Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
show ddns update interface コマンド~ show ipv6 traffic コマンド
show ddns update interface コマンド~ show ipv6 traffic コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

show ddns update interface コマンド~ show ipv6 traffic コマンド

show ddns update interface

show ddns update method

show debug

show debug mmp

show dhcpd

show dhcprelay state

show dhcprelay statistics

show disk

show dns-hosts

show dynamic-filter data

show dynamic-filter dns-snoop

show dynamic-filter reports top

show dynamic-filter reports infected-hosts

show dynamic-filter statistics

show dynamic-filter updater-client

show eigrp events

show eigrp interfaces

show eigrp neighbors

show eigrp topology

show eigrp traffic

show environment

show failover

show failover exec

show file

show firewall

show flash

show flow-export counters

show fragment

show gc

show h225

show h245

show h323-ras

show history

show icmp

show idb

show igmp groups

show igmp interface

show igmp traffic

show import webvpn

show interface

show interface ip brief

show inventory

show ip address

show ip address dhcp

show ip address pppoe

show ip audit count

show ip verify statistics

show ips

show ipsec sa

show ipsec sa summary

show ipsec stats

show ipv6 access-list

show ipv6 interface

show ipv6 mld traffic

show ipv6 neighbor

show ipv6 route

show ipv6 routers

show ipv6 traffic

show ddns update interface コマンド~ show ipv6 traffic コマンド

show ddns update interface

適応型セキュリティ アプライアンス インターフェイスに割り当てられた DDNS 方式を表示するには、特権 EXEC モードで show ddns update interface コマンドを使用します。

show ddns update interface [ interface-name ]

 
構文の説明

interface-name

(任意)ネットワーク インターフェイスの名前。

 
デフォルト

interface-name ストリングを省略すると、各インターフェイスに割り当てられた DDNS 方式が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例は、内部インターフェイスに割り当てられた DDNS 方式を示しています。

hostname# show ddns update interface inside
Dynamic DNS Update on inside:
Update Method Name Update Destination
ddns-2 not available
hostname#

 
関連コマンド

コマンド
説明

ddns(DDNS アップデート方式モード)

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update(インターフェイス コンフィギュレーション モード)

適応型セキュリティ アプライアンス インターフェイスを DDNS アップデート方式または DDNS アップデート ホスト名に関連付けます。

ddns update method(グローバル コンフィギュレーション モード)

DNS のリソース レコードをダイナミックにアップデートするための方式を作成します。

show ddns update method

設定済みの DDNS 方式ごとにタイプと間隔を表示します。DDNS アップデートを実行する DHCP サーバ。

show running-config ddns

実行コンフィギュレーションに設定されているすべての DDNS 方式のタイプおよび間隔を表示します。

show ddns update method

実行コンフィギュレーションの DDNS アップデート方式を表示するには、特権 EXEC モードで show ddns update method コマンドを使用します。

show ddns update method [ method-name ]

 
構文の説明

method-name

(任意)設定済みの DDNS アップデート方式の名前。

 
デフォルト

method-name ストリングを省略すると、設定済みの DDNS アップデート方式がすべて表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例は、ddns-2 という名前の DDNS 方式を示しています。

hostname(config)# show ddns update method ddns-2
 
Dynamic DNS Update Method: ddns-2
IETF standardized Dynamic DNS 'A' and 'PTR' records update
Maximum update interval: 0 days 0 hours 10 minutes 0 seconds
hostname(config)#

 
関連コマンド

コマンド
説明

ddns(DDNS アップデート方式モード)

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update(インターフェイス コンフィギュレーション モード)

適応型セキュリティ アプライアンス インターフェイスを Dynamic DNS(DDNS; ダイナミック DNS)更新方式または DDNS 更新ホスト名に関連付けます。

ddns update method(グローバル コンフィギュレーション モード)

DNS のリソース レコードをダイナミックにアップデートするための方式を作成します。

show ddns update interface

設定済みの各 DDNS 方式に関連付けられたインターフェイスを表示します。

show running-config ddns

実行コンフィギュレーションに設定されているすべての DDNS 方式のタイプおよび間隔を表示します。

show debug

現在のデバッグ設定を表示するには、 show debug コマンドを使用します。

show debug [ command [ keywords ]]

 
構文の説明

command

(任意)現在の設定を表示する debug コマンドを指定します。各 command では、 command の後の構文は、関連する debug コマンドでサポートされる構文と同一です。たとえば、 show debug aaa の後の有効な keywords は、 debug aaa コマンドで有効なキーワードと同じです。そのため、 show debug aaa では、 accounting キーワードがサポートされます。このキーワードでは、AAA デバッグのその部分のデバッグ設定を表示することを指定できます。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.0(2)

eigrp キーワードが、使用可能なコマンド値のリストに追加されました。

 
使用上のガイドライン

有効な command 値は次のとおりです。各 command では、 command の後の構文は、関連する debug コマンドでサポートされる構文と同一です。サポートされる構文については、関連する debug コマンドを参照してください。


) 各 command 値を使用できるかどうかは、該当する debug コマンドをサポートするコマンド モードによって異なります。


aaa

appfw

arp

asdm

context

crypto

ctiqbe

ctm

dhcpc

dhcpd

dhcprelay

disk

dns

eigrp

email

entity

fixup

fover

fsm

ftp

generic

gtp

h323

http

http-map

icmp

igmp

ils

imagemgr

ipsec-over-tcp

ipv6

iua-proxy

kerberos

ldap

mfib

mgcp

mrib

ntdomain

ntp

ospf

parser

pim

pix

pptp

radius

rip

rtsp

sdi

sequence

sip

skinny

smtp

sqlnet

ssh

ssl

sunrpc

tacacs

timestamps

vpn-sessiondb

webvpn

xdmcp

xml

次のコマンドを使用すると、認証、アカウンティング、およびフラッシュ メモリのデバッグを行うことができます。 show debug コマンドは、コマンドを使用して、すべてのデバッグ設定、特定の機能のデバッグ設定、さらに機能のサブセットのデバッグ設定を表示する方法を示すために 3 つの方法で使用されます。

hostname# debug aaa authentication
debug aaa authentication enabled at level 1
hostname# debug aaa accounting
debug aaa accounting enabled at level 1
hostname# debug disk filesystem
debug disk filesystem enabled at level 1
hostname# show debug
debug aaa authentication enabled at level 1
debug aaa accounting enabled at level 1
debug disk filesystem enabled at level 1
hostname# show debug aaa
debug aaa authentication enabled at level 1
debug aaa authorization is disabled.
debug aaa accounting enabled at level 1
debug aaa internal is disabled.
debug aaa vpn is disabled.
hostname# show debug aaa accounting
debug aaa accounting enabled at level 1
hostname#
 

 
関連コマンド

コマンド
説明

debug

すべての debug コマンドを参照してください。

show debug mmp

MMP インスペクション モジュールの現在のデバッグ設定を表示するには、特権 EXEC モードで show debug mmp コマンドを使用します。

show debug mmp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

次に、 show debug mmp コマンドを使用して、MMP インスペクション モジュールの現在のデバッグ設定を表示する例を示します。

hostname# show debug mmp
debug mmp enabled at level 1
 

 
関連コマンド

コマンド
説明

debug mmp

MMP 検査イベントを表示します。

inspect mmp

MMP インスペクション エンジンを設定します。

show dhcpd

DHCP バインディング、ステート、および統計情報を表示するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで show dhcpd コマンドを使用します。

show dhcpd { binding [ IP_address ] | state | statistics }

 
構文の説明

binding

特定のサーバの IP アドレスと関連するクライアント ハードウェア アドレスのバインディング情報およびリース期間を表示します。

IP_address

指定された IP アドレスのバインディング情報を表示します。

state

DHCP サーバのステート(現在のコンテキストでイネーブルになっているかどうか、および各インターフェイスでイネーブルになってるかどうか)を表示します。

statistics

アドレス プール、バインディング、期限切れのバインディング、不正な形式のメッセージ、送信済みメッセージ、および受信済みメッセージの数など、統計情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

オプションの IP アドレスを show dhcpd binding コマンドに含めると、その IP アドレスのバインディングだけが表示されます。

show dhcpd binding | state | statistics コマンドもグローバル コンフィギュレーション モードで使用可能です。

次に、 show dhcpd binding コマンドの出力例を示します。

hostname# show dhcpd binding
IP Address Hardware Address Lease Expiration Type
10.0.1.100 0100.a0c9.868e.43 84985 seconds automatic
 

次に、 show dhcpd state コマンドの出力例を示します。

hostname# show dhcpd state
Context Not Configured for DHCP
Interface outside, Not Configured for DHCP
Interface inside, Not Configured for DHCP
 

次に、 show dhcpd statistics コマンドの出力例を示します。

hostname# show dhcpd statistics
 
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
 
Address pools 1
Automatic bindings 1
Expired bindings 1
Malformed messages 0
 
Message Received
BOOTREQUEST 0
DHCPDISCOVER 1
DHCPREQUEST 2
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
 
Message Sent
BOOTREPLY 0
DHCPOFFER 1
DHCPACK 1
DHCPNAK 1
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

clear dhcpd

DHCP サーバ バインディングおよび統計情報カウンタをクリアします。

dhcpd lease

クライアントに付与された DHCP 情報のリース期間を定義します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

show dhcprelay state

DHCP リレー エージェントのステートを表示するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで show dhcprelay state コマンドを使用します。

show dhcprelay state

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドによって、現在のコンテキストと各インターフェイスの DHCP リレー エージェントのステート情報が表示されます。

次に、 show dhcprelay state コマンドの出力例を示します。

hostname# show dhcprelay state
 
Context Configured as DHCP Relay
Interface outside, Not Configured for DHCP
Interface infrastructure, Configured for DHCP RELAY SERVER
Interface inside, Configured for DHCP RELAY
 

 
関連コマンド

コマンド
説明

show dhcpd

DHCP サーバの統計情報とステート情報を表示します。

show dhcprelay statistics

DHCP リレーの統計情報を表示します。

show running-config dhcprelay

DHCP リレー エージェントの現在のコンフィギュレーションを表示します。

show dhcprelay statistics

DHCP リレーの統計情報を表示するには、特権 EXEC モードで show dhcprelay statistics コマンドを使用します。

show dhcprelay statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show dhcprelay statistics コマンドの出力は、 clear dhcprelay statistics コマンドを入力するまで増えます。

次に、 show dhcprelay statistics コマンドの出力例を示します。

hostname# show dhcprelay statistics
 
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
 
Packets Relayed
BOOTREQUEST 0
DHCPDISCOVER 7
DHCPREQUEST 3
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
 
BOOTREPLY 0
DHCPOFFER 7
DHCPACK 3
DHCPNAK 0
hostname#
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェントの設定をすべて削除します。

clear dhcprelay statistics

DHCP リレー エージェントの統計カウンタをクリアします。

debug dhcprelay

DHCP リレー エージェントのデバッグ情報を表示します。

show dhcprelay state

DHCP リレー エージェントのステートを表示します。

show running-config dhcprelay

DHCP リレー エージェントの現在のコンフィギュレーションを表示します。

show disk

適応型セキュリティ アプライアンスだけのフラッシュ メモリの内容を表示するには、特権 EXEC モードで show disk コマンドを使用します。

show disk [ 0 | 1 ] [ filesys | all ] controller

 
構文の説明

0 | 1

内部フラッシュ メモリ(0。デフォルト)または外部フラッシュ メモリ(1)を指定します。

controller

フラッシュ コントローラのモデル番号を指定します。

filesys

コンパクト フラッシュ カードに関する情報を表示します。

all

フラッシュ メモリの内容およびファイル システムの情報を表示します。

 
デフォルト

デフォルトでは、内部フラッシュ メモリが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show disk コマンドの出力例を示します。

hostname# show disk
-#- --length-- -----date/time------ path
11 1301 Feb 21 2005 18:01:34 test.cfg
12 1949 Feb 21 2005 20:13:36 test1.cfg
13 2551 Jan 06 2005 10:07:36 test2.cfg
14 609223 Jan 21 2005 07:14:18 test3.cfg
15 1619 Jul 16 2004 16:06:48 test4.cfg
16 3184 Aug 03 2004 07:07:00 old_running.cfg
17 4787 Mar 04 2005 12:32:18 test5.cfg
20 1792 Jan 21 2005 07:29:24 test6.cfg
21 7765184 Mar 07 2005 19:38:30 test7.cfg
22 1674 Nov 11 2004 02:47:52 test8.cfg
23 1863 Jan 21 2005 07:29:18 test9.cfg
24 1197 Jan 19 2005 08:17:48 test10.cfg
25 608554 Jan 13 2005 06:20:54 backupconfig.cfg
26 5124096 Feb 20 2005 08:49:28 cdisk1
27 5124096 Mar 01 2005 17:59:56 cdisk2
28 2074 Jan 13 2005 08:13:26 test11.cfg
29 5124096 Mar 07 2005 19:56:58 cdisk3
30 1276 Jan 28 2005 08:31:58 lead
31 7756788 Feb 24 2005 12:59:46 asdmfile.dbg
32 7579792 Mar 08 2005 11:06:56 asdmfile1.dbg
33 7764344 Mar 04 2005 12:17:46 asdmfile2.dbg
34 5124096 Feb 24 2005 11:50:50 cdisk4
35 15322 Mar 04 2005 12:30:24 hs_err.log
 
10170368 bytes available (52711424 bytes used)
 

次に、 show disk filesys コマンドの出力例を示します。

hostname# show disk filesys
******** Flash Card Geometry/Format Info ********
 
COMPACT FLASH CARD GEOMETRY
Number of Heads: 4
Number of Cylinders 978
Sectors per Cylinder 32
Sector Size 512
Total Sectors 125184
 
COMPACT FLASH CARD FORMAT
Number of FAT Sectors 61
Sectors Per Cluster 8
Number of Clusters 15352
Number of Data Sectors 122976
Base Root Sector 123
Base FAT Sector 1
Base Data Sector 155
 

次に、 show disk controller コマンドの出力例を示します。

hostname# show disk:1 controller
Flash Model: TOSHIBA THNCF064MBA
 

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

show dns-hosts

DNS キャッシュを表示するには、特権 EXEC モードで show dns-hosts コマンドを使用します。DNS キャッシュには、DNS サーバからダイナミックに学習されたエントリ、および name コマンドを使用して手動で入力した名前と IP アドレスが含まれています。

show dns-hosts

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show dns-hosts コマンドの出力例を示します。

hostname# show dns-hosts
Host Flags Age Type Address(es)
ns2.example.com (temp, OK) 0 IP 10.102.255.44
ns1.example.com (temp, OK) 0 IP 192.168.241.185
snowmass.example.com (temp, OK) 0 IP 10.94.146.101
server.example.com (temp, OK) 0 IP 10.94.146.80
 

表 25-1 に、各フィールドの説明を示します。

 

表 25-1 show dns-hosts のフィールド

フィールド
説明

Host

ホスト名を表示します。

Flags

エントリのステータスを次のものの組み合わせとして表示します。

temp:このエントリは DNS サーバから取得したものであるため、一時的です。適応型セキュリティ アプライアンスは、72 時間非アクティブな状態が続いた後でこのエントリを削除します。

perm:このエントリは、name コマンドを使用して追加されたため永続的です。

OK:このエントリは有効です。

??:このエントリは疑わしいため、再検証する必要があります。

EX:このエントリの有効期限は切れています。

Age

このエントリが最後に参照されてからの時間数を示します。

Type

DNS レコードのタイプを示します。この値は常に IP です。

Address(es)

IP アドレス。

 
関連コマンド

コマンド
説明

clear dns-hosts

DNS キャッシュをクリアします。

dns domain-lookup

適応型セキュリティ アプライアンスによるネーム ルックアップの実行をイネーブルにします。

dns name-server

DNS サーバ アドレスを設定します。

dns retries

適応型セキュリティ アプライアンスが応答を受信しないときに、DNS サーバのリストを再試行する回数を指定します。

dns timeout

次の DNS サーバを試行するまでに待機する時間を指定します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされたタイミング、データベースのバージョン、データベースに含まれているエントリの数、10 個のサンプル エントリなど、ボットネット トラフィック フィルタ ダイナミック データベースに関する情報を表示するには、特権 EXEC モードで show dynamic-filter data コマンドを使用します。

show dynamic-filter data

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック データベース情報を表示するには、最初に dynamic-filter use-database および dynamic-filter updater-client enable コマンドを使用して、データベースの使用とダウンロードを可能にします。

次に、 show dynamic-filter data コマンドの出力例を示します。

hostname# show dynamic-filter data
 
Traffic filter is using downloaded database version '907'
Fetched at 18:00:16 UTC Jan 22 2009, size: 674381
Sample names from downloaded database:
example.com, example.net, example.org,
cisco.example, cisco.invalid, bad.example.com
bad.example.net, bad.example.org, bad.cisco.example
bad.cisco.ivalid
Total entries in Dynamic Filter database:
Dynamic data: 40909 domain names , 1080 IPv4 addresses
Local data: 0 domain names , 0 IPv4 addresses
Active rules in Dynamic Filter asp table:
Dynamic data: 0 domain names , 1080 IPv4 addresses
Local data: 0 domain names , 0 IPv4 addresses

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング要約、または実際の IP アドレスおよび名前を表示するには、特権 EXEC モードで show dynamic-filter dns-snoop コマンドを使用します。

show dynamic-filter dns-snoop [ detail ]

 
構文の説明

detail

(任意)DNS 応答からスヌーピングされた IP アドレスと名前を表示します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ブラックリストの一致する名前だけでなく、検査されるすべての DNS データがこの出力に含まれています。スタティック エントリからの DNS データは含められません。

DNS スヌーピング データを消去するには、 clear dynamic-filter dns-snoop コマンドを入力します。

次に、 show dynamic-filter dns-snoop コマンドの出力例を示します。

hostname# show dynamic-filter dns-snoop
 
DNS Reverse Cache Summary Information:
75 addresses, 124 names, 997 dnsrc address buckets
 

次に、 show dynamic-filter dns-snoop detail コマンドの出力例を示します。

hostname# show dynamic-filter dns-snoop detail
 
DNS Reverse Cache Summary Information:
75 addresses, 124 names, 997 dnsrc address buckets
DNS reverse Cache Information:
[10.67.22.34] flags=0x22, cat=2, unit=0 b:g:w=3:0:0, cookie=0xda148218
[www3.example.com] cat=2, ttl=3
[www.bad.example.com] cat=2, ttl=3
[www.example.com] cat=2, ttl=3
[10.6.68.133] flags=0x2, cat=2, unit=0 b:g:w=1:0:0, cookie=0xda13ed60
[cisco.example] cat=2, ttl=73
[10.166.226.25] flags=0x2, cat=2, unit=0 b:g:w=1:0:0, cookie=0xda608cb8
[cisco.invalid] cat=2, ttl=2

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show dynamic-filter reports top

ボットネット トラフィック フィルタによって分類された上位 10 個のマルウェア サイト、ポート、および感染したホストのレポートを生成するには、特権 EXEC モードで show dynamic-filter reports top コマンドを使用します。

show dynamic-filter reports top [ malware-sites | malware-ports | infected-hosts ]

 
構文の説明

malware-ports

(任意)上位 10 個のマルウェア ポートのレポートを表示します。

malware-sites

(任意)上位 10 個のマルウェア サイトのレポートを表示します。

infected-hosts

(任意)上位 10 個の感染したホストのレポートを表示します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

8.2(2)

botnet-sites キーワードおよび botnet-ports キーワードは malware-sites および malware-ports に変更されました。マルウェア サイト レポートには、ドロップされた接続の数、および各サイトの脅威レベルとカテゴリが含められるようになりました。最終消去タイムスタンプが追加されました。脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

このレポートは、データのスナップショットであり、統計情報の収集が開始されてからの上位 10 個の項目と一致しないことがあります。

レポート データを消去するには、 clear dynamic-filter reports top コマンドを入力します。

次に、 show dynamic-filter reports top malware-sites コマンドの出力例を示します。

hostname# show dynamic-filter reports top malware-sites
Site Connections logged dropped Threat Level Category
--------------------------------------------------------------------------------------
bad1.example.com (10.67.22.34) 11 0 2 Botnet
bad2.example.com (209.165.200.225) 8 8 3 Virus
bad1.cisco.example(10.131.36.158) 6 6 3 Virus
bad2.cisco.example(209.165.201.1) 2 2 3 Trojan
horrible.example.net(10.232.224.2) 2 2 3 Botnet
nono.example.org(209.165.202.130) 1 1 3 Virus
 
Last clearing of the top sites report: at 13:41:06 UTC Jul 15 2009
 

次に、 show dynamic-filter reports top malware-ports コマンドの出力例を示します。

hostname# show dynamic-filter reports top malware-ports
Port Connections logged
----------------------------------------------------------------------
tcp 1000 617
tcp 2001 472
tcp 23 22
tcp 1001 19
udp 2000 17
udp 2001 17
tcp 8080 9
tcp 80 3
tcp >8192 2
 
Last clearing of the top ports report: at 13:41:06 UTC Jul 15 2009
 

次に、 show dynamic-filter reports top infected-hosts コマンドの出力例を示します。

hostname# show dynamic-filter reports top infected-hosts
Host Connections logged
----------------------------------------------------------------------
10.10.10.51(inside) 1190
10.12.10.10(inside) 10
10.10.11.10(inside) 5
 
Last clearing of the top infected-hosts report: at 13:41:06 UTC Jul 15 2009

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show dynamic-filter reports infected-hosts

ボットネット トラフィック フィルタによって分類された感染したホストのレポートを生成するには、特権 EXEC モードで show dynamic-filter reports infected-hosts コマンドを使用します。

show dynamic-filter reports infected-hosts { max-connections | latest-active | highest-threat | subnet ip_address netmask | all }

 
構文の説明

all

バッファリングされた、すべての感染したホストの情報を表示します。この表示には、何千ものエントリが含まれていることがあります。CLI を使用するのではなく、ASDM を使用して、PDF ファイルを生成することを推奨します。

highest-threat

脅威レベルが最も高いマルウェア サイトに接続されている 20 のホストを表示します。

latest-active

最近のアクティビティがある 20 のホストを表示します。表示には、ホストごとに、5 のアクセス済みマルウェア サイトに関する詳細情報が示されます。

max-connections

接続の数が最も多い 20 の感染したホストを表示します。

subnet ip_address netmask

指定されたサブネット内の 20 までのホストを表示します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

これらのレポートには、感染したホスト間の関連付け、アクセスしたマルウェア サイト、およびマルウェア ポートを示す、感染したホストに関する詳細な履歴が含まれています。

レポート データを消去するには、 clear dynamic-filter reports infected-hosts コマンドを入力します。

次に、 show dynamic-filter reports infected hosts all コマンドの出力例を示します。

hostname# show dynamic-filter reports infected-hosts all
 
Total 2 infected-hosts in buffer
Host (interface) Latest malicious conn time, filter action Conn logged, dropped
=======================================================================================================
192.168.1.4 (internal) 15:39:40 UTC Sep 17 2009, dropped 3 3
Malware-sites connected to (not ordered)
Site Latest conn port, time, filter action Conn logged, dropped Threat-level Category
-------------------------------------------------------------------------------------------------------
10.73.210.27 (bad.example.com) 80, 15:39:31 UTC Sep 17 2009, dropped 2 2 very-high Malware
10.65.2.119 (bad2.example.com) 0, 15:39:40 UTC Sep 17 2009, dropped 1 1 very-high admin-added
=======================================================================================================
192.168.1.2 (internal) 15:39:01 UTC Sep 17 2009, dropped 5 5
Malware-sites connected to (not ordered)
Site Latest conn port, time, filter action Conn logged, dropped Threat-level Category
-------------------------------------------------------------------------------------------------------
10.131.36.158 (bad.example.com) 0, 15:37:46 UTC Sep 17 2009, dropped 1 1 very-high admin-added
10.65.2.119 (bad2.example.com) 0, 15:37:53 UTC Sep 17 2009, dropped 1 1 very-high admin-added
20.73.210.27 (bad3.example.com) 80, 15:39:01 UTC Sep 17 2009, dropped 3 3 very-high Malware
=======================================================================================================
 
Last clearing of the infected-hosts report: Never
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show dynamic-filter statistics

ボットネット トラフィック フィルタを使用してホワイトリスト、ブラックリスト、およびグレイリストの接続として分類された接続の数を表示するには、特権 EXEC モードで show dynamic-filter statistics コマンドを使用します。

show dynamic-filter statistics [ interface name ] [ detail ]

 
構文の説明

detail

(任意)分類またはドロップされた各脅威レベルのパケット数を表示します。

interface name

(任意)特定のインターフェイスの統計情報を表示します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

8.2(2)

分類またはドロップされた各脅威レベルのパケット数を表示するために、 detail キーワードが追加されました。脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

グレイリストには、複数のドメイン名に関連付けられたアドレスが含まれていますが、これらのすべてのドメイン名がブラックリストに登録されているわけではありません。

統計情報を消去するには、 clear dynamic-filter statistics コマンドを入力します。

次に、 show dynamic-filter statistics コマンドの出力例を示します。

hostname# show dynamic-filter statistics
Enabled on interface outside
Total conns classified 11, ingress 11, egress 0
Total whitelist classified 0, ingress 0, egress 0
Total greylist classified 0, dropped 0, ingress 0, egress 0
Total blacklist classified 11, dropped 5, ingress 11, egress 0
Enabled on interface inside
Total conns classified 1182, ingress 1182, egress 0
Total whitelist classified 3, ingress 3, egress 0
Total greylist classified 0, dropped 0, ingress 0, egress 0
Total blacklist classified 1179, dropped 1000, ingress 1179, egress 0
 

次に、 show dynamic-filter statistics interface outside detail コマンドの出力例を示します。

hostname# show dynamic-filter statistics interface outside detail
Enabled on interface outside
Total conns classified 2108, ingress 2108, egress 0
Total whitelist classified 0, ingress 0, egress 0
Total greylist classified 1, dropped 1, ingress 0, egress 0
Threat level 5 classified 1, dropped 1, ingress 0, egress 0
Threat level 4 classified 0, dropped 0, ingress 0, egress 0
...
Total blacklist classified 30, dropped 20, ingress 11, egress 2
Threat level 5 classified 6, dropped 6, ingress 4, egress 2
Threat level 4 classified 5, dropped 5, ingress 5, egress 0
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、ボットネット トラフィック フィルタ アップデータ サーバに関する情報を表示するには、特権 EXEC モードで show dynamic-filter updater-client コマンドを使用します。

show dynamic-filter updater-client

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

次に、 show dynamic-filter updater-client コマンドの出力例を示します。

hostname# show dynamic-filter updater-client
 
Traffic Filter updater client is enabled
Updater server url is https://10.15.80.240:446
Application name: trafmon, version: 1.0
Encrypted UDI:
0bb93985f42d941e50dc8f022350d1a8de96ba6c1f6d45f4bc0ead02a7d5990be32f483b
5715cd80a215cedadd4e5ffe
Next update is in 00:02:00
Database file version is '907' fetched at 22:51:41 UTC Oct 16 2006,
size: 521408

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

show eigrp events

EIGRP イベント ログを表示するには、特権 EXEC モードで show eigrp events コマンドを使用します。

show eigrp [ as-number ] events [{ start end } | type ]

 
構文の説明

as-number

(任意)イベント ログを表示している EIGRP プロセスの自律システム番号を指定します。適応型セキュリティ アプライアンスがサポートする EIGRP ルーティング プロセスは 1 つだけであるため、自律システム番号を指定する必要はありません。

end

(任意) start インデックス番号で始まり、 end インデックス番号で終わるエントリに出力を制限します。

start

(任意)ログ エントリ インデックス番号を指定する番号。開始番号を指定すると、出力は、指定されたイベントから開始し、 end 引数で指定されたイベントで終了します。有効な値は、1 ~ 4294967295 です。

type

(任意)記録されているイベントを表示します。

 
デフォルト

start および end が指定されていない場合は、すべてのログ エントリが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

show eigrp events 出力には 500 個までのイベントが表示されます。イベントの最大数に達すると、新しいイベントが出力の下部に追加され、古いイベントは出力の上部から削除されます。

EIGRP イベント ログを消去するには、 clear eigrp events コマンドを使用できます。

show eigrp events type コマンドを使用すると、EIGRP イベントのロギング ステータスが表示されます。デフォルトでは、ネイバーの変更、ネイバーの警告、および DUAL FSM メッセージが記録されます。 no eigrp log-neighbor-changes コマンドを使用して、ネイバーの変更イベントのロギングをディセーブルにできます。 no eigrp log-neighbor-warnings コマンドを使用して、ネイバーの警告イベントのロギングをディセーブルにできます。DUAL FSM イベントのロギングはディセーブルにできません。

次に、 show eigrp events コマンドの出力例を示します。

hostname# show eigrp events
 
Event information for AS 100:
1 12:11:23.500 Change queue emptied, entries: 4
2 12:11:23.500 Metric set: 10.1.0.0/16 53760
3 12:11:23.500 Update reason, delay: new if 4294967295
4 12:11:23.500 Update sent, RD: 10.1.0.0/16 4294967295
5 12:11:23.500 Update reason, delay: metric chg 4294967295
6 12:11:23.500 Update sent, RD: 10.1.0.0/16 4294967295
7 12:11:23.500 Route install: 10.1.0.0/16 10.130.60.248
8 12:11:23.500 Find FS: 10.1.0.0/16 4294967295
9 12:11:23.500 Rcv update met/succmet: 53760 28160
10 12:11:23.500 Rcv update dest/nh: 10.1.0.0/16 10.130.60.248
11 12:11:23.500 Metric set: 10.1.0.0/16 4294967295
 

次に、開始番号と終了番号が定義された状態での show eigrp events コマンドの出力例を示します。

hostname# show eigrp events 3 8
 
Event information for AS 100:
3 12:11:23.500 Update reason, delay: new if 4294967295
4 12:11:23.500 Update sent, RD: 10.1.0.0/16 4294967295
5 12:11:23.500 Update reason, delay: metric chg 4294967295
6 12:11:23.500 Update sent, RD: 10.1.0.0/16 4294967295
7 12:11:23.500 Route install: 10.1.0.0/16 10.130.60.248
8 12:11:23.500 Find FS: 10.1.0.0/16 4294967295
 

次に、EIGRP イベント ログにエントリがない場合の show eigrp events コマンドの出力例を示します。

hostname# show eigrp events
 
Event information for AS 100: Event log is empty.
 

次に、 show eigrp events type コマンドの出力例を示します。

hostname# show eigrp events type
 
EIGRP-IPv4 Event Logging for AS 100:
Log Size 500
Neighbor Changes Enable
Neighbor Warnings Enable
Dual FSM Enable
 

 
関連コマンド

コマンド
説明

clear eigrp events

EIGRP イベント ロギング バッファをクリアします。

eigrp log-neighbor-changes

ネイバーの変更イベントのロギングをイネーブルにします。

eigrp log-neighbor-warnings

ネイバーの警告イベントのロギングをイネーブルにします。

show eigrp interfaces

EIGRP ルーティングに参加しているインターフェイスを表示するには、特権 EXEC モードで show eigrp interfaces コマンドを使用します。

show eigrp [ as-number ] interfaces [ if-name ] [ detail ]

 
構文の説明

as-number

(任意)アクティブ インターフェイスを表示している EIGRP プロセスの自律システム番号を指定します。適応型セキュリティ アプライアンスがサポートする EIGRP ルーティング プロセスは 1 つだけであるため、自律システム番号を指定する必要はありません。

detail

(任意)詳細情報を表示します。

if-name

(任意) nameif コマンドで指定されたインターフェイスの名前。インターフェイス名を指定すると、指定されたインターフェイスに表示が制限されます。

 
デフォルト

インターフェイス名を指定しない場合は、すべての EIGRP インターフェイスの情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

アクティブな EIGRP インターフェイスを判別して、これらのインターフェイスに関連する EIGRP の情報を調べるには、 show eigrp interfaces コマンドを使用します。

インターフェイスを指定すると、そのインターフェイスだけが表示されます。指定しない場合は、EIGRP が実行されているすべてのインターフェイスが表示されます。

自律システムを指定すると、指定した自律システムのルーティング プロセスだけが表示されます。指定しない場合は、すべての EIGRP プロセスが表示されます。

次に、 show eigrp interfaces コマンドの出力例を示します。

hostname# show eigrp interfaces
 
EIGRP-IPv4 interfaces for process 100
 
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
mgmt 0 0/0 0 11/434 0 0
outside 1 0/0 337 0/10 0 0
inside 1 0/0 10 1/63 103 0
 

表 25-2 に、この出力で表示される重要なフィールドの説明を示します。

 

表 25-2 show eigrp interfaces のフィールドの説明

フィールド
説明

process

EIGRP ルーティング プロセスの自律システム番号です。

Peers

直接接続されているピアの数。

Xmit Queue Un/Reliable

Unreliable および Reliable 送信キューに残っているパケットの数。

Mean SRTT

平均スムーズ ラウンドトリップ時間間隔(秒単位)。

Pacing Time Un/Reliable

EIGRP パケット(信頼できないパケットと信頼できるパケット)をインターフェイスから送信する必要があるタイミングを判別するために使用されるペーシング時間(秒単位)。

Multicast Flow Timer

適応型セキュリティ アプライアンスがマルチキャスト EIGRP パケットを送信する最大秒数。

Pending Routes

送信を待機している送信キュー内のパケットのルート数。

 
関連コマンド

コマンド
説明

network

EIGRP ルーティング プロセスに参加するネットワークとインターフェイスを定義します。

show eigrp neighbors

EIGRP ネイバー テーブルを表示するには、特権 EXEC モードで show eigrp neighbors コマンドを使用します。

show eigrp [ as-number ] neighbors [ detail | static ] [ if-name ]

 
構文の説明

as-number

(任意)ネイバー エントリを削除する EIGRP プロセスの自律システム番号を指定します。適応型セキュリティ アプライアンスがサポートする EIGRP ルーティング プロセスは 1 つだけであるため、自律システム番号を指定する必要はありません。

detail

(任意)ネイバーの詳細情報を表示します。

if-name

(任意) nameif コマンドで指定されたインターフェイスの名前。インターフェイス名を指定すると、そのインターフェイスから学習されたすべてのネイバー テーブル エントリが表示されます。

static

(任意) neighbor コマンドを使用してスタティックに定義された EIGRP ネイバーを表示します。

 
デフォルト

インターフェイス名を指定しない場合は、すべてのインターフェイスから学習されたネイバーが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

EIGRP ネイバー テーブルからダイナミックに学習されたネイバーを消去するには、 clear eigrp neighbors コマンドを使用できます。

スタティック ネイバーは、 static キーワードを指定しない限り出力には含められません。

次に、 show eigrp neighbors コマンドの出力例を示します。

hostname# show eigrp neighbors
 
EIGRP-IPv4 Neighbors for process 100
Address Interface Holdtime Uptime Q Seq SRTT RTO
(secs) (h:m:s) Count Num (ms) (ms)
172.16.81.28 Ethernet1 13 0:00:41 0 11 4 20
172.16.80.28 Ethernet0 14 0:02:01 0 10 12 24
172.16.80.31 Ethernet0 12 0:02:02 0 4 5 20
 

表 25-3 に、この出力で表示される重要なフィールドの説明を示します。

 

表 25-3 show eigrp neighbors Field Descriptions

フィールド
説明

process

EIGRP ルーティング プロセスの自律システム番号です。

Address

EIGRP ネイバーの IP アドレス。

Interface

適応型セキュリティ アプライアンスがネイバーから hello パケットを受信するインターフェイス。

Holdtime

適応型セキュリティ アプライアンスがダウンと宣言されるまでにネイバーからの応答を待機する時間の長さ(秒単位)。このホールド タイムは、hello パケットでネイバーから受信し、別の hello パケットをネイバーから受信するまで減少し始めます。

ネイバーがデフォルトのホールド タイムを使用している場合は、この数値は 15 未満です。ピアがデフォルト以外のホールド タイムを設定している場合は、デフォルト以外のホールド タイムが表示されます。

この値が 0 に達すると、適応型セキュリティ アプライアンスは、ネイバーを到達不能と見なします。

Uptime

適応型セキュリティ アプライアンスがこのネイバーからの応答を最初に受信してからの経過時間(時:分:秒)。

Q Count

適応型セキュリティ アプライアンスが送信を待機している EIGRP パケット(アップデート、クエリー、応答)の数。

Seq Num

ネイバーから受信した最後のアップデート、クエリー、または応答パケットのシーケンス番号。

SRTT

スムーズ ラウンドトリップ時間。これは、EIGRP パケットをこのネイバーに送信し、適応型セキュリティ アプライアンスがそのパケットの確認応答を受信するために必要なミリ秒数です。

RTO

再送信タイムアウト(ミリ秒単位)。これは、適応型セキュリティ アプライアンスが再送信キューからネイバーにパケットを再送信するまでに待機する時間です。

次に、 show eigrp neighbors static コマンドの出力例を示します。

hostname# show eigrp neighbors static
 
EIGRP-IPv4 neighbors for process 100
Static Address Interface
192.168.1.5 management
 

表 25-4 に、この出力で表示される重要なフィールドの説明を示します。

 

表 25-4 show ip eigrp neighbors static フィールドの説明

フィールド
説明

process

EIGRP ルーティング プロセスの自律システム番号です。

Static Address

EIGRP ネイバーの IP アドレス。

Interface

適応型セキュリティ アプライアンスがネイバーから hello パケットを受信するインターフェイス。

次に、 show eigrp neighbors detail コマンドの出力例を示します。

 
hostname# show eigrp neighbors detail
 
EIGRP-IPv4 neighbors for process 100
H Address Interface Hold Uptime SRTT RTO Q Seq Tye
(sec) (ms) Cnt Num
3 1.1.1.3 Et0/0 12 00:04:48 1832 5000 0 14
Version 12.2/1.2, Retrans: 0, Retries: 0
Restart time 00:01:05
0 10.4.9.5 Fa0/0 11 00:04:07 768 4608 0 4 S
Version 12.2/1.2, Retrans: 0, Retries: 0
2 10.4.9.10 Fa0/0 13 1w0d 1 3000 0 6 S
Version 12.2/1.2, Retrans: 1, Retries: 0
1 10.4.9.6 Fa0/0 12 1w0d 1 3000 0 4 S
Version 12.2/1.2, Retrans: 1, Retries: 0
 

表 25-5 に、この出力で表示される重要なフィールドの説明を示します。

 

表 25-5 show ip eigrp neighbors details フィールドの説明

フィールド
説明

process

EIGRP ルーティング プロセスの自律システム番号です。

H

この列には、指定されたネイバーとのピアリング セッションが確立された順序がリストされます。順序は、0 で始まる連続した番号付けで指定されます。

Address

EIGRP ネイバーの IP アドレス。

Interface

適応型セキュリティ アプライアンスがネイバーから hello パケットを受信するインターフェイス。

Holdtime

適応型セキュリティ アプライアンスがダウンと宣言されるまでにネイバーからの応答を待機する時間の長さ(秒単位)。このホールド タイムは、hello パケットでネイバーから受信し、別の hello パケットをネイバーから受信するまで減少し始めます。

ネイバーがデフォルトのホールド タイムを使用している場合は、この数値は 15 未満です。ピアがデフォルト以外のホールド タイムを設定している場合は、デフォルト以外のホールド タイムが表示されます。

この値が 0 に達すると、適応型セキュリティ アプライアンスは、ネイバーを到達不能と見なします。

Uptime

適応型セキュリティ アプライアンスがこのネイバーからの応答を最初に受信してからの経過時間(時:分:秒)。

SRTT

スムーズ ラウンドトリップ時間。これは、EIGRP パケットをこのネイバーに送信し、適応型セキュリティ アプライアンスがそのパケットの確認応答を受信するために必要なミリ秒数です。

RTO

再送信タイムアウト(ミリ秒単位)。これは、適応型セキュリティ アプライアンスが再送信キューからネイバーにパケットを再送信するまでに待機する時間です。

Q Count

適応型セキュリティ アプライアンスが送信を待機している EIGRP パケット(アップデート、クエリー、応答)の数。

Seq Num

ネイバーから受信した最後のアップデート、クエリー、または応答パケットのシーケンス番号。

Version

指定されたピアが実行されているソフトウェア バージョン。

Retrans

パケットが再送信された回数。

Retries

パケットの再送信が試行された回数。

Restart time

指定されたネイバーが再起動されてからの経過時間(時:分:秒)。

 
関連コマンド

コマンド
説明

clear eigrp neighbors

EIGRP ネイバー テーブルをクリアします。

debug eigrp neighbors

EIGRP ネイバー デバッグ メッセージを表示します。

debug ip eigrp

EIGRP パケット デバッグ メッセージを表示します。

show eigrp topology

EIGRP トポロジ テーブルを表示するには、特権 EXEC モードで show eigrp topology コマンドを使用します。

show eigrp [ as-number ] topology [ ip-addr [ mask ] | active | all-links | pending | summary | zero-successors ]

 
構文の説明

active

(任意)EIGRP トポロジ テーブルのアクティブ エントリだけを表示します。

all-links

(任意)EIGRP トポロジ テーブルのすべてのルート(フィジブル サクセサではないものも含む)を表示します。

as-number

(任意)EIGRP プロセスの自律システム番号を指定します。適応型セキュリティ アプライアンスがサポートする EIGRP ルーティング プロセスは 1 つだけであるため、自律システム番号を指定する必要はありません。

ip-addr

(任意)表示するトポロジ テーブルからの IP アドレス。マスクとともに指定すると、エントリの詳細説明が表示されます。

mask

(任意) ip-addr 引数に適用するネットワーク マスク。

pending

(任意)ネイバーからの更新を待機しているか、ネイバーへの応答を待機している EIGRP トポロジ テーブルのエントリをすべて表示します。

summary

(任意)EIGRP トポロジ テーブルの要約を表示します。

zero-successors

(任意)EIGRP トポロジ テーブルの使用可能なルートを表示します。

 
デフォルト

フィジブル サクセサであるルートだけが表示されます。フィジブル サクセサではないルートを含むすべてのルートを表示するには、 all-links キーワードを使用します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

トポロジ テーブルからダイナミック エントリを削除するには、 clear eigrp topology コマンドを使用できます。

次に、 show eigrp topology コマンドの出力例を示します。

hostname# show eigrp topology
 
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.1.1)
 
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
 
P 10.16.90.0 255.255.255.0, 2 successors, FD is 0
via 10.16.80.28 (46251776/46226176), Ethernet0
via 10.16.81.28 (46251776/46226176), Ethernet1
P 10.16.81.0 255.255.255.0, 1 successors, FD is 307200
via Connected, Ethernet1
via 10.16.81.28 (307200/281600), Ethernet1
via 10.16.80.28 (307200/281600), Ethernet0
 

表 25-6 に、この出力で表示される重要なフィールドの説明を示します。

 

表 25-6 show eigrp topology フィールドの情報

フィールド
説明

Codes

このトポロジ テーブル エントリのステート。Passive および Active は、この宛先に関する EIGRP ステートを指します。Update、Query、および Reply は、送信されているパケットのタイプを指します。

P - Passive

ルートは適切であると認識されており、この宛先に対して EIGRP の計算は実行されていません。

A - Active

この宛先に対して EIGRP の計算が実行されています。

U - Update

アップデート パケットがこの宛先に送信されたことを示します。

Q - Query

クエリー パケットがこの宛先に送信されたことを示します。

R - Reply

応答パケットがこの宛先に送信されたことを示します。

r - Reply status

ソフトウェアがクエリーを送信した後に、応答を待機している場合に設定されるフラグ。

address mask

宛先の IP アドレスとマスク。

successors

サクセサの数。この数は、IP ルーティング テーブルのネクストホップの数に対応します。「successors」が大文字になっている場合は、ルートまたはネクストホップは移行ステートになっています。

FD

フィジブル ディスタンス。フィジブル ディスタンスは、宛先に到達するのに最適なメトリックであるか、ルートがアクティブになったときに認識されていた最適なメトリックです。この値は、フィジビリティ条件の検査で使用されます。ルータの報告されたディスタンス(スラッシュの後のメトリック)がフィジブル サクセサよりも短い場合は、フィジビリティ条件を満たしており、そのパスはフィジブル サクセサです。ソフトウェアによって、フィジブル サクセサがあると判別された後は、その宛先のクエリーを送信する必要はありません。

via

この宛先に関してソフトウェアに伝えたピアの IP アドレス。これらのエントリの最初の n n は、サクセサの数)は、現在のサクセサです。リストの残りのエントリはフィジブル サクセサです。

( cost / adv_cost )

最初の数値は、宛先に対するコストを表す EIGRP メトリックです。2 番めの数値は、このピアがアドバタイズした EIGRP メトリックです。

interface

情報の学習元のインターフェイス。

次に、IP アドレスとともに使用した show eigrp topology の出力例を示します。示されている出力は内部ルート用です。

hostname# show eigrp topology 10.2.1.0 255.255.255.0
 
EIGRP-IPv4 (AS 100): Topology Default-IP-Routing-Table(0) entry for entry for 10.2.1.0 255.255.255.0
 
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 281600
Routing Descriptor Blocks:
0.0.0.0 (Ethernet0/0), from Connected, Send flag is 0x0
Composite metric is (281600/0), Route is Internal
Vector metric:
Minimum bandwidth is 10000 Kbit
Total delay is 1000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 0
 

次に、IP アドレスとともに使用した show eigrp topology の出力例を示します。示されている出力は外部ルート用です。

hostname# show eigrp topology 10.4.80.0 255.255.255.0
 
 
EIGRP-IPv4 (AS 100): Topology Default-IP-Routing-Table(0) entry for entry for 10.4.80.0 255.255.255.0
 
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 409600
Routing Descriptor Blocks:
10.2.1.1 (Ethernet0/0), from 10.2.1.1, Send flag is 0x0
Composite metric is (409600/128256), Route is External
Vector metric:
Minimum bandwidth is 10000 Kbit
Total delay is 6000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
External data:
Originating router is 10.89.245.1
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)
 

 
関連コマンド

コマンド
説明

clear eigrp topology

ダイナミックに検出されたエントリを EIGRP トポロジ テーブルから消去します。

show eigrp traffic

送信された EIGRP パケットの数を表示するには、特権 EXEC モードで show eigrp traffic コマンドを使用します。

show eigrp [ as-number ] traffic

 
構文の説明

as-number

(任意)イベント ログを表示している EIGRP プロセスの自律システム番号を指定します。適応型セキュリティ アプライアンスがサポートする EIGRP ルーティング プロセスは 1 つだけであるため、自律システム番号を指定する必要はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

EIGRP トラフィックの統計情報を消去するには、 clear eigrp traffic コマンドを使用できます。

次に、 show eigrp traffic コマンドの出力例を示します。

hostname# show eigrp traffic
 
EIGRP-IPv4 Traffic Statistics for AS 100
Hellos sent/received: 218/205
Updates sent/received: 7/23
Queries sent/received: 2/0
Replies sent/received: 0/2
Acks sent/received: 21/14
Input queue high water mark 0, 0 drops
SIA-Queries sent/received: 0/0
SIA-Replies sent/received: 0/0
Hello Process ID: 1719439416
PDM Process ID: 1719439824
 

表 25-7 に、この出力で表示される重要なフィールドの説明を示します。

 

表 25-7 show eigrp traffic のフィールドの説明

フィールド
説明

process

EIGRP ルーティング プロセスの自律システム番号。

Hellos sent/received

送受信された hello パケットの数。

Updates sent/received

送受信されたアップデート パケットの数。

Queries sent/received

送受信されたクエリー パケットの数。

Replies sent/received

送受信された応答パケットの数。

Acks sent/received

送受信された受信確認パケットの数。

Input queue high water mark/drops

最大受信しきい値に近づいている受信パケットの数と、ドロップされたパケットの数。

SIA-Queries sent/received

送受信されたアクティブ クエリーのスタック。

SIA-Replies sent/received

送受信されたアクティブ応答のスタック。

 
関連コマンド

コマンド
説明

debug eigrp packets

送受信された EIGRP パケットのデバッグ情報を表示します。

debug eigrp transmit

送信された EIGRP メッセージのデバッグ情報を表示します。

show environment

システム コンポーネントのシステム環境情報を表示するには、特権 EXEC モードで show environment コマンドを使用します。

show environment [ driver | fans | power-supply | temperature [ chassis | cpu ]]

 
構文の説明

chassis

(任意)温度の表示をシャーシに制限します。

cpu

(任意)温度の表示をプロセッサに制限します。ASA 5580-40 では、4 つのプロセッサの情報が表示されます。ASA 5580-20 では、2 つのプロセッサの情報が表示されます。

driver

(任意)環境モニタリング(IPMI)ドライバ ステータスを表示します。ドライバ ステータスは次のいずれかになります。

RUNNING:ドライバは動作可能です。

STOPPED:エラーが原因でドライバが停止しています。

fans

(任意)冷却ファンの動作ステータスを表示します。ステータスは次のいずれかになります。

OK:ファンは正常に動作しています。

Failed:ファンで障害が発生し、交換する必要があります。

power-supply

(任意)電源モジュールの動作ステータスを表示します。各電源モジュールのステータスは次のいずれかになります。

OK:電源モジュールは正常に動作しています。

Failed:電源モジュールで障害が発生し、交換する必要があります。

Not Present:指定された電源モジュールは取り付けられていません。

電源モジュールの冗長性ステータスも表示されます。冗長性ステータスは次のいずれかになります。

OK:ユニットは正常に動作しており、リソースはフルです。

Lost:ユニットは冗長性を失っていますが、最小のリソースで正常に動作しています。これ以上の障害が発生した場合は、システムはシャットダウンされます。

N/A:ユニットは、電源モジュールの冗長性用に設定されていません。

temperature

(任意)温度、およびプロセッサとシャーシのステータスを表示します。温度は摂氏で示されます。ステータスは次のいずれかになります。

OK:温度は正常な動作範囲内にあります。

Critical:温度は正常な動作範囲外にあります。

 
デフォルト

キーワードが指定されていない場合は、ドライバを除くすべての動作情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ASA 5580 適応型セキュリティ アプライアンスに関する動作環境情報を表示できます。この情報には、ファンと電源モジュールの動作ステータス、および CPU とシャーシの温度とステータスが含まれます。5580-40 では 4 つの CPU の情報が表示され、5580-20 では 2 つの CPU の情報が表示されます。

次に、 show environment コマンドからの出力例を示します。

hostname# show environment
 
Cooling Fans:
-----------------------------------
Cooling Fan 1: OK
Cooling Fan 2: OK
Cooling Fan 3: OK
Cooling Fan 4: OK
Cooling Fan 5: OK
Cooling Fan 6: OK
 
Power Supplies:
-----------------------------------
Power Supply Unit Redundancy: N/A
 
Power Supply 1: OK
Power Supply 2: Not Present
 
Temperature:
-----------------------------------
 
Processors:
--------------------------------
Processor 1: 30 C - OK
Processor 2: 29 C - OK
 
Chassis:
--------------------------------
Ambient 1: 29 C - OK
Ambient 2: 31 C - OK
Ambient 3: 34 C - OK
Ambient 4: 36 C - OK
 

次に、エラーが発生していない場合の show environment driver コマンドの出力例を示します。

hostname# show environment driver
 
Driver Information:
--------------------
Status : RUNNING
 
Driver Error Statistics:
-------------------------
Timeout I/O Errors : 0
Try Again I/O Errors : 0
Invalid Addr I/O Errors : 0
Message Size I/O Errors : 0
Memory I/O Errors : 0
Unknown I/O Errors : 0
Receive Msg ID Errors : 0
Receive Type Errors : 0
Sensor Update Failures : 0
 
Last 5 Errors:
---------------
 

次に、ドライバ エラーが発生している場合の show environment driver コマンドの出力例を示します。

hostname# show environment driver
 
Driver Information:
--------------------
Status : STOPPED
 
Driver Error Statistics:
-------------------------
Timeout I/O Errors : 0
Try Again I/O Errors : 0
Invalid Addr I/O Errors : 0
Message Size I/O Errors : 0
Memory I/O Errors : 0
Unknown I/O Errors : 0
Receive Msg ID Errors : 0
Receive Type Errors : 0
Sensor Update Failures : 1
 
Last 5 Errors:
---------------
1.) IPMI driver stopped responding
Time: 03:27:21 UTC Apr 16 2007
 

 
関連コマンド

コマンド
説明

show version

ハードウェアおよびソフトウェアのバージョンを表示します。

show failover

ユニットのフェールオーバー ステータスに関する情報を表示するには、特権 EXEC モードで show failover コマンドを使用します。

show failover [ group num | history | interface | state | statistics ]

 
構文の説明

group

指定されたフェールオーバー グループの実行ステートを表示します。

history

フェールオーバー履歴を表示します。フェールオーバー履歴には、過去のフェールオーバー ステートの変更とステートの変更の理由が表示されます。履歴情報は、デバイスをリブートすると消去されます。

interface

フェールオーバーおよびステートフル リンクの情報を表示します。

num

フェールオーバー グループの番号。

state

両方のフェールオーバー ユニットのフェールオーバー ステートを表示します。表示される情報には、プライマリまたはセカンダリ ユニットのステータス、ユニットの Active/Standby ステータス、および最後に報告されたフェールオーバーの理由が含まれます。障害の理由が消去された場合でも、障害の理由は出力に残ります。

statistics

フェールオーバー コマンド インターフェイスの送受信パケット数を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが変更されました。出力に追加情報が含められます。

8.2(2)

このコマンドが変更されました。出力にファイアウォールとフェールオーバー インターフェイスの IPv6 アドレスが含められます。ステートフル フェールオーバーの統計情報出力に、IPv6 ネイバー探索テーブル(IPv6 ND tbl)の更新に関する情報が含められます。

 
使用上のガイドライン

show failover コマンドを使用すると、ダイナミック フェールオーバー情報、インターフェイス ステータス、およびステートフル フェールオーバーの統計情報が表示されます。

IPv4 と IPv6 の両方のアドレスがインターフェイスで設定されている場合は、両方のアドレスが出力に表示されます。インターフェイスでは複数の IPv6 アドレスを設定できるため、リンクローカル アドレスだけが表示されます。インターフェイスに IPv4 アドレスが設定されていない場合、出力の IPv4 アドレスは 0.0.0.0 として表示されます。インターフェイスに IPv6 アドレスが設定されていない場合、アドレスは単純に出力から省かれます。

Stateful Failover Logical Update Statistics の出力は、ステートフル フェールオーバーがイネーブルになっている場合に限り表示されます。「xerr」値と「rerr」値は、フェールオーバーのエラーではなく、パケットの送信または受信エラーの数を示しています。


) ステートフル フェールオーバーおよびそのためステートフル フェールオーバーの統計情報の出力は、ASA 5505 適応型セキュリティ アプライアンスでは使用できません。


show failover コマンド出力では、ステートフル フェールオーバー フィールドには次の値があります。

Stateful Obj には次の値があります。

xmit:送信されたパケット数を示します。

xerr:送信エラーの数を示します。

rcv:受信されたパケット数を示します。

rerr:受信エラーの数を示します。

各行は、次のように特定のオブジェクト スタティック数用になっています。

General:すべてのステートフル オブジェクトの合計を示します。

sys cmd:login や stay alive など、論理更新システム コマンドを指します。

up time:アクティブな適応型セキュリティ アプライアンスがスタンバイ適応型セキュリティ アプライアンスに渡す、適応型セキュリティ アプライアンスのアップ時間の値を示します。

RPC services:リモート プロシージャ コール接続情報。

TCP conn:ダイナミック TCP 接続情報。

UDP conn:ダイナミック UDP 接続情報。

ARP tbl:ダイナミック ARP テーブル情報。

Xlate_Timeout:接続変換タイムアウト情報を示します。

IPv6 ND tbl:IPv6 ネイバー探索テーブル情報。

VPN IKE upd:IKE 接続情報。

VPN IPSEC upd:IPSec 接続情報。

VPN CTCP upd:cTCP トンネル接続情報。

VPN SDI upd:SDI AAA 接続情報。

VPN DHCP upd:トンネリング DHCP 接続情報。

SIP Session:SIP シグナリング セッション情報。

フェールオーバー IP アドレスを入力しない場合、 show failover コマンドを使用すると、IP アドレスに 0.0.0.0 が表示され、インターフェイスのモニタリングは「waiting」ステートのままになります。フェールオーバーが機能するには、フェールオーバー IP アドレスを設定する必要があります。

表 25-8 で、フェールオーバーのインターフェイス ステートについて説明します。

 

表 25-8 フェールオーバー インターフェイス ステート

状態
説明

Normal

インターフェイスが起動していて、ピア装置の対応するインターフェイスから hello パケットを受信しています。

Normal (Waiting)

インターフェイスは起動していますが、ピア装置の対応するインターフェイスから hello パケットをまだ受信していません。インターフェイスのスタンバイ IP アドレスが設定されていること、および 2 つのインターフェイス間の接続が存在することを確認してください。

Normal (Not-Monitored)

インターフェイスは起動していますが、フェールオーバー プロセスによってモニタされていません。モニタされていないインターフェイスの障害によってフェールオーバーはトリガーされません。

No Link

物理リンクがダウンしています。

No Link (Waiting)

物理リンクがダウンしていて、インターフェイスは、ピア装置の対応するインターフェイスから hello パケットをまだ受信していません。リンクの復元後に、インターフェイスのスタンバイ IP アドレスが設定されていること、および 2 つのインターフェイス間の接続が存在することを確認してください。

No Link (Not-Monitored)

物理リンクはダウンしていますが、フェールオーバー プロセスによってモニタされていません。モニタされていないインターフェイスの障害によってフェールオーバーはトリガーされません。

Link Down

物理リンクはアップ状態ですが、インターフェイスは管理上ダウンしています。

Link Down (Waiting)

物理リンクはアップ状態ですが、インターフェイスは管理上ダウンしており、ピア装置の対応するインターフェイスから hello パケットをまだ受信していません。(インターフェイス コンフィギュレーション モードで no shutdown コマンドを使用して)インターフェイスをアップ状態にした後で、インターフェイスのスタンバイ IP アドレスが設定されていること、および 2 つのインターフェイス間の接続が存在することを確認してください。

Link Down (Not-Monitored)

物理リンクはアップ状態ですが、インターフェイスは管理上ダウンしており、フェールオーバー プロセスによってモニタされていません。モニタされていないインターフェイスの障害によってフェールオーバーはトリガーされません。

Testing

インターフェイスは、ピア装置の対応するインターフェイスからの hello パケットが欠落していることが原因でテスト モードになっています。

Failed

インターフェイスのテストは失敗しました。インターフェイスは障害とマーク付けされます。インターフェイスの障害が原因でフェールオーバー基準を満たす場合は、インターフェイスの障害によってセカンダリ ユニットまたはフェールオーバー グループへのフェールオーバーが行われます。

複数コンフィギュレーション モードでは、 show failover コマンドはセキュリティ コンテキストだけで使用できます。オプション キーワードは入力できません。

次に、Active/Standby フェールオーバーの show failover コマンドの出力例を示します。適応型セキュリティ アプライアンスは ASA 5500 シリーズ適応型セキュリティ アプライアンスで、各適応型セキュリティ アプライアンスのスロット 1 の詳細に示すように、それぞれに CSC SSM が搭載されています。セキュリティ アプライアンスは、フェールオーバー リンク(folink)と内部インターフェイスで IPv6 アドレスを使用します。

hostname# show failover
 
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: folink Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.3/FE80::20d:29ff:fe1d:69f0): Normal
Interface outside (10.132.9.3): Normal
Interface folink (0.0.0.0/fe80::2a0:c9ff:fe03:101): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.3/24
CSC-SSM, 5.0 (Build#1176)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.4/FE80::20d:29ff:fe2b:7ba6): Normal
Interface outside (10.132.9.4): Normal
Interface folink (0.0.0.0/fe80::2e0:b6ff:fe07:3096): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.4/24
CSC-SSM, 5.0 (Build#1176)
 
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 1733 0 1733 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 6 0 0 0
UDP conn 0 0 0 0
ARP tbl 106 0 0 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 22 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 1733
Xmit Q: 0 2 15225
 

次に、Active/Active フェールオーバーの show failover コマンドの出力例を示します。この例では、管理コンテキストだけで、インターフェイスに IPv6 アドレスが割り当てられています。

hostname# show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 4 seconds
Interface Policy 1
Monitored Interfaces 8 of 250 maximum
failover replication http
Group 1 last failover at: 13:40:18 UTC Dec 9 2004
Group 2 last failover at: 13:40:06 UTC Dec 9 2004
 
This host: Primary
Group 1 State: Active
Active time: 2896 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.11)S91(0.11)) status (Up)
admin Interface outside (10.132.8.5): Normal
admin Interface folink (10.132.9.5/fe80::2a0:c9ff:fe03:101): Normal
admin Interface inside (10.130.8.5/fe80::2a0:c9ff:fe01:101): Normal
admin Interface fourth (10.130.9.5/fe80::3eff:fe11:6670): Normal
ctx1 Interface outside (10.1.1.1): Normal
ctx1 Interface inside (10.2.2.1): Normal
ctx2 Interface outside (10.3.3.2): Normal
ctx2 Interface inside (10.4.4.2): Normal
 
Other host: Secondary
Group 1 State: Standby Ready
Active time: 190 (sec)
Group 2 State: Active
Active time: 3322 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.1)S91(0.1)) status (Up)
admin Interface outside (10.132.8.6): Normal
admin Interface folink (10.132.9.6/fe80::2a0:c9ff:fe03:102): Normal
admin Interface inside (10.130.8.6/fe80::2a0:c9ff:fe01:102): Normal
admin Interface fourth (10.130.9.6/fe80::3eff:fe11:6671): Normal
ctx1 Interface outside (10.1.1.2): Normal
ctx1 Interface inside (10.2.2.2): Normal
ctx2 Interface outside (10.3.3.1): Normal
ctx2 Interface inside (10.4.4.1): Normal
 
Stateful Failover Logical Update Statistics
Link : third GigabitEthernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 380 0 380 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1435 0 1450 0
UDP conn 0 0 0 0
ARP tbl 124 0 65 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 22 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 1895
Xmit Q: 0 0 1940
 

次に、ASA 5505 シリーズ適応型セキュリティ アプライアンスでの show failover コマンドの出力例を示します。

Failover On
Failover unit Primary
Failover LAN Interface: fover Vlan150 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(0)55, Mate 7.2(0)55
Last Failover at: 19:59:58 PST Apr 6 2006
 
This host: Primary - Active
Active time: 34 (sec)
slot 0: ASA5505 hw/sw rev (1.0/7.2(0)55) status (Up Sys)
Interface inside (192.168.1.1): Normal
Interface outside (192.168.2.201): Normal
Interface dmz (172.16.0.1): Normal
Interface test (172.23.62.138): Normal
slot 1: empty
 
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5505 hw/sw rev (1.0/7.2(0)55) status (Up Sys)
Interface inside (192.168.1.2): Normal
Interface outside (192.168.2.211): Normal
Interface dmz (172.16.0.2): Normal
Interface test (172.23.62.137): Normal
slot 1: empty
 

次に、Active-Active セットアップの show failover state コマンドの出力例を示します。

 
hostname(config)# show failover state
 
State Last Failure Reason Date/Time
This host - Secondary
Group 1 Failed Backplane Failure 03:42:29 UTC Apr 17 2009
Group 2 Failed Backplane Failure 03:42:29 UTC Apr 17 2009
Other host - Primary
Group 1 Active Comm Failure 03:41:12 UTC Apr 17 2009
Group 2 Active Comm Failure 03:41:12 UTC Apr 17 2009
 
====Configuration State===
Sync Done
====Communication State===
Mac set

次に、Active-Standby セットアップの show failover state コマンドの出力例を示します。

 
hostname(config)# show failover state
 
State Last Failure Reason Date/Time
This host - Primary
Negotiation Backplane Failure 15:44:56 UTC Jun 20 2009
Other host - Secondary
Not Detected Comm Failure 15:36:30 UTC Jun 20 2009
 
====Configuration State===
Sync Done
====Communication State===
Mac set
 

表 25-9 で、 show failover state コマンドの出力について説明します。

 

表 25-9 show failover state 出力の説明

フィールド
説明

Configuration State

設定の同期化のステートを表示します。

スタンバイ ユニットで考えられる設定ステートは次のとおりです。

Config Syncing - STANDBY :同期化された設定が実行されている間に設定されます。

Interface Config Syncing - STANDBY

Sync Done - STANDBY :スタンバイ ユニットがアクティブ ユニットからの設定の同期化を完了したときに設定されます。

アクティブ ユニットで考えられる設定ステートは次のとおりです。

Config Syncing :アクティブ ユニットがスタンバイ ユニットへの設定の同期化を実行しているときに、アクティブ ユニットで設定されます。

Interface Config Syncing

Sync Done :アクティブ ユニットがスタンバイ ユニットへの設定の同期化を正常に完了したときに設定されます。

Ready for Config Sync :スタンバイ ユニットが設定の同期化を受信する準備ができたことを通知するときに、アクティブ ユニットで設定されます。

Communication State

MAC アドレスの同期化のステータスを表示します。

Mac set :MAC アドレスは、ピア装置からこのユニットに同期化されています。

Updated Mac :MAC アドレスが更新され、他のユニットに同期化され必要があるときに使用されます。ユニットが、ピア装置から同期化されたローカル MAC アドレスを更新している移行期間中にも使用されます。

Date/Time

障害の日付とタイムスタンプを表示します。

Last Failure Reason

最後に報告された障害の理由を表示します。この情報は、障害状態が消去されても消去されません。この情報は、フェールオーバーが発生した場合に限り変更されます。

障害の考えられる理由は次のとおりです。

Ifc Failure :障害が発生したインターフェイスの数がフェールオーバー基準を満たし、これが原因でフェールオーバーが発生した。

Comm Failure :フェールオーバー リンクで障害が発生したか、ピアがダウンしている。

Backplane Failure

State

ユニットの Primary/Secondary および Active/Standby ステータスを表示します。

This host/Other host

This host は、コマンドの実行時のデバイスの情報を示しています。Other host は、フェールオーバー ペアの他のデバイスの情報を示しています。

次に、 show failover history コマンドの出力例を示します。

hostname(config)# show failover history
==========================================================================
Group From State To State Reason
==========================================================================
. . .
03:42:29 UTC Apr 17 2009
0 Sync Config Failed
Backplane failed
 
03:42:29 UTC Apr 17 2009
1 Standby Ready Failed
Backplane failed
 
03:42:29 UTC Apr 17 2009
2 Standby Ready Failed
Backplane failed
 
03:44:39 UTC Apr 17 2009
0 Failed Negotiation
Backplane operational
 
03:44:40 UTC Apr 17 2009
1 Failed Negotiation
Backplane operational
 
03:44:40 UTC Apr 17 2009
2 Failed Negotiation
Backplane operational
 
==========================================================================
 

各エントリには、ステートの変更が発生した日時、開始ステート、結果のステート、およびステートの変更の理由が示されます。最新エントリは、表示の下部にあります。古いエントリは上部にあります。最大で 60 のエントリを表示できます。エントリの最大数に達した後で、新しいエントリが下部に追加されると、最も古いエントリが出力の上部から削除されます。

表 25-10 に、フェールオーバー ステートを示します。ステートには、安定したステートと一時的なステートの 2 つのタイプがあります。安定したステートは、障害などの何らかの発生が原因でステートが変更されるまでユニットが留まることができるステートです。一時的なステートは、安定したステートに到達するまでにユニットが通過するステートです。

 

表 25-10 フェールオーバー ステート

ステート
説明

Disabled

フェールオーバーはディセーブルです。これは安定したステートです。

Failed

ユニットは障害ステートになっています。これは安定したステートです。

Negotiation

ユニットはピアとの接続を確立し、ソフトウェア バージョンの互換性と Active/Standby ロールを判別するためにピアとネゴシエートします。ネゴシエートされるロールに応じて、ユニットはスタンバイ ユニット ステートまたはアクティブ ユニット ステートに移行し、障害ステートになります。これは一時的なステートです。

Not Detected

スタンバイ ユニット ステート

Cold Standby

ユニットは、ピアが Active ステートに達するまで待機します。ピア装置が Active ステートに達すると、このユニットは Standby Config ステートに移行します。これは一時的なステートです。

Sync Config

ユニットは、ピア装置からの実行コンフィギュレーションを要求します。設定の同期化中にエラーが発生した場合は、ユニットは Initialization ステートに戻ります。これは一時的なステートです。

Sync File System

ユニットは、ピア装置とファイル システムを同期化します。これは一時的なステートです。

Bulk Sync

ユニットは、ピアからステート情報を受信します。このステートは、ステートフル フェールオーバーがイネーブルになっている場合に限り発生します。これは一時的なステートです。

Standby Ready

ユニットは、アクティブ ユニットで障害が発生した場合に引き継ぎを行う準備ができています。これは安定したステートです。

アクティブ ユニット ステート

Just Active

アクティブ ユニットになったときのユニットの最初のステート。このステート中に、ユニットがアクティブになっていること、インターフェイスの IP アドレスと MAC アドレスが設定されることをピアに通知するメッセージがピアに送信されます。これは一時的なステートです。

Active Drain

ピアからのキュー メッセージは廃棄されます。これは一時的なステートです。

Active Applying Config

ユニットはシステム設定を適用しています。これは一時的なステートです。

Active Config Applied

ユニットはシステム設定の適用を終了しました。これは一時的なステートです。

Active

ユニットはアクティブで、トラフィックを処理しています。これは安定したステートです。

それぞれのステート変更に続いて、ステート変更の理由が示されます。ユニットが一時的なステートから安定したステートに移行する間、理由は通常同じままです。ステート変更の考えられる理由は次のとおりです。

No Error

Set by the CI config cmd

Failover state check

Failover interface become OK

HELLO not heard from mate

Other unit has different software version

Other unit operating mode is different

Other unit license is different

Other unit chassis configuration is different

Other unit card configuration is different

Other unit want me Active

Other unit want me Standby

Other unit reports that I am failed

Other unit reports that it is failed

Configuration mismatch

Detected an Active mate

No Active unit found

Configuration synchronization done

Recovered from communication failure

Other unit has different set of vlans configured

Unable to verify vlan configuration

Incomplete configuration synchronization

Configuration synchronization failed

Interface check

My communication failed

ACK not received for failover message

Other unit got stuck in learn state after sync

No power detected from peer

No failover cable

HA state progression failed

Detect service card failure

Service card in other unit has failed

My service card is as good as peer

LAN Interface become un-configured

Peer unit just reloaded

Switch from Serial Cable to LAN-Based fover

Unable to verify state of config sync

Auto-update request

Unknown reason

次に、 show failover interface コマンドの出力例を示します。デバイスに、フェールオーバー インターフェイスで設定された IPv6 アドレスがあります。

hostname(config)# sh fail int
interface folink GigabitEthernet0/2
System IP Address: 2001:a0a:b00::a0a:b70/64
My IP Address : 2001:a0a:b00::a0a:b70
Other IP Address : 2001:a0a:b00::a0a:b71
 

 
関連コマンド

コマンド
説明

show running-config failover

現在の設定で failover コマンドを表示します。

show failover exec

指定したユニットの failover exec コマンド モードを表示するには、特権 EXEC モードで show failover exec コマンドを使用します。

show failover exec { active | standby | mate }

 
構文の説明

active

アクティブ ユニットの failover exec コマンド モードを表示します。

mate

ピア装置の failover exec コマンド モードを表示します。

standby

スタンバイ ユニットの failover exec コマンド モードを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

failover exec コマンドを使用すると、指定したデバイスとのセッションが作成されます。デフォルトでは、このセッションはグローバル コンフィギュレーション モードです。 failover exec コマンドを使用して適切なコマンド( interface コマンドなど)を送信することで、そのセッションのコマンド モードを変更できます。指定されたデバイスの failover exec コマンド モードを変更しても、デバイスへのアクセスに使用しているセッションのコマンド モードは変更されません。デバイスに対する現在のセッションのコマンド モードを変更しても、 failover exec コマンドで使用されるコマンド モードには影響しません。

show failover exec コマンドを使用すると、 failover exec コマンドとともに送信されたコマンドが実行される指定のデバイスでコマンド モードが表示されます。

次に、 show failover exec コマンドの出力例を示します。この例では、 failover exec コマンドを入力するユニットのコマンド モードが、コマンドが実行されている failover exec コマンド モードと同じ必要はないことを示しています。

この例では、スタンバイ ユニットにログインしている管理者は、アクティブ ユニットのインターフェイスに名前を追加します。この例で 2 回めに入力される show failover exec mate コマンドは、インターフェイス コンフィギュレーション モードのピア デバイスを示します。 failover exec コマンドを使用してデバイスに送信されるコマンドは、そのモードで実行されます。

hostname(config)# show failover exec mate
 
Active unit Failover EXEC is at config mode
 
! The following command changes the standby unit failover exec mode
! to interface configuration mode.
hostname(config)# failover exec mate interface GigabitEthernet0/1
hostname(config)# show failover exec mate
 
Active unit Failover EXEC is at interface sub-command mode
 
! Because the following command is sent to the active unit, it is replicated
! back to the standby unit.
hostname(config)# failover exec mate nameif test
 

 
関連コマンド

コマンド
説明

failover exec

フェールオーバー ペアの指定されたユニットで指定のコマンドを実行します。

show file

ファイル システムに関する情報を表示するには、特権 EXEC モードで show file コマンドを使用します。

show file descriptors | system | information filename

 
構文の説明

descriptors

開いているすべてのファイル記述子を表示します。

filename

ファイル名を指定します。

information

パートナー アプリケーション パッケージ ファイルを含め、特定のファイルに関する情報を表示します。

system

ディスク ファイル システムに関するサイズ、使用可能なバイト、メディアのタイプ、フラグ、およびプレフィクス情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

パートナー アプリケーション パッケージ ファイルに関する情報を表示する機能が追加されました。

次に、 show file descriptors コマンドの出力例を示します。

hostname# show file descriptors
No open file descriptors
hostname# show file system
File Systems:
Size(b) Free(b) Type Flags Prefixes
* 60985344 60973056 disk rw disk:
 

次に、 show file info コマンドの出力例を示します。

hostname# show file info disk0:csc_embd1.0.1000.pkg
type is package (csc)
file size is 17204149 bytes version 1

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

pwd

現在の作業ディレクトリを表示します。

show firewall

現在のファイアウォール モード(ルーテッドまたはトランスペアレント)を表示するには、特権 EXEC モードで show firewall コマンドを使用します。

show firewall

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show firewall コマンドの出力例を示します。

hostname# show firewall
Firewall mode: Router
 

 
関連コマンド

コマンド
説明

firewall transparent

ファイアウォール モードを設定します。

show mode

現在のコンテキスト モード(シングルまたはマルチ)を表示します。

show flash

内部フラッシュ メモリの内容を表示するには、特権 EXEC モードで show flash: コマンドを使用します。

show flash:


) ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、flash キーワードは disk0 とエイリアス関係にあります。


 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、 show flash: コマンドの出力例を示します。

hostname# show flash:
-#- --length-- -----date/time------ path
11 1301 Feb 21 2005 18:01:34 test.cfg
12 1949 Feb 21 2005 20:13:36 pepsi.cfg
13 2551 Jan 06 2005 10:07:36 Leo.cfg
14 609223 Jan 21 2005 07:14:18 rr.cfg
15 1619 Jul 16 2004 16:06:48 hackers.cfg
16 3184 Aug 03 2004 07:07:00 old_running.cfg
17 4787 Mar 04 2005 12:32:18 admin.cfg
20 1792 Jan 21 2005 07:29:24 Marketing.cfg
21 7765184 Mar 07 2005 19:38:30 asdmfile-RLK
22 1674 Nov 11 2004 02:47:52 potts.cfg
23 1863 Jan 21 2005 07:29:18 r.cfg
24 1197 Jan 19 2005 08:17:48 tst.cfg
25 608554 Jan 13 2005 06:20:54 500kconfig
26 5124096 Feb 20 2005 08:49:28 cdisk70102
27 5124096 Mar 01 2005 17:59:56 cdisk70104
28 2074 Jan 13 2005 08:13:26 negateACL
29 5124096 Mar 07 2005 19:56:58 cdisk70105
30 1276 Jan 28 2005 08:31:58 steel
31 7756788 Feb 24 2005 12:59:46 asdmfile.50074.dbg
32 7579792 Mar 08 2005 11:06:56 asdmfile.gusingh
33 7764344 Mar 04 2005 12:17:46 asdmfile.50075.dbg
34 5124096 Feb 24 2005 11:50:50 cdisk70103
35 15322 Mar 04 2005 12:30:24 hs_err_pid2240.log
 
10170368 bytes available (52711424 bytes used)

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

show disk0:

内部フラッシュ メモリの内容を表示します。

show disk1:

外部フラッシュ メモリ カードの内容を表示します。

show flow-export counters

NetFlow データに関連付けられたランタイム カウンタを表示するには、特権 EXEC モードで show flow-export counters コマンドを使用します。

show flow-export counters

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ランタイム カウンタには、統計データおよびエラー データが含まれます。

次に、NetFlow データに関連付けられたランタイム カウンタを表示する show flow-export counters コマンドの出力例を示します。

hostname# show flow-export counters
 
destination: inside 209.165.200.224 2055
Statistics:
packets sent 1000
Errors:
block allocation failure 0
invalid interface 0
template send failure 0
 

 
関連コマンド

コマンド
説明

clear flow-export counters

NetFlow のランタイム カウンタをすべてゼロにリセットします。

flow-export destination interface-name ipv4-address | hostname udp-port

NetFlow コレクタの IP アドレスまたはホスト名と、NetFlow コレクタがリッスンする UDP ポートを指定します。

flow-export template timeout-rate minutes

テンプレート情報が NetFlow コレクタに送信される間隔を制御します。

logging flow-export-syslogs enable

logging flow-export-syslogs disable コマンドを入力した後に、syslog メッセージをイネーブルにし、さらに NetFlow データに関連付けられた syslog メッセージをイネーブルにします。

show fragment

IP フラグメント再構成モジュールの動作データを表示するには、特権 EXEC モードで show fragment コマンドを入力します。

show fragment [ interface ]

 
構文の説明

interface

(任意)適応型セキュリティ アプライアンスのインターフェイスを指定します。

 
デフォルト

interface が指定されていない場合、このコマンドはすべてのインターフェイスに適用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

 
コマンド履歴

リリース
変更内容

7.0(1)

設定データを動作データと分けるために、コマンドは、 show fragment および show running-config fragment の 2 つのコマンドに分けられました。

次の例では、IP フラグメント再構成モジュールの動作データを表示する方法を示します。

hostname# show fragment
Interface: inside
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: outside1
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: test1
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: test2
Size: 200, Chain: 24, Timeout: 5, Threshold: 133
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0

 
関連コマンド

コマンド
説明

clear configure fragment

IP フラグメント再構成コンフィギュレーションをクリアし、デフォルトにリセットします。

clear fragment

IP フラグメント再構成モジュールの動作データをクリアします。

fragment

パケット フラグメンテーションを詳細に管理できるようにし、NFS との互換性を高めます。

show running-config fragment

IP フラグメント再構成コンフィギュレーションを表示します。

show gc

ガーベッジ コレクション プロセスの統計情報を表示するには、特権 EXEC モードで show gc コマンドを使用します。

show gc

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、 show gc コマンドの出力例を示します。

hostname# show gc
 
Garbage collection process stats:
Total tcp conn delete response : 0
Total udp conn delete response : 0
Total number of zombie cleaned : 0
Total number of embryonic conn cleaned : 0
Total error response : 0
Total queries generated : 0
Total queries with conn present response : 0
Total number of sweeps : 946
Total number of invalid vcid : 0
Total number of zombie vcid : 0

 
関連コマンド

コマンド
説明

clear gc

ガーベッジ コレクション プロセスの統計情報を削除します。

show h225

適応型セキュリティ アプライアンス間で確立された H.225 セッションに関する情報を表示するには、特権 EXEC モードで show h225 コマンドを使用します。

show h225

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show h225 コマンドを使用すると、適応型セキュリティ アプライアンス間で確立された H.225 セッションの情報が表示されます。このコマンドは、 debug h323 h225 event debug h323 h245 event 、および show local-host コマンドとともに、H.323 インスペクション エンジンの問題のトラブルシューティングに使用されます。

show h225 show h245 、または show h323-ras コマンドを使用する前に、 pager コマンドを設定することを推奨します。多くのセッション レコードがあり、 pager コマンドが設定されていない場合は、 show 出力が最後まで達するのにしばらくかかることがあります。接続の数が異常に多い場合は、デフォルトのタイムアウト値またはユーザが設定した値に基づいてセッションがタイムアウトになっていることを確認します。なっていない場合は、調査が必要な問題が発生しています。

次に、 show h225 コマンドの出力例を示します。

hostname# show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
| Local: | 10.130.56.3/1040 | Foreign: 172.30.254.203/1720
| 1. CRV 9861
| Local: | 10.130.56.3/1040 | Foreign: 172.30.254.203/1720
0 Concurrent Call(s) for
| Local: | 10.130.56.4/1050 | Foreign: 172.30.254.205/1720
 

この出力は、現在適応型セキュリティ アプライアンスを通過している 1 つのアクティブな H.323 コールがローカル ポイント 10.130.56.3 と外部ホスト 172.30.254.203 間に存在すること、およびこれらの特定のエンドポイントの間に 1 つの同時コールがあり、そのコールの Call Reference Value(CRV; 呼参照値)が 9861 であることを示しています。

ローカル エンドポイント 10.130.56.4 と外部ホスト 172.30.254.205 では、同時コールは 0 です。これは、H.225 セッションがまだ存在する場合でも、エンドポイント間のアクティブ コールは存在しないことを意味します。これは、 show h225 コマンドの実行時に、コールがすでに終了していたが、H.225 セッションがまだ削除されていなかった場合に発生することがあります。または、2 つのエンドポイントで、「maintainConnection」が TRUE に設定されているために、その間の TCP 接続がまだオープンになっていることを意味することがあります。そのため、「maintainConnection」が再度 FALSE に設定されるか、設定の H.225 タイムアウト値に基づいてセッションがタイムアウトになるまで、セッションはオープンしたままになります。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

inspect h323

H.323 アプリケーション インスペクションをイネーブルにします。

show h245

スロー スタートを使用しているエンドポイントによって適応型セキュリティ アプライアンス間で確立された H.245 セッションの情報を表示します。

show h323-ras

適応型セキュリティ アプライアンス間で確立された H.323 RAS セッションの情報を表示します。

timeout h225 | h323

H.225 シグナリング接続または H.323 制御接続が終了するまでのアイドル時間を設定します。

show h245

スロー スタートを使用しているエンドポイントによって適応型セキュリティ アプライアンス間で確立された H.245 セッションの情報を表示するには、特権 EXEC モードで show h245 コマンドを使用します。

show h245

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show h245 コマンドを使用すると、スロー スタートを使用しているエンドポイントによって適応型セキュリティ アプライアンス間で確立された H.245 セッションの情報が表示されます(スロー スタートは、コールの 2 つのエンドポイントが H.245 の別の TCP コントロール チャネルをオープンした場合です。ファスト スタートは、H.245 メッセージが H.225 コントロール チャネルで H.225 メッセージの一部として交換される場合です)。このコマンドは、 debug h323 h245 event debug h323 h225 event 、および show local-host コマンドとともに、H.323 インスペクション エンジンの問題のトラブルシューティングに使用されます。

次に、 show h245 コマンドの出力例を示します。

hostname# show h245
Total: 1
| LOCAL | TPKT | FOREIGN | TPKT
1 | 10.130.56.3/1041 | 0 | 172.30.254.203/1245 | 0
| MEDIA: LCN 258 Foreign 172.30.254.203 RTP 49608 RTCP 49609
| Local | 10.130.56.3 RTP 49608 RTCP 49609
| MEDIA: LCN 259 Foreign 172.30.254.203 RTP 49606 RTCP 49607
| Local | 10.130.56.3 RTP 49606 RTCP 49607
 

適応型セキュリティ アプライアンス間でアクティブな H.245 コントロール セッションは現在 1 つ存在します。ローカル エンドポイントは 10.130.56.3 です。TPKT 値が 0 であるため、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します(TKTP ヘッダーは、各 H.225/H.245 メッセージの前にある 4 バイトのヘッダーです。このヘッダーによって、4 バイトのヘッダーを含むメッセージの長さがわかります)。外部ホスト エンドポイントは 172.30.254.203 です。TPKT 値が 0 であるため、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します。

これらのエンドポイント間でネゴシエートされるメディアには、258 という Logical Channel Number(LCN; 論理チャネル番号)があり、外部 RTP の IP アドレス/ポートのペアとして 172.30.254.203/49608、RTCP の IP アドレス/ポートとして 172.30.254.203/49609、ローカル RTP の IP アドレス/ポートのペアとして 10.130.56.3/49608、RTCP ポートとして 49609 があります。

2 番めの LCN である 259 には、外部 RTP の IP アドレス/ポートのペアとして 172.30.254.203/49606、RTCP の IP アドレス/ポートのペアとして 172.30.254.203/49607、ローカル RTP IP アドレス/ポートのペアとして 10.130.56.3/49606、RTCP ポートとして 49607 があります。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

inspect h323

H.323 アプリケーション インスペクションをイネーブルにします。

show h245

スロー スタートを使用しているエンドポイントによって適応型セキュリティ アプライアンス間で確立された H.245 セッションの情報を表示します。

show h323-ras

適応型セキュリティ アプライアンス間で確立された H.323 RAS セッションの情報を表示します。

timeout h225 | h323

H.225 シグナリング接続または H.323 制御接続が終了するまでのアイドル時間を設定します。

show h323-ras

ゲートキーパーと H.323 エンドポイントの間にある適応型セキュリティ アプライアンス間で確立された H.323 RAS セッションの情報を表示するには、特権 EXEC モードで show h323-ras コマンドを使用します。

show h323-ras

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show h323-ras コマンドを使用すると、ゲートキーパーと H.323 エンドポイントの間にある適応型セキュリティ アプライアンス間で確立された H.323 RAS セッションの情報が表示されます。このコマンドは、 debug h323 ras event および show local-host コマンドとともに、H.323 RAS インスペクション エンジンの問題のトラブルシューティングに使用されます。

show h323-ras コマンドを使用すると、H.323 インスペクション エンジンの問題のトラブルシューティングを行うための接続情報が表示されます。このコマンドについては、inspect protocol h323 {h225 | ras} コマンド ページで説明します。

次に、 show h323-ras コマンドの出力例を示します。

hostname# show h323-ras
Total: 1
| GK | Caller
| 172.30.254.214 10.130.56.14
hostname#
 

この出力は、ゲートキーパー 172.30.254.214 とクライアント 10.130.56.14 間のアクティブな登録が 1 つ存在することを示しています。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

inspect h323

H.323 アプリケーション インスペクションをイネーブルにします。

show h245

スロー スタートを使用しているエンドポイントによって適応型セキュリティ アプライアンス間で確立された H.245 セッションの情報を表示します。

show h323-ras

適応型セキュリティ アプライアンス間で確立された H.323 RAS セッションの情報を表示します。

timeout h225 | h323

H.225 シグナリング接続または H.323 制御接続が終了するまでのアイドル時間を設定します。

show history

以前に入力したコマンドを表示するには、ユーザ EXEC モードで show history コマンドを使用します。

show history

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show history コマンドを使用すると、以前に入力したコマンドを表示できます。上矢印と下矢印を使用してコマンドを個別に調べて、^p を入力して以前に入力した行を表示するか、^n を入力して次の行を表示できます。

次に、ユーザ EXEC モードでの show history コマンドの出力例を示します。

hostname> show history
show history
help
show history
 

次に、特権 EXEC モードでの show history コマンドの出力例を示します。

hostname# show history
show history
help
show history
enable
show history
 

次に、グローバル コンフィギュレーション モードでの show history コマンドの出力例を示します。

hostname(config)# show history
show history
help
show history
enable
show history
config t
show history
 

 
関連コマンド

コマンド
説明

help

指定したコマンドのヘルプ情報を表示します。

show icmp

ICMP 設定を表示するには、特権 EXEC モードで show icmp コマンドを使用します。

show icmp

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

show icmp コマンドを使用すると、ICMP 設定が表示されます。

次に、ICMP の設定例を示します。

hostname# show icmp
 

 
関連コマンド

clear configure icmp

ICMP コンフィギュレーションをクリアします。

debug icmp

ICMP のデバッグ情報の表示をイネーブルにします。

icmp

適応型セキュリティ アプライアンス インターフェイスで終了する ICMP トラフィックのアクセス ルールを設定します。

inspect icmp

ICMP インスペクション エンジンをイネーブルまたはディセーブルにします。

timeout icmp

ICMP のアイドル タイムアウトを設定します。

show idb

インターフェイス記述子ブロックのステータスに関する情報を表示するには、特権 EXEC モードで show idb コマンドを使用します。

show idb

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

IDB は、インターフェイス リソースを表す内部データ構造です。出力の説明については、「」の項を参照してください。

次に、 show idb コマンドの出力例を示します。

hostname# show idb
Maximum number of Software IDBs 280. In use 23.
 
HWIDBs SWIDBs
Active 6 21
Inactive 1 2
Total IDBs 7 23
Size each (bytes) 116 212
Total bytes 812 4876
 
HWIDB# 1 0xbb68ebc Control0/0
HWIDB# 2 0xcd47d84 GigabitEthernet0/0
HWIDB# 3 0xcd4c1dc GigabitEthernet0/1
HWIDB# 4 0xcd5063c GigabitEthernet0/2
HWIDB# 5 0xcd54a9c GigabitEthernet0/3
HWIDB# 6 0xcd58f04 Management0/0
 
SWIDB# 1 0x0bb68f54 0x01010001 Control0/0
SWIDB# 2 0x0cd47e1c 0xffffffff GigabitEthernet0/0
SWIDB# 3 0x0cd772b4 0xffffffff GigabitEthernet0/0.1
PEER IDB# 1 0x0d44109c 0xffffffff 3 GigabitEthernet0/0.1
PEER IDB# 2 0x0d2c0674 0x00020002 2 GigabitEthernet0/0.1
PEER IDB# 3 0x0d05a084 0x00010001 1 GigabitEthernet0/0.1
SWIDB# 4 0x0bb7501c 0xffffffff GigabitEthernet0/0.2
SWIDB# 5 0x0cd4c274 0xffffffff GigabitEthernet0/1
SWIDB# 6 0x0bb75704 0xffffffff GigabitEthernet0/1.1
PEER IDB# 1 0x0cf8686c 0x00020003 2 GigabitEthernet0/1.1
SWIDB# 7 0x0bb75dec 0xffffffff GigabitEthernet0/1.2
PEER IDB# 1 0x0d2c08ac 0xffffffff 2 GigabitEthernet0/1.2
SWIDB# 8 0x0bb764d4 0xffffffff GigabitEthernet0/1.3
PEER IDB# 1 0x0d441294 0x00030001 3 GigabitEthernet0/1.3
SWIDB# 9 0x0cd506d4 0x01010002 GigabitEthernet0/2
SWIDB# 10 0x0cd54b34 0xffffffff GigabitEthernet0/3
PEER IDB# 1 0x0d3291ec 0x00030002 3 GigabitEthernet0/3
PEER IDB# 2 0x0d2c0aa4 0x00020001 2 GigabitEthernet0/3
PEER IDB# 3 0x0d05a474 0x00010002 1 GigabitEthernet0/3
SWIDB# 11 0x0cd58f9c 0xffffffff Management0/0
PEER IDB# 1 0x0d05a65c 0x00010003 1 Management0/0
 

表 25-11 に各フィールドの説明を示します。

 

表 25-11 show idb stats のフィールド

フィールド
説明

HWIDBs

すべての HWIDB の統計情報を表示します。HWIDB は、システム内のハードウェア ポートごとに作成されます。

SWIDBs

すべての SWIDB の統計情報を表示します。SWIDB は、システム内のメインおよびサブインターフェイスごと、およびコンテキストに割り当てられているインターフェイスごとに作成されます。

その他の一部の内部ソフトウェア モジュールも IDB を作成します。

HWIDB#

ハードウェア インターフェイス エントリを指定します。IDB シーケンス番号、アドレス、およびインターフェイス名が各行に表示されます。

SWIDB#

ソフトウェア インターフェイス エントリを指定します。IDB シーケンス番号、アドレス、対応する vPif ID、およびインターフェイス名が各行に表示されます。

PEER IDB#

コンテキストに割り当てられているインターフェイスを指定します。IDB シーケンス番号、アドレス、対応する vPif ID、コンテキスト ID、およびインターフェイス名が各行に表示されます。

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show igmp groups

適応型セキュリティ アプライアンスに直接接続された受信者、および IGMP によって学習された受信者を含むマルチキャスト グループを表示するには、特権 EXEC モードで show igmp groups コマンドを使用します。

show igmp groups [[ reserved | group ] [ if_name ] [ detail ]] | summary ]

 
構文の説明

detail

(任意)ソースの詳細説明を指定します。

group

(任意)IGMP グループのアドレス。このオプションの引数を含めると、表示が指定のグループに制限されます。

if_name

(任意)指定されたインターフェイスのグループ情報を表示します。

reserved

(任意)予約済みグループの情報を表示します。

summary

(任意)グループ結合サマリー情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

オプションの引数とキーワードをすべて省略すると、 show igmp groups コマンドによって、直接接続されているすべてのマルチキャスト グループがグループ アドレス、インターフェイス タイプ、およびインターフェイス番号別に表示されます。

次に、 show igmp groups コマンドの出力例を示します。

hostname#show igmp groups
 
IGMP Connected Group Membership
Group Address Interface Uptime Expires Last Reporter
224.1.1.1 inside 00:00:53 00:03:26 192.168.1.6

 
関連コマンド

コマンド
説明

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

show igmp interface

インターフェイスのマルチキャスト情報を表示するには、特権 EXEC モードで show igmp interface コマンドを使用します。

show igmp interface [ if_name ]

 
構文の説明

if_name

(任意)選択したインターフェイスの IGMP グループ情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが変更されました。 detail キーワードは削除されました。

 
使用上のガイドライン

オプションの if_name 引数を省略すると、 show igmp interface コマンドによって、すべてのインターフェイスに関する情報が表示されます。

次に、 show igmp interface コマンドの出力例を示します。

hostname# show igmp interface inside
 
inside is up, line protocol is up
Internet address is 192.168.37.6, subnet mask is 255.255.255.0
IGMP is enabled on interface
IGMP query interval is 60 seconds
Inbound IGMP access group is not set
Multicast routing is enabled on interface
Multicast TTL threshold is 0
Multicast designated router (DR) is 192.168.37.33
No multicast groups joined
 

 
関連コマンド

コマンド
説明

show igmp groups

適応型セキュリティ アプライアンスに直接接続されている受信者、および IGMP を通じて学習された受信者を含むマルチキャスト グループを表示します。

show igmp traffic

IGMP トラフィック統計情報を表示するには、特権 EXEC モードで show igmp traffic コマンドを使用します。

show igmp traffic

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show igmp traffic コマンドの出力例を示します。

hostname# show igmp traffic
 
IGMP Traffic Counters
Elapsed time since counters cleared: 00:02:30
Received Sent
Valid IGMP Packets 3 6
Queries 2 6
Reports 1 0
Leaves 0 0
Mtrace packets 0 0
DVMRP packets 0 0
PIM packets 0 0
 
Errors:
Malformed Packets 0
Martian source 0
Bad Checksums 0

 
関連コマンド

コマンド
説明

clear igmp counters

IGMP 統計情報カウンタをすべてクリアします。

clear igmp traffic

IGMP トラフィック カウンタをクリアします。

show import webvpn

適応型セキュリティ アプライアンスのフラッシュ メモリに現在存在する WebVPN カスタム データとプラグインをリストするには、特権 EXEC モードで show import webvpn (任意)コマンドを入力します。

show import webvpn | customization | plug | plug detail | translation-table | url-list | webcontent

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

WebVPN ユーザが使用できるカスタム データと Java ベースのクライアント アプリケーションを識別するには、 show import webvpn コマンドを使用します。表示されるリストでは、適応型セキュリティ アプライアンスのフラッシュ メモリにある要求されたすべてのデータ タイプが箇条書きにされます。

それぞれの show import webvpn コマンドでは、現在ロードされている次の WebVPN データが表示されます。

カスタマイゼーション:カスタマイゼーション オブジェクト(ファイル名 base64 デコード)

プラグ:サードパーティの Java ベースのクライアント アプリケーション(SSH、VNC、および RDP)

プラグの詳細:各プラグインのハッシュおよび日付情報

変換テーブル:ローカリゼーション/国際化ディクショナリ テーブル

URL リスト:URL リスト オブジェクト(ファイル名 base64 デコード)

Web コンテンツ:再帰的に disk0:/csco_config/htms(すべてのファイルの完全な名前)

次に、さまざまな show import webvpn コマンドによって表示される WebVPN データを示します。

hostname# show import webvpn plug
ssh
rdp
vnc
hostname#
 
hostname# show import webvpn plug detail
post GXN2BIGGOAOkBMibDQsMu2GWZ3Q= Tue, 29 Apr 2008 19:57:03 GMT
rdp fHeyReIOUwDCgAL9HdTsPnjdBOo= Tue, 15 Sep 2009 23:23:56 GMT
rdp2 shw8c22T2SsILLk6zyCd6H6VOz8= Wed, 11 Feb 2009 21:17:54 GMT
hostname# show import webvpn customization
Template
DfltCustomization
hostname#
 
hostname# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
banners
csd
customization
url-list
webvpn
Translation Tables:
ru customization
ua customization
hostname#
 
hostname# show import webvpn url-list
Template
No bookmarks are currently defined
hostname#
 
hostname# show import webvpn webcontent
No custom webcontent is loaded
hostname#
 

 
関連コマンド

コマンド
説明

revert webvpn all

現在適応型セキュリティ アプライアンスにあるすべての WebVPN データとプラグインを削除します。

show interface

インターフェイスの統計情報を表示するには、特権 EXEC モードで show interface コマンドを使用します。

show interface [{ physical_interface | redundant number }[ . subinterface ] | mapped_name | interface_name | vlan number ] [ stats | detail ]

 
構文の説明

detail

(任意) asr-group コマンドによってイネーブルになっている場合は、インターフェイスが追加された順序、設定されているステート、実際のステート、および非対称ルーティングの統計情報を含む、インターフェイスの詳細情報を表示します。すべてのインターフェイスを表示する場合は、ASA 5500 シリーズ適応型セキュリティ アプライアンスにインストールされていれば、SSM の内部インターフェイスに関する情報が表示されます。内部インターフェイスは、ユーザによる設定は不可能です。情報はデバッグだけを目的としています。

interface_name

(任意) nameif コマンド内にインターフェイス名のセットを指定します。

mapped_name

(任意) allocate-interface コマンドを使用してマッピング名を割り当てた場合、マルチ コンテキスト モードでその名前を指定します。

physical_interface

(任意) gigabit ethernet 0/1 などのインターフェイス ID を指定します。有効値については、 interface コマンドを参照してください。

redundant number

(任意) redundant 1 などの冗長インターフェイス ID を指定します。

stats

(デフォルト)インターフェイスの情報と統計情報を表示します。このキーワードはデフォルトであるため、このキーワードはオプションです。

subinterface

(任意)論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。

vlan number

(任意)ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチのあるモデルでは、VLAN インターフェイスを指定します。

 
デフォルト

どのオプションも指定しないと、このコマンドによってすべてのインターフェイスの基本的な統計情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

新しいインターフェイスの番号付け方式を含めて、明確にするための stats キーワードと、 detail キーワードを追加するために、このコマンドは変更されました。

7.0(4)

このコマンドでは、4GE SSM インターフェイスのサポートが追加されました。

7.2(1)

このコマンドでは、スイッチ インターフェイスのサポートが追加されました。

8.0(2)

このコマンドでは、冗長インターフェイスのサポートが追加されました。また、サブインターフェイスの遅延が追加されています。input reset drops と output reset drops の 2 つの新しいカウンタが追加されました。

8.2(1)

バッファなし数が、ブロック割り当てからの障害数を表示するよう変更されました。

 
使用上のガイドライン

1 つのインターフェイスが複数のコンテキストで共有されているときに、コンテキスト内でこのコマンドを入力した場合、適応型セキュリティ アプライアンスでは、現在のコンテキストの統計情報だけが表示されます。物理インターフェイスのシステム実行スペースでこのコマンドを入力した場合、適応型セキュリティ アプライアンスでは、すべてのコンテキストの統合された統計情報が表示されます。

サブインターフェイスについて表示される統計情報の数は、物理インターフェイスについて表示される統計情報の数のサブセットです。

インターフェイス名は、システム実行スペースでは使用できません。これは、 nameif コマンドはコンテキスト内だけで使用できるためです。同様に、 allocate-interface コマンドを使用してインターフェイス ID をマッピング名にマッピングした場合、そのマッピング名はコンテキスト内だけで使用できます。 allocate-interface コマンドで visible キーワードを設定すると、適応型セキュリティ アプライアンスでは、 show interface コマンドの出力にインターフェイス ID が表示されます。


) Hardware カウントと Traffic Statistics カウントの送受信バイト数は、異なります。

Hardware カウントでは、数量はハードウェアから直接取得され、レイヤ 2 パケット サイズが反映されます。トラフィック統計情報では、レイヤ 3 パケット サイズが反映されます。

数の差は、インターフェイス カード ハードウェアの設計によって異なります。

たとえば、ファスト イーサネット カードでは、レイヤ 2 カウントは、トラフィック カウントよりも 14 バイト多くなります。これは、イーサネット ヘッダーが含まれているためです。ギガビット イーサネット カードでは、レイヤ 2 カウントは、トラフィック カウントよりも 18 バイト多くなります。これは、イーサネット ヘッダーと CRC の両方が含まれているためです。


出力の説明については、「」の項を参照してください。

次に、 show interface コマンドの出力例を示します。

hostname# show interface
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 000b.fcf8.c44e, MTU 1500
IP address 10.86.194.60, subnet mask 255.255.254.0
1328522 packets input, 124426545 bytes, 0 no buffer
Received 1215464 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
9 L2 decode drops
124606 packets output, 86803402 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/7)
output queue (curr/max packets): hardware (0/13)
Traffic Statistics for "outside":
1328509 packets input, 99873203 bytes
124606 packets output, 84502975 bytes
524605 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/1 "inside", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
MAC address 000b.fcf8.c44f, MTU 1500
IP address 10.10.0.1, subnet mask 255.255.0.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0)
output queue (curr/max packets): hardware (0/0)
Traffic Statistics for "inside":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/2 "faillink", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
Description: LAN/STATE Failover Interface
MAC address 000b.fcf8.c450, MTU 1500
IP address 192.168.1.1, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0)
output queue (curr/max packets): hardware (0/0)
Traffic Statistics for "faillink":
0 packets input, 0 bytes
1 packets output, 28 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/3 "", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
Active member of Redundant5
MAC address 000b.fcf8.c451, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0)
output queue (curr/max packets): hardware (0/0)
Interface Management0/0 "", is administratively down, line protocol is down
Hardware is i82557, BW 100 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
Available but not configured via nameif
MAC address 000b.fcf8.c44d, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (128/128) software (0/0)
output queue (curr/max packets): hardware (0/0) software (0/0)
Interface Redundant1 "", is down, line protocol is down
Redundancy Information:
Members unassigned
Interface Redundant5 "redundant", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
MAC address 000b.fcf8.c451, MTU 1500
IP address 10.2.3.5, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0) software (0/0)
output queue (curr/max packets): hardware (0/0) software (0/0)
Traffic Statistics for "redundant":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Redundancy Information:
Member GigabitEthernet0/3(Active), GigabitEthernet0/2
Last switchover at 15:15:26 UTC Oct 24 2006
Interface Redundant5.1 "", is down, line protocol is down
VLAN identifier none
Available but not configured with VLAN or via nameif
 

表 25-12 に各フィールドの説明を示します。

 

表 25-12 show interface のフィールド

フィールド
説明

Interface ID

インターフェイス ID。 allocate-interface コマンドの visible キーワードを設定した場合を除いて、適応型セキュリティ アプライアンスでは、コンテキスト内でマッピング名(設定されている場合)が表示されます。

" interface_name "

nameif コマンドで設定されたインターフェイス名。システムでは名前を設定できないため、システム実行スペースではこのフィールドはブランクです。名前を設定しない場合は、Hardware 行の後に次のメッセージが表示されます。

Available but not configured via nameif

is state

管理ステートは次のとおりです。

up:インターフェイスはシャットダウンされません。

administratively down:インターフェイスは、 shutdown コマンドを使用してシャットダウンされます。

Line protocol is state

回線ステータスは次のとおりです。

up:動作するケーブルがネットワーク インターフェイスに接続されています。

down:ケーブルが正しくないか、インターフェイス コネクタに接続されていません。

VLAN ID

サブインターフェイスの場合は、VLAN ID。

Hardware

インターフェイス タイプ、最大帯域幅、遅延、デュプレックス、および速度。リンクがダウンしている場合は、デュプレックスと速度には設定済みの値が表示されます。リンクがアップ状態の場合は、これらのフィールドには、実際の設定がカッコで囲まれ、設定済みの値が表示されます。次のリストで、一般的なハードウェア タイプについて説明します。

i82542:PIX プラットフォームで使用される Intel PCI ファイバ ギガビット カード

i82543:PIX プラットフォームで使用される Intel PCI-X ファイバ ギガビット カード

i82546GB:ASA プラットフォームで使用される Intel PCI-X 銅線ギガビット カード

i82547GI:ASA プラットフォームでバックプレーンとして使用される Intel CSA 銅線ギガビット カード

i82557:ASA プラットフォームで使用される Intel PCI 銅線ファスト イーサネット

i82559:PIX プラットフォームで使用される Intel PCI 銅線ファスト イーサネット

VCS7380:SSM-4GE で使用される Vitesse Four Port ギガビット スイッチ

Media-type

(4GE SSM インターフェイスの場合だけ)インターフェイスが RJ-45 として設定されているか、SFP として設定されているかを示します。

message area

特定の状況下で、メッセージが表示されることがあります。次の例を参照してください。

システム実行スペースでは、次のメッセージが表示されることがあります。

Available for allocation to a context
 

名前を設定しない場合は、次のメッセージが表示されます。

Available but not configured via nameif
 

インターフェイスが冗長インターフェイスのメンバーである場合は、次のメッセージが表示されます。

Active member of Redundant5

MAC address

インターフェイスの MAC アドレス。

MTU

このインターフェイスで許可されるパケットの最大サイズ(バイト)。インターフェイス名を設定しない場合は、このフィールドには「MTU not set」と表示されます。

IP address

ip address コマンドを使用して設定されたか、DHCP サーバから受信したインターフェイスの IP アドレス。システムでは IP アドレスを設定できないため、システム実行スペースではこのフィールドには「IP address unassigned」と表示されます。

Subnet mask

IP アドレスのサブネット マスク。

Packets input

このインターフェイスで受信されたパケットの数。

Bytes

このインターフェイスで受信されたバイトの数。

No buffer

ブロック割り当てからの障害の数。

Received:

Broadcasts

受信されたブロードキャストの数。

Input errors

下にリストされているタイプを含む、入力エラーの総数。その他の入力関連エラーが原因で、入力エラー数が増えることもあります。また、一部のデータグラムには複数のエラーが存在する可能性があります。そのため、この合計は、下でタイプについてリストされているエラー数を超えることがあります。

Runts

最小パケット サイズ(64 バイト)よりも小さいために廃棄されたパケットの数。ラントは通常、コリジョンが原因です。配線不良および電気障害が原因となることもあります。

Giants

最大パケット サイズを超えるために廃棄されたパケットの数。たとえば、1518 バイトを超えるイーサネット パケットはジャイアントと見なされます。

CRC

巡回冗長検査エラーの数。ステーションは、フレームの送信時に、フレームの最後に CRC を追加します。この CRC は、フレーム内のデータに基づいてアルゴリズムから生成されます。送信元と宛先の間でフレームが変更されると、適応型セキュリティ アプライアンスは、CRC が一致しないことを示します。CRC の数が多い場合、通常はコリジョンが発生したか、ステーションが不正なデータを送信しています。

Frame

フレーム エラーの数。不正なフレームには、長さが正しくないかフレーム チェックサムが不正なパケットが含まれています。このエラーは通常、コリジョンまたはイーサネット デバイスの誤動作の結果発生します。

Overrun

入力レートが、適応型セキュリティ アプライアンスによるデータの処理能力を超えたために、適応型セキュリティ アプライアンスがハードウェア バッファに対する受信済みデータを処理できなかった回数。

Ignored

このフィールドは使用されません。値は常に 0 です。

Abort

このフィールドは使用されません。値は常に 0 です。

L2 decode drops

名前が設定されていない( nameif コマンド)か、無効な VLAN ID が指定されているフレームを受信したためにドロップされたパケットの数。

Packets output

このインターフェイスで送信されたパケットの数。

Bytes

このインターフェイスで送信されたバイトの数。

Underruns

適応型セキュリティ アプライアンスが処理できるよりも早くトランスミッタが実行された回数。

Output Errors

設定されているコリジョンの最大数を超えたために、送信されなかったフレームの数。このカウンタは、ネットワーク トラフィックが非常に多い場合だけ増える必要があります。

Collisions

イーサネット コリジョン(単一および複数のコリジョン)が原因で再送信されたメッセージの数。これは通常、拡張しすぎた LAN(イーサネットまたはトランシーバ ケーブルが長すぎる、ステーション間にリピータが複数ある、またはカスケード接続されたマルチポート トランシーバが多すぎる)で発生します。コリジョンが発生したパケットは、出力パケットによって 1 回だけカウントされます。

Interface resets

インターフェイスがリセットされた回数。インターフェイスが 3 秒間送信できない場合は、適応型セキュリティ アプライアンスは、インターフェイスをリセットして、送信を再開します。この期間中に、接続ステートは維持されます。インターフェイスのリセットは、インターフェイスがループバックまたはシャットダウンされた場合にも発生することがあります。

Babbles

未使用(「バブル」は、トランスミッタが最長フレームの送信に要した時間よりも長くインターフェイスに留まっていたことを意味します)。

Late collisions

通常のコリジョン ウィンドウ外でコリジョンが発生したために送信されなかったフレームの数。レイト コリジョンは、パケットの送信で遅れて検出されるコリジョンです。通常、これが発生することはありません。2 つのイーサネット ホストが一度に送信しようとすると、早期にパケットでコリジョンが発生して両方がバックオフするか、2 番めのホストが最初のホストの送信を確認して待機します。

レイト コリジョンが発生した場合は、デバイスは割り込んでイーサネットでパケットの送信を試行し、一方適応型セキュリティ アプライアンスはパケットの送信を部分的に終了します。適応型セキュリティ アプライアンスは、パケットの最初の部分が保持されたバッファを解放している可能性があるため、パケットを再送信しません。ネットワーキング プロトコルは、パケットを再送信することでコリジョンに対処するよう設計されているため、これは実際には問題ではありません。ただし、レイト コリジョンは、ネットワークに問題が発生していることを示しています。よくある問題は、リピータを何台も使用して拡張したネットワーク、および仕様範囲外で動作しているイーサネット ネットワークです。

Deferred

リンクでのアクティビティが原因で送信前に延期されたフレームの数。

input reset drops

リセットの発生時に RX リングでドロップされたパケットの数をカウントします。

output reset drops

リセットの発生時に TX リングでドロップされたパケットの数をカウントします。

Rate limit drops

(4GE SSM インターフェイスの場合だけ)ギガビット以外の速度でインターフェイスを設定して、設定に応じて 10 Mbps または 100 Mbps を超えて送信しようとした場合にドロップされたパケットの数。

Lost carrier

送信中に搬送波信号が失われた回数。

No carrier

未使用。

Input queue (curr/max packets):

入力キュー内のパケットの数(現在および最大)。

Hardware

ハードウェア キュー内のパケットの数。

Software

ソフトウェア キュー内のパケットの数。ギガビット イーサネット インターフェイスでは使用できません。

Output queue (curr/max packets):

出力キュー内のパケットの数(現在および最大)。

Hardware

ハードウェア キュー内のパケットの数。

Software

ソフトウェア キュー内のパケットの数。

Traffic Statistics:

受信、送信、またはドロップされたパケットの数。

Packets input

受信されたパケットの数とバイト数。

Packets output

送信されたパケットの数とバイト数。

Packets dropped

ドロップされたパケットの数。たとえばアクセス リストの拒否が原因でパケットがドロップされた場合、通常、Accelerated Security Path(ASP; 高速セキュリティ パス)でドロップされたパケットでは、このカウンタは増加します。

インターフェイスで考えられるドロップの理由については、 show asp drop コマンドを参照してください。

1 minute input rate

過去 1 分に受信されたパケットの数(パケット/秒およびバイト/秒)。

1 minute output rate

過去 1 分に送信されたパケットの数(パケット/秒およびバイト/秒)。

1 minute drop rate

過去 1 分にドロップされたパケットの数(パケット/秒)。

5 minute input rate

過去 5 分に受信されたパケットの数(パケット/秒およびバイト/秒)。

5 minute output rate

過去 5 分に送信されたパケットの数(パケット/秒およびバイト/秒)。

5 minute drop rate

過去 5 分にドロップされたパケットの数(パケット/秒)。

Redundancy Information:

冗長インターフェイスの場合は、メンバーの物理インターフェイスを表示します。アクティブ インターフェイスには、インターフェイス ID の後に「(Active)」が表示されます。

まだメンバーを割り当てていない場合は、次の出力が表示されます。

Members unassigned

Last switchover

冗長インターフェイスの場合は、アクティブ インターフェイスが最後にスタンバイ インターフェイスでフェールオーバーした時間を示します。

次に、スイッチ ポートが組み込まれている ASA 5505 適応型セキュリティ アプライアンスでの show interface コマンドの出力例を示します。

hostname# show interface
Interface Vlan1 "inside", is up, line protocol is up
Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
MAC address 00d0.2bff.449f, MTU 1500
IP address 1.1.1.1, subnet mask 255.0.0.0
Traffic Statistics for "inside":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
 
Interface Ethernet0/0 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 1000 usec
Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
Available but not configured via nameif
MAC address 00d0.2bfd.6ec5, MTU not set
IP address unassigned
407 packets input, 53587 bytes, 0 no buffer
Received 103 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
43 switch ingress policy drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
0 rate limit drops
0 switch egress policy drops
 

表 25-13 に、ASA 5505 適応型セキュリティ アプライアンスのスイッチ インターフェイスなど、スイッチ インターフェイスの show interface コマンドの各フィールドの説明を示します。 show interface コマンドでも表示されるフィールドについては、 表 25-1 を参照してください。

 

表 25-13 スイッチ インターフェイスの show interface のフィールド

フィールド
説明

switch ingress policy drops

このドロップは通常、ポートが正しく設定されていない場合に確認されます。このドロップは、デフォルトまたはユーザ設定のスイッチ ポート設定の結果、パケットをスイッチ ポート内で正常に転送できない場合に増加します。次の設定が、このドロップの理由である可能性があります。

nameif コマンドが VLAN インターフェイスで設定されていませんでした。

コマンドが設定されていなかった場合でも、VLAN 間の切り替えは正常に行われ、このカウンタは増加しません。

VLAN がシャットダウンされます。

アクセス ポートが 802.1Q タグ付きパケットを受信しました。

トランク ポートが、許可されないタグまたはタグのないパケットを受信しました。

適応型セキュリティ アプライアンスが、イーサネット キープアライブを持つの別のシスコ デバイスに接続されています。たとえば、Cisco IOS ソフトウェアは、イーサネット ループバック パケットを使用して、インターフェイス ヘルスを確保します。このパケットは、他のデバイスによる受信を想定していません。ヘルスは、単にパケットを送信できるようにすることで確保されます。これらのタイプのパケットはスイッチ ポートでドロップされ、カウンタは増加します。

switch egress policy drops

現在使用されていません。

次に、 show interface detail コマンドの出力例を示します。次に、内部インターフェイス(ご使用のプラットフォーム用に存在する場合)を含むすべてのインターフェイスの詳細なインターフェイス統計情報、および非対称ルーティングの統計情報( asr-group コマンドによってイネーブルにされている場合)の例を示します。

hostname# show interface detail
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 000b.fcf8.c44e, MTU 1500
IP address 10.86.194.60, subnet mask 255.255.254.0
1330214 packets input, 124580214 bytes, 0 no buffer
Received 1216917 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
9 L2 decode drops
124863 packets output, 86956597 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max packets): hardware (0/7)
output queue (curr/max packets): hardware (0/13)
Traffic Statistics for "outside":
1330201 packets input, 99995120 bytes
124863 packets output, 84651382 bytes
525233 packets dropped
Control Point Interface States:
Interface number is 1
Interface config status is active
Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
Hardware is i82547GI rev00, BW 1000 Mbps, DLY 1000 usec
(Full-duplex), (1000 Mbps)
MAC address 0000.0001.0002, MTU not set
IP address unassigned
6 packets input, 1094 bytes, 0 no buffer
Received 6 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops, 0 demux drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max packets): hardware (0/2) software (0/0)
output queue (curr/max packets): hardware (0/0) software (0/0)
Control Point Interface States:
Interface number is unassigned
...
 

表 25-14 に、 show interface detail コマンドの各フィールドの説明を示します。 show interface コマンドでも表示されるフィールドについては、 表 25-1 を参照してください。

 

表 25-14 show interface detail のフィールド

フィールド
説明

Demux drops

(内部データ インターフェイスだけ)適応型セキュリティ アプライアンスが SSM インターフェイスからパケットを逆多重化できなかったためにドロップされたパケットの数。SSM インターフェイスは、バックプレーン間のネイティブ インターフェイスと通信し、すべての SSM インターフェイスからのパケットはバックプレーンで逆多重化されます。

Control Point Interface States:

Interface number

このインターフェイスが作成された順序を示す、デバッグに使用される番号。0 から始まります。

Interface config status

管理ステートは次のとおりです。

active:インターフェイスはシャットダウンされません。

not active:インターフェイスは、 shutdown コマンドを使用してシャットダウンされます。

Interface state

インターフェイスの実際のステート。ほとんどの場合、このステートは、上の config status と一致します。ハイアベイラビリティを設定する場合は、適応型セキュリティ アプライアンスが必要に応じてインターフェイスをアップまたはダウン状態にするため、不一致が発生する可能性があります。

Asymmetrical Routing Statistics:

 

Received X1 packets

このインターフェイスで受信された ASR パケットの数。

Transmitted X2 packets

このインターフェイスで送信された ASR パケットの数。

Dropped X3 packets

このインターフェイスでドロップされた ASR パケットの数。パケットの転送の試行時にインターフェイスがダウンしている場合は、パケットはドロップされることがあります。

 
関連コマンド

コマンド
説明

allocate-interface

インターフェイスおよびサブインターフェイスをセキュリティ コンテキストに割り当てます。

clear interface

show interface コマンドのカウンタをクリアします。

delay

インターフェイスの遅延メトリックを変更します。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

nameif

インターフェイス名を設定します。

show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

show interface ip brief

インターフェイスの IP アドレスおよびステータスを表示するには、特権 EXEC モードで show interface ip brief コマンドを使用します。

show interface [ physical_interface [ . subinterface ] | mapped_name | interface_name | vlan number ] ip brief

 
構文の説明

interface_name

(任意) nameif コマンド内にインターフェイス名のセットを指定します。

mapped_name

(任意) allocate-interface コマンドを使用してマッピング名を割り当てた場合、マルチ コンテキスト モードでその名前を指定します。

physical_interface

(任意) gigabit ernet0/1 などのインターフェイス ID を指定します。有効値については、 interface コマンドを参照してください。

subinterface

(任意)論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。

vlan number

(任意)ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチのあるモデルでは、VLAN インターフェイスを指定します。

 
デフォルト

インターフェイスを指定しない場合は、適応型セキュリティ アプライアンスではすべてのインターフェイスが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント1
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

1.管理 0/0 インターフェイスまたはサブインターフェイスだけで使用可能です。

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドでは、VLAN インターフェイス、およびトランスペアレント モードでの管理 0/0 インターフェイスまたはサブインターフェイスのサポートが追加されました。

 
使用上のガイドライン

マルチ コンテキスト モードで、 allocate-interface コマンドを使用してインターフェイス ID をマッピングした場合、そのマッピング名またはインターフェイス名はコンテキスト内だけで指定できます。

出力の説明については、「」の項を参照してください。

次に、 show ip brief コマンドの出力例を示します。

hostname# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Control0/0 127.0.1.1 YES CONFIG up up
GigabitEthernet0/0 209.165.200.226 YES CONFIG up up
GigabitEthernet0/1 unassigned YES unset administratively down down
GigabitEthernet0/2 10.1.1.50 YES manual administratively down down
GigabitEthernet0/3 192.168.2.6 YES DHCP administratively down down
Management0/0 209.165.201.3 YES CONFIG up
 

表 25-15 に各フィールドの説明を示します。

 

表 25-15 show interface ip brief のフィールド

フィールド
説明

Interface

allocate-interface コマンドを使用して設定した場合の、マルチ コンテキスト モードでのインターフェイス ID またはマッピング名。すべてのインターフェイスを表示する場合は、ASA 適応型セキュリティ アプライアンスにインストールされていれば、AIP SSM の内部インターフェイスに関する情報が表示されます。内部インターフェイスは、ユーザによる設定は不可能です。情報はデバッグだけを目的としています。

IP-Address

インターフェイスの IP アドレス。

OK?

この列は現在使用されておらず、常に「Yes」と表示されます。

Method

インターフェイスが IP アドレスを受信した方法。値は次のとおりです。

unset:IP アドレスは設定されていません。

manual:実行コンフィギュレーションを設定しました。

CONFIG:スタートアップ コンフィギュレーションからロードしました。

DHCP:DHCP サーバから受信しました。

Status

管理ステートは次のとおりです。

up:インターフェイスはシャットダウンされません。

administratively down:インターフェイスは、 shutdown コマンドを使用してシャットダウンされます。

Protocol

回線ステータスは次のとおりです。

up:動作するケーブルがネットワーク インターフェイスに接続されています。

down:ケーブルが正しくないか、インターフェイス コネクタに接続されていません。

 
関連コマンド

コマンド
説明

allocate-interface

インターフェイスおよびサブインターフェイスをセキュリティ コンテキストに割り当てます。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ip address

インターフェイスの IP アドレス、またはトランスペアレント ファイアウォールの管理 IP アドレスを設定します。

nameif

インターフェイス名を設定します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show inventory

Product Identifier(PID; 製品 ID)、Version Identifier(VID; バージョン ID)、および Serial Number(SN; シリアル番号)が割り当てられているネットワーキング デバイスにインストールされているすべてのシスコ製品に関する情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show inventory コマンドを使用します。

show inventory [slot]

 
構文の説明

slot

(任意)SSM スロット番号を指定します(適応型セキュリティ アプライアンスはスロット 0 です)。

 
デフォルト

項目のインベントリを表示するスロットを指定しない場合は、すべての SSM(電源モジュールを含む)のインベントリ情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

ユーザ EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

細かい編集上の変更。

 
使用上のガイドライン

show inventory コマンドを使用すると、各シスコ製品に関するインベントリ情報が取得され、UDI 形式で表示されます。UDI は、Product Identifier(PID; 製品 ID)、Version Identifier(VID; バージョン ID)、および Serial Number(SN; シリアル番号)の 3 つの異なるデータ要素の組み合わせです。

PID は、製品の注文に使用する名前です。歴史的には、「製品名」または「部品番号」と呼ばれていました。これは、正確な交換部品を注文するために使用する ID です。

VID は製品のバージョンです。製品が改訂されるたびに、VID は増加します。VID は、製品変更の通知を管理する業界のガイドラインである、Telcordia GR-209-CORE から取得された厳格なプロセスに従って増加されます。

SN は、製品のベンダーに固有のシリアル番号です。それぞれの製造済み製品には、現場では変更できない固有のシリアル番号が工場で割り当てられます。シリアル番号は、製品の個々の固有のインスタンスを識別するための手段です。

UDI は、各製品をエンティティと呼びます。シャーシなどの一部のエンティティには、スロットのようなサブエンティティがあります。各エンティティは、シスコ エンティティによって階層構造に配列され、論理的に順序付けされた表記の別の行に表示されます。

PID が割り当てられているネットワーキング デバイスに取り付けられているシスコ エンティティのリストを表示するには、オプションを指定せずに show inventory コマンドを使用します。

シスコ エンティティに PID が割り当てられていない場合は、そのエンティティは取得または表示されません。

次に、キーワードまたは引数を指定していない show inventory コマンドの出力例を示します。この出力例には、それぞれに PID が割り当てられている適応型セキュリティ アプライアンスに取り付けられているシスコ エンティティのリストが表示されます。

hostname# show inventory
Name:"Chassis", DESCR:"ASA 5540 Adaptive Security Appliance"
PID:ASA5540 , VID:V01 , SN:P3000000998
 
Name:"slot 1", DESCR:"ASA 5500 Series Security Services Module-20"
PID:ASA-SSM-20 , VID:V01 , SN:P0000000999
 
Name:"power supply", DESCR:"ASA 5500 Series 180W AC Power Supply"
PID:ASA-180W-PWR-AC , VID:V01 , SN:123456789AB
 
hostname# show inventory 0
Name:"Chassis", DESCR:"ASA 5540 Adaptive Security Appliance"
PID:ASA5540 , VID:V01 , SN:P3000000998
 
hostname# show inventory 1
Name:"slot 1", DESCR:"ASA 5500 Series Security Services Module-20"
PID:ASA-SSM-20 , VID:V01 , SN:P0000000999
 

表 25-16 に、この出力で表示されるフィールドについて説明します。

 

表 25-16 show inventory のフィールドの説明

フィールド
説明

Name

シスコ エンティティに割り当てられた物理名(テキスト ストリング)。たとえば、デバイスの物理コンポーネント命名構文に応じた「1」などのコンソールまたは簡易コンポーネントの番号(ポートまたはモジュールの番号)。RFC 2737 の entPhysicalName MIB 変数に相当します。

DESCR

オブジェクトを特徴付けるシスコ エンティティの物理的な説明。RFC 2737 の entPhysicalDesc MIB 変数に相当します。

PID

エンティティ製品 ID。RFC 2737 の entPhysicalModelName MIB 変数に相当します。

VID

エンティティ バージョン ID。RFC 2737 の entPhysicalHardwareRev MIB 変数に相当します。

SN

エンティティのシリアル番号。RFC 2737 の entPhysicalSerialNum MIB 変数に相当します。

 
関連コマンド

コマンド
説明

show diag

ネットワーキング デバイスのコントローラ、インターフェイス プロセッサ、およびポート アダプタに関する診断情報を表示します。

show tech-support

問題が報告されたときに適応型セキュリティ アプライアンスに関する一般情報を表示します。

show ip address

トランスペアレント モードでのインターフェイス IP アドレスまたは管理 IP アドレスを表示するには、特権 EXEC モードで show ip address コマンドを使用します。

show ip address [ physical_interface [ . subinterface ] | mapped_name | interface_name | vlan number ]

 
構文の説明

interface_name

(任意) nameif コマンド内にインターフェイス名のセットを指定します。

mapped_name

(任意) allocate-interface コマンドを使用してマッピング名を割り当てた場合、マルチ コンテキスト モードでその名前を指定します。

physical_interface

(任意) gigabit ernet0/1 などのインターフェイス ID を指定します。有効値については、 interface コマンドを参照してください。

subinterface

(任意)論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。

vlan number

(任意)ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチのあるモデルでは、VLAN インターフェイスを指定します。

 
デフォルト

インターフェイスを指定しない場合は、適応型セキュリティ アプライアンスではすべてのインターフェイスの IP アドレスが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドでは、VLAN インターフェイスのサポートが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、ハイアベイラビリティの設定時のプライマリ IP アドレス(表示では「System」と呼ばれます)および現在の IP アドレスが表示されます。ユニットがアクティブの場合は、システムと現在の IP アドレスは一致します。ユニットがスタンバイの場合は、現在の IP アドレスはスタンバイ アドレスを示します。

次に、 show ip address コマンドの出力例を示します。

hostname# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 mgmt 10.7.12.100 255.255.255.0 CONFIG
GigabitEthernet0/1 inside 10.1.1.100 255.255.255.0 CONFIG
GigabitEthernet0/2.40 outside 209.165.201.2 255.255.255.224 DHCP
GigabitEthernet0/3 dmz 209.165.200.225 255.255.255.224 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 mgmt 10.7.12.100 255.255.255.0 CONFIG
GigabitEthernet0/1 inside 10.1.1.100 255.255.255.0 CONFIG
GigabitEthernet0/2.40 outside 209.165.201.2 255.255.255.224 DHCP
GigabitEthernet0/3 dmz 209.165.200.225 255.255.255.224 manual
 

表 25-17 に各フィールドの説明を示します。

 

表 25-17 show ip address のフィールド

フィールド
説明

Interface

allocate-interface コマンドを使用して設定した場合の、マルチ コンテキスト モードでのインターフェイス ID またはマッピング名。

Name

nameif コマンドで設定されたインターフェイス名。

IP address

インターフェイスの IP アドレス。

Subnet mask

IP アドレス サブネット マスク。

Method

インターフェイスが IP アドレスを受信した方法。値は次のとおりです。

unset:IP アドレスは設定されていません。

manual:実行コンフィギュレーションを設定しました。

CONFIG:スタートアップ コンフィギュレーションからロードしました。

DHCP:DHCP サーバから受信しました。

 
関連コマンド

コマンド
説明

allocate-interface

インターフェイスおよびサブインターフェイスをセキュリティ コンテキストに割り当てます。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

nameif

インターフェイス名を設定します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

show ip address dhcp

インターフェイスの DHCP リースまたはサーバに関する詳細情報を表示するには、特権 EXEC モードで show ip address dhcp コマンドを使用します。

show ip address { physical_interface [ . subinterface ] | mapped_name | interface_name } dhcp { lease | server }

 
構文の説明

interface_name

nameif コマンドを使用して設定されたインターフェイス名を指定します。

lease

DHCP リースに関する情報を表示します。

mapped_name

マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。

physical_interface

gigabit ernet0/1 などのインターフェイス ID を指定します。有効値については、 interface コマンドを参照してください。

server

DHCP サーバに関する情報を表示します。

subinterface

論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント2
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

2.管理 0/0 インターフェイスまたはサブインターフェイスだけで使用可能です。

 
コマンド履歴

リリース
変更内容

7.0(1)

lease および server キーワードが追加され、新しいサーバ機能に対応できるようにこのコマンドは変更されました。

7.2(1)

このコマンドでは、VLAN インターフェイス、およびトランスペアレント モードでの管理 0/0 インターフェイスまたはサブインターフェイスのサポートが追加されました。

 
使用上のガイドライン

出力の説明については、「」の項を参照してください。

次に、 show ip address dhcp lease コマンドの出力例を示します。

hostname# show ip address outside dhcp lease
Temp IP Addr:209.165.201.57 for peer on interface:outside
Temp sub net mask:255.255.255.224
DHCP Lease server:209.165.200.225, state:3 Bound
DHCP Transaction id:0x4123
Lease:259200 secs, Renewal:129600 secs, Rebind:226800 secs
Temp default-gateway addr:209.165.201.1
Temp ip static route0: dest 10.9.0.0 router 10.7.12.255
Next timer fires after:111797 secs
Retry count:0, Client-ID:cisco-0000.0000.0000-outside
Proxy: TRUE Proxy Network: 10.1.1.1
Hostname: device1
 

表 25-18 に各フィールドの説明を示します。

 

表 25-18 show ip address dhcp lease のフィールド

フィールド
説明

Temp IP Addr

インターフェイスに割り当てられた IP アドレス。

Temp sub net mask

インターフェイスに割り当てられたサブネット マスク。

DHCP Lease server

DHCP サーバ アドレス。

state

DHCP リースのステートは次のとおりです。

Initial:初期化ステート。このステートで、適応型セキュリティ アプライアンスはリースの取得プロセスを開始します。このステートは、リースの終了時またはリース ネゴシエーションの失敗時にも表示されます。

Selecting:適応型セキュリティ アプライアンスは、1 つ以上の DHCP サーバから DHCPOFFER メッセージを受信して選択できるようになるのを待機しています。

Requesting:適応型セキュリティ アプライアンスは、要求の送信先サーバからの応答を待機しています。

Purging:クライアントが IP アドレスを解放したかその他の何らかのエラーが発生したため、適応型セキュリティ アプライアンスはリースを解除しています。

Bound:適応型セキュリティ アプライアンスは有効なリースを保持しており、正常に動作しています。

Renewing:適応型セキュリティ アプライアンスはリースの更新を試行しています。定期的に現在の DHCP サーバに DHCPREQUEST メッセージを送信して、応答を待機します。

Rebinding:適応型セキュリティ アプライアンスは、元のサーバとのリースの更新に失敗しました。サーバからの応答を取得するか、リースが終了するまで DHCPREQUEST メッセージを送信します。

Holddown:適応型セキュリティ アプライアンスは、リースの解除プロセスを開始しました。

Releasing:適応型セキュリティ アプライアンスは、IP アドレスが不要になったことを示すリリース メッセージをサーバに送信します。

DHCP transaction id

クライアントによって選択された乱数。要求メッセージを関連付けるためにクライアントとサーバによって使用されます。

Lease

インターフェイスがこの IP アドレスを使用できる、DHCP サーバによって指定される時間の長さ。

Renewal

インターフェイスがこのリースを自動的に更新しようとするまでの時間の長さ。

Rebind

適応型セキュリティ アプライアンスが DHCP サーバに再バインドしようとするまでの時間の長さ。再バインドは、適応型セキュリティ アプライアンスが元の DHCP サーバと通信できず、リース期間の 87.5 % の期限が切れた場合に発生します。その後、適応型セキュリティ アプライアンスは、DHCP 要求をブロードキャストして、使用可能な DHCP サーバに接続しようします。

Temp default-gateway addr

DHCP サーバによって指定されるデフォルトのゲートウェイ アドレス。

Temp ip static route0

デフォルトのスタティック ルート。

Next timer fires after

内部タイマーがトリガーされるまでの秒数。

Retry count

適応型セキュリティ アプライアンスがリースを確立しようとすると、このフィールドには、適応型セキュリティ アプライアンスが DHCP メッセージの送信を試行した回数が示されます。たとえば、適応型セキュリティ アプライアンスが Selecting ステートになっている場合は、この値は、適応型セキュリティ アプライアンスが検出メッセージを送信した回数を示します。適応型セキュリティ アプライアンスが Requesting ステートになっている場合は、この値は、適応型セキュリティ アプライアンスが要求メッセージを送信した回数を示します。

Client-ID

サーバとのすべての通信で使用されるクライアント ID。

Proxy

このインターフェイスが VPN クライアントのプロキシ DHCP クライアントであるかどうかを True または False で指定します。

Proxy Network

要求されたネットワーク。

Hostname

クライアントのホスト名。

次に、 show ip address dhcp server コマンドの出力例を示します。

hostname# show ip address outside dhcp server
 
DHCP server: ANY (255.255.255.255)
Leases: 0
Offers: 0 Requests: 0 Acks: 0 Naks: 0
Declines: 0 Releases: 0 Bad: 0
 
DHCP server: 40.7.12.6
Leases: 1
Offers: 1 Requests: 17 Acks: 17 Naks: 0
Declines: 0 Releases: 0 Bad: 0
DNS0: 171.69.161.23, DNS1: 171.69.161.24
WINS0: 172.69.161.23, WINS1: 172.69.161.23
Subnet: 255.255.0.0 DNS Domain: cisco.com
 

表 25-19 に各フィールドの説明を示します。

 

表 25-19 show ip address dhcp server のフィールド

フィールド
説明

DHCP server

このインターフェイスがリースを取得した DHCP サーバのアドレス。最上位エントリ(「ANY」はデフォルト サーバであり、常に存在します。

Leases

サーバから取得したリースの数。インターフェイスの場合は、リースの数は常に 1 です。サーバが、VPN のプロキシを実行しているインターフェイスのアドレスを指定している場合は、いくつかのリースが存在します。

Offers

サーバからのオファーの数。

Requests

サーバに送信された要求の数。

Acks

サーバから受信した確認応答の数。

Naks

サーバから受信した Negative Acknowledgement の数。

Declines

サーバから受信した拒否の数。

Releases

サーバに送信されたリリースの数。

Bad

サーバから受信した不良パケットの数。

DNS0

DHCP サーバから取得したプライマリ DNS サーバのアドレス。

DNS1

DHCP サーバから取得したセカンダリ DNS サーバのアドレス。

WINS0

DHCP サーバから取得したプライマリ WINS サーバのアドレス。

WINS1

DHCP サーバから取得したセカンダリ WINS サーバのアドレス。

Subnet

DHCP サーバから取得したサブネット アドレス。

DNS Domain

DHCP サーバから取得したドメイン。

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ip address dhcp

インターフェイスで DHCP サーバから IP アドレスを取得できるように設定します。

nameif

インターフェイス名を設定します。

show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

show ip address

インターフェイスの IP アドレスを表示します。

show ip address pppoe

PPPoE 接続に関する詳細情報を表示するには、特権 EXEC モードで show ip address pppoe コマンドを使用します。

show ip address { physical_interface [ . subinterface ] | mapped_name | interface_name | vlan number } pppoe

 
構文の説明

interface_name

nameif コマンドを使用して設定されたインターフェイス名を指定します。

mapped_name

マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。

physical_interface

gigabit ernet0/1 などのインターフェイス ID を指定します。有効値については、 interface コマンドを参照してください。

subinterface

論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。

vlan number

(任意)ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチのあるモデルでは、VLAN インターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント3
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

3.管理 0/0 インターフェイスまたはサブインターフェイスだけで使用可能です。

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

出力の説明については、「」の項を参照してください。

次に、 show ip address pppoe コマンドの出力例を示します。

hostname# show ip address outside pppoe
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ip address ppoe

インターフェイスで PPPoE サーバから IP アドレスを取得できるように設定します。

nameif

インターフェイス名を設定します。

show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

show ip address

インターフェイスの IP アドレスを表示します。

show ip audit count

監査ポリシーをインターフェイスに適用する際にシグニチャ一致の数を表示するには、特権 EXEC モードで show ip audit count コマンドを使用します。

show ip audit count [ global | interface interface_name ]

 
構文の説明

global

(デフォルト)すべてのインターフェイスの一致数を表示します。

interface interface_name

(任意)指定したインターフェイスの一致数を表示します。

 
デフォルト

このコマンドにキーワードを指定なかった場合は、すべてのインターフェイスの一致数が表示されます( global )。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

監査ポリシーを作成するには、 ip audit name コマンドを使用して、ポリシーを適用するには、 ip audit interface コマンドを使用します。

次に、 show ip audit count コマンドの出力例を示します。

hostname# show ip audit count
IP AUDIT GLOBAL COUNTERS
 
1000 I Bad IP Options List 0
1001 I Record Packet Route 0
1002 I Timestamp 0
1003 I Provide s,c,h,tcc 0
1004 I Loose Source Route 0
1005 I SATNET ID 0
1006 I Strict Source Route 0
1100 A IP Fragment Attack 0
1102 A Impossible IP Packet 0
1103 A IP Teardrop 0
2000 I ICMP Echo Reply 0
2001 I ICMP Unreachable 0
2002 I ICMP Source Quench 0
2003 I ICMP Redirect 0
2004 I ICMP Echo Request 10
2005 I ICMP Time Exceed 0
2006 I ICMP Parameter Problem 0
2007 I ICMP Time Request 0
2008 I ICMP Time Reply 0
2009 I ICMP Info Request 0
2010 I ICMP Info Reply 0
2011 I ICMP Address Mask Request 0
2012 I ICMP Address Mask Reply 0
2150 A Fragmented ICMP 0
2151 A Large ICMP 0
2154 A Ping of Death 0
3040 A TCP No Flags 0
3041 A TCP SYN & FIN Flags Only 0
3042 A TCP FIN Flag Only 0
3153 A FTP Improper Address 0
3154 A FTP Improper Port 0
4050 A Bomb 0
4051 A Snork 0
4052 A Chargen 0
6050 I DNS Host Info 0
6051 I DNS Zone Xfer 0
6052 I DNS Zone Xfer High Port 0
6053 I DNS All Records 0
6100 I RPC Port Registration 0
6101 I RPC Port Unregistration 0
6102 I RPC Dump 0
6103 A Proxied RPC 0
6150 I ypserv Portmap Request 0
6151 I ypbind Portmap Request 0
6152 I yppasswdd Portmap Request 0
6153 I ypupdated Portmap Request 0
6154 I ypxfrd Portmap Request 0
6155 I mountd Portmap Request 0
6175 I rexd Portmap Request 0
6180 I rexd Attempt 0
6190 A statd Buffer Overflow 0
 
IP AUDIT INTERFACE COUNTERS: inside
...

 
関連コマンド

コマンド
説明

clear ip audit count

監査ポリシーのシグニチャ一致カウントをクリアします。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

show running-config ip audit attack

ip audit attack コマンドのコンフィギュレーションを表示します。

show ip verify statistics

ユニキャスト RPF 機能が原因でドロップされたパケット数を表示するには、特権 EXEC モードで show ip verify statistics コマンドを使用します。ユニキャスト RPF をイネーブルにするには、 ip verify reverse-path コマンドを使用します。

show ip verify statistics [interface interface_name ]

 
構文の説明

interface interface_name

(任意)指定されたインターフェイスの統計情報を表示します。

 
デフォルト

このコマンドは、すべてのインターフェイスの統計情報を表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、 show ip verify statistics コマンドの出力例を示します。

hostname# show ip verify statistics
interface outside: 2 unicast rpf drops
interface inside: 1 unicast rpf drops
interface intf2: 3 unicast rpf drops
 

 
関連コマンド

コマンド
説明

clear configure ip verify reverse-path

ip verify reverse-path コンフィギュレーションをクリアします。

clear ip verify statistics

ユニキャスト RPF の統計情報をクリアします。

ip verify reverse-path

IP スプーフィングを防ぐユニキャスト リバース パス転送機能をイネーブルにします。

show running-config ip verify reverse-path

ip verify reverse-path コンフィギュレーションを表示します。

show ips

AIP SSM で設定されている使用可能な IPS 仮想センサーをすべて表示するには、特権 EXEC モードで show ips コマンドを使用します。

show ips [ detail ]

 
構文の説明

detail

(任意)センサー ID 番号および名前を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

マルチ コンテキスト モードでのこのコマンドは、システム実行スペースに入ったときに仮想センサーをすべて表示しますが、表示されるのは、コンテキスト実行スペース内のコンテキストに割り当てられた仮想センサーだけです。仮想センサーをコンテキストに割り当てるには、 allocate-ips コマンドを参照してください。

仮想センサーは、IPS バージョン 6.0 以降で使用可能です。

次に、 show ips コマンドの出力例を示します。

hostname# show ips
Sensor name
------------
ips1
ips2
 

次に、 show ips detail コマンドの出力例を示します。

hostname# show ips detail
Sensor name Sensor ID
------------ ---------
ips1 1
ips2 2
 

 
関連コマンド

コマンド
説明

allocate-ips

セキュリティ コンテキストに仮想センサーを割り当てます。

ips

トラフィックを AIP SSM に転送します。

show ipsec sa

IPSec SA のリストを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show ipsec sa コマンドを使用します。また、このコマンドの代替形式、 show crypto ipsec sa も使用できます。

show ipsec sa [ entry | identity | map map-name | peer peer-addr ] [ detail ]

 
構文の説明

detail

(任意)表示されているものに対する詳細なエラー情報を表示します。

entry

(任意)IPSec SA をピア アドレスの順に表示します。

identity

(任意)IPSec SA を ID の順に表示します。ESP は含まれません。これは簡略化された形式です。

map map-name

(任意)指定された暗号マップの IPSec SA を表示します。

peer peer-addr

(任意)指定されたピア IP アドレスの IPSec SA を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例をグローバル コンフィギュレーション モードで入力すると、IPSec SA が表示されます。

hostname(config)# show ipsec sa
interface: outside2
Crypto map tag: def, local addr: 10.132.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (172.20.0.21/255.255.255.255/0/0)
current_peer: 172.20.0.21
dynamic allocated peer ip: 10.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1145, #pkts decrypt: 1145, #pkts verify: 1145
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 2, #pre-frag failures: 1, #fragments created: 10
#PMTUs sent: 5, #PMTUs rcvd: 2, #decapstulated frags needing reassembly: 1
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 10.132.0.17, remote crypto endpt.: 172.20.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 548
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 548
IV size: 8 bytes
replay detection support: Y
 
Crypto map tag: def, local addr: 10.132.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
hostname(config)#

) IPSec SA ポリシーに、フラグメンテーションは IPSec 処理の前に発生すると明記されている場合、フラグメンテーション統計情報は、フラグメンテーション前の統計情報です。SA ポリシーで、フラグメンテーションは IPSec 処理の後に発生すると明記されている場合、フラグメンテーション後の統計情報が表示されます。


次の例をグローバル コンフィギュレーション モードで入力すると、def という名前の暗号マップの IPSec SA が表示されます。

hostname(config)# show ipsec sa map def
cryptomap: def
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1146, #pkts decrypt: 1146, #pkts verify: 1146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 480
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 480
IV size: 8 bytes
replay detection support: Y
 
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73672, #pkts encrypt: 73672, #pkts digest: 73672
#pkts decaps: 78824, #pkts decrypt: 78824, #pkts verify: 78824
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73672, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 263
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 263
IV size: 8 bytes
replay detection support: Y
hostname(config)#
 

次の例をグローバル コンフィギュレーション モードで入力すると、キーワード entry に対する IPSec SA が表示されます。

hostname(config)# show ipsec sa entry
peer address: 10.132.0.21
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 429
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 429
IV size: 8 bytes
replay detection support: Y
 
peer address: 10.135.1.8
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73723, #pkts encrypt: 73723, #pkts digest: 73723
#pkts decaps: 78878, #pkts decrypt: 78878, #pkts verify: 78878
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73723, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 212
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 212
IV size: 8 bytes
replay detection support: Y
hostname(config)#
 

次の例をグローバル コンフィギュレーション モードで入力すると、キーワード entry detail を使って、IPSec SA が表示されます。

hostname(config)# show ipsec sa entry detail
peer address: 10.132.0.21
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1148, #pkts decrypt: 1148, #pkts verify: 1148
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 322
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 322
IV size: 8 bytes
replay detection support: Y
 
peer address: 10.135.1.8
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73831, #pkts encrypt: 73831, #pkts digest: 73831
#pkts decaps: 78989, #pkts decrypt: 78989, #pkts verify: 78989
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73831, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 104
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 104
IV size: 8 bytes
replay detection support: Y
hostname(config)#
 

次に、キーワード identity を使った IPSec SA の例を示します。

hostname(config)# show ipsec sa identity
interface: outside2
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73756, #pkts encrypt: 73756, #pkts digest: 73756
#pkts decaps: 78911, #pkts decrypt: 78911, #pkts verify: 78911
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73756, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 

次に、キーワード identity および detail を使った IPSec SA の例を示します。

hostname(config)# show ipsec sa identity detail
interface: outside2
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
 
Crypto map tag: def, local addr: 172.20.0.17
 
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
 
#pkts encaps: 73771, #pkts encrypt: 73771, #pkts digest: 73771
#pkts decaps: 78926, #pkts decrypt: 78926, #pkts verify: 78926
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 73771, #pkts comp failed: 0, #pkts decomp failed: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
 
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
 
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

isakmp enable

IPSec ピアが適応型セキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。

show running-config isakmp

アクティブな ISAKMP コンフィギュレーションをすべて表示します。

show ipsec sa summary

IPSec SA の要約を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show ipsec sa summary コマンドを使用します。

show ipsec sa summary

 
構文の説明

このコマンドには、引数または変数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

グローバル コンフィギュレーション モードで入力される次の例では、次の接続タイプ別に IPSec SA の要約が表示されます。

IPSec

IPSec over UDP

IPSec over NAT-T

IPSec over TCP

IPSec VPN ロード バランシング

hostname(config)# show ipsec sa summary
 
Current IPSec SA's: Peak IPSec SA's:
IPSec : 2 Peak Concurrent SA : 14
IPSec over UDP : 2 Peak Concurrent L2L : 0
IPSec over NAT-T : 4 Peak Concurrent RA : 14
IPSec over TCP : 6
IPSec VPN LB : 0
Total : 14
hostname(config)#

 
関連コマンド

コマンド
説明

clear ipsec sa

IPSec SA を完全に削除するか、特定のパラメータに基づいて削除します。

show ipsec sa

IPSec SA のリストを表示します。

show ipsec stats

IPSec 統計情報のリストを表示します。

show ipsec stats

IPSec 統計情報のリストを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show ipsec stats コマンドを使用します。

show ipsec stats

 
構文の説明

このコマンドには、キーワードや変数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

次の表は、出力エントリが何を示しているかを説明しています。

 

出力
説明

IPsec Global Statistics

このセクションは、適応型セキュリティ アプライアンスでサポートされる IPsec トンネルの総数に関連しています。

Active tunnels

現在接続されている IPsec トンネルの数。

Previous tunnels

アクティブな IPsec トンネルを含む、接続されている IPsec トンネルの数。

Inbound

このセクションは、IPsec トンネルを通じて受信される着信暗号化トラフィックに関連しています。

Bytes

受信した暗号化トラフィックのバイト数。

Decompressed bytes

圧縮解除(該当する場合)が実行された後で受信した暗号化トラフィックのバイト数。圧縮がイネーブルになっていない場合、このカウンタは、常に前のカウントと等しい必要があります。

Packets

受信された暗号化 IPsec パケットの数。

Dropped packets

エラーが原因で受信されてドロップされた暗号化 IPsec パケットの数。

Replay failures

受信された暗号化 IPsec パケットで検出されたアンチリプレイ障害の数。

Authentications

受信された暗号化 IPsec パケットで実行された成功した認証の数。

Authentication failures

受信された暗号化 IPsec パケットで検出された認証失敗の数。

Decryptions

受信された暗号化 IPsec パケットで実行された成功した復号化の数。

Decryption failures

受信された暗号化 IPsec パケットで検出された復号化失敗の数。

Decapsulated fragments needing reassembly

再構築する IP フラグメントが含まれている復号化 IPsec パケットの数。

Outbound

このセクションは、IPsec トンネルを介して送信される発信クリアテキスト トラフィックに関連しています。

Bytes

IPsec トンネルを介して暗号化および送信されるクリアテキスト トラフィックのバイト数。

Uncompressed bytes

IPsec トンネルを介して暗号化および送信される圧縮解除済みクリアテキスト トラフィックのバイト数。圧縮がイネーブルになっていない場合、このカウンタは、常に前のカウントと等しい必要があります。

Packets

IPsec トンネルを介して暗号化および送信されるクリアテキスト パケットの数。

Dropped packets

エラーが原因でドロップされた、IPsec トンネルを介して暗号化および送信されるクリアテキスト パケットの数。

Authentications

IPsec トンネルを介して送信されるパケットで実行される成功した認証の数。

Authentication failures

IPsec トンネルを介して送信されるパケットで検出された認証失敗の数。

Encryptions

IPsec トンネルを介して送信されるパケットで実行された成功した暗号化の数。

Encryption failures

IPsec トンネルを介して送信されるパケットで検出された暗号化失敗の数。

Fragmentation successes

発信 IPsec パケット変換の一部として実行された、成功したフラグメンテーション操作の数。

Pre-fragmentation successes

発信 IPsec パケット変換の一部として実行された、成功した事前フラグメンテーション操作の数。事前フラグメンテーションは、クリアテキスト パケットが暗号化され、1 つ以上の IPsec パケットとしてカプセル化される前に行われます。

Post-fragmentation successes

発信 IPsec パケット変換の一部として実行された、成功した事前フラグメンテーション操作の数。事後フラグメンテーションは、クリアテキスト パケットが暗号化され、IPsec パケットとしてカプセル化されることによって複数の IP フラグメントが作成される前に行われます。これらのフラグメントは、復号化前に再構築する必要があります。

Fragmentation failures

発信 IPsec パケット変換中に発生したフラグメンテーション失敗の数。

Pre-fragmentation failures

発信 IPsec パケット変換の一部として実行された、事前フラグメンテーション失敗の数。事前フラグメンテーションは、クリアテキスト パケットが暗号化され、1 つ以上の IPsec パケットとしてカプセル化される前に行われます。

Post-fragmentation failure

発信 IPsec パケット変換中に発生した事後フラグメンテーション失敗の数。事後フラグメンテーションは、クリアテキスト パケットが暗号化され、IPsec パケットとしてカプセル化されることによって複数の IP フラグメントが作成される前に行われます。これらのフラグメントは、復号化前に再構築する必要があります。

Fragments created

IPsec 変換の一部として作成されたフラグメントの数。

PMTUs sent

IPsec システムによって送信されたパス MTU メッセージの数。IPsec は、カプセル化後に大きすぎて IPsec トンネルを介して送信できないパケットを送信している内部ホストに PMTU メッセージを送信します。PMTU メッセージは、ホストが MTU を小さくして、小さいパケットを送信して IPsec トンネルを介して送信する要求です。

PMTUs recvd

IPsec システムによって受信されたパス MTU メッセージの数。IPsec は、トンネルを介して送信しているパケットが大きすぎてダウンストリーム ネットワーク要素を経由できない場合に、そのネットワーク要素からパス MTU メッセージを受信します。IPsec は通常、パス MTU メッセージの受信時にトンネル MTU を小さくします。

Protocol failures

受信された不正な形式の IPsec パケットの数。

Missing SA failures

指定された IPsec セキュリティ アソシエーションが存在しない、要求された IPsec 操作の数。

System capacity failures

IPsec システムの容量がデータ レートをサポートするのに十分に多くないために完了できない IPsec 操作の数。

次の例をグローバル コンフィギュレーション モードで入力すると、IPSec 統計情報が表示されます。

hostname(config)# show ipsec stats
 
IPsec Global Statistics
-----------------------
Active tunnels: 2
Previous tunnels: 9
Inbound
Bytes: 4933013
Decompressed bytes: 4933013
Packets: 80348
Dropped packets: 0
Replay failures: 0
Authentications: 80348
Authentication failures: 0
Decryptions: 80348
Decryption failures: 0
Decapsulated fragments needing reassembly: 0
Outbound
Bytes: 4441740
Uncompressed bytes: 4441740
Packets: 74029
Dropped packets: 0
Authentications: 74029
Authentication failures: 0
Encryptions: 74029
Encryption failures: 0
Fragmentation successes: 3
Pre-fragmentation successes:2
Post-fragmentation successes: 1
Fragmentation failures: 2
Pre-fragmentation failures:1
Post-fragmentation failures: 1
Fragments created: 10
PMTUs sent: 1
PMTUs recvd: 2
Protocol failures: 0
Missing SA failures: 0
System capacity failures: 0
hostname(config)#

 
関連コマンド

コマンド
説明

clear ipsec sa

指定されたパラメータに基づいて、IPsec SA またはカウンタをクリアします。

crypto ipsec transform-set

トランスフォーム セットを定義します。

show ipsec sa

指定されたパラメータに基づいて IPsec SA を表示します。

show ipsec sa summary

IPsec SA の要約を表示します。

show ipv6 access-list

IPv6 アクセス リストを表示するには、特権 EXEC モードで show ipv6 access-list コマンドを使用します。IPv6 アクセス リストは、適応型セキュリティ アプライアンスを通過できる IPv6 トラフィックを判別します。

show ipv6 access-list [ id [ source-ipv6-prefix / prefix-length | any | host source-ipv6-address ]]

 
構文の説明

any

(任意)IPv6 プレフィクス ::/0 の省略形。

host source-ipv6-address

(任意)特定のホストの IPv6 アドレス。指定すると、指定されたホストのアクセス ルールだけが表示されます。

id

(任意)アクセス リスト名。指定すると、指定されたアクセス リストだけが表示されます。

source-ipv6-prefix / prefix-length

(任意)IPv6 ネットワーク アドレスとプレフィクス。指定すると、指定された IPv6 ネットワークのアクセス ルールだけが表示されます。

 
デフォルト

すべての IPv6 アクセス リストを表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

IPv6 固有である点を除いて、 show ipv6 access-list コマンドの出力は show ip access-list コマンドと類似しています。

次に、 show ipv6 access-list コマンドの出力例を示します。これは、inbound、tcptraffic、および outbound という名前の IPv6 アクセス リストを示します。

hostname# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp reflect tcptraffic (8 matches) sequence 10
permit tcp any any eq telnet reflect tcptraffic (15 matches) sequence 20
permit udp any any reflect udptraffic sequence 30
IPv6 access list tcptraffic (reflexive) (per-user)
permit tcp host 2001:0DB8:1::1 eq bgp host 2001:0DB8:1::2 eq 11000 timeout 300 (time
left 243) sequence 1
permit tcp host 2001:0DB8:1::1 eq telnet host 2001:0DB8:1::2 eq 11001 timeout 300
(time left 296) sequence 2
IPv6 access list outbound
evaluate udptraffic
evaluate tcptraffic
 

 
関連コマンド

コマンド
説明

ipv6 access-list

IPv6 アクセス リストを作成します。

show ipv6 interface

IPv6 に対して設定されたインターフェイスのステータスを表示するには、特権 EXEC モードで show ipv6 interface コマンドを使用します。

show ipv6 interface [ brief ] [ if_name [ prefix ]]

 
構文の説明

brief

各インターフェイスの IPv6 ステータスと設定の要約を表示します。

if_name

(任意) nameif コマンドによって指定された、内部または外部インターフェイス名。指定されたインターフェイスだけのステータスと設定が表示されます。

prefix

(任意)ローカル IPv6 プレフィクス プールから生成されたプレフィクス。

 
デフォルト

すべての IPv6 インターフェイスを表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

IPv6 固有である点を除いて、 show ipv6 interface コマンドの出力は show interface コマンドと類似しています。インターフェイス ハードウェアが使用可能な場合は、そのインターフェイスは up とマーク付けされます。インターフェイスが双方向通信を提供できる場合は、回線プロトコルは up とマーク付けされます。

インターフェイス名が指定されていない場合は、すべての IPv6 インターフェイスの情報が表示されます。インターフェイス名を指定すると、指定されたインターフェイスに関する情報が表示されます。

次に、 show ipv6 interface コマンドの出力例を示します。

hostname# show ipv6 interface outside
interface ethernet0 “outside” is up, line protocol is up
IPv6 is enabled, link-local address is 2001:0DB8::/29 [TENTATIVE]
Global unicast address(es):
2000::2, subnet is 2000::/64
Joined group address(es):
FF02::1
FF02::1:FF11:6770
MTU is 1500 bytes
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
 

次に、 brief キーワードを指定して入力した場合の show ipv6 interface コマンドの出力例を示します。

hostname# show ipv6 interface brief
outside [up/up]
unassigned
inside [up/up]
fe80::20d:29ff:fe1d:69f0
fec0::a:0:0:a0a:a70
vlan101 [up/up]
fe80::20d:29ff:fe1d:69f0
fec0::65:0:0:a0a:6570
dmz-ca [up/up]
unassigned
 

次に、 show ipv6 interface コマンドの出力例を示します。これは、アドレスからプレフィクスを生成したインターフェイスの特徴を示します。

hostname# show ipv6 interface inside prefix
IPv6 Prefix Advertisements inside
Codes: A - Address, P - Prefix-Advertisement, O - Pool
U - Per-user prefix, D - Default N - Not advertised, C - Calendar
 
AD fec0:0:0:a::/64 [LA] Valid lifetime 2592000, preferred lifetime 604800
 

show ipv6 mld traffic

Multicast Listener Discovery(MLD)トラフィック カウンタ情報を表示するには、特権 EXEC モードで show ipv6 mld traffic コマンドを使用します。

show ipv6 mld traffic

 
構文の説明

このコマンドには、キーワードや変数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.2(4)

このコマンドが追加されました。

 
使用上のガイドライン

show ipv6 mld traffic コマンドを使用すると、予期した数の MLD メッセージを送受信したかどうかを検査できます。

次の情報は、 show ipv6 mld traffic コマンドによって提供されます。

Elapsed time since counters cleared :カウンタがクリアされてからの時間の長さ。

Valid MLD Packets 送受信された有効な MLD パケットの数。

Queries :送受信された有効なクエリーの数

Reports :送受信された有効なレポートの数

Leaves :送受信された有効なリーブの数。

Mtraee packets :送受信されたマルチキャスト トレース パケットの数。

Errors :発生したエラーのタイプとエラーの数。

次に、 show ipv6 mld traffic コマンドの出力例を示します。

hostname# show ipv6 mld traffic
show ipv6 mld traffic
MLD Traffic Counters
Elapsed time since counters cleared: 00:01:19
Received Sent
Valid MLD Packets 1 3
Queries 1 0
Reports 0 3
Leaves 0 0
Mtrace packets 0 0
Errors:
Malformed Packets 0
Martian source 0
Non link-local source 0
Hop limit is not equal to 1 0

 
関連コマンド

コマンド
説明

clear ipv6 mld traffic

すべての MLD トラフィック カウンタをリセットします。

 

show ipv6 neighbor

IPv6 ネイバー探索キャッシュ情報を表示するには、特権 EXEC モードで show ipv6 neighbor コマンドを使用します。

show ipv6 neighbor [ if_name | address ]

 
構文の説明

address

(任意)指定の IPv6 アドレスだけについて、ネイバー探索キャッシュ情報を表示します。

if_name

(任意) nameif コマンドで設定された指定のインターフェイス名だけについて、キャッシュ情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

次の情報は、 show ipv6 neighbor コマンドによって出力されます。

IPv6 Address ネイバーまたはインターフェイスの IPv6 アドレス。

Age アドレスが到達可能であることが確認されてからの時間(分)。ハイフン(-)はスタティック エントリを示します。

Link-layer Addr MAC アドレス。アドレスが不明な場合は、ハイフン(-)が表示されます。

State :ネイバー キャッシュ エントリのステート。


) 到達可能性検出は、IPv6 ネイバー探索キャッシュのスタティック エントリには適用されません。そのため、INCMP(不完全)および REACH(到達可能)ステートの説明は、ダイナミック キャッシュ エントリとスタティック キャッシュ エントリでは異なります。


次に、IPv6 ネイバー探索キャッシュのダイナミック エントリで考えられるステートを示します。

INCMP :(不完全)アドレス解決がエントリで実行されています。ネイバー送信要求メッセージが、宛先の送信要求ノードのマルチキャスト アドレスに送信されましたが、対応するネイバー アドバタイズメント メッセージをまだ受信していません。

REACH :(到達可能)最後の ReachableTime ミリ秒内に、ネイバーへの転送パスが正しく機能していた肯定確認を受信しました。 REACH ステートになっているときには、パケットの送信時にデバイスは特別なアクションを実行しません。

STALE :転送パスが正しく機能していた最後の肯定確認を受信してから、ReachableTime ミリ秒を超えて経過しました。 STALE ステートになっているときには、パケットが送信されるまでデバイスはアクションを実行しません。

DELAY :転送パスが正しく機能していた最後の肯定確認を受信してから、ReachableTime ミリ秒を超えて経過しました。パケットは、最後の DELAY_FIRST_PROBE_TIME 秒内に送信されました。 DELAY ステートになって DELAY_FIRST_PROBE_TIME 秒以内に到達可能性確認を受信しない場合は、ネイバー送信要求メッセージを送信し、ステートを PROBE に変更します。

PROBE :到達可能性確認は、到達可能性確認を受信するまで RetransTimer ミリ秒ごとにネイバー送信要求メッセージを再送信することで、アクティブに要求されます。

???? :不明なステート。

次に、IPv6 ネイバー探索キャッシュのスタティック エントリで考えられるステートを示します。

INCMP :(不完全)このエントリのインターフェイスはダウンしています。

REACH :(到達可能)このエントリのインターフェイスはアップ状態です。

Interface

アドレスが到達可能なインターフェイス。

次に、インターフェイスを指定して入力した場合の show ipv6 neighbor コマンドの出力例を示します。

hostname# show ipv6 neighbor inside
IPv6 Address Age Link-layer Addr State Interface
2000:0:0:4::2 0 0003.a0d6.141e REACH inside
FE80::203:A0FF:FED6:141E 0 0003.a0d6.141e REACH inside
3001:1::45a - 0002.7d1a.9472 REACH inside
 

次に、IPv6 アドレスを指定して入力した場合の show ipv6 neighbor コマンドの出力例を示します。

hostname# show ipv6 neighbor 2000:0:0:4::2
IPv6 Address Age Link-layer Addr State Interface
2000:0:0:4::2 0 0003.a0d6.141e REACH inside
 

 
関連コマンド

コマンド
説明

clear ipv6 neighbors

スタティック エントリを除く、IPv6 ネイバー探索キャッシュ内のすべてのエントリを削除します。

ipv6 neighbor

IPv6 ネイバー探索キャッシュにスタティック エントリを設定します。

show ipv6 route

IPv6 ルーティング テーブルの内容を表示するには、特権 EXEC モードで show ipv6 route コマンドを使用します。

show ipv6 route

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

情報が IPv6 固有である点を除いて、 show ipv6 route コマンドの出力は show route コマンドと類似しています。
次の情報は、IPv6 ルーティング テーブルに表示されます。

Codes ルートを取得したプロトコルを示します。値は次のとおりです。

C 接続済み

L ローカル

S スタティック

R RIP 取得済み

B BGP 取得済み

I1 ISIS L1:統合 IS-IS レベル 1 取得済み

I2 ISIS L2:統合 IS-IS レベル 2 取得済み

IA ISIS interarea:統合 IS-IS エリア間取得済み

fe80::/10 リモート ネットワークの IPv6 プレフィクスを示します。

[0/0] カッコ内の最初の数値は、情報元のアドミニストレーティブ ディスタンスで、2 番めの数値はルートのメトリックです。

via :: リモート ネットワークへの次のルータのアドレスを指定します。

inside 指定されたネットワークへの次のルータに到達するのに通過できるインターフェイスを指定します。

次に、 show ipv6 route コマンドの出力例を示します。

hostname# show ipv6 route
 
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
L fe80::/10 [0/0]
via ::, inside
via ::, vlan101
L fec0::a:0:0:a0a:a70/128 [0/0]
via ::, inside
C fec0:0:0:a::/64 [0/0]
via ::, inside
L fec0::65:0:0:a0a:6570/128 [0/0]
via ::, vlan101
C fec0:0:0:65::/64 [0/0]
via ::, vlan101
L ff00::/8 [0/0]
via ::, inside
via ::, vlan101
S ::/0 [0/0]
via fec0::65:0:0:a0a:6575, vlan101
 

 
関連コマンド

コマンド
説明

debug ipv6 route

IPv6 ルーティング テーブル アップデートおよびルート キャッシュ アップデートのデバッグ メッセージを表示します。

ipv6 route

IPv6 ルーティング テーブルにスタティック エントリを追加します。

show ipv6 routers

オンリンク ルータから受信した IPv6 ルータ アドバタイズメント情報を表示するには、特権 EXEC モードで show ipv6 routers コマンドを使用します。

show ipv6 routers [ if_name ]

 
構文の説明

if_name

(任意) nameif コマンドによって指定された、情報を表示する内部または外部インターフェイス名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス名が指定されていない場合は、すべての IPv6 インターフェイスの情報が表示されます。インターフェイス名を指定すると、指定されたインターフェイスに関する情報が表示されます。

次に、インターフェイス名なしで入力した場合の show ipv6 routers コマンドの出力例を示します。

hostname# show ipv6 routers
Router FE80::83B3:60A4 on outside, last update 3 min
Hops 0, Lifetime 6000 sec, AddrFlag=0, OtherFlag=0
Reachable time 0 msec, Retransmit time 0 msec
Prefix 3FFE:C00:8007::800:207C:4E37/96 autoconfig
Valid lifetime -1, preferred lifetime -1
Router FE80::290:27FF:FE8C:B709 on inside, last update 0 min
Hops 64, Lifetime 1800 sec, AddrFlag=0, OtherFlag=0
Reachable time 0 msec, Retransmit time 0 msec
 

 
関連コマンド

コマンド
説明

ipv6 route

IPv6 ルーティング テーブルにスタティック エントリを追加します。

show ipv6 traffic

IPv6 トラフィックに関する統計情報を表示するには、特権 EXEC モードで show ipv6 traffic コマンドを使用します。

show ipv6 traffic

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

トラフィック カウンタをクリアするには、 clear ipv6 traffic コマンドを使用します。

次に、 show ipv6 traffic コマンドの出力例を示します。

hostname# show ipv6 traffic
IPv6 statistics:
Rcvd: 545 total, 545 local destination
0 source-routed, 0 truncated
0 format errors, 0 hop count exceeded
0 bad header, 0 unknown option, 0 bad source
0 unknown protocol, 0 not a router
218 fragments, 109 total reassembled
0 reassembly timeouts, 0 reassembly failures
Sent: 228 generated, 0 forwarded
1 fragmented into 2 fragments, 0 failed
0 encapsulation failed, 0 no route, 0 too big
Mcast: 168 received, 70 sent
 
ICMP statistics:
Rcvd: 116 input, 0 checksum errors, 0 too short
0 unknown info type, 0 unknown error type
unreach: 0 routing, 0 admin, 0 neighbor, 0 address, 0 port
parameter: 0 error, 0 header, 0 option
0 hopcount expired, 0 reassembly timeout,0 too big
0 echo request, 0 echo reply
0 group query, 0 group report, 0 group reduce
0 router solicit, 60 router advert, 0 redirects
31 neighbor solicit, 25 neighbor advert
Sent: 85 output, 0 rate-limited
unreach: 0 routing, 0 admin, 0 neighbor, 0 address, 0 port
parameter: 0 error, 0 header, 0 option
0 hopcount expired, 0 reassembly timeout,0 too big
0 echo request, 0 echo reply
0 group query, 0 group report, 0 group reduce
0 router solicit, 18 router advert, 0 redirects
33 neighbor solicit, 34 neighbor advert
 
UDP statistics:
Rcvd: 109 input, 0 checksum errors, 0 length errors
0 no port, 0 dropped
Sent: 37 output
 
TCP statistics:
Rcvd: 85 input, 0 checksum errors
Sent: 103 output, 0 retransmitted
 

 
関連コマンド

コマンド
説明

clear ipv6 traffic

ipv6 トラフィック カウンタをクリアします。