d

ダンプ

D

DNS

E

外部バック接続

f

内部 FIN

F

外部 FIN

g

Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)接続

G

接続はグループの一部です。1

h

H.225

H

H.323

i

不完全な TCP または UDP 接続

I

インバウンド データ

k

Skinny Client Control Protocol(SCCP)メディア接続

K

GTP t3 応答

m

SIP メディア接続

M

SMTP データ

O

アウトバウンド データ

p

複製済み(未使用)

P

内部バック接続

q

SQL*Net データ

r

内部確認済み FIN

R

TCP 接続に対する外部確認済み FIN

R

UDP RPC2

s

外部 SYN を待機中

S

内部 SYN を待機中

t

SIP 一時接続3

T

SIP 接続4

U

アップ

V

孤立した VPN

W

WAAS

X

CSC SSM などのサービス モジュールによる検査が済んでいます。

1.G フラグは、この接続がグループの一部であることを示します。これは、コントロール接続およびそれに関連するセカンダリ接続すべてを指定するために、GRE および FTP Strict フィックスアップにより設定されます。このコントロール接続が終了すると、関連するすべてのセカンダリ接続も終了します。

2.show conn コマンド出力の 1 行は 1 つの接続(TCP または UDP)を表すため、1 行に設定される R フラグは 1 つのみです。

3.UDP 接続では、値 t は、接続が 1 分後にタイムアウトすることを示します。

4.UDP 接続では、値 T は、timeout sip コマンドを使用して指定された値に従って、接続がタイムアウトされます。


) DNS サーバを使用した接続では、この接続の送信元ポートは、show conn コマンド出力の IP address of DNS server で置き換えられる可能性があります。


ある 2 つのホストの間に複数の DNS セッションがある場合、これらのセッションに対して作成される接続は 1 つです。また、これらのセッションは同一の 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)を持ちます。追跡用の DNS ID は app_id で、アイドル タイマーは app_id ごとに実行されます。

app_id は個別に期限が切れるため、正規の DNS 応答は制限時間内にのみ適応型セキュリティ アプライアンスを通過可能で、リソースは蓄積されません。ただし、 show conn コマンドを入力すると、DNS 接続のアイドル タイマーが新しい DNS セッションによりリセットされることがわかります。これは共有 DNS 接続の性質で、意図的なものです。


timeout conn コマンドにより定義された休止期間(デフォルトは 1:00:00)に TCP トラフィックがない場合、接続は閉じられ、対応する conn フラグ エントリは表示されなくなります。


LAN-to-LAN/Network-Extension Mode トンネルがドロップし、戻ってこなくなった場合、孤立したトンネル フローが多数存在する可能性があります。トンネルがダウンした結果、これらのフローが低下することはありませんが、これらのトンネルを通過しようとするデータはすべてドロップされます。 show conn コマンド出力では、このような孤立したフローは V フラグ付きで表示されます。

複数の接続タイプを指定する場合、キーワードの区切りにはカンマを使用します。ただし、スペースは必要ありません。次の例は、アップ状態の RPC、H.323、および SIP 接続の情報を表示します。

hostname# show conn state up,rpc,h323,sip
 

次に、 show conn count コマンドの出力例を示します。

hostname# show conn count
54 in use, 123 most used
 

次に、 show conn コマンドの出力例を示します。次に、内部ホスト 10.1.1.15 から 10.10.49.10 にある外部 Telnet サーバに TCP セッション接続する例を示します。B フラグがないため、接続は内部から開始されます。「U」、「I」、および「O」フラグは接続がアクティブで、インバウンド データおよびアウトバウンド データを受信していることを示します。

hostname# show conn
54 in use, 123 most used
TCP out 10.10.49.10:23 in 10.1.1.15:1026 idle 0:00:22, bytes 1774, flags UIO
UDP out 10.10.49.10:31649 in 10.1.1.15:1028 idle 0:00:14, bytes 0, flags D-
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:5060, idle 0:00:24, bytes 1940435, flags UTIOB
TCP dmz 10.10.10.50:49764 inside 192.168.1.21:5060, idle 0:00:42, bytes 2328346, flags UTIOB
TCP dmz 10.10.10.51:50196 inside 192.168.1.22:2000, idle 0:00:04, bytes 31464, flags UIB
TCP dmz 10.10.10.51:52738 inside 192.168.1.21:2000, idle 0:00:09, bytes 129156, flags UIOB
TCP dmz 10.10.10.50:49764 inside 192.168.1.21:0, idle 0:00:42, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):49736 inside 192.168.1.21:0, idle 0:01:32, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:00:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:01:34, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:02:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:03:34, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:04:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:05:34, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:06:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:07:34, bytes 0, flags Ti
 

次に、 show conn コマンドの出力例を示します。この出力には、接続が SSM によりスキャンされていることを示す「X」フラグが含まれます。

hostname# show conn address 10.0.0.122 state service_module
TCP out 10.1.0.121:22 in 10.0.0.122:34446 idle 0:00:03, bytes 2733, flags UIOX
 

次に、 show conn detail コマンドの出力例を示します。次の例は、外部ホスト 10.10.49.10 から内部ホスト 10.1.1.15 への UDP 接続を示します。D フラグはこれが DNS 接続であることを表しています。数値 1028 はその接続での DNS ID です。

hostname# show conn detail
54 in use, 123 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, b - TCP state-bypass or nailed, C - CTIQBE media,
D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, n - GUP
O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
V - VPN orphan, W - WAAS,
X - inspected by service module
TCP outside:10.10.49.10/23 inside:10.1.1.15/1026,
flags UIO, idle 39s, uptime 1D19h, timeout 1h0m, bytes 1940435
UDP outside:10.10.49.10/31649 inside:10.1.1.15/1028,
flags dD, idle 39s, uptime 1D19h, timeout 1h0m, bytes 1940435
TCP dmz:10.10.10.50/50026 inside:192.168.1.22/5060,
flags UTIOB, idle 39s, uptime 1D19h, timeout 1h0m, bytes 1940435
TCP dmz:10.10.10.50/49764 inside:192.168.1.21/5060,
flags UTIOB, idle 56s, uptime 1D19h, timeout 1h0m, bytes 2328346
TCP dmz:10.10.10.51/50196 inside:192.168.1.22/2000,
flags UIB, idle 18s, uptime 1D19h, timeout 1h0m, bytes 31464
TCP dmz:10.10.10.51/52738 inside:192.168.1.21/2000,
flags UIOB, idle 23s, uptime 1D19h, timeout 1h0m, bytes 129156
TCP outside:10.132.64.166/52510 inside:192.168.1.35/2000,
flags UIOB, idle 3s, uptime 1D21h, timeout 1h0m, bytes 357405
TCP outside:10.132.64.81/5321 inside:192.168.1.22/5060,
flags UTIOB, idle 1m48s, uptime 1D21h, timeout 1h0m, bytes 2083129
TCP outside:10.132.64.81/5320 inside:192.168.1.21/5060,
flags UTIOB, idle 1m46s, uptime 1D21h, timeout 1h0m, bytes 2500529
TCP outside:10.132.64.81/5319 inside:192.168.1.22/2000,
flags UIOB, idle 31s, uptime 1D21h, timeout 1h0m, bytes 32718
TCP outside:10.132.64.81/5315 inside:192.168.1.21/2000,
flags UIOB, idle 14s, uptime 1D21h, timeout 1h0m, bytes 358694
TCP outside:10.132.64.80/52596 inside:192.168.1.22/2000,
flags UIOB, idle 8s, uptime 1D21h, timeout 1h0m, bytes 32742
TCP outside:10.132.64.80/52834 inside:192.168.1.21/2000,
flags UIOB, idle 6s, uptime 1D21h, timeout 1h0m, bytes 358582
TCP outside:10.132.64.167/50250 inside:192.168.1.35/2000,
flags UIOB, idle 26s, uptime 1D21h, timeout 1h0m, bytes 375617
 

次に、孤立したフローが存在する場合の show conn コマンドの出力例を示します。孤立したフローは V フラグで示されています。

hostname# show conn
16 in use, 19 most used
TCP out 192.168.110.251:7393 in 192.168.150.252:21 idle 0:00:00, bytes 1048, flags UOVB
TCP out 192.168.110.251:21137 in 192.168.150.252:21 idle 0:00:00, bytes 1048, flags UIOB
 

孤立したフローを持つ接続へのレポートを制限するには、次の例に示すように、 vpn_orphan オプションを show conn state コマンドに追加します。

hostname# show conn state vpn_orphan
14 in use, 19 most used
TCP out 192.168.110.251:7393 in 192.168.150.252:5013, idle 0:00:00, bytes 2841019, flags UOVB
 

 
関連コマンド

コマンド
説明

clear conn

接続をクリアします。

inspect ctiqbe

CTIQBE アプリケーション インスペクションをイネーブルにします。

inspect h323

H.323 アプリケーション インスペクションをイネーブルにします。

inspect mgcp

MGCP アプリケーション インスペクションをイネーブルにします。

inspect sip

HTTP トラフィックから Java アプレットを削除します。

inspect skinny

SCCP アプリケーション インスペクションをイネーブルにします。

show console-output

現在キャプチャされているコンソール出力を表示するには、特権 EXEC モードで show console-output コマンドを使用します。

show console-output

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、 show console-output コマンドの出力例を示します。コンソール出力がない場合には、次のメッセージが表示されます。

hostname# show console-output
Sorry, there are no messages to display
 

 
関連コマンド

コマンド
説明

clear configure console

デフォルトのコンソール接続設定に戻します。

clear configure timeout

コンフィギュレーションのアイドル時間継続時間をデフォルトに戻します。

console timeout

適応型セキュリティ アプライアンスに対するコンソール接続のアイドル タイムアウトを設定します。

show running-config console timeout

適応型セキュリティ アプライアンスに対するコンソール接続のアイドル タイムアウトを表示します。

show context

割り当てられているインターフェイスを含むコンテキスト情報およびコンフィギュレーション ファイルの URL、設定済みコンテキスト数、またはシステム実行スペースからすべてのコンテキストのリストを表示するには、特権 EXEC モードで show context コマンドを使用します。

show context [ name | detail | count ]

 
構文の説明

count

(任意)設定済みコンテキスト数を表示します。

detail

(任意)稼動状態、内部使用情報を含むコンテキストに関する詳細を表示します。

name

(任意)コンテキスト名を設定します。名前を指定しなかった場合、適応型セキュリティ アプライアンスはすべてのコンテキストを表示します。コンテキスト内では、現在のコンテキスト名のみ入力できます。

 
デフォルト

システム実行スペースでは、名前を指定しなかった場合、適応型セキュリティ アプライアンスはすべてのコンテキストを表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(2)

割り当てられた IPS 仮想センサに関する情報が追加されました。

 
使用上のガイドライン

出力の説明については、「」の項を参照してください。

次に、 show context コマンドの出力例を示します。次の例は、3 種類のコンテキストを示しています。

hostname# show context
 
Context Name Interfaces URL
*admin GigabitEthernet0/1.100 flash:/admin.cfg
GigabitEthernet0/1.101
contexta GigabitEthernet0/1.200 flash:/contexta.cfg
GigabitEthernet0/1.201
contextb GigabitEthernet0/1.300 flash:/contextb.cfg
GigabitEthernet0/1.301
Total active Security Contexts: 3
 

表 24-7 に各フィールドの説明を示します。

 

表 24-7 show context のフィールド

フィールド
説明

Context Name

コンテキスト名をすべてリストします。アスタリスク(*)のついたコンテキスト名は管理コンテキストです。

Interfaces

このコンテキストに割り当てられたインターフェイス。

URL

適応型セキュリティ アプライアンスによるコンテキスト コンフィギュレーションのロード元である URL。

次に、システム実行スペースでの show context detail コマンドの出力例を示します。

hostname# show context detail
 
Context "admin", has been created, but initial ACL rules not complete
Config URL: flash:/admin.cfg
Real Interfaces: Management0/0
Mapped Interfaces: Management0/0
Real IPS Sensors: ips1, ips2
Mapped IPS Sensors: highsec, lowsec
Flags: 0x00000013, ID: 1
 
Context "ctx", has been created, but initial ACL rules not complete
Config URL: ctx.cfg
Real Interfaces: GigabitEthernet0/0.10, GigabitEthernet0/1.20,
GigabitEthernet0/2.30
Mapped Interfaces: int1, int2, int3
Real IPS Sensors: ips1, ips3
Mapped IPS Sensors: highsec, lowsec
Flags: 0x00000011, ID: 2
 
Context "system", is a system resource
Config URL: startup-config
Real Interfaces:
Mapped Interfaces: Control0/0, GigabitEthernet0/0,
GigabitEthernet0/0.10, GigabitEthernet0/1, GigabitEthernet0/1.10,
GigabitEthernet0/1.20, GigabitEthernet0/2, GigabitEthernet0/2.30,
GigabitEthernet0/3, Management0/0, Management0/0.1
Flags: 0x00000019, ID: 257
 
Context "null", is a system resource
Config URL: ... null ...
Real Interfaces:
Mapped Interfaces:
Flags: 0x00000009, ID: 258
 

表 24-8 に各フィールドの説明を示します。

 

表 24-8 コンテキストの状態

フィールド
説明

Context

コンテキストの名前。ヌル コンテキスト情報は、内部でのみ使用されます。システム コンテキストは、システム実行スペースを表します。

ステート メッセージ:

コンテキストの状態。表示される可能性のあるメッセージは次のとおりです。

Has been created, but initial ACL rules not complete

適応型セキュリティ アプライアンスはコンフィギュレーションを解析しましたが、デフォルト セキュリティ ポリシーを確立するためのデフォルト ACL をまだダウンロードしていません。デフォルト セキュリティ ポリシーは最初にすべてのコンテキストに適用されるため、セキュリティの低いレベルから高いレベルへのトラフィックの拒否、アプリケーション インスペクションのイネーブル化などのパラメータを含みます。このセキュリティ ポリシーにより、トラフィックはコンフィギュレーションの解析後には適応型セキュリティ アプライアンスを通過できないが、コンフィギュレーション ACL のコンパイル前は通過できることが保証されます。コンフィギュレーション ACL のコンパイル速度は非常に高速であるため、この状態が確認されることはほとんどありません。

Has been created, but not initialized

context name コマンドは入力されましたが、 config-url コマンドはまだ入力されていません。

Has been created, but the config hasn't been parsed

デフォルト ACL はダウンロードされましたが、適応型セキュリティ アプライアンスはまだコンフィギュレーションを解析していません。ネットワーク接続の問題でコンフィギュレーションのダウンロードが失敗する可能性があるため、この状態が存在する可能性があります。または、 config-url コマンドがまだ入力されていません。コンフィギュレーションを再ロードするには、そのコンテキストから copy startup-config running-config と入力します。システムから、 config-url コマンドを再入力します。また、空白の実行コンフィギュレーションの設定を開始できます。

Is a system resource

この状態は、システム実行スペース、およびヌル コンテキストにのみ適用されます。ヌル コンテキストはシステムにより使用されます。また、この情報は内部でのみ使用されます。

Is a zombie

no context コマンドまたは clear context コマンドによりコンテキストが削除されましたが、コンテキスト情報は適応型セキュリティ アプライアンスが新しいコンテキストでこのコンテキスト ID を再使用するか、再起動するまで、コンテキスト情報はメモリ内に残ります。

Is active

このコンテキストは現在実行中で、コンテキスト コンフィギュレーション セキュリティ ポリシーに従って、トラフィックを通過できます。

Is ADMIN and active

このコンテキストは管理コンテキストで、現在実行されています。

Was a former ADMIN, but is now a zombie

clear configure context コマンドにより管理コンテキストが削除されましたが、コンテキスト情報は適応型セキュリティ アプライアンスが新しいコンテキストでこのコンテキスト ID を再使用するか、再起動するまで、コンテキスト情報はメモリ内に残ります。

Real Interfaces

このコンテキストに割り当てられたインターフェイス。 allocate-interface コマンドでインターフェイス ID をマップした場合、ここにはインターフェイスの本当の名前が表示されます。

Mapped Interfaces

allocate-interface コマンドでインターフェイス ID をマップした場合、ここにはマップされた名前が表示されます。インターフェイスをマップしていない場合には、本当の名前がもう一度リストされます。

Real IPS Sensors

AIP SSM がインストールされている場合は、コンテキストに割り当てられている IPS 仮想センサ。 allocate-ips コマンドでセンサ名をマップした場合、ここにはセンサの本当の名前が表示されます。

Mapped IPS Sensors

allocate-ips コマンドでセンサ名をマップした場合、ここにはマップされた名前が表示されます。センサ名をマップしていない場合には、本当の名前がもう一度リストされます。

Flag

内部でのみ使用されます。

ID

このコンテキストでの内部 ID。

次に、 show context count コマンドの出力例を示します。

hostname# show context count
Total active contexts: 2

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

allocate-interface

コンテキストにインターフェイスを割り当てます。

changeto

コンテキスト間またはコンテキストとシステム実行スペースの間で切り替えを行います。

config-url

コンテキスト コンフィギュレーションの場所を指定します。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

show controller

存在するすべてのインターフェイスについて、コントローラ固有の情報を表示するには、特権 EXEC モードで show controller コマンドを使用します。

show controller [ slot ] [ [ physical_interface ] [ detail ]]

 
構文の説明

detail

(任意)コントローラの詳細を表示します。

physical_interface

(任意)インターフェイス ID を指定します。

slot

(任意)ASA 5580 適応型セキュリティ アプライアンスについてのみ、PCI-e バスおよびスロット情報を表示します。

 
デフォルト

インターフェイスを明確に指定しなかった場合、このコマンドは、すべてのインターフェイスの情報を表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

このコマンドは ASA 5505 のみではなく、すべてのプラットフォームに適用されるようになりました。 detail キーワードが追加されました。

8.1(1)

slot キーワードが ASA 5580 適応型セキュリティ アプライアンスに追加されました。

 
使用上のガイドライン

このコマンドは、内部的不具合やカスタマーにより発見された不具合を調査するときに、Cisco TAC がコントローラについての有用なデバッグ情報を収集するために役立ちます。実際の出力は、モデルおよびイーサネット コントローラによって異なります。

次に、 show controller コマンドの出力例を示します。

hostname# show controller
 
Ethernet0/0:
Marvell 88E6095 revision 2, switch port 7
PHY Register:
Control: 0x3000 Status: 0x786d
Identifier1: 0x0141 Identifier2: 0x0c85
Auto Neg: 0x01e1 LP Ability: 0x40a1
Auto Neg Ex: 0x0005 PHY Spec Ctrl: 0x0130
PHY Status: 0x4c00 PHY Intr En: 0x0400
Int Port Sum: 0x0000 Rcv Err Cnt: 0x0000
Led select: 0x1a34
Reg 29: 0x0003 Reg 30: 0x0000
Port Registers:
Status: 0x0907 PCS Ctrl: 0x0003
Identifier: 0x0952 Port Ctrl: 0x0074
Port Ctrl-1: 0x0000 Vlan Map: 0x077f
VID and PRI: 0x0001 Port Ctrl-2: 0x0cc8
Rate Ctrl: 0x0000 Rate Ctrl-2: 0x3000
Port Asc Vt: 0x0080
In Discard Lo: 0x0000 In Discard Hi: 0x0000
In Filtered: 0x0000 Out Filtered: 0x0000
 
Global Registers:
Control: 0x0482
 
---------------------------------------------------------------------
Number of VLANs: 1
---------------------------------------------------------------------
Vlan[db]\Port| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
---------------------------------------------------------------------
<0001[01]> | EUT| EUT| EUT| EUT| EUT| EUT| EUT| EUT| EUM| NM | NM |
---------------------------------------------------------------------
 
....
 
Ethernet0/6:
Marvell 88E6095 revision 2, switch port 1
PHY Register:
Control: 0x3000 Status: 0x7849
Identifier1: 0x0141 Identifier2: 0x0c85
Auto Neg: 0x01e1 LP Ability: 0x0000
Auto Neg Ex: 0x0004 PHY Spec Ctrl: 0x8130
PHY Status: 0x0040 PHY Intr En: 0x8400
Int Port Sum: 0x0000 Rcv Err Cnt: 0x0000
Led select: 0x1a34
Reg 29: 0x0003 Reg 30: 0x0000
Port Registers:
Status: 0x0007 PCS Ctrl: 0x0003
Identifier: 0x0952 Port Ctrl: 0x0077
Port Ctrl-1: 0x0000 Vlan Map: 0x07fd
VID and PRI: 0x0001 Port Ctrl-2: 0x0cc8
Rate Ctrl: 0x0000 Rate Ctrl-2: 0x3000
Port Asc Vt: 0x0002
In Discard Lo: 0x0000 In Discard Hi: 0x0000
In Filtered: 0x0000 Out Filtered: 0x0000
----Inline power related counters and registers----
Power on fault: 0 Power off fault: 0
Detect enable fault: 0 Detect disable fault: 0
Faults: 0
Driver counters:
I2C Read Fail: 0 I2C Write Fail: 0
Resets: 1 Initialized: 1
PHY reset error: 0
LTC4259 registers:
INTRPT STATUS = 0x88 INTRPT MASK = 0x00 POWER EVENT = 0x00
DETECT EVENT = 0x03 FAULT EVENT = 0x00 TSTART EVENT = 0x00
SUPPLY EVENT = 0x02 PORT1 STATUS = 0x06 PORT2 STATUS = 0x06
PORT3 STATUS = 0x00 PORT4 STATUS = 0x00 POWER STATUS = 0x00
OPERATE MODE = 0x0f DISC. ENABLE = 0x30 DT/CLASS ENBL = 0x33
TIMING CONFIG = 0x00 MISC. CONFIG = 0x00
 
...
 
Internal-Data0/0:
Y88ACS06 Register settings:
rap 0xe0004000 = 0x00000000
ctrl_status 0xe0004004 = 0x5501064a
irq_src 0xe0004008 = 0x00000000
irq_msk 0xe000400c = 0x00000000
irq_hw_err_src 0xe0004010 = 0x00000000
irq_hw_err_msk 0xe0004014 = 0x00001000
bmu_cs_rxq 0xe0004060 = 0x002aaa80
bmu_cs_stxq 0xe0004068 = 0x01155540
bmu_cs_atxq 0xe000406c = 0x012aaa80
 
Bank 2: MAC address registers:
....
 

次に、 show ip controller detail コマンドの出力例を示します。

hostname# show controller gigabitethernet0/0 detail
 
GigabitEthernet0/0:
Intel i82546GB revision 03
 
Main Registers:
Device Control: 0xf8260000 = 0x003c0249
Device Status: 0xf8260008 = 0x00003347
Extended Control: 0xf8260018 = 0x000000c0
RX Config: 0xf8260180 = 0x0c000000
TX Config: 0xf8260178 = 0x000001a0
RX Control: 0xf8260100 = 0x04408002
TX Control: 0xf8260400 = 0x000400fa
TX Inter Packet Gap: 0xf8260410 = 0x00602008
RX Filter Cntlr: 0xf8260150 = 0x00000000
RX Chksum: 0xf8265000 = 0x00000300
 
RX Descriptor Registers:
RX Descriptor 0 Cntlr: 0xf8262828 = 0x00010000
RX Descriptor 0 AddrLo: 0xf8262800 = 0x01985000
RX Desccriptor 0 AddrHi: 0xf8262804 = 0x00000000
RX Descriptor 0 Length: 0xf8262808 = 0x00001000
RX Descriptor 0 Head: 0xf8262810 = 0x00000000
RX Descriptor 0 Tail: 0xf8262818 = 0x000000ff
RX Descriptor 1 Cntlr: 0xf8262828 = 0x00010000
RX Descriptor 1 AddrLo: 0xf8260138 = 0x00000000
RX Descriptor 1 AddrHi: 0xf826013c = 0x00000000
RX Descriptor 1 Length: 0xf8260140 = 0x00000000
RX Descriptor 1 Head: 0xf8260148 = 0x00000000
RX Descriptor 1 Tail: 0xf8260150 = 0x00000000
 
TX Descriptor Registers:
TX Descriptor 0 Cntlr: 0xf8263828 = 0x00000000
TX Descriptor 0 AddrLo: 0xf8263800 = 0x01987000
TX Descriptor 0 AddrHi: 0xf8263804 = 0x00000000
TX Descriptor 0 Length: 0xf8263808 = 0x00001000
TX Descriptor 0 Head: 0xf8263810 = 0x00000000
TX Descriptor 0 Tail: 0xf8263818 = 0x00000000
 
RX Address Array:
Ethernet Address 0: 0012.d948.ef58
Ethernet Address 1: Not Valid!
Ethernet Address 2: Not Valid!
Ethernet Address 3: Not Valid!
Ethernet Address 4: Not Valid!
Ethernet Address 5: Not Valid!
Ethernet Address 6: Not Valid!
Ethernet Address 7: Not Valid!
Ethernet Address 8: Not Valid!
Ethernet Address 9: Not Valid!
Ethernet Address a: Not Valid!
Ethernet Address b: Not Valid!
Ethernet Address c: Not Valid!
Ethernet Address d: Not Valid!
Ethernet Address e: Not Valid!
Ethernet Address f: Not Valid!
 
PHY Registers:
Phy Control: 0x1140
Phy Status: 0x7969
Phy ID 1: 0x0141
Phy ID 2: 0x0c25
Phy Autoneg Advertise: 0x01e1
Phy Link Partner Ability: 0x41e1
Phy Autoneg Expansion: 0x0007
Phy Next Page TX: 0x2801
Phy Link Partnr Next Page: 0x0000
Phy 1000T Control: 0x0200
Phy 1000T Status: 0x4000
Phy Extended Status: 0x3000
 
Detailed Output - RX Descriptor Ring:
 
rx_bd[000]: baddr = 0x019823A2, length = 0x0000, status = 0x00
pkt chksum = 0x0000, errors = 0x00, special = 0x0000
rx_bd[001]: baddr = 0x01981A62, length = 0x0000, status = 0x00
pkt chksum = 0x0000, errors = 0x00, special = 0x0000
........
 

次に、 show ip controller slot コマンドの出力例を示します。

Slot Card Description PCI-e Bandwidth Cap.
---- ---------------- ----------------------
3. ASA 5580 2 port 10GE SR Fiber Interface Card Bus: x4, Card: x8
 
4. ASA 5580 4 port GE Copper Interface Card Bus: x4, Card: x4
 
5. ASA 5580 2 port 10GE SR Fiber Interface Card Bus: x8, Card: x8
 
6. ASA 5580 4 port GE Fiber Interface Card Bus: x4, Card: x4
 
7. empty Bus: x8
 
8. empty Bus: x8

 
関連コマンド

コマンド
説明

show interface

インターフェイスの統計情報を表示します。

show tech-support

Cisco TAC による問題の診断を可能にするような情報を表示します。

show coredump filesystem

コアダンプ ファイルシステムの内容を表示するには、show coredump filesystem コマンドを入力します。

show coredump filesystem

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、コアダンプはイネーブルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、コアダンプ ファイルシステムの内容を表示します。

最近生成されたコアダンプの内容を表示するには、show coredump filesystem コマンドを入力します。

hostname(config)# show coredump filesystem
Coredump Filesystem Size is 100 MB
Filesystem type is FAT for disk0
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/loop0 102182 75240 26942 74% /mnt/disk0/coredumpfsys
Directory of disk0:/coredumpfsys/
246 -rwx 20205386 19:14:53 Nov 26 2008 core_lina.2008Nov26_191244.203.11.gz
247 -rwx 36707919 19:17:27 Nov 26 2008 core_lina.2008Nov26_191456.203.6.gz

 
関連コマンド

コマンド
説明

coredump enable

コアダンプ機能をイネーブルにします。

clear configure coredump

コアダンプ ファイルシステムに現在保存されているコアダンプをすべて削除し、コアダンプ ログをクリアします。コアダンプ ファイルシステム自体での作業はないため、コアダンプ コンフィギュレーションが変更されたり、影響を受けたりすることはありません。

clear coredump

コアダンプ ファイルシステムに現在保存されているコアダンプをすべて削除し、コアダンプ ログをクリアします。コアダンプ ファイルシステム自体での作業はないため、コアダンプ コンフィギュレーションが変更されたり、影響を受けたりすることはありません。

show coredump log

コアダンプ ログを表示します。

show coredump log

新しいものから順に、コアダンプ ログの内容を表示するには、show coredump log コマンドを入力します。古いものから順に、コアダンプ ログの内容を表示するには、show coredump log reverse コマンドを入力します。

show coredump log

show coredump log [reverse]

 
構文の説明

reverse

最も古いコアダンプ ログを表示します。

 
デフォルト

デフォルトでは、コアダンプはイネーブルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、コアダンプ ログの内容を表示します。ログは、ディスク上に現在あるものを反映している必要があります。

次に、これらのコマンドの出力例を示します。

hostname(config)# show coredump log
[ 1 ] Wed Feb 18 22:12:09 2009: Coredump completed for module 'lina', coredump file 'core_lina.2009Feb18_221032.203.6.gz', size 971722752 bytes, compressed size 21293688
[ 2 ] Wed Feb 18 22:11:01 2009: Filesystem full on 'disk0', removing module coredump record 'core_lina.2009Feb18_213558.203.11.gz'
[ 3 ] Wed Feb 18 22:10:32 2009: Coredump started for module 'lina', generating coredump file 'core_lina.2009Feb18_221032.203.6.gz' on 'disk0'
[ 4 ] Wed Feb 18 21:37:35 2009: Coredump completed for module 'lina', coredump file 'core_lina.2009Feb18_213558.203.11.gz', size 971722752 bytes, compressed size 21286383
[ 5 ] Wed Feb 18 21:35:58 2009: Coredump started for module 'lina', generating coredump file 'core_lina.2009Feb18_213558.203.11.gz' on 'disk0'

) 新しいコアダンプ ファイルの場所を作るために、古いコアダンプ ファイルは削除されます。これは、コアダンプ ファイルシステムがいっぱいになり、現在のコアダンプ用にスペースが必要になったときに、適応型セキュリティ アプライアンスにより自動的に行われます。したがって、クラッシュのときにコアダンプが上書きされないようにするには、できるだけ迅速にコアダンプをアーカイブする必要があります。


hostname(config)# show coredump log reverse

[ 1 ] Wed Feb 18 21:35:58 2009: Coredump started for module 'lina', generating coredump file 'core_lina.2009Feb18_213558.203.11.gz' on 'disk0''
[ 2 ] Wed Feb 18 21:37:35 2009: Coredump completed for module 'lina', coredump file 'core_lina.2009Feb18_213558.203.11.gz', size 971722752 bytes, compressed size 21286383
[ 3 ] Wed Feb 18 22:10:32 2009: Coredump started for module 'lina', generating coredump file 'core_lina.2009Feb18_221032.203.6.gz' on 'disk0'
[ 4 ] Wed Feb 18 22:11:01 2009: Filesystem full on 'disk0', removing module coredump record 'core_lina.2009Feb18_213558.203.11.gz'
[ 5 ] Wed Feb 18 22:12:09 2009: Coredump completed for module 'lina', coredump file 'core_lina.2009Feb18_221032.203.6.gz', size 971722752 bytes, compressed size 21293688
 

 
関連コマンド

コマンド
説明

coredump enable

コアダンプ機能をイネーブルにします。

clear configure coredump

コアダンプ ファイルシステムに現在保存されているコアダンプをすべて削除し、コアダンプ ログをクリアします。コアダンプ ファイルシステム自体での作業はないため、コアダンプ コンフィギュレーションが変更されたり、影響を受けたりすることはありません。

clear coredump

コアダンプ ファイルシステムに現在保存されているコアダンプをすべて削除し、コアダンプ ログをクリアします。コアダンプ ファイルシステム自体での作業はないため、コアダンプ コンフィギュレーションが変更されたり、影響を受けたりすることはありません。

show coredump filesystem

コアダンプ ファイルシステムの内容を表示します。

show counters

プロトコル スタック カウンタを表示するには、特権 EXEC モードで show counters コマンドを使用します。

show counters [all | context context-name | summary | top N ] [ detail ] [protocol protocol_name [: counter_name ]] [ threshold N ]

 
構文の説明

all

フィルタの詳細を表示します。

context context-name

コンテキストの名前を指定します。

: counter_name

カウンタを名前で指定します。

detail

カウンタに関する追加情報を表示します。

protocol protocol_name

指定されたプロトコルのカウンタを表示します。

summary

カウンタの概要を表示します。

threshold N

指定されたしきい値以上のカウンタのみを表示します。指定できる範囲は 1 ~ 4294967295 です。

top N

指定されたしきい値以上のカウンタを表示します。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

show counters summary detail threshold 1

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、すべてのカウンタを表示する例を示します。

hostname# show counters all
Protocol Counter Value Context
IOS_IPC IN_PKTS 2 single_vf
IOS_IPC OUT_PKTS 2 single_vf
 
hostname# show counters
Protocol Counter Value Context
NPCP IN_PKTS 7195 Summary
NPCP OUT_PKTS 7603 Summary
IOS_IPC IN_PKTS 869 Summary
IOS_IPC OUT_PKTS 865 Summary
IP IN_PKTS 380 Summary
IP OUT_PKTS 411 Summary
IP TO_ARP 105 Summary
IP TO_UDP 9 Summary
UDP IN_PKTS 9 Summary
UDP DROP_NO_APP 9 Summary
FIXUP IN_PKTS 202 Summary

 

次に、カウンタの概要を表示する例を示します。

hostname# show counters summary
Protocol Counter Value Context
IOS_IPC IN_PKTS 2 Summary
IOS_IPC OUT_PKTS 2 Summary
 

次に、あるコンテキストで使用されているカウンタを表示する例を示します。

hostname# show counters context single_vf
Protocol Counter Value Context
IOS_IPC IN_PKTS 4 single_vf
IOS_IPC OUT_PKTS 4 single_vf

 
関連コマンド

コマンド
説明

clear counters

プロトコル スタック カウンタをクリアします。

show cpu

CPU 使用率情報を表示するには、特権 EXEC モードで show cpu usage コマンドを使用します。

show cpu [usage]

マルチ コンテキスト モードでシステム コンフィギュレーションから次のように入力します。

show cpu [usage] [context {all | context_name }]

 
構文の説明

all

ディスプレイにすべてのコンテキストを表示するように指定します。

context

ディスプレイにコンテキストを 1 つ表示するように指定します。

context_name

表示するコンテキストの名前を指定します。

usage

(任意)CPU の使用状況を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

CPU の使用状況は、負荷の近似値を使用して 5 秒ごとに算出されます。この近似値は、次回と次々回の移動平均に提供されます。

show cpu コマンドを使用して、プロセスに関連する負荷(つまり、シングル モード、およびマルチ コンテキスト モードのシステム コンフィギュレーションの両方で show process コマンドの出力にリストされた項目のためのアクティビティ)を発見することができます。

さらに、マルチ コンテキスト モードでは、設定済みのどのようなコンテキストであっても、各コンテキストに変更し、 show cpu コマンドを入力するか、またはこのコマンドの show cpu context バリアントを入力することにより、このコンテキストが消費する CPU へのプロセス関連負荷の明細を要求することができます。

プロセス関連負荷は整数に四捨五入されますが、コンテキスト関連負荷は小数点第 1 位まで求められます。たとえば、システム コンテキストから show cpu を入力したときと、 show cpu context system コマンドを入力したときでは、異なる結果がもたらされます。前者は show cpu context all に含まれるすべての概要ですが、後者はその概要の一部に過ぎません。

次に、CPU 使用率を表示する例を示します。

hostname# show cpu usage
CPU utilization for 5 seconds = 18%; 1 minute: 18%; 5 minutes: 18%
 

次の例では、マルチ モードでシステム コンテキストの CPU 使用率を表示する方法を示します。

hostname# show cpu context system
CPU utilization for 5 seconds = 9.1%; 1 minute: 9.2%; 5 minutes: 9.1%
 

次に、すべてのコンテキストでの CPU 使用率を表示する例を示します。

hostname# show cpu usage context all
5 sec 1 min 5 min Context Name
9.1% 9.2% 9.1% system
0.0% 0.0% 0.0% admin
5.0% 5.0% 5.0% one
4.2% 4.3% 4.2% two
 

次の例では、「one」という名前のコンテキストでの CPU 使用率を表示する例を示します。

hostname/one# show cpu usage
CPU utilization for 5 seconds = 5.0%; 1 minute: 5.0%; 5 minutes: 5.0%
 

 
関連コマンド

コマンド
説明

show counters

プロトコル スタック カウンタを表示します。

show crashinfo

フラッシュ メモリに保存されているクラッシュしたファイルのコンテンツを表示するには、特権 EXEC モードで show crashinfo コマンドを入力します。

show crashinfo [ save ]

 
構文の説明

save

(任意)適応型セキュリティ アプライアンスはクラッシュ情報をフラッシュ メモリに保存するように設定されているかどうかを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

クラッシュ ファイルがテスト クラッシュから得られた( crashinfo test コマンドから生成された)ものである場合、そのクラッシュ ファイルの先頭文字列は「 : Saved_Test_Crash 」、最後の文字列は「 : End_Test_Crash 」です。クラッシュ ファイルが本当のクラッシュから得られたものである場合、そのクラッシュファイルの先頭文字列は「 : Saved_Crash 」、最後の文字列は「 : End_Crash 」です(これには、 crashinfo force page-fault コマンド、または crashinfo force watchdog コマンドの使用によるクラッシュが含まれます)。

フラッシュにクラッシュ データが保存されていない場合、または clear crashinfo コマンドの実行によりクラッシュ データが削除されている場合、 show crashinfo コマンドを実行すると、エラー メッセージが表示されます。

次に、現在のクラッシュ情報コンフィギュレーションを表示する例を示します。

hostname# show crashinfo save
crashinfo save enable
 

次の例は、クラッシュ ファイル テストの出力を示しています(ただし、このテストが実際に適応型セキュリティ アプライアンスをクラッシュさせることはありません。シミュレートされたサンプル ファイルが提供されます)。

hostname(config)# crashinfo test
hostname(config)# exit
hostname# show crashinfo
: Saved_Test_Crash
 
Thread Name: ci/console (Old pc 0x001a6ff5 ebp 0x00e88920)
 
Traceback:
0: 00323143
1: 0032321b
2: 0010885c
3: 0010763c
4: 001078db
5: 00103585
6: 00000000
vector 0x000000ff (user defined)
edi 0x004f20c4
esi 0x00000000
ebp 0x00e88c20
esp 0x00e88bd8
ebx 0x00000001
edx 0x00000074
ecx 0x00322f8b
eax 0x00322f8b
error code n/a
eip 0x0010318c
cs 0x00000008
eflags 0x00000000
CR2 0x00000000
Stack dump: base:0x00e8511c size:16384, active:1476
0x00e89118: 0x004f1bb4
0x00e89114: 0x001078b4
0x00e89110-0x00e8910c: 0x00000000
0x00e89108-0x00e890ec: 0x12345678
0x00e890e8: 0x004f1bb4
0x00e890e4: 0x00103585
0x00e890e0: 0x00e8910c
0x00e890dc-0x00e890cc: 0x12345678
0x00e890c8: 0x00000000
0x00e890c4-0x00e890bc: 0x12345678
0x00e890b8: 0x004f1bb4
0x00e890b4: 0x001078db
0x00e890b0: 0x00e890e0
0x00e890ac-0x00e890a8: 0x12345678
0x00e890a4: 0x001179b3
0x00e890a0: 0x00e890b0
0x00e8909c-0x00e89064: 0x12345678
0x00e89060: 0x12345600
0x00e8905c: 0x20232970
0x00e89058: 0x616d2d65
0x00e89054: 0x74002023
0x00e89050: 0x29676966
0x00e8904c: 0x6e6f6328
0x00e89048: 0x31636573
0x00e89044: 0x7069636f
0x00e89040: 0x64786970
0x00e8903c-0x00e88e50: 0x00000000
0x00e88e4c: 0x000a7473
0x00e88e48: 0x6574206f
0x00e88e44: 0x666e6968
0x00e88e40: 0x73617263
0x00e88e3c-0x00e88e38: 0x00000000
0x00e88e34: 0x12345600
0x00e88e30-0x00e88dfc: 0x00000000
0x00e88df8: 0x00316761
0x00e88df4: 0x74706100
0x00e88df0: 0x12345600
0x00e88dec-0x00e88ddc: 0x00000000
0x00e88dd8: 0x00000070
0x00e88dd4: 0x616d2d65
0x00e88dd0: 0x74756f00
0x00e88dcc: 0x00000000
0x00e88dc8: 0x00e88e40
0x00e88dc4: 0x004f20c4
0x00e88dc0: 0x12345600
0x00e88dbc: 0x00000000
0x00e88db8: 0x00000035
0x00e88db4: 0x315f656c
0x00e88db0: 0x62616e65
0x00e88dac: 0x0030fcf0
0x00e88da8: 0x3011111f
0x00e88da4: 0x004df43c
0x00e88da0: 0x0053fef0
0x00e88d9c: 0x004f1bb4
0x00e88d98: 0x12345600
0x00e88d94: 0x00000000
0x00e88d90: 0x00000035
0x00e88d8c: 0x315f656c
0x00e88d88: 0x62616e65
0x00e88d84: 0x00000000
0x00e88d80: 0x004f20c4
0x00e88d7c: 0x00000001
0x00e88d78: 0x01345678
0x00e88d74: 0x00f53854
0x00e88d70: 0x00f7f754
0x00e88d6c: 0x00e88db0
0x00e88d68: 0x00e88d7b
0x00e88d64: 0x00f53874
0x00e88d60: 0x00e89040
0x00e88d5c-0x00e88d54: 0x12345678
0x00e88d50-0x00e88d4c: 0x00000000
0x00e88d48: 0x004f1bb4
0x00e88d44: 0x00e88d7c
0x00e88d40: 0x00e88e40
0x00e88d3c: 0x00f53874
0x00e88d38: 0x004f1bb4
0x00e88d34: 0x0010763c
0x00e88d30: 0x00e890b0
0x00e88d2c: 0x00e88db0
0x00e88d28: 0x00e88d88
0x00e88d24: 0x0010761a
0x00e88d20: 0x00e890b0
0x00e88d1c: 0x00e88e40
0x00e88d18: 0x00f53874
0x00e88d14: 0x0010166d
0x00e88d10: 0x0000000e
0x00e88d0c: 0x00f53874
0x00e88d08: 0x00f53854
0x00e88d04: 0x0048b301
0x00e88d00: 0x00e88d30
0x00e88cfc: 0x0000000e
0x00e88cf8: 0x00f53854
0x00e88cf4: 0x0048a401
0x00e88cf0: 0x00f53854
0x00e88cec: 0x00f53874
0x00e88ce8: 0x0000000e
0x00e88ce4: 0x0048a64b
0x00e88ce0: 0x0000000e
0x00e88cdc: 0x00f53874
0x00e88cd8: 0x00f7f96c
0x00e88cd4: 0x0048b4f8
0x00e88cd0: 0x00e88d00
0x00e88ccc: 0x0000000f
0x00e88cc8: 0x00f7f96c
0x00e88cc4-0x00e88cc0: 0x0000000e
0x00e88cbc: 0x00e89040
0x00e88cb8: 0x00000000
0x00e88cb4: 0x00f5387e
0x00e88cb0: 0x00f53874
0x00e88cac: 0x00000002
0x00e88ca8: 0x00000001
0x00e88ca4: 0x00000009
0x00e88ca0-0x00e88c9c: 0x00000001
0x00e88c98: 0x00e88cb0
0x00e88c94: 0x004f20c4
0x00e88c90: 0x0000003a
0x00e88c8c: 0x00000000
0x00e88c88: 0x0000000a
0x00e88c84: 0x00489f3a
0x00e88c80: 0x00e88d88
0x00e88c7c: 0x00e88e40
0x00e88c78: 0x00e88d7c
0x00e88c74: 0x001087ed
0x00e88c70: 0x00000001
0x00e88c6c: 0x00e88cb0
0x00e88c68: 0x00000002
0x00e88c64: 0x0010885c
0x00e88c60: 0x00e88d30
0x00e88c5c: 0x00727334
0x00e88c58: 0xa0ffffff
0x00e88c54: 0x00e88cb0
0x00e88c50: 0x00000001
0x00e88c4c: 0x00e88cb0
0x00e88c48: 0x00000002
0x00e88c44: 0x0032321b
0x00e88c40: 0x00e88c60
0x00e88c3c: 0x00e88c7f
0x00e88c38: 0x00e88c5c
0x00e88c34: 0x004b1ad5
0x00e88c30: 0x00e88c60
0x00e88c2c: 0x00e88e40
0x00e88c28: 0xa0ffffff
0x00e88c24: 0x00323143
0x00e88c20: 0x00e88c40
0x00e88c1c: 0x00000000
0x00e88c18: 0x00000008
0x00e88c14: 0x0010318c
0x00e88c10-0x00e88c0c: 0x00322f8b
0x00e88c08: 0x00000074
0x00e88c04: 0x00000001
0x00e88c00: 0x00e88bd8
0x00e88bfc: 0x00e88c20
0x00e88bf8: 0x00000000
0x00e88bf4: 0x004f20c4
0x00e88bf0: 0x000000ff
0x00e88bec: 0x00322f87
0x00e88be8: 0x00f5387e
0x00e88be4: 0x00323021
0x00e88be0: 0x00e88c10
0x00e88bdc: 0x004f20c4
0x00e88bd8: 0x00000000 *
0x00e88bd4: 0x004eabb0
0x00e88bd0: 0x00000001
0x00e88bcc: 0x00f5387e
0x00e88bc8-0x00e88bc4: 0x00000000
0x00e88bc0: 0x00000008
0x00e88bbc: 0x0010318c
0x00e88bb8-0x00e88bb4: 0x00322f8b
0x00e88bb0: 0x00000074
0x00e88bac: 0x00000001
0x00e88ba8: 0x00e88bd8
0x00e88ba4: 0x00e88c20
0x00e88ba0: 0x00000000
0x00e88b9c: 0x004f20c4
0x00e88b98: 0x000000ff
0x00e88b94: 0x001031f2
0x00e88b90: 0x00e88c20
0x00e88b8c: 0xffffffff
0x00e88b88: 0x00e88cb0
0x00e88b84: 0x00320032
0x00e88b80: 0x37303133
0x00e88b7c: 0x312f6574
0x00e88b78: 0x6972772f
0x00e88b74: 0x342f7665
0x00e88b70: 0x64736666
0x00e88b6c: 0x00020000
0x00e88b68: 0x00000010
0x00e88b64: 0x00000001
0x00e88b60: 0x123456cd
0x00e88b5c: 0x00000000
0x00e88b58: 0x00000008
 
Cisco XXX Firewall Version X.X
Cisco XXX Device Manager Version X.X
 
Compiled on Fri 15-Nov-04 14:35 by root
 
hostname up 10 days 0 hours
 
Hardware: XXX-XXX, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
 
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This XXX has a Restricted (R) license.
 
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 13:49:42.148 UTC Wed Nov 20 2004
 
------------------ show clock ------------------
 
15:34:28.129 UTC Sun Nov 24 2004
 
------------------ show memory ------------------
 
Free memory: 50444824 bytes
Used memory: 16664040 bytes
------------- ----------------
Total memory: 67108864 bytes
 
------------------ show conn count ------------------
 
0 in use, 0 most used
 
------------------ show xlate count ------------------
 
0 in use, 0 most used
 
------------------ show blocks ------------------
 
SIZE MAX LOW CNT
4 1600 1600 1600
80 400 400 400
256 500 499 500
1550 1188 795 927
 
------------------ show interface ------------------
 
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0003.e300.73fd
IP address 172.23.59.232, subnet mask 255.255.0.0
MTU 1500 bytes, BW 10000 Kbit half duplex
6139 packets input, 830375 bytes, 0 no buffer
Received 5990 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
90 packets output, 6160 bytes, 0 underruns
0 output errors, 13 collisions, 0 interface resets
0 babbles, 0 late collisions, 47 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (5/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet1 "inside" is up, line protocol is down
Hardware is i82559 ethernet, address is 0003.e300.73fe
IP address 10.1.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 60 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet2 "intf2" is administratively down, line protocol is down
Hardware is i82559 ethernet, address is 00d0.b7c8.139e
IP address 127.0.0.1, subnet mask 255.255.255.255
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
 
------------------ show cpu usage ------------------
 
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
 
------------------ show process ------------------
 
 
PC SP STATE Runtime SBASE Stack Process
Hsi 001e3329 00763e7c 0053e5c8 0 00762ef4 3784/4096 arp_timer
Lsi 001e80e9 00807074 0053e5c8 0 008060fc 3792/4096 FragDBGC
Lwe 00117e3a 009dc2e4 00541d18 0 009db46c 3704/4096 dbgtrace
Lwe 003cee95 009de464 00537718 0 009dc51c 8008/8192 Logger
Hwe 003d2d18 009e155c 005379c8 0 009df5e4 8008/8192 tcp_fast
Hwe 003d2c91 009e360c 005379c8 0 009e1694 8008/8192 tcp_slow
Lsi 002ec97d 00b1a464 0053e5c8 0 00b194dc 3928/4096 xlate clean
Lsi 002ec88b 00b1b504 0053e5c8 0 00b1a58c 3888/4096 uxlate clean
Mrd 002e3a17 00c8f8d4 0053e600 0 00c8d93c 7908/8192 tcp_intercept_times
Lsi 00423dd5 00d3a22c 0053e5c8 0 00d392a4 3900/4096 route_process
Hsi 002d59fc 00d3b2bc 0053e5c8 0 00d3a354 3780/4096 PIX Garbage Collecr
Hwe 0020e301 00d5957c 0053e5c8 0 00d55614 16048/16384 isakmp_time_keepr
Lsi 002d377c 00d7292c 0053e5c8 0 00d719a4 3928/4096 perfmon
Hwe 0020bd07 00d9c12c 0050bb90 0 00d9b1c4 3944/4096 IPSec
Mwe 00205e25 00d9e1ec 0053e5c8 0 00d9c274 7860/8192 IPsec timer handler
Hwe 003864e3 00db26bc 00557920 0 00db0764 6904/8192 qos_metric_daemon
Mwe 00255a65 00dc9244 0053e5c8 0 00dc8adc 1436/2048 IP Background
Lwe 002e450e 00e7bb94 00552c30 0 00e7ad1c 3704/4096 pix/trace
Lwe 002e471e 00e7cc44 00553368 0 00e7bdcc 3704/4096 pix/tconsole
Hwe 001e5368 00e7ed44 00730674 0 00e7ce9c 7228/8192 pix/intf0
Hwe 001e5368 00e80e14 007305d4 0 00e7ef6c 7228/8192 pix/intf1
Hwe 001e5368 00e82ee4 00730534 2470 00e8103c 4892/8192 pix/intf2
H* 001a6ff5 0009ff2c 0053e5b0 4820 00e8511c 12860/16384 ci/console
Csi 002dd8ab 00e8a124 0053e5c8 0 00e891cc 3396/4096 update_cpu_usage
Hwe 002cb4d1 00f2bfbc 0051e360 0 00f2a134 7692/8192 uauth_in
Hwe 003d17d1 00f2e0bc 00828cf0 0 00f2c1e4 7896/8192 uauth_thread
Hwe 003e71d4 00f2f20c 00537d20 0 00f2e294 3960/4096 udp_timer
Hsi 001db3ca 00f30fc4 0053e5c8 0 00f3004c 3784/4096 557mcfix
Crd 001db37f 00f32084 0053ea40 508286220 00f310fc 3688/4096 557poll
Lsi 001db435 00f33124 0053e5c8 0 00f321ac 3700/4096 557timer
Hwe 001e5398 00f441dc 008121e0 0 00f43294 3912/4096 fover_ip0
Cwe 001dcdad 00f4523c 00872b48 120 00f44344 3528/4096 ip/0:0
Hwe 001e5398 00f4633c 008121bc 10 00f453f4 3532/4096 icmp0
Hwe 001e5398 00f47404 00812198 0 00f464cc 3896/4096 udp_thread/0
Hwe 001e5398 00f4849c 00812174 0 00f475a4 3456/4096 tcp_thread/0
Hwe 001e5398 00f495bc 00812150 0 00f48674 3912/4096 fover_ip1
Cwe 001dcdad 00f4a61c 008ea850 0 00f49724 3832/4096 ip/1:1
Hwe 001e5398 00f4b71c 0081212c 0 00f4a7d4 3912/4096 icmp1
Hwe 001e5398 00f4c7e4 00812108 0 00f4b8ac 3896/4096 udp_thread/1
Hwe 001e5398 00f4d87c 008120e4 0 00f4c984 3832/4096 tcp_thread/1
Hwe 001e5398 00f4e99c 008120c0 0 00f4da54 3912/4096 fover_ip2
Cwe 001e542d 00f4fa6c 00730534 0 00f4eb04 3944/4096 ip/2:2
Hwe 001e5398 00f50afc 0081209c 0 00f4fbb4 3912/4096 icmp2
Hwe 001e5398 00f51bc4 00812078 0 00f50c8c 3896/4096 udp_thread/2
Hwe 001e5398 00f52c5c 00812054 0 00f51d64 3832/4096 tcp_thread/2
Hwe 003d1a65 00f78284 008140f8 0 00f77fdc 300/1024 listen/http1
Mwe 0035cafa 00f7a63c 0053e5c8 0 00f786c4 7640/8192 Crypto CA
 
------------------ show failover ------------------
 
No license for Failover
 
------------------ show traffic ------------------
 
outside:
received (in 865565.090 secs):
6139 packets 830375 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 865565.090 secs):
90 packets 6160 bytes
0 pkts/sec 0 bytes/sec
inside:
received (in 865565.090 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 865565.090 secs):
1 packets 60 bytes
0 pkts/sec 0 bytes/sec
intf2:
received (in 865565.090 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 865565.090 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
 
------------------ show perfmon ------------------
 
 
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
: End_Test_Crash

 
関連コマンド

コマンド
説明

clear crashinfo

クラッシュ ファイルの内容を削除します。

crashinfo force

適応型セキュリティ アプライアンスを強制的にクラッシュさせます。

crashinfo save disable

フラッシュ メモリにクラッシュ情報を書き込めないようにします。

crashinfo test

適応型セキュリティ アプライアンスでフラッシュ メモリ内のファイルにクラッシュ情報を保存できるかどうかをテストします。

show crashinfo console

crashinfo console コマンドのコンフィギュレーション設定を表示するには、show crashinfo console コマンドを入力します。

show crashinfo console

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

FIPS 140-2 への準拠のため、暗号境界(シャーシ)の外側への重要なセキュリティ パラメータ(キー、パスワードなど)の配布は禁止です。assert または checkheaps エラーによりデバイスがクラッシュした場合、コンソールにダンプされたスタックまたはメモリ領域に気密データが含まれている可能性があります。FIPS モードではこの出力を抑制する必要があります。

sw8-5520(config)# show crashinfo console
crashinfo console enable
 

 
関連コマンド

コマンド
説明

clear configure fips

NVRAM に保存されているシステムまたはモジュールの FIPS コンフィギュレーション情報をクリアします。

crashinfo console disable

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、およびコンフィギュレーションをディセーブルにします。

fips enable

システムまたはモジュールで FIPS 準拠を強制するためのポリシー チェックをイネーブルまたはディセーブルにします。

fips self-test poweron

電源投入時自己診断テストを実行します。

show running-config fips

セキュリティ アプライアンスで実行されている FIPS コンフィギュレーションを表示します。

show crypto accelerator statistics

ハードウェア暗号アクセラレータ MIB からグローバル統計情報、およびアクセラレータ固有の統計情報を表示するには、グローバル コンフィギュレーション モード、または特権 EXEC モードで show crypto accelerator statistics コマンドを使用します。

show crypto accelerator statistics

 
構文の説明

このコマンドには、キーワードや変数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

出力統計情報は次のように定義されます。

Accelerator 0 はソフトウェア ベースの暗号エンジンの統計情報を示します。

Accelerator 1 はハードウェア ベースの暗号エンジンの統計情報を示します。

RSA 統計情報は、2048 ビット キーの RSA 操作を示します。これはソフトウェアでのみ実行されます。つまり、2048 ビット キーを持っている場合、IKE/SSL VPN は、IPSec/SSL ネゴシエーション フェーズに、ソフトウェアで RSA 操作を実行します。実際の IPSec/SSL トラフィックは、依然として、ハードウェアを使用して処理されています。これは、同時に多数のセッションが開始された場合に高い CPU 使用率を引き起こす原因となる可能性があります。その結果、複数の RSA キー操作が発生し、CPU 使用率が高くなる可能性があります。これが原因で CPU 使用率の高い状態に陥った場合は、1024 ビット キーを使用して、ハードウェアで RSA キー操作を処理する必要があります。そのためには、ID 証明書を再登録する必要があります。

2048 ビットの RSA キーを使用しているときに、ソフトウェアで RSA 処理を実行する場合、CPU プロファイリングを使用して、CPU の使用率を高くしている関数を判断することができます。一般に、bn_* および BN_* 関数は、RSA で使用される大きなデータ セットに対する数学的操作で、ソフトウェアでの RSA 操作中に CPU 使用率を調べるためには最も便利です。次の例を参考にしてください。

@@@@@@@@@@@@@@@@@@................................ 36.50% : _bn_mul_add_words
@@@@@@@@@......................................... 19.75% : _bn_sqr_comba8

Diffie-Hellman 統計情報は、どのような暗号操作でも、モジュラス サイズが 1024 を超える操作はすべてソフトウェアで実行されることを示します(例:DH5(Diffie-Hellman グループ 5 は 1536 を使用します))。この場合、2048 ビットのキー証明書はソフトウェアで処理されます。その結果、多数のセッションが実行されている場合、CPU 使用率が高くなります。


) ハードウェア アクセラレータによる 2048 ビット RSA キー生成.をサポートしているのは、ASA 5580(Cavium 社製暗号チップ搭載)のみです。ASA 5510、5520、5540、および 5550 はハードウェア アクセラレータによる 2048 ビット キー生成をサポートしていません。ASA 5505(Cavium CN505 プロセッサ搭載)は、ハードウェア アクセラレータによる 768 および 1024 ビット キー生成について、Diffie-Hellman グループ 1 および 2 のみをサポートしています。Diffie-Hellman グループ 5(1536 ビット キー生成)はソフトウェアで行われます。


適応型セキュリティ アプライアンスの暗号エンジンが IPSec 操作および SSL 操作を実行します。ブート時にハードウェア暗号アクセラレータにロードされた crypto(Cavium)マイクロコードのバージョンを表示するには、 show version コマンドを入力します。次の例を参考にしてください。

hostname(config) show version
 
Cisco Adaptive Security Appliance Software Version 8.0(4)8
Device Manager Version 6.1(5)
Compiled on Wed 15-Oct-09 17:27 by builders
System image file is “disk0:/interim/asa804-8-k8.bin”
Config file at boot was "startup-config"
asa up 5 days 17 hours
Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 512MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05
 

DSA 統計情報は、キーの生成を 2 つのフェーズに分けて表示します。1 つめのフェーズはアルゴリズム パラメータの選択です。これはシステムの異なるユーザ間で共有されることがあります。2 つめのフェーズは、単一ユーザにより使用される秘密キーと公開キーの計算です。

SSL 統計情報には、ハードウェア暗号アクセラレータへの SSL トランザクションに関係する、プロセッサ負荷の高い公開キー暗号化アルゴリズムの記録が表示されます。

RNG 統計情報には、送信者および受信者の記録が表示されます。これにより、キーとして使用される同一の乱数セットが生成できます。

次に、グローバル暗号アクセラレータ統計情報の例(グローバル コンフィギュレーション モード)を示します。

hostname # show crypto accelerator statistics
 
Crypto Accelerator Status
-------------------------
[Capacity]
Supports hardware crypto: True
Supports modular hardware crypto: False
Max accelerators: 1
Max crypto throughput: 100 Mbps
Max crypto connections: 750
[Global Statistics]
Number of active accelerators: 1
Number of non-operational accelerators: 0
Input packets: 700
Input bytes: 753488
Output packets: 700
Output error packets: 0
Output bytes: 767496
[Accelerator 0]
Status: Active
Software crypto engine
Slot: 0
Active time: 167 seconds
Total crypto transforms: 7
Total dropped packets: 0
[Input statistics]
Input packets: 0
Input bytes: 0
Input hashed packets: 0
Input hashed bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[Output statistics]
Output packets: 0
Output bad packets: 0
Output bytes: 0
Output hashed packets: 0
Output hashed bytes: 0
Encrypted packets: 0
Encrypted bytes: 0
[Diffie-Hellman statistics]
Keys generated: 0
Secret keys derived: 0
[RSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
Encrypted packets: 0
Encrypted bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[DSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
[SSL statistics]
Outbound records: 0
Inbound records: 0
[RNG statistics]
Random number requests: 98
Random number request failures: 0
[Accelerator 1]
Status: Active
Encryption hardware device : Cisco ASA-55x0 on-board accelerator
(revision 0x0)
Boot microcode : CNlite-MC-Boot-Cisco-1.2
SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.03
Slot: 1
Active time: 170 seconds
Total crypto transforms: 1534
Total dropped packets: 0
[Input statistics]
Input packets: 700
Input bytes: 753544
Input hashed packets: 700
Input hashed bytes: 736400
Decrypted packets: 700
Decrypted bytes: 719944
[Output statistics]
Output packets: 700
Output bad packets: 0
Output bytes: 767552
Output hashed packets: 700
Output hashed bytes: 744800
Encrypted packets: 700
Encrypted bytes: 728352
[Diffie-Hellman statistics]
Keys generated: 97
Secret keys derived: 1
[RSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
Encrypted packets: 0
Encrypted bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[DSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
[SSL statistics]
Outbound records: 0
Inbound records: 0
[RNG statistics]
Random number requests: 1
Random number request failures: 0
 
 

次の表は、出力エントリが何を示しているかを説明しています。

 

出力
説明

Capacity

これは、適応型セキュリティ アプライアンスがサポートできる暗号アクセラレータに関係するセクションです。

Supports hardware crypto

(True/False)適応型セキュリティ アプライアンスはハードウェア暗号アクセラレーションをサポートできます。

Supports modular hardware crypto

(True/False)サポートされているハードウェア暗号アクセラレータであればどれでも、独立したプラグイン カードまたはモジュールとして挿入できます。

Max accelerators

適応型セキュリティ アプライアンスによりサポートされているハードウェア暗号アクセラレータ数の最大値。

Mac crypto throughput

適応型セキュリティ アプライアンスに対する定格 VPN スループットの最大値。

Max crypto connections

適応型セキュリティ アプライアンスについてサポートされている VPN トンネル数の最大値。

Global Statistics

これは、適応型セキュリティ アプライアンスで結合されたハードウェア暗号アクセラレータに関係するセクションです。

Number of active accelerators

アクティブなハードウェア アクセラレータの数。アクティブなハードウェア アクセラレータは初期化されており、各種 crypto コマンドの処理に使用できます。

Number of non-operational accelerators

非アクティブなハードウェア アクセラレータの数。非アクティブなハードウェア アクセラレータは検出されていますが、初期化が完了していないか、または初期化に失敗したため、使用できなくなっています。

Input packets

すべてのハードウェア暗号アクセラレータにより処理されたインバウンド パケットの数。

Input bytes

処理済みのインバウンド パケットにあるデータのバイト数。

Output packets

すべてのハードウェア暗号アクセラレータにより処理されたアウトバウンド パケットの数。

Output error packets

エラーが検出された、すべてのハードウェア暗号アクセラレータにより処理された処理済みアウトバウンド パケットの数。

Output bytes

処理済みのアウトバウンド パケットにあるデータのバイト数。

Accelerator 0

これらのセクションはそれぞれ、暗号アクセラレータに関係しています。1 つめ(Accelerator 0)は、必ず、ソフトウェア暗号エンジンです。ハードウェア アクセラレータではありませんが、適応型セキュリティ アプライアンスはこれを使用して、特定の暗号タスクを実行します。その統計情報はここに表示されます。Accelerator 1 以降は常にハードウェア暗号アクセラレータです。

Status

アクセラレータのステータス。アクセラレータが初期化中か、アクティブか、またはエラー状態にあるかを示します。

Software crypto engine

アクセラレータのタイプ、およびファームウェアのバージョン(該当する場合)。

Slot

アクセラレータのスロット番号(該当する場合)。

Active time

アクセラレータがアクティブ状態を継続している時間。

Total crypto transforms

アクセラレータにより実行された crypto コマンドの総数。

Total dropped packets

エラーが原因でアクセラレータによりドロップされたパケットの総数。

Input statistics

これはアクセラレータにより処理された入力トラフィックに関係するセクションです。入力トラフィックは、復号化または認証、もしくはこの両方を必要とする暗号化されたテキストと見なされます。

Input packets

アクセラレータにより処理された入力パケットの数。

Input bytes

アクセラレータにより処理された入力バイト数。

Input hashed packets

アクセラレータによるハッシュ操作を受けたパケット数。

Input hashed bytes

アクセラレータによるハッシュ操作を受けたバイト数。

Decrypted packets

アクセラレータによる対称復号化操作を受けたパケット数。

Decrypted bytes

アクセラレータによる対称復号化操作を受けたバイト数。

Output statistics

これはアクセラレータにより処理されている出力トラフィックに関係するセクションです。入力トラフィックは、暗号化またはハッシュ化、もしくはこの両方を必要とするクリア テキストと見なされます。

Output packets

アクセラレータにより処理された出力パケットの数。

Output bad packets

エラーが検出された、アクセラレータにより処理された出力パケットの数。

Output bytes

アクセラレータにより処理された出力バイト数。

Output hashed packets

アクセラレータによるアウトバウンド ハッシュ操作を受けたパケット数。

Output hashed bytes

アクセラレータによるアウトバウンド ハッシュ操作を受けたバイト数。

Encyrpted packets

アクセラレータによる対称暗号化操作を受けたパケット数。

Encyrpted bytes

アクセラレータによる対称暗号化操作を受けたバイト数。

Diffie-Hellman statistics

これは、Diffie-Hellman キー エクスチェンジ操作に関係するセクションです。

Keys generated

アクセラレータにより生成された Diffie-Hellman キー セットの数。

Secret keys derived

アクセラレータにより導出された Diffie-Hellman 共有秘密の数。

RSA statistics

これは、RSA 暗号操作に関係するセクションです。

Keys generated

アクセラレータにより生成された RSA キー セットの数。

Signatures

アクセラレータにより実行された RSA シグニチャ操作の回数。

Verifications

アクセラレータにより実行された RSA シグニチャ検証の回数。

Encrypted packets

アクセラレータによる RSA 暗号化操作を受けたパケット数。

Decrypted packets

アクセラレータによる RSA 復号化操作を受けたパケット数。

Decrypted bytes

アクセラレータによる RSA 復号化操作を受けたデータのバイト数。

DSA statistics

これは、DSA 操作に関係するセクションです。バージョン 8.2 以降、DSA はサポートされていないため、この統計は表示されないことに注意してください。

Keys generated

アクセラレータにより生成された DSA キー セットの数。

Signatures

アクセラレータにより実行された DSA シグニチャ操作の回数。

Verifications

アクセラレータにより実行された DSA シグニチャ検証の回数。

SSL statistics

これは、SSL レコード処理操作に関係するセクションです。

Outbound records

アクセラレータにより暗号化および認証された SSL レコードの数。

Inbound records

アクセラレータにより復号化および認証された SSL レコードの数。

RNG statistics

これは、乱数生成に関係するセクションです。

Random number requests

アクセラレータに対する乱数要求の数。

Random number request failures

アクセラレータに対する乱数要求が成功しなかった回数。

 
関連コマンド

コマンド
説明

clear crypto accelerator statistics

暗号アクセラレータ MIB にあるグローバルおよびアクセラレータ固有の統計情報をクリアします。

clear crypto protocol statistics

暗号アクセラレータ MIB にあるプロトコル固有の統計情報をクリアします。

show crypto protocol statistics

暗号アクセラレータ MIB からプロトコル固有の統計情報を表示します。

show crypto ca certificates

特定のトラストポイントに関連付けられている証明書、またはシステムにインストールされている証明書をすべて表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ca certificates コマンドを使用します。

show crypto ca certificates [ trustpointname ]

 
構文の説明

trustpointname

(任意)トラストポイントの名前。名前を指定しなかった場合、システムにインストールされているすべての証明書が表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例をグローバル コンフィギュレーション モードで入力すると、tp1 という名前のトラストポイントの CA 証明書が表示されます。

hostname(config)# show crypto ca certificates tp1
CA Certificate
Status: Available
Certificate Serial Number 2957A3FF296EF854FD0D6732FE25B45
Certificate Usage: Signature
Issuer:
CN = ms-root-sha-06-2004
OU = rootou
O = cisco
L = franklin
ST - massachusetts
C = US
EA = a@b.con
Subject:
CN = ms-root-sha-06-2004
OU = rootou
O = cisco
L = franklin
ST = massachusetts
C = US
EA = a@b.com
CRL Distribution Point
ldap://w2kadvancedsrv/CertEnroll/ms-root-sha-06-2004.crl
Validity Date:
start date: 14:11:40 UTC Jun 26 2004
end date: 14:01:30 UTC Jun 4 2022
Associated Trustpoints: tp2 tp1
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca aunticate

指定されたトラストポイントの CA 証明書を取得します。

crypto ca crl request

指定されたトラストポイントのコンフィギュレーション パラメータに基づいて CRL を要求します。

crypto ca enroll

CA を使用して、登録プロセスを開始します。

crypto ca import

指定されたトラストポイントに証明書をインポートします。

crypto ca trustpoint

指定されたトラストポイントでトラストポイント モードを開始します。

show crypto ca crls

キャッシュされている CRL すべて、または指定されたトラストポイントに対するすべての CRL を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ca crls コマンドを使用します。

show crypto ca crls [ trustpointname ]

 
構文の説明

trustpointname

(任意)トラストポイントの名前。名前を指定しなかった場合、システムにキャッシュされているすべての CRL が表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例をグローバル コンフィギュレーション モードで入力すると、tp1 という名前のトラストポイントの CRL が表示されます。

hostname(config)# show crypto ca crls tp1
CRL Issuer Name:
cn=ms-sub1-ca-5-2004,ou=Franklin DevTest,o=Cisco
Systems,l=Franklin,st=MA,c=US,ea=user@cisco.com
LastUpdate: 19:45:53 UTC Dec 24 2004
NextUpdate: 08:05:53 UTC Jan 1 2005
Retrieved from CRL Distribution Point:
http://win2k-ad2.frk-ms-pki.cisco.com/CertEnroll/ms-sub1-ca-5-2004.crl
Associated Trustpoints: tp1
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca aunticate

指定されたトラストポイントの CA 証明書を取得します。

crypto ca crl request

指定されたトラストポイントのコンフィギュレーション パラメータに基づいて CRL を要求します。

crypto ca enroll

CA を使用して、登録プロセスを開始します。

crypto ca import

指定されたトラストポイントに証明書をインポートします。

crypto ca trustpoint

指定されたトラストポイントでトラストポイント モードを開始します。

show crypto ca server

適応型セキュリティ アプライアンスにあるローカル Certificate Authority(CA; 認証局)コンフィギュレーションのステータスを表示するには、 show crypto ca server コマンドを使用します。

show crypto ca server

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次の例では、ローカル CA サーバ コンフィギュレーション データすべてのステータスが表示されます。

hostname# show crypto ca server
#Certificate Server LOCAL-CA-SERVER:
Status: disabled
State: disabled
Server's configuration is unlocked (enter "no shutdown" to lock it)
Issuer name: CN=asa1.cisco.com
CA cert fingerprint: -Not found-
Last certificate issued serial number: 0x0
CA certificate expiration timer: 00:00:00 UTC Jan 1 1970
CRL not present.
Current primary storage dir: nvram:
hostname#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

debug crypto ca server

ローカル CA サーバを設定するときに、デバッグ メッセージを表示します。

show crypto ca server certificate

ローカル CA 証明書を base64 フォーマットで表示します。

show crypto ca server crl

ローカル CA CRL のライフタイムを表示します。

show crypto ca server cert-db

ある特定のユーザに向けて発行されたものを含め、ローカル Certificate Authority(CA; 認証局)サーバ証明書をすべて、またはその一部を表示するには、 show crypto ca server cert-db コマンドを使用します。

show crypto ca server cert-db [user username | allowed | enrolled | expired | on-hold]

[serial certificate-serial-number]

 

 
構文の説明

allowed

登録を許可されているユーザを指定します。証明書のステータスは関係ありません。

enrolled

有効な証明書を持っているユーザの表示を指定します。

expired

期限切れの証明書持っているユーザの表示を指定します。

on-hold

まだ登録していないユーザの表示を指定します。

serial certificate-serial-number

表示する証明書のシリアル番号を指定します。シリアル番号は 16 進形式で入力します。

user username

証明書の所有者を指定します。ここではユーザ名の他、電子メール アドレスも指定できます。

 
デフォルト

デフォルトでは、ユーザ名、または証明書のシリアル番号が指定されていない場合、発行された証明書のデータベース全体が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

show crypto ca server cert-db コマンドは、ローカル CA サーバにより発行されたユーザ証明書のリストを表示します。特定のユーザ名と、必要に応じて証明書タイプのキーワードを 1 つ以上または証明書のシリアル番号、もしくはその両方を指定して、証明書データベースのサブセットを表示することができます。

キーワードやシリアル番号をつけず、ユーザ名のみを指定した場合、そのユーザに対して発行されている証明書がすべて表示されます。個々のユーザについて、まず、ユーザ名、renewal allowed till フィールド、number of times the user is notified のカウント数、PKCS12 file stored till の値が表示され、そのユーザに対して発行された証明書が 1 つずつリストされます。

証明書にはそれぞれ、シリアル番号、発行日、有効期限、およびステータス(Revoked/Not Revoked)が表示されます。

次に、CA サーバにより、Janedoe に対して発行された証明書すべての表示を要求する例を示します。

hostname# show crypto ca server cert-db user janedoe

 

次に、ローカル CA サーバにより発行された、シリアル番号が 0x100 以上の証明書すべての表示を要求する例を示します。

hostname# show crypto ca server cert-db serial 1oo

次に、ローカル CA サーバにより発行された証明書すべての表示を要求する例を示します。

hostname# show crypto ca server cert-db

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server revoke

証明書データベース、および Certificate Revocation List(CRL; 証明書失効リスト)の両方で、ローカル CA サーバにより発行された証明書を失効としてマークします。

lifetime crl

証明書失効リストのライフタイムを指定します。

show crypto ca server certificate

ローカル Certificate Authority(CA; 認証局)サーバの証明書を base64 フォーマットで表示するには、 show crypto ca server certificate コマンドを使用します。

show crypto ca server certificate

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

show crypto ca server certificate コマンドは、ローカル CA サーバ証明書を base64 フォーマットで表示します。これにより、証明書をカット アンド ペーストしながら、ローカル CA サーバの信用を必要とする他のデバイスにこの証明書をエクスポートで切るようになります。

次に、ローカル CA サーバのサーバ証明書を表示する例を示します。

hostname# show crypto ca server certificate
 
The base64 encoded local CA certificate follows:
 
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....
 

hostname #

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

issuer-name

認証局証明書のサブジェクト名 DN を指定します。

keysize

ユーザ証明書の登録時に生成される公開キーおよび秘密キーのサイズを指定します。

lifetime

CA 証明書と発行済みの証明書のライフタイムを指定します。

show crypto ca server

ローカル CA コンフィギュレーションを ASCII テキスト フォーマットで表示します。

show crypto ca server crl

ローカル Certificate Authority(CA; 認証局)の現在の Certificate Revocation List(CRL; 証明書失効リスト)を表示するには、 show crypto ca server crl コマンドを使用します。

show crypto ca server crl

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、組み込み CA サーバの現在の CRL を表示する例を示します。

hostname# show crypto ca server crl
asa5540(config)# sh cry ca ser crl
Certificate Revocation List:
Issuer: cn=asa5540.frqa.cisco.com
This Update: 07:32:27 UTC Oct 16 2006
Next Update: 13:32:27 UTC Oct 16 2006
Number of CRL entries: 0
CRL size: 232 bytes
asa5540(config)#
hostname#

 
関連コマンド

コマンド
説明

cdp-url

CA が発行する証明書に含める Certificate Revocation List(CRL; 証明書失効リスト)Distribution Point(CDP; 証明書失効リスト分散ポイント)を指定します。

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server revoke

ローカル CA サーバが発行した証明書を、証明書データベースと CRL で失効としてマークします。

lifetime crl

Certificate Revocation List(CRL; 証明書失効リスト)のライフタイムを指定します。

show crypto ca server

CA コンフィギュレーションのステータスを表示します。

show crypto ca server user-db

ローカル Certificate Authority(CA; 認証局)サーバのユーザ データベースに含まれるユーザを表示するには、 show crypto ca server user-db コマンドを使用します。

show crypto ca server user-db [ expired | allowed | on-hold | enrolled ]

 
構文の説明

allowed

(任意)登録を許可されているユーザを指定します。証明書のステータスは関係ありません。

enrolled

(任意)有効な証明書を持っているユーザの表示を指定します。

expired

(任意)期限切れの証明書持っているユーザの表示を指定します。

on-hold

(任意)まだ登録していないユーザの表示を指定します。

 
デフォルト

キーワードが入力されていない場合、デフォルトでは、データベース内のすべてのユーザが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次の例は、現在登録されているユーザを表示します。

hostname# crypto ca server user-db enrolled
Username DN Certificate issued Certificate expiration
jandoe cn=Jan Doe,o=... 5/31/2006 5/31/2007
 
hostname#

 
関連コマンド

コマンド
説明

crypto ca server user-db add

CA サーバのユーザ データベースにユーザを追加します。

crypto ca server user-db allow

CA サーバ データベース内の特定のユーザまたはユーザのサブセットに、ローカル CA への登録を許可します。

crypto ca server user-db remove

CA サーバのユーザ データベースからユーザを削除します。

crypto ca server user-db write

ローカル CA データベースに設定されているユーザ情報をストレージに書き込みます。

show crypto ca server cert-db

ローカル CA によって発行された証明書をすべて表示します。

show crypto debug-condition

現在設定されているフィルタ、状態の不一致、IPSec および ISAKMP デバッグ メッセージのエラー ステートを表示するには、グローバル コンフィギュレーション モードで show crypto debug-condition コマンドを使用します。

show crypto debug-condition

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、フィルタリング条件の表示例を示します。

hostname(config)# show crypto debug-condition
Crypto conditional debug is turned ON
IKE debug context unmatched flag: OFF
IPSec debug context unmatched flag: ON
 
IKE peer IP address filters:
1.1.1.0/24 2.2.2.2
 
IKE user name filters:
my_user
 

 
関連コマンド

コマンド
説明

debug crypto condition

IPSec および ISAKMP デバッグ メッセージのフィルタリング条件を設定します。

debug crypto condition error

フィルタリング条件が指定されているかどうかのデバッグ メッセージを表示します。

debug crypto condition unmatched

フィルタリングに十分なコンテキスト情報が含まれていない IPSec および ISAKMP のデバッグ メッセージを表示します。

show crypto ipsec df-bit

指定されたインターフェイスの IPSec パケットで使用されている IPSec DF ビット ポリシーを表示するには、グローバル コンフィギュレーション モード、および特権 EXEC モードで show crypto ipsec df-bit コマンドを使用します。

show crypto ipsec df-bit interface

 
構文の説明

interface

インターフェイス名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、inside という名前のインターフェイスで使用される IPSec DF ビット ポリシーが表示されます。

hostname(config)# show crypto ipsec df-bit inside
df-bit inside copy
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ipsec df-bit

IPSec パケット用の IPSec DF ビット ポリシーを設定します。

crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを設定します。

show crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを表示します。

show crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec fragmentation コマンドを使用します。

show crypto ipsec fragmentation interface

 
構文の説明

interface

インターフェイス名を指定します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次の例をグローバル コンフィギュレーション モードで入力すると、inside という名前のインターフェイスで使用される IPSec フラグメンテーション ポリシーが表示されます。

hostname(config)# show crypto ipsec fragmentation inside
fragmentation inside before-encryption
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを設定します。

crypto ipsec df-bit

IPSec パケットの DF ビット ポリシーを設定します。

show crypto ipsec df-bit

指定したインターフェイスの DF ビット ポリシーを表示します。

show crypto ipsec sa

IPSec SA のリストを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec sa コマンドを使用します。また、このコマンドの代替形式、 show ipsec sa も使用できます。

show crypto ipsec sa [ entry | identity | map map-name | peer peer-addr ] [ detail ]

 
構文の説明

detail

(任意)表示されているものに対する詳細なエラー情報を表示します。

entry

(任意)IPSec SA をピア アドレスの順に表示します。

identity

(任意)IPSec SA を ID の順に表示します。ESP は含まれません。これは簡略化された形式です。

map map-name

(任意)指定された暗号マップの IPSec SA を表示します。

peer peer-addr

(任意)指定されたピア IP アドレスの IPSec SA を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例をグローバル コンフィギュレーション モードで入力すると、IPSec SA が表示されます。

hostname(config)# show crypto ipsec sa
interface: outside2
Crypto map tag: def, local addr: 10.132.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (172.20.0.21/255.255.255.255/0/0)
current_peer: 172.20.0.21
dynamic allocated peer ip: 10.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1145, #pkts decrypt: 1145, #pkts verify: 1145
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 2, #pre-frag failures: 1, #fragments created: 10
#PMTUs sent: 5, #PMTUs rcvd: 2, #decapstulated frags needing reassembly: 1
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 10.132.0.17, remote crypto endpt.: 172.20.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 548
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 548
IV size: 8 bytes
replay detection support: Y
 
Crypto map tag: def, local addr: 10.132.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
hostname(config)#

) IPSec SA ポリシーに、フラグメンテーションは IPSec 処理の前に発生すると明記されている場合、フラグメンテーション統計情報は、フラグメンテーション前の統計情報です。SA ポリシーで、フラグメンテーションは IPSec 処理の後に発生すると明記されている場合、フラグメンテーション後の統計情報が表示されます。


次の例をグローバル コンフィギュレーション モードで入力すると、def という名前の暗号マップの IPSec SA が表示されます。

hostname(config)# show crypto ipsec sa map def
cryptomap: def
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1146, #pkts decrypt: 1146, #pkts verify: 1146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 480
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 480
IV size: 8 bytes
replay detection support: Y
 
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73672, #pkts encrypt: 73672, #pkts digest: 73672
#pkts decaps: 78824, #pkts decrypt: 78824, #pkts verify: 78824
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73672, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 263
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 263
IV size: 8 bytes
replay detection support: Y
hostname(config)#
 

次の例をグローバル コンフィギュレーション モードで入力すると、キーワード entry に対する IPSec SA が表示されます。

hostname(config)# show crypto ipsec sa entry
peer address: 10.132.0.21
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 429
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 429
IV size: 8 bytes
replay detection support: Y
 
peer address: 10.135.1.8
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73723, #pkts encrypt: 73723, #pkts digest: 73723
#pkts decaps: 78878, #pkts decrypt: 78878, #pkts verify: 78878
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73723, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 212
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 212
IV size: 8 bytes
replay detection support: Y
hostname(config)#
 

次の例をグローバル コンフィギュレーション モードで入力すると、キーワード entry detail を使って、IPSec SA が表示されます。

hostname(config)# show crypto ipsec sa entry detail
peer address: 10.132.0.21
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1148, #pkts decrypt: 1148, #pkts verify: 1148
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 322
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 322
IV size: 8 bytes
replay detection support: Y
 
peer address: 10.135.1.8
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73831, #pkts encrypt: 73831, #pkts digest: 73831
#pkts decaps: 78989, #pkts decrypt: 78989, #pkts verify: 78989
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73831, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 104
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 104
IV size: 8 bytes
replay detection support: Y
hostname(config)#
 

次に、キーワード identity を使った IPSec SA の例を示します。

hostname(config)# show crypto ipsec sa identity
interface: outside2
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73756, #pkts encrypt: 73756, #pkts digest: 73756
#pkts decaps: 78911, #pkts decrypt: 78911, #pkts verify: 78911
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73756, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 

次に、キーワード identity および detail を使った IPSec SA の例を示します。

hostname(config)# show crypto ipsec sa identity detail
interface: outside2
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73771, #pkts encrypt: 73771, #pkts digest: 73771
#pkts decaps: 78926, #pkts decrypt: 78926, #pkts verify: 78926
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73771, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

isakmp enable

IPSec ピアが適応型セキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。

show running-config isakmp

アクティブな ISAKMP コンフィギュレーションをすべて表示します。

show crypto ipsec stats

IPSec 統計情報のリストを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec stats コマンドを使用します。

show crypto ipsec stats

 
構文の説明

このコマンドには、キーワードや変数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次の例をグローバル コンフィギュレーション モードで入力すると、IPSec 統計情報が表示されます。

hostname(config)# show crypto ipsec stats
 
IPsec Global Statistics
-----------------------
Active tunnels: 2
Previous tunnels: 9
Inbound
Bytes: 4933013
Decompressed bytes: 4933013
Packets: 80348
Dropped packets: 0
Replay failures: 0
Authentications: 80348
Authentication failures: 0
Decryptions: 80348
Decryption failures: 0
Decapsulated fragments needing reassembly: 0
Outbound
Bytes: 4441740
Uncompressed bytes: 4441740
Packets: 74029
Dropped packets: 0
Authentications: 74029
Authentication failures: 0
Encryptions: 74029
Encryption failures: 0
Fragmentation successes: 3
Pre-fragmentation successes:2
Post-fragmentation successes: 1
Fragmentation failures: 2
Pre-fragmentation failures:1
Post-fragmentation failures: 1
Fragments created: 10
PMTUs sent: 1
PMTUs recvd: 2
Protocol failures: 0
Missing SA failures: 0
System capacity failures: 0
hostname(config)#

 
関連コマンド

コマンド
説明

clear ipsec sa

指定されたパラメータに基づいて、IPSec SA またはカウンタをクリアします。

crypto ipsec transform-set

トランスフォーム セットを定義します。

show ipsec sa

指定されたパラメータに基づいて IPSec SA を表示します。

show ipsec sa summary

IPSec SA の要約を表示します。

show crypto isakmp stats

実行時統計情報を表示するには、グロ