Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
show service-policy コマンド~ show xlate コマンド
show service-policy コマンド~ show xlate コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

show service-policy コマンド~ show xlate コマンド

show service-policy

show service-policy inspect ftp

show service-policy inspect gtp

show service-policy inspect radius-accounting

show shared license

show shun

show sip

show skinny

show sla monitor configuration

show sla monitor operational-state

show snmp-server engineid

show snmp-server group

show snmp-server statistics

show snmp-server user

show ssh sessions

show startup-config

show sunrpc-server active

show switch mac-address-table

show switch vlan

show tcpstat

show tech-support

show threat-detection memory

show threat-detection rate

show threat-detection scanning-threat

show threat-detection shun

show threat-detection statistics host

show threat-detection statistics port

show threat-detection statistics protocol

show threat-detection statistics top

show tls-proxy

show track

show traffic

show uauth

show uc-ime

show url-block

show url-cache statistics

show url-server

show version

show vlan

show vpn load-balancing

show vpn-sessiondb

show vpn-sessiondb ratio

show vpn-sessiondb summary

show wccp

show webvpn csd

show webvpn group-alias

show webvpn group-url

show webvpn sso-server

show webvpn svc

show xlate

show service-policy コマンド~ show xlate コマンド

show service-policy

サービス ポリシー統計情報を表示するには、特権 EXEC モードで show service-policy コマンドを使用します。

show service-policy [ global | interface intf ] [ csc | inspect | ips | police | priority | shape ]

show service-policy [ global | interface intf ] [ set connection [ details ]]

show service-policy [ global | interface intf ] [ flow protocol { host src_host | src_ip src_mask } [ eq src_port ] { host dest_host | dest_ip dest_mask } [ eq dest_port ] [ icmp_number | icmp_control_message ]]

 
構文の説明

csc

(任意) csc コマンドを含んでいるポリシーだけを出力します。

dest_ip dest_mask

トラフィック フローの宛先 IP アドレスおよびネットマスク。

details

(任意)クライアントごとの接続制限がイネーブルになっている場合は、クライアントごとの接続制限情報を表示します。

eq dest_port

(任意)等号。宛先のポートが、以降に指定するポート番号と一致することを要求します。

eq src_port

(任意)等号。送信元のポートが、以降に指定するポート番号と一致することを要求します。

flow protocol

(任意)適応型セキュリティ アプライアンスでポリシーの適用対象となるトラフィック フローを指定します。このフローに適用されるポリシーが表示されます。 flow キーワードに続いて指定する引数とキーワードでは、フローを IP 5 タプル形式で指定します。 protocol 引数で有効となる値については、次の「使用上のガイドライン」に示しています。

global

(任意)すべてのインターフェイスに適用されるグローバル ポリシーだけを出力します。

host dest_host

トラフィック フローの宛先ホストの IP アドレス。

host src_host

トラフィック フローの送信元ホストの IP アドレス。

icmp_control_message

(任意)トラフィック フローの ICMP 制御メッセージを指定します。 icmp_control_message 引数で有効となる値については、次の「使用上のガイドライン」に示しています。

icmp_number

(任意)トラフィック フローの ICMP プロトコル番号を指定します。

inspect

(任意) inspect コマンドを含んでいるポリシーだけを出力します。

interface intf

(任意) intf 引数で指定したインターフェイスに適用されるポリシーを表示します。 intf は、 nameif コマンドで定義したインターフェイス名です。

ips

ips コマンドを含んでいるポリシーだけを出力します。

police

police コマンドを含んでいるポリシーだけを出力します。

priority

priority コマンドを含んでいるポリシーだけを出力します。

set connection

set connection コマンドを含んでいるポリシーだけを出力します。

shape

shape コマンドを含んでいるポリシーだけを出力します。

src_ip src_mask

トラフィック フローで使用されている送信元 IP アドレスおよびネットマスク。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

csc キーワードが追加されました。

7.2(4)/8.0(4)

shape キーワードが追加されました。

 
使用上のガイドライン

flow キーワードを使用すると、記述可能な任意のフローについて、適応型セキュリティ アプライアンスがそのフローに適用するポリシーを特定できます。この情報を利用すると、必要なサービスがこのサービス ポリシー コンフィギュレーションによって特定の接続に提供されるかどうかを確認できます。 flow キーワード以降に指定する引数とキーワードでは、オブジェクト グループ化をしていないフローを IP 5 タプル形式で指定します。

フローを IP 5 タプル形式で記述するため、すべての一致基準がサポートされるわけではありません。次に、フローの検索でサポートされている一致基準のリストを示します。

match access-list

match port

match rtp

match default-inspection-traffic

priority キーワードは、インターフェイスを経由して転送されたパケットの集約カウンタ値を表示するために使用します。

show service-policy コマンドの出力に表示される初期接続の数は、 class-map コマンドで定義したトラフィック マッチングと一致したインターフェイスに向かう現在の初期接続の数を示しています。「embryonic-conn-max」フィールドは、モジュラ ポリシー フレームワークを使用するトラフィック クラスに対して設定した最大初期接続数の制限値を示しています。表示される現在の初期接続数が最大値と等しい場合、または最大値を超えている場合は、新しい TCP 接続が class-map コマンドで定義したトラフィック タイプと一致すると、その接続に対して TCP 代行受信が適用されます。

protocol 引数の値

次に、 protocol 引数で有効となる値を示します。

number :プロトコル番号(0 ~ 255)

ah

eigrp

esp

gre

icmp

icmp6

igmp

igrp

ip

ipinip

ipsec

nos

ospf

pcp

pim

pptp

snp

tcp

udp

icmp_control_message 引数の値

次に、 icmp_control_message 引数で有効となる値を示します。

alternate-address

conversion-error

echo

echo-reply

information-reply

information-request

mask-reply

mask-request

mobile-redirect

parameter-problem

redirect

router-advertisement

router-solicitation

source-quench

time-exceeded

timestamp-reply

timestamp-request

traceroute

unreachable

次に、 show service-policy global コマンドの出力例を示します。

hostname# show service-policy global
 
Global policy:
Service-policy: inbound_policy
Class-map: ftp-port
Inspect: ftp strict inbound_ftp, packet 0, drop 0, reset-drop 0
 

次に、 show service-policy priority コマンドの出力例を示します。

hostname# show service-policy priority
 
Interface outside:
 
Global policy:
Service-policy: sa_global_fw_policy
 
Interface outside:
Service-policy: ramap
Class-map: clientmap
Priority:
Interface outside: aggregate drop 0, aggregate transmit 5207048
Class-map: udpmap
Priority:
Interface outside: aggregate drop 0, aggregate transmit 5207048
Class-map: cmap
 

次に、 show service-policy flow コマンドの出力例を示します。

hostname# show service-policy flow udp host 209.165.200.229 host 209.165.202.158 eq 5060
 
Global policy:
Service-policy: f1_global_fw_policy
Class-map: inspection_default
Match: default-inspection-traffic
Action:
Input flow: inspect sip
 
Interface outside:
Service-policy: test
Class-map: test
Match: access-list test
Access rule: permit ip 209.165.200.229 255.255.255.224 209.165.202.158 255.255.255.224
Action:
Input flow: ids inline
Input flow: set connection conn-max 10 embryonic-conn-max 20
 

次に、 show service-policy inspect http コマンドの出力例を示します。次の例は、match-any クラス マップでの各一致コマンドの統計情報を示しています。

hostname# show service-policy inspect http
 
Global policy:
Service-policy: global_policy
Class-map: inspection_default
Inspect: http http, packet 1916, drop 0, reset-drop 0
protocol violations
packet 0
class http_any (match-any)
Match: request method get, 638 packets
Match: request method put, 10 packets
Match: request method post, 0 packets
Match: request method connect, 0 packets
log, packet 648
 

次に、 show service-policy inspect waas コマンドの出力例を示します。次の例は、waas 統計情報を示しています。

hostname# show service-policy inspect waas
 
Global policy:
Service-policy: global_policy
Class-map: WAAS
Inspect: waas, packet 12, drop 0, reset-drop 0
SYN with WAAS option 4
SYN-ACK with WAAS option 4
Confirmed WAAS connections 4
Invalid ACKs seen on WAAS connections 0
Data exceeding window size on WAAS connections 0
 

 
関連コマンド

コマンド
説明

clear configure service-policy

サービス ポリシーのコンフィギュレーションをクリアします。

clear service-policy

すべてのサービス ポリシーのコンフィギュレーションをクリアします。

service-policy

サービス ポリシーを設定します。

show running-config service-policy

実行コンフィギュレーションに設定されているサービス ポリシーを表示します。

show service-policy inspect ftp

FTP インスペクションの FTP コンフィギュレーションを表示するには、特権 EXEC モードで show service-policy inspect ftp コマンドを使用します。

show service-policy [ interface int ] inspect ftp

 
構文の説明

interface int

(任意)特定のインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

FTP インスペクション中、適応型セキュリティ アプライアンスはパケットをサイレントにドロップできます。適応型セキュリティ アプライアンスがパケットを内部的にドロップしたかどうかを確認するには、 show service-policy inspect ftp コマンドを入力します。


) このコマンド出力には、ゼロであるドロップ カウンタは表示されません。適応型セキュリティ アプライアンスはパケットをサイレントにドロップすることはあまりありません。そのため、このコマンドの出力にドロップ カウンタが表示されることもあまりありません。


表 29-1 で、 show service-policy inspect ftp コマンドの出力について説明します。

 

表 29-1 FTP ドロップ カウンタの説明

ドロップ カウンタ
カウンタの増加

Back port is zero drop

APPE、STOR、STOU、LIST、NLIST、RETR コマンドの処理時にポート値が 0 の場合。

Can't allocate back conn drop

セカンダリ データ接続の試行が失敗した場合。

Can't allocate CP conn drop

適応型セキュリティ アプライアンスが CP 接続のデータ構造を割り当てようとしたが失敗した場合。

システム メモリが不足していないか確認してください。

Can't alloc FTP data structure drop

適応型セキュリティ アプライアンスが FTP 接続のデータ構造を割り当てようとしたが失敗した場合。

システム メモリが不足していないか確認してください。

Can't allocate TCP proxy drop

適応型セキュリティ アプライアンスが TCP プロキシのデータ構造を割り当てようとしたが失敗した場合。

システム メモリが不足していないか確認してください。

Can't append block drop

FTP パケットが容量不足のためデータを追加できない場合。

Can't PAT port drop

適応型セキュリティ アプライアンスがポートの PAT の設定に失敗した場合。

Cmd in reply mode drop

コマンドが REPLY モードで受け取られた場合。

Cmd match failure drop

適応型セキュリティ アプライアンスで正規表現によるマッチングの内部エラーが発生した場合。

Cisco TAC にお問い合わせください。

Cmd not a cmd drop

FTP コマンド文字列に、数字などの無効な文字が含まれていた場合。

Cmd not port drop

適応型セキュリティ アプライアンスが PORT コマンドを受け取る予定が別のコマンドを受け取った場合。

Cmd not supported drop

適応型セキュリティ アプライアンスでサポートされていない FTP コマンドが発生した場合。

Cmd not supported in IPv6 drop

FTP コマンドが IPv6 でサポートされていない場合。

Cmd not terminated drop

FTP コマンドが NL または CR で終了していない場合。

Cmd retx unexpected drop

再転送パケットが予期せぬ方法で受信された場合。

Cmd too short drop

FTP コマンドが短すぎる場合。

ERPT too short drop

ERPT コマンドが短すぎる場合。

IDS internal error drop

FTP ID チェック中に内部エラーが発生した場合。

Cisco TAC にお問い合わせください。

Invalid address drop

インスペクション中に無効な IP アドレスが見つかった場合。

Invalid EPSV format drop

ESPV コマンドで形式エラーが見つかった場合。

Invalid ERPT AF number drop

Address Family(AF; アドレス ファミリ)が ERPT コマンドで無効な場合。

Invalid port drop

インスペクション中に無効なポートが見つかった場合。

No back port for data drop

APPE、STOR、STOU、LIST、NLIST、RETR コマンドの処理時にパケットにポートが含まれていない場合。

PORT command/reply too long drop

PORT コマンドまたはパッシブ応答の長さが 8 を超える場合。

Reply code invalid drop

応答コードが無効な場合。

Reply length negative drop

応答に負の長さ値が含まれている場合。

Reply unexpected drop

適応型セキュリティ アプライアンスが応答を予測していないときに応答を受け取った場合。

Retx cmd in cmd mode drop

再転送コマンドが CMD モードで受け取られた場合。

Retx port not old port drop

パケットは再転送されたが、パケットのポートが転送されたオリジナル ポートと異なる場合。

TCP option exceeds limit drop

TCP オプションの長さ値により、オプションの長さが TCP ヘッダー制限を超えた場合。

TCP option length error drop

TCP オプションの長さ値が不正な場合。

次に、 show service-policy inspect ftp コマンドの出力例を示します。

hostname# show show show service-policy inspect ftp
 
Global policy:
Service-policy: global_policy
Class-map: inspection_default
Inspect: ftp, packet 0, drop 0, reset-drop 0
Can't alloc CP conn drop 1, Can't alloc proxy drop 2
TCP option exceeds limit drop 3, TCP option length error drop 4
Can't alloc FTP structure drop 1, Can't append block drop 2
PORT cmd/reply too long drop 3, ERPT too short drop 4
Invalid ERPT AF number drop 5, IDS internal error drop 6
Invalid address drop 7, Invalid port drop 8
Can't PAT port drop 9, Invalid EPSV format drop 10
Retx port not old port drop 11, No back port for data drop 12
Can't alloc back conn drop 13, Back port is zero drop 14
Cmd too short drop 15, Cmd not terminated drop 16
Cmd not a cmd drop 17, Cmd match failure drop 18
Cmd not supported drop 19, Cmd not supported in IPv6 drop 20
Cmd not port drop 21, Retx cmd in cmd mode drop 22
Cmd retx unexpected drop 23, Cmd in reply mode drop 24
Reply length negative drop 25, Reply unexpected drop 26
Reply code invalid drop 27
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

inspect ftp

FTP トラフィックを検査するアプリケーション インスペクションを設定します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示するには、特権 EXEC モードで show service-policy inspect gtp コマンドを使用します。

show service-policy [ interface int ] inspect gtp { pdp-context [ apn ap_name | detail | imsi IMSI_value | ms-addr IP_address | tid tunnel_ID | version version_num ] | pdpmcb | requests | statistics [ gsn IP_address ] }

 
構文の説明

apn

(任意)指定した APN に基づいて、PDP コンテキストの詳細な出力を表示します。

ap_name

統計情報を表示する特定のアクセス ポイント名を指定します。

detail

(任意)PDP コンテキストの詳細な出力を表示します。

imsi

指定した IMSI に基づいて、PDP コンテキストの詳細な出力を表示します。

IMSI_value

統計情報を表示する特定の IMSI を指定するための 16 進値。

interface

(任意)特定のインターフェイスを指定します。

int

情報を表示するインターフェイスを指定します。

gsn

(任意)GPRS サポート ノードを指定します。このノードは、GPRS 無線データ ネットワークとその他のネットワークの間にあるインターフェイスです。

gtp

(任意)GTP のサービス ポリシーを表示します。

IP_address

統計情報を表示する IP アドレス。

ms-addr

(任意)指定した MS アドレスに基づいて、PDP コンテキストの詳細な出力を表示します。

pdp-context

(任意)パケット データ プロトコル コンテキストを指定します。

pdpmcb

(任意)PDP マスター制御ブロックのステータスを表示します。

requests

(任意)GTP 要求のステータスを表示します。

statistics

(任意)GTP 統計情報を表示します。

tid

(任意)指定した TID に基づいて、PDP コンテキストの詳細な出力を表示します。

tunnel_ID

統計情報を表示する特定のトンネルを指定するための 16 進値。

version

(任意)GTP バージョンに基づいて、PDP コンテキストの詳細な出力を表示します。

version_num

統計情報を表示する PDP コンテキストのバージョンを指定します。有効な範囲は、0 ~ 255 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

縦線(|)を使用すると、表示内容をフィルタリングできます。表示フィルタリング オプションの詳細については、| を入力してください。

show pdp-context コマンドは、PDP コンテキストに関する情報を表示します。

パケット データ プロトコル コンテキストは、IMSI と NSAPI の組み合わせであるトンネル ID によって識別されます。GTP トンネルは、異なる GSN ノードにある 2 個の関連する PDP コンテキストによって定義され、1 つのトンネル ID によって識別されます。GTP トンネルは、外部パケット データ ネットワークとモバイル ステーション ユーザの間でパケットを転送するために必要です。

show gtp requests コマンドは、要求キューに入っている現在の要求を表示します。

次に、 show gtp requests コマンドの出力例を示します。

hostname# show gtp requests
0 in use, 0 most used, 200 maximum allowed
 

次の例のように縦線(|)を使用すると、表示内容をフィルタリングできます。

hostname# show service-policy gtp statistics | grep gsn
 

この例では、出力に gsn という語が含まれている GTP 統計情報が表示されます。

次のコマンドでは、GTP インスペクションの統計情報を表示しています。

hostname# show service-policy inspect gtp statistics
GPRS GTP Statistics:
version_not_support | 0 | msg_too_short | 0
unknown_msg | 0 | unexpected_sig_msg | 0
unexpected_data_msg | 0 | ie_duplicated | 0
mandatory_ie_missing | 0 | mandatory_ie_incorrect | 0
optional_ie_incorrect | 0 | ie_unknown | 0
ie_out_of_order | 0 | ie_unexpected | 0
total_forwarded | 0 | total_dropped | 0
signalling_msg_dropped | 0 | data_msg_dropped | 0
signalling_msg_forwarded | 0 | data_msg_forwarded | 0
total created_pdp | 0 | total deleted_pdp | 0
total created_pdpmcb | 0 | total deleted_pdpmcb | 0
pdp_non_existent | 0
 

次のコマンドでは、PDP コンテキストに関する情報を表示しています。

hostname# show service-policy inspect gtp pdp-context
1 in use, 1 most used, timeout 0:00:00
 
Version TID | MS Addr | SGSN Addr | Idle | APN
v1 | 1234567890123425 | 1.1.1.1 | 11.0.0.2 0:00:13 gprs.cisco.com
 
| user_name (IMSI): 214365870921435 | MS address: | 1.1.1.1
| primary pdp: Y | nsapi: 2
| sgsn_addr_signal: | 11.0.0.2 | sgsn_addr_data: | 11.0.0.2
| ggsn_addr_signal: | 9.9.9.9 | ggsn_addr_data: | 9.9.9.9
| sgsn control teid: | 0x000001d1 | sgsn data teid: | 0x000001d3
| ggsn control teid: | 0x6306ffa0 | ggsn data teid: | 0x6305f9fc
| seq_tpdu_up: | 0 | seq_tpdu_down: | 0
| signal_sequence: | 0
| upstream_signal_flow: | 0 | upstream_data_flow: | 0
| downstream_signal_flow: | 0 | downstream_data_flow: | 0
| RAupdate_flow: | 0
 

表 29-2 に、 show service-policy inspect gtp pdp-context コマンドの出力に含まれている各カラムの説明を示します。

 

表 29-2 PDP コンテキスト

カラムのヘッダー
説明

Version

GTP のバージョンを表示します。

TID

トンネル識別子を表示します。

MS Addr

モバイル ステーションのアドレスを表示します。

SGSN Addr

サービス提供ゲートウェイ サービス ノードを表示します。

Idle

PDP コンテキストが使用されていない期間を表示します。

APN

アクセス ポイント名を表示します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

debug gtp

GTP インスペクションの詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

show service-policy inspect radius-accounting

アプリケーション インスペクションの Radius アカウンティング コンフィギュレーションを表示するには、特権 EXEC モードで show service-policy inspect radius-accounting コマンドを使用します。

show service-policy [ interface int ] inspect radius-accounting

 
構文の説明

interface int

(任意)特定のインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、 show show service-policy inspect radius-accounting コマンドの出力例を示します。

hostname# show show service-policy inspect radius-accounting
0 in use, 0 most used, 200 maximum allowed
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

inspect radius-accounting

Radius アカウンティング トラフィックを検査するアプリケーション インスペクションを設定します。

show shared license

共有ライセンス統計情報を表示するには、特権 EXEC モードで show shared license コマンドを使用します。オプション キーワードはライセンシング サーバだけで使用できます。

show shared license [ detail | client [ hostname ] | backup ]

 
構文の説明

backup

(任意)バックアップ サーバの情報を表示します。

client

(任意)表示対象を参加者に限定します。

detail

(任意)参加者ごとなど、すべての統計情報を表示します。

hostname

(任意)表示対象を特定の参加者に限定します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

統計情報をクリアするには、 clear shared license コマンドを入力します。

次に、ライセンス参加者での show shared license コマンドの出力例を示します。

hostname> show shared license
Primary License Server : 10.3.32.20
Version : 1
Status : Inactive
 
Shared license utilization:
SSLVPN:
Total for network : 5000
Available : 5000
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 
Client ID Usage Hostname
ASA0926K04D 0 5510-B
 

次に、ライセンス サーバでの show shared license detail コマンドの出力例を示します。

hostname> show shared license detail
Backup License Server Info:
 
Device ID : ABCD
Address : 10.1.1.2
Registered : NO
HA peer ID : EFGH
Registered : NO
Messages Tx/Rx/Error:
Hello : 0 / 0 / 0
Sync : 0 / 0 / 0
Update : 0 / 0 / 0
 
Shared license utilization:
SSLVPN:
Total for network : 500
Available : 500
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 
Client Info:
 
Hostname : 5540-A
Device ID : XXXXXXXXXXX
SSLVPN:
Current usage : 0
High : 0
Messages Tx/Rx/Error:
Registration : 1 / 1 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
...
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

show shun

排除情報を表示するには、特権 EXEC モードで show shun コマンドを使用します。

show shun [ src_ip | statistics ]

 
構文の説明

src_ip

(任意)このアドレスに関する情報を表示します。

statistics

(任意)インターフェイスのカウンタだけ表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

次に、 show shun コマンドの出力例を示します。

hostname# show shun
shun (outside) 10.1.1.27 10.2.2.89 555 666 6
shun (inside1) 10.1.1.27 10.2.2.89 555 666 6
 

 
関連コマンド

コマンド
説明

clear shun

現在イネーブルにされている回避をすべてディセーブルにし、回避統計をクリアします。

shun

新規接続を抑制し、既存のすべての接続からのパケットを不許可にすることにより、攻撃元ホストへのダイナミック応答をイネーブルにします。

show sip

SIP セッションを表示するには、特権 EXEC モードで show sip コマンドを使用します。

show sip

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show sip コマンドは、SIP インスペクション エンジンの問題のトラブルシューティングに役立ちます。説明については、 inspect protocol sip udp 5060 コマンドとともに記載されています。 show timeout sip コマンドは、指示されているプロトコルのタイムアウト値を表示します。

show sip コマンドは、適応型セキュリティ アプライアンスを越えて確立されている SIP セッションの情報を表示します。 debug sip show local-host コマンドとともに、このコマンドは、SIP インスペクション エンジンの問題のトラブルシューティングに使用されます。


show sip コマンドを使用する前に pager コマンドを設定することを推奨します。多くの SIP セッション レコードが存在し、pager コマンドが設定されていない場合、show sip コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。


次に、 show sip コマンドの出力例を示します。

hostname# show sip
Total: 2
call-id c3943000-960ca-2e43-228f@10.130.56.44
| state Call init, idle 0:00:01
call-id c3943000-860ca-7e1f-11f7@10.130.56.45
| state Active, idle 0:00:06
 

この例は、適応型セキュリティ アプライアンス上の 2 つのアクティブな SIP セッションを示しています( Total フィールドで示されているように)。各 call-id は、コールを表わしています。

最初のセッションは、 call-id c3943000-960ca-2e43-228f@10.130.56.44 で、 Call Init 状態にあります。これは、このセッションはまだコール セットアップ中であることを示しています。コール セットアップが完了するのは、ACK が確認されたときのみです。このセッションは、1 秒間アイドル状態でした。

2 番めのセッションは、 Active 状態です。ここでは、コール セットアップは完了して、エンドポイントはメディアを交換しています。このセッションは、6 秒間アイドル状態でした。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug sip

SIP のデバッグ情報をイネーブルにします。

inspect sip

SIP アプリケーション インスペクションをイネーブルにします。

show conn

さまざまな接続タイプの接続状態を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

show skinny

SCCP(Skinny)インスペクション エンジンの問題をトラブルシューティングするには、特権 EXEC モードで show skinny コマンドを使用します。

show skinny

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show skinny コマンドは、SCCP(Skinny)インスペクション エンジンの問題のトラブルシューティングに役立ちます。

次の条件での show skinny コマンドの出力例を示します。適応型セキュリティ アプライアンスを越えて 2 つのアクティブな Skinny セッションがセットアップされています。最初の Skinny セッションは、ローカル アドレス 10.0.0.11 にある内部 Cisco IP Phone と 172.18.1.33 にある外部 Cisco CallManager の間に確立されています。TCP ポート 2000 は、CallManager です。2 番めの Skinny セッションは、ローカル アドレス 10.0.0.22 にある別の内部 Cisco IP Phone と同じ Cisco CallManager の間に確立されています。

hostname# show skinny
 
LOCAL FOREIGN STATE
 
---------------------------------------------------------------
 
1 10.0.0.11/52238 172.18.1.33/2000 1
 
MEDIA 10.0.0.11/22948 172.18.1.22/20798
 
2 10.0.0.22/52232 172.18.1.33/2000 1
 
MEDIA 10.0.0.22/20798 172.18.1.11/22948
 

この出力は、両方の内部 Cisco IP Phone 間でコールが確立されていることを示します。最初と 2 番めの電話機の RTP リスニング ポートは、それぞれ UDP 22948 と 20798 です。

次に、これらの Skinny 接続に対する xlate 情報を示します。

hostname# show xlate debug
2 in use, 2 most used
Flags: D | DNS, d | dump, I | identity, i | inside, n | no random,
| o | outside, r | portmap, s | static
NAT from inside:10.0.0.11 to outside:172.18.1.11 flags si idle 0:00:16 timeout 0:05:00
NAT from inside:10.0.0.22 to outside:172.18.1.22 flags si idle 0:00:14 timeout 0:05:00
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug skinny

SCCP のデバッグ情報をイネーブルにします。

inspect skinny

SCCP アプリケーション インスペクションをイネーブルにします。

show conn

さまざまな接続タイプの接続状態を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

show sla monitor configuration

SLA 動作のデフォルトを含むコンフィギュレーション値を表示するには、ユーザ EXEC モードで show sla monitor configuration コマンドを使用します。

show sla monitor configuration [ sla-id ]

 
構文の説明

sla-id

(任意)SLA 動作の ID 番号。有効な値は 1 ~ 2147483647 です。

 
デフォルト

sla-id が指定されていない場合、すべての SLA 動作のコンフィギュレーション値が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

実行コンフィギュレーションの SLA 動作コマンドを表示するには、 show running config sla monitor コマンドを使用します。

次に、 show sla monitor コマンドの出力例を示します。SLA 動作 123 のコンフィギュレーション値が表示されます。 show sla monitor コマンドの出力に続いて、同じ SLA 動作の show running-config sla monitor コマンドが出力されます。

hostname> show sla monitor 124
 
SA Agent, Infrastructure Engine-II
Entry number: 124
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.1.1
Interface: outside
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 1000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 3
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
 
hostname# show running-config sla monitor 124
 
sla monitor 124
type echo protocol ipIcmpEcho 10.1.1.1 interface outside
timeout 1000
frequency 3
sla monitor schedule 124 life forever start-time now
 

 
関連コマンド

コマンド
説明

show running-config sla monitor

実行コンフィギュレーションの SLA 動作コンフィギュレーション コマンドを表示します。

sla monitor

SLA モニタリング動作を定義します。

show sla monitor operational-state

SLA 動作の操作状態を表示するには、ユーザ EXEC モードで show sla monitor operational-state コマンドを使用します。

show sla monitor operational-state [ sla-id ]

 
構文の説明

sla-id

(任意)SLA 動作の ID 番号。有効な値は 1 ~ 2147483647 です。

 
デフォルト

sla-id が指定されていない場合、すべての SLA 動作の統計情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

実行コンフィギュレーションの SLA 動作コマンドを表示するには、 show running-config sla monitor コマンドを使用します。

次に、 show sla monitor operational-state コマンドの出力例を示します。

hostname> show sla monitor operationl-state
 
Entry number: 124
Modification time: 14:42:23.607 EST Wed Mar 22 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 4043
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 18:04:26.609 EST Wed Mar 22 2006
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0 RTTMin: 0 RTTMax: 0
NumOfRTT: 0 RTTSum: 0 RTTSum2: 0
 

 
関連コマンド

コマンド
説明

show running-config sla monitor

実行コンフィギュレーションの SLA 動作コンフィギュレーション コマンドを表示します。

sla monitor

SLA モニタリング動作を定義します。

show snmp-server engineid

適応型セキュリティ アプライアンス上で設定されている SNMP エンジンの識別番号を表示するには、特権 EXEC モードで show snmp-server engineid コマンドを使用します。

show snmp-server engineid

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

次に、 show snmp-server engineid コマンドの出力例を示します。

hostname# show snmp-server engineid
Local SNMP engineID: 80000009fe85f8fd882920834a3af7e4ca79a0a1220fe10685
 

 
使用上のガイドライン

SNMP エンジンは、ローカル デバイスに常駐できる SNMP のコピーです。エンジン ID は、適応型セキュリティ アプライアンス コンテキストごとに各 SNMP エージェントに割り当てられる一意の値です。エンジン ID は、適応型セキュリティ アプライアンスでは設定できません。エンジン ID は、25 バイト長で、暗号化されたパスワードの生成に使用されます。暗号化されたパスワードは、フラッシュ メモリに保存されます。エンジン ID はキャッシュに保存できます。フェールオーバー ペアでは、エンジン ID は、ピアと同期化されます。

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP サーバ コンフィギュレーションをクリアします。

show running-config snmp-server

SNMP サーバ コンフィギュレーションを表示します。

snmp-server

SNMP サーバを設定します。

show snmp-server group

設定済み SNMP グループの名前、使用されるセキュリティ モデル、各種ビューのステータス、各グループのストレージ タイプを表示するには、特権 EXEC モードで show snmp-server group コマンドを使用します。

show snmp-server group

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

次に、 show snmp-server group コマンドの出力例を示します。

hostname# show snmp-server group
groupname: public security model:v1
readview : <no readview specified> writeview: <no writeview specified>
notifyview: <no readview specified>
row status: active
 
groupname: public security model:v2c
readview : <no readview specified> writeview: <no writeview specified>
notifyview: *<no readview specified>
row status: active
 
groupname: privgroup security model:v3 priv
readview : def_read_view writeview: <no writeview specified>
notifyview: def_notify_view
row status: active
 

 
使用上のガイドライン

SNMP ユーザおよびグループは、SNMP の View-based Access Control Model(VACM)に従い使用されます。SNMP グループは、使用されるセキュリティ モデルを決定します。SNMP ユーザは、SNMP グループのセキュリティ モデルと一致する必要があります。各 SNMP グループ名およびセキュリティ レベルのペアは一意でなければなりません。

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP サーバ コンフィギュレーションをクリアします。

show running-config snmp-server

SNMP サーバ コンフィギュレーションを表示します。

snmp-server

SNMP サーバを設定します。

show snmp-server statistics

SNMP サーバの統計情報を表示するには、特権 EXEC モードで show snmp-server statistics コマンドを使用します。

show snmp-server statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 show snmp-server statistics コマンドの出力例を示します。

hostname# show snmp-server statistics
0 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
0 Number of requested variables
0 Number of altered variables
0 Get-request PDUs
0 Get-next PDUs
0 Get-bulk PDUs
0 Set-request PDUs (Not supported)
0 SNMP packets output
0 Too big errors (Maximum packet size 512)
0 No such name errors
0 Bad values errors
0 General errors
0 Response PDUs
0 Trap PDUs
 

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP サーバ コンフィギュレーションをクリアします。

clear snmp-server statistics

SNMP パケット入力および出力カウンタをクリアします。

show running-config snmp-server

SNMP サーバ コンフィギュレーションを表示します。

snmp-server

SNMP サーバを設定します。

show snmp-server user

SNMP ユーザの設定済み特定に関する情報を表示するには、特権 EXEC モードで show snmp-server user コマンドを使用します。

show snmp-server user [ username ]

 
構文の説明

username

(任意)SNMP 情報を表示する特定のユーザを識別します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

次に、 show snmp-server user コマンドの出力例を示します。

hostname# show snmp-server user authuser
User name: authuser
Engine ID: 00000009020000000C025808
storage-type: nonvolatile active access-list: N/A
Rowstatus: active
Authentication Protocol: MD5
Privacy protocol: DES
Group name: VacmGroupName
 

出力では次の情報が表示されます。

ユーザ名。SNMP ユーザの名前を示す文字列です。

エンジン ID。適応型セキュリティ アプライアンスの SNMP のコピーを示す文字列です。

ストレージ タイプ。設定が適応型セキュリティ アプライアンスの揮発性または一時メモリで行われたか、あるいは非揮発性または永続メモリで行われたかを示します。後者の場合、適応型セキュリティ アプライアンスの電源を切り、再び電源を入れた後でも設定は保持されます。

アクティブ アクセス リスト。SNMP ユーザに関連する標準 IP アクセス リストです。

行ステータス。アクティブか非アクティブかを示します。

認証プロトコル。使用される認証プロトコルを示します。選択できるのは、MD5、SHA、またはなしです。使用しているソフトウェア イメージで認証がサポートされていない場合、このフィールドは表示されません。

プライバシー プロトコル。DES パケット暗号化がイネーブルかどうかを示します。使用しているソフトウェア イメージでプライバシーがサポートされていない場合、このフィールドは表示されません。

グループ名。ユーザが属する SNMP グループを示します。SNMP グループは、View-based Access Control Model(VACM)に従い定義されます。

 
使用上のガイドライン

SNMP ユーザは、SNMP グループに属している必要があります。 username 引数を入力しない場合、 show snmp-server user コマンドは、設定されているすべてのユーザに関する情報を表示します。 username 引数を入力して、ユーザが存在する場合、そのユーザに関する情報が表示されます。

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP サーバ コンフィギュレーションをクリアします。

show running-config snmp-server

SNMP サーバ コンフィギュレーションを表示します。

snmp-server

SNMP サーバを設定します。

show ssh sessions

適応型セキュリティ アプライアンス上のアクティブな SSH セッションの情報を表示するには、特権 EXEC モードで show ssh sessions コマンドを使用します。

show ssh sessions [ ip_address ]

 
構文の説明

ip_address

(任意)指定した IP アドレスのセッション情報だけを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

SID は、SSH セッションを識別する一意な番号です。Client IP は、SSH クライアントを実行しているシステムの IP アドレスです。Version は、SSH クライアントがサポートしているプロトコル バージョン番号です。SSH が SSH バージョン 1 のみサポートしている場合、Version カラムには 1.5 が表示されます。SSH クライアントが SSH バージョン 1 と SSH バージョン 2 の両方をサポートしている場合、Version カラムには 1.99 が表示されます。SSH クライアントが SSH バージョン 2 だけをサポートしている場合、Version カラムには 2.0 が表示されます。Encryption カラムには、SSH クライアントが使用している暗号化のタイプが表示されます。State カラムには、クライアントと適応型セキュリティ アプライアンスとの対話の進行状況が表示されます。Username カラムには、セッションで認証されているログイン ユーザ名が表示されます。Mode カラムには、SSH データ ストリームの方向が表示されます。同じまたは異なる暗号化アルゴリズムを使用できる、SSH バージョン 2 の場合、Mode フィールドには in および out が表示されます。両方向で同じ暗号化を使用する、SSH バージョン 1 の場合、Mode フィールドには、nil(「-」)が表示され、接続あたり 1 エントリだけが許可されます。

次に、 show ssh sessions コマンドの出力例を示します。

hostname# show ssh sessions
SID Client IP Version Mode Encryption Hmac State Username
0 172.69.39.39 1.99 IN aes128-cbc md5 SessionStarted pat
OUT aes128-cbc md5 SessionStarted pat
1 172.23.56.236 1.5 - 3DES - SessionStarted pat
2 172.69.39.29 1.99 IN 3des-cbc sha1 SessionStarted pat
OUT 3des-cbc sha1 SessionStarted pat
 

 
関連コマンド

コマンド
説明

ssh disconnect

アクティブな SSH セッションを切断します。

ssh timeout

アイドル状態の SSH セッションのタイムアウト値を設定します。

show startup-config

スタートアップ コンフィギュレーションを表示するか、スタートアップ コンフィギュレーションがロードされたときのエラーを表示するには、特権 EXEC モードで show startup-config コマンドを使用します。

show startup-config [ errors ]

 
構文の説明

errors

(任意)適応型セキュリティ アプライアンスがスタートアップ コンフィギュレーションをロードしたときに生成されたエラーを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム1

特権 EXEC

1.errors キーワードは、シングル モードおよびシステム実行スペースだけで使用できます。

 
コマンド履歴

リリース
変更内容

7.0(1)

errors キーワードが追加されました。

8.3(1)

コマンド出力に、暗号化されたパスワードが表示されます。

 
使用上のガイドライン

マルチ コンテキスト モードでは、 show startup-config コマンドは現在の実行スペース(システム コンフィギュレーションまたはセキュリティ コンテキスト)のスタートアップ コンフィギュレーションを表示します。

show startup-config コマンド出力には、パスワード暗号化がイネーブルまたはディセーブルにされているかに関係なく、暗号化されたパスワード、マスクされたパスワード、クリア テキスト パスワードが表示されます。

メモリからスタートアップ エラーをクリアするには、 clear startup-config errors コマンドを使用します。

次に、 show startup-config コマンドの出力例を示します。

hostname# show startup-config
: Saved
: Written by enable_15 at 01:44:55.598 UTC Thu Apr 17 2003
 
Version 7.X(X)
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 209.165.200.224
webvpn enable
!
interface GigabitEthernet0/1
shutdown
nameif test
security-level 0
ip address 209.165.200.225
!
 
...
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname firewall1
domain-name example.com
boot system disk0:/cdisk.bin
ftp mode passive
names
name 10.10.4.200 outside
access-list xyz extended permit ip host 192.168.0.4 host 209.165.200.226
!
ftp-map ftp_map
!
ftp-map inbound_ftp
deny-request-cmd appe stor stou
!
 
...
 
Cryptochecksum:4edf97923899e712ed0da8c338e07e63
 

次に、 show startup-config errors コマンドの出力例を示します。

hostname# show startup-config errors
 
ERROR: 'Mac-addresses': invalid resource name
*** Output from config line 18, "limit-resource Mac-add..."
INFO: Admin context is required to get the interfaces
*** Output from config line 30, "arp timeout 14400"
Creating context 'admin'... WARNING: Invoked the stub function ibm_4gs3_context_
set_max_mgmt_sess
WARNING: Invoked the stub function ibm_4gs3_context_set_max_mgmt_sess
Done. (1)
*** Output from config line 33, "admin-context admin"
WARNING: VLAN *24* is not configured.
*** Output from config line 12, context 'admin', "nameif inside"
.....
*** Output from config line 37, "config-url disk:/admin..."
 

 
関連コマンド

コマンド
説明

clear startup-config errors

メモリからスタートアップ エラーをクリアします。

show running-config

実行コンフィギュレーションを表示します。

show sunrpc-server active

Sun RPC サービス用に開いているピンホールを表示するには、特権 EXEC モードで show sunrpc-server active コマンドを使用します。

show sunrpc-server active

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show sunrpc-server active コマンドは、NFS や NIS などの Sun RPC サービス用に開いているピンホールを表示するために使用します。

Sun RPC サービス用に開いているピンホールを表示するには、 show sunrpc-server active コマンドを使用します。次に、 show sunrpc-server active コマンドの出力例を示します。

hostname# show sunrpc-server active
LOCAL FOREIGN SERVICE TIMEOUT
-----------------------------------------------
192.168.100.2/0 209.165.200.5/32780 100005 00:10:00
 

 
関連コマンド

コマンド
説明

clear configure sunrpc-server

適応型セキュリティ アプライアンスからの Sun リモート プロセッサ コール サービスをクリアします。

clear sunrpc-server active

NFS や NIS などの Sun RPC サービス用に開いているピンホールをクリアします。

inspect sunrpc

Sun RPC アプリケーション インスペクションをイネーブルまたはディセーブルにし、使用されるポートを設定します。

show running-config sunrpc-server

SunRPC サービス コンフィギュレーションに関する情報を表示します。

show switch mac-address-table

組み込みスイッチの付いた ASA 5505 適応型セキュリティ アプライアンスなどのモデルでは、特権 EXEC モードで show switch mac-address-table コマンドを使用してスイッチ MAC アドレス テーブルを表示します。

show switch mac-address-table

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、組み込みスイッチを持つモデル専用です。スイッチ MAC アドレス テーブルでは、スイッチ ハードウェアの各 VLAN 内にトラフィック用の MAC アドレス対スイッチ ポートのマッピングが維持されます。トランスペアレント ファイアウォール モードの場合、 show mac-address-table コマンドを使用して ASA ソフトウェアのブリッジ MAC アドレス テーブルを表示します。ブリッジ MAC アドレス テーブルでは、VLAN 間を通過するトラフィック用の MAC アドレス対 VLAN のインターフェイス マッピングが維持されます。

MAC アドレス エントリは 5 分間で無効になります。

次に、 show switch mac-address-table コマンドの出力例を示します。

hostname# show switch mac-address-table
Legend: Age - entry expiration time in seconds
 
Mac Address | VLAN | Type | Age | Port
-------------------------------------------------------
000e.0c4e.2aa4 | 0001 | dynamic | 287 | Et0/0
0012.d927.fb03 | 0001 | dynamic | 287 | Et0/0
0013.c4ca.8a8c | 0001 | dynamic | 287 | Et0/0
00b0.6486.0c14 | 0001 | dynamic | 287 | Et0/0
00d0.2bff.449f | 0001 | static | - | In0/1
0100.5e00.000d | 0001 | static multicast | - | In0/1,Et0/0-7
Total Entries: 6
 

表 29-3 に、各フィールドの説明を示します。

 

表 29-3 show switch mac-address-table のフィールド

フィールド
説明

Mac Address

MAC アドレスを表示します。

VLAN

MAC アドレスに関連付けられている VLAN を表示します。

Type

MAC アドレスが、スタティック マルチキャスト アドレスとしてダイナミックにラーニングされたか、スタティックにラーニングされたかを示します。内部バックプレーン インターフェイスの場合だけスタティック エントリになります。

Age

MAC アドレス テーブルにダイナミック エントリの経過時間を表示します。

Port

MAC アドレスを持つホストに到達できるスイッチ ポートを表示します。

 
関連コマンド

コマンド
説明

show mac-address-table

組み込みスイッチを持たないモデルの MAC アドレス テーブルを表示します。

show switch vlan

VLAN と物理 MAC アドレスの関連付けを表示します。

show switch vlan

組み込みスイッチの付いた ASA 5505 適応型セキュリティ アプライアンスなどのモデルでは、特権 EXEC モードで show switch vlan コマンドを使用して VLAN と、関連付けられたスイッチ ポートを表示します。

show switch vlan

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、組み込みスイッチを持つモデル専用です。他のモデルでは、 show vlan コマンドを使用します。

次に、 show switch vlan コマンドの出力例を示します。

hostname# show switch vlan
 
VLAN Name Status Ports
---- -------------------------------- --------- -------------
100 inside up Et0/0, Et0/1
200 outside up Et0/7
300 - down Et0/1, Et0/2
400 backup down Et0/3
 

表 29-4 に、各フィールドの説明を示します。

 

表 29-4 show switch vlan のフィールド

フィールド
説明

VLAN

VLAN 番号を表示します。

Name

VLAN インターフェイスの名前を表示します。名前が nameif コマンドを使用して設定されていない場合、または interface vlan コマンドがない場合、ダッシュ(-)が表示されます。

Status

up ステータスまたは down ステータスで、スイッチの VLAN からトラフィックを受信するか、スイッチの VLAN にトラフィックを送信するかを示します。VLAN 状態が up ステータスになるには、VLAN のスイッチ ポートが少なくとも 1 つ up 状態でなければなりません。

Ports

各 VLAN に割り当てられたスイッチ ポートを表示します。1 つのスイッチ ポートが複数の VLAN についてリストされている場合、そのスイッチ ポートはトランク ポートです。上記の出力例は、Ethernet 0/1 が VLAN 100 および 300 を伝送するトランク ポートであることを示します。

 
関連コマンド

コマンド
説明

clear interface

show interface コマンドのカウンタをクリアします。

interface vlan

VLAN インターフェイスを作成し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show vlan

組み込みスイッチを持たないモデルの VLAN を表示します。

switchport mode

スイッチ ポートのモードをアクセスまたはトランク モードに設定します。

show tcpstat

適応型セキュリティ アプライアンスの TCP スタックおよび適応型セキュリティ アプライアンスで終端している TCP 接続のステータスを(デバッグのために)表示するには、特権 EXEC モードで show tcpstat コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

show tcpstat

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show tcpstat コマンドを使用すると、TCP スタックおよび適応型セキュリティ アプライアンスで終端している TCP 接続のステータスを表示できます。 表 29-5 は、表示される TCP 統計情報を説明しています。

 

表 29-5 show tcpstat コマンドの TCP 統計情報

統計情報
説明

tcb_cnt

TCP ユーザの数。

proxy_cnt

TCP プロキシの数。TCP プロキシは、ユーザ認可によって使用されます。

tcp_xmt pkts

TCP スタックによって送信されたパケットの数。

tcp_rcv good pkts

TCP スタックによって受信された正常なパケットの数。

tcp_rcv drop pkts

TCP スタックがドロップした受信パケットの数。

tcp bad chksum

不良チェックサムを保持していた受信パケットの数。

tcp user hash add

ハッシュ テーブルに追加された TCP ユーザの数。

tcp user hash add dup

新しい TCP ユーザを追加しようとしたときに、ユーザがすでにハッシュ テーブル内に存在していた回数。

tcp user srch hash hit

検索時に TCP ユーザがハッシュ テーブル内で検出された回数。

tcp user srch hash miss

検索時に TCP ユーザがハッシュ テーブル内で検出されなかった回数。

tcp user hash delete

TCP ユーザがハッシュ テーブルから削除された回数。

tcp user hash delete miss

TCP ユーザを削除しようとしたときに、ユーザがハッシュ テーブル内で検出されなかった回数。

lip

TCP ユーザのローカル IP アドレス。

fip

TCP ユーザの外部 IP アドレス。

lp

TCP ユーザのローカル ポート。

fp

TCP ユーザの外部ポート。

st

TCP ユーザの状態(RFC 793 を参照)。表示される値を次に示します。

1 CLOSED
2 LISTEN
3 SYN_SENT
4 SYN_RCVD
5 ESTABLISHED
6 FIN_WAIT_1
7 FIN_WAIT_2
8 CLOSE_WAIT
9 CLOSING
10 LAST_ACK
11 TIME_WAIT

rexqlen

TCP ユーザの再送信キューの長さ。

inqlen

TCP ユーザの入力キューの長さ。

tw_timer

TCP ユーザの time_wait タイマーの値(ミリ秒単位)。

to_timer

TCP ユーザの非活動タイムアウト タイマーの値(ミリ秒単位)。

cl_timer

TCP ユーザのクローズ要求タイマーの値(ミリ秒単位)。

per_timer

TCP ユーザの持続タイマーの値(ミリ秒単位)。

rt_timer

TCP ユーザの再送信タイマーの値(ミリ秒単位)。

tries

TCP ユーザの再送信カウント。

次の例は、適応型セキュリティ アプライアンスの TCP スタックのステータスを表示する方法を示しています。

hostname# show tcpstat
CURRENT MAX TOTAL
tcb_cnt 2 12 320
proxy_cnt 0 0 160
 
tcp_xmt pkts = 540591
tcp_rcv good pkts = 6583
tcp_rcv drop pkts = 2
tcp bad chksum = 0
tcp user hash add = 2028
tcp user hash add dup = 0
tcp user srch hash hit = 316753
tcp user srch hash miss = 6663
tcp user hash delete = 2027
tcp user hash delete miss = 0
 
lip = 172.23.59.230 fip = 10.21.96.254 lp = 443 fp = 2567 st = 4 rexqlen = 0
in0
tw_timer = 0 to_timer = 179000 cl_timer = 0 per_timer = 0
rt_timer = 0
tries 0
 

 
関連コマンド

コマンド
説明

show conn

使用されている接続と使用可能な接続を表示します。

show tech-support

テクニカル サポート アナリストが診断時に使用する情報を表示するには、特権 EXEC モードで show tech-support コマンドを使用します。

show tech-support [ detail | file | no-config ]

 
構文の説明

detail

(任意)詳細情報を表示します。

file

(任意)コマンドの出力をファイルに書き込みます。

no-config

(任意)実行コンフィギュレーションの出力を除外します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

detail キーワードと file キーワードが追加されました。

7.2(1)

出力表示が拡張され、CPU を占有しているプロセスに関して、さらに詳細な情報が表示されるようになりました。

 
使用上のガイドライン

show tech-support コマンドでは、テクニカル サポート アナリストが問題を診断する場合に役立つ情報が表示されます。show コマンドからの出力を組み合わせて、テクニカル サポート アナリストに対して最も多くの情報を提供します。

次の例は、テクニカル サポートで分析に使用する情報を、実行コンフィギュレーションの出力を除外して表示する方法を示しています。

hostname# show tech-support no-config
 
Cisco XXX Firewall Version X.X(X)
Cisco Device Manager Version X.X(X)
 
Compiled on Fri 15-Apr-05 14:35 by root
 
XXX up 2 days 8 hours
 
Hardware: XXX, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
 
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This XXX has a Restricted (R) license.
 
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 23:05:24.264 UTC Sat Nov 16 2002
 
------------------ show clock ------------------
 
00:08:14.911 UTC Sun Apr 17 2005
 
------------------ show memory ------------------
 
Free memory: 50708168 bytes
Used memory: 16400696 bytes
------------- ----------------
Total memory: 67108864 bytes
 
------------------ show conn count ------------------
 
0 in use, 0 most used
 
------------------ show xlate count ------------------
 
0 in use, 0 most used
 
------------------ show blocks ------------------
 
SIZE MAX LOW CNT
4 1600 1600 1600
80 400 400 400
256 500 499 500
1550 1188 795 919
 
------------------ show interface ------------------
 
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0003.e300.73fd
IP address 172.23.59.232, subnet mask 255.255.0.0
MTU 1500 bytes, BW 10000 Kbit half duplex
1267 packets input, 185042 bytes, 0 no buffer
Received 1248 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
20 packets output, 1352 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 9 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (13/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet1 "inside" is up, line protocol is down
Hardware is i82559 ethernet, address is 0003.e300.73fe
IP address 10.1.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 60 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet2 "intf2" is administratively down, line protocol is down
Hardware is i82559 ethernet, address is 00d0.b7c8.139e
IP address 127.0.0.1, subnet mask 255.255.255.255
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
 
------------------ show cpu usage ------------------
 
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
 
------------------ show cpu hogging process ------------------
 
Process: fover_parse, NUMHOG: 2, MAXHOG: 280, LASTHOG: 140
LASTHOG At: 02:08:24 UTC Jul 24 2005
PC: 11a4d5
Traceback: 12135e 121893 121822 a10d8b 9fd061 114de6 113e56f
777135 7a3858 7a3f59 700b7f 701fbf 14b984
 
------------------ show process ------------------
 
 
PC SP STATE Runtime SBASE Stack Process
Hsi 001e3329 00763e7c 0053e5c8 0 00762ef4 3784/4096 arp_timer
Lsi 001e80e9 00807074 0053e5c8 0 008060fc 3832/4096 FragDBGC
Lwe 00117e3a 009dc2e4 00541d18 0 009db46c 3704/4096 dbgtrace
Lwe 003cee95 009de464 00537718 0 009dc51c 8008/8192 Logger
Hwe 003d2d18 009e155c 005379c8 0 009df5e4 8008/8192 tcp_fast
Hwe 003d2c91 009e360c 005379c8 0 009e1694 8008/8192 tcp_slow
Lsi 002ec97d 00b1a464 0053e5c8 0 00b194dc 3928/4096 xlate clean
Lsi 002ec88b 00b1b504 0053e5c8 0 00b1a58c 3888/4096 uxlate clean
Mwe 002e3a17 00c8f8d4 0053e5c8 0 00c8d93c 7908/8192 tcp_intercept_times
Lsi 00423dd5 00d3a22c 0053e5c8 0 00d392a4 3900/4096 route_process
Hsi 002d59fc 00d3b2bc 0053e5c8 0 00d3a354 3780/4096 XXX Garbage Collecr
Hwe 0020e301 00d5957c 0053e5c8 0 00d55614 16048/16384 isakmp_time_keepr
Lsi 002d377c 00d7292c 0053e5c8 0 00d719a4 3928/4096 perfmon
Hwe 0020bd07 00d9c12c 0050bb90 0 00d9b1c4 3944/4096 IPSec
Mwe 00205e25 00d9e1ec 0053e5c8 0 00d9c274 7860/8192 IPsec timer handler
Hwe 003864e3 00db26bc 00557920 0 00db0764 6952/8192 qos_metric_daemon
Mwe 00255a65 00dc9244 0053e5c8 0 00dc8adc 1436/2048 IP Background
Lwe 002e450e 00e7bb94 00552c30 0 00e7ad1c 3704/4096 XXX/trace
Lwe 002e471e 00e7cc44 00553368 0 00e7bdcc 3704/4096 XXX/tconsole
Hwe 001e5368 00e7ed44 00730674 0 00e7ce9c 7228/8192 XXX/intf0
Hwe 001e5368 00e80e14 007305d4 0 00e7ef6c 7228/8192 XXX/intf1
Hwe 001e5368 00e82ee4 00730534 2470 00e8103c 4892/8192 XXX/intf2
H* 0011d7f7 0009ff2c 0053e5b0 780 00e8511c 13004/16384 ci/console
Csi 002dd8ab 00e8a124 0053e5c8 0 00e891cc 3396/4096 update_cpu_usage
Hwe 002cb4d1 00f2bfbc 0051e360 0 00f2a134 7692/8192 uauth_in
Hwe 003d17d1 00f2e0bc 00828cf0 0 00f2c1e4 7896/8192 uauth_thread
Hwe 003e71d4 00f2f20c 00537d20 0 00f2e294 3960/4096 udp_timer
Hsi 001db3ca 00f30fc4 0053e5c8 0 00f3004c 3784/4096 557mcfix
Crd 001db37f 00f32084 0053ea40 121094970 00f310fc 3744/4096 557poll
Lsi 001db435 00f33124 0053e5c8 0 00f321ac 3700/4096 557timer
Hwe 001e5398 00f441dc 008121e0 0 00f43294 3912/4096 fover_ip0
Cwe 001dcdad 00f4523c 00872b48 20 00f44344 3528/4096 ip/0:0
Hwe 001e5398 00f4633c 008121bc 0 00f453f4 3532/4096 icmp0
Hwe 001e5398 00f47404 00812198 0 00f464cc 3896/4096 udp_thread/0
Hwe 001e5398 00f4849c 00812174 0 00f475a4 3832/4096 tcp_thread/0
Hwe 001e5398 00f495bc 00812150 0 00f48674 3912/4096 fover_ip1
Cwe 001dcdad 00f4a61c 008ea850 0 00f49724 3832/4096 ip/1:1
Hwe 001e5398 00f4b71c 0081212c 0 00f4a7d4 3912/4096 icmp1
Hwe 001e5398 00f4c7e4 00812108 0 00f4b8ac 3896/4096 udp_thread/1
Hwe 001e5398 00f4d87c 008120e4 0 00f4c984 3832/4096 tcp_thread/1
Hwe 001e5398 00f4e99c 008120c0 0 00f4da54 3912/4096 fover_ip2
Cwe 001e542d 00f4fa6c 00730534 0 00f4eb04 3944/4096 ip/2:2
Hwe 001e5398 00f50afc 0081209c 0 00f4fbb4 3912/4096 icmp2
Hwe 001e5398 00f51bc4 00812078 0 00f50c8c 3896/4096 udp_thread/2
Hwe 001e5398 00f52c5c 00812054 0 00f51d64 3832/4096 tcp_thread/2
Hwe 003d1a65 00f78284 008140f8 0 00f77fdc 300/1024 listen/http1
Mwe 0035cafa 00f7a63c 0053e5c8 0 00f786c4 7640/8192 Crypto CA
 
------------------ show failover ------------------
 
No license for Failover
 
------------------ show traffic ------------------
 
outside:
received (in 205213.390 secs):
1267 packets 185042 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205213.390 secs):
20 packets 1352 bytes
0 pkts/sec 0 bytes/sec
inside:
received (in 205215.800 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205215.800 secs):
1 packets 60 bytes
0 pkts/sec 0 bytes/sec
intf2:
received (in 205215.810 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 205215.810 secs):
0 packets 0 bytes
0 pkts/sec 0 bytes/sec
 
------------------ show perfmon ------------------
 
 
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s

 
関連コマンド

コマンド
説明

show clock

Syslog Server(PFSS)と Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)プロトコルで使用されるクロックを表示します。

show conn count

使用されている接続と使用可能な接続を表示します。

show cpu

CPU 使用率に関する情報を表示します。

show failover

接続のステータス、およびどの適応型セキュリティ アプライアンスがアクティブになっているかを表示します。

show memory

物理メモリの最大量とオペレーティング システムで現在使用可能な空きメモリ量について、要約を表示します。

show perfmon

適応型セキュリティ アプライアンスのパフォーマンスに関する情報を表示します。

show processes

動作しているプロセスのリストを表示します。

show running-config

適応型セキュリティ アプライアンス上で現在実行されているコンフィギュレーションを表示します。

show xlate

変換スロットに関する情報を表示します。

show threat-detection memory

threat-detection statistics コマンドによりイネーブルにされる、脅威検出の詳細統計情報で使用されるメモリを表示するには、特権 EXEC モードで show threat-detection memory コマンドを使用します。

show threat-detection memory

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

統計情報によっては、大量のメモリを使用して、適応型セキュリティ アプライアンスのパフォーマンスに影響を与えることがあります。このコマンドを使用すると、必要に応じてコンフィギュレーションを調整できるようにメモリ使用率をモニタできます。

次に、 show threat-detection memory コマンドの出力例を示します。

hostname# show threat-detection memory
Cached chunks:
CACHE TYPE BYTES USED
TD Host 70245888
TD Port 2724
TD Protocol 1476
TD ACE 728
TD Shared counters 14256
=============================
Subtotal TD Chunks 70265072
 
 
Regular memory BYTES USED
TD Port 33824
TD Control block 162064
=============================
Subtotal Regular Memory 195888
 
 
Total TD memory: 70460960
 

 
関連コマンド

コマンド
説明

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

threat-detection statistics

脅威検出の詳細統計情報をイネーブルにします。

show threat-detection rate

threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにすると、特権 EXEC モードで show threat-detection rate コマンドを使用して統計情報を表示できます。

show threat-detection rate [ min-display-rate min_display_rate ] [ acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack ]

 
構文の説明

acl-drop

(任意)アクセス リストに拒否されたためにドロップされたパケットのレートを表示します。

min-display-rate min_display_rate

(任意)最小表示レート(毎秒あたりのイベント数)を超えた統計情報だけが表示されるように制限します。 min_display_rate は、0 から 2147483647 の間で設定します。

bad-packet-drop

(任意)不良パケット形式(invalid-ip-header または invalid-tcp-hdr-length など)が拒否されたためにドロップされたパケットのレートを表示します。

conn-limit-drop

(任意)接続制限(システム全体のリソース制限とコンフィギュレーションで設定された制限の両方)を超えたためにドロップされたパケットのレートを表示します。

dos-drop

(任意)DoS 攻撃(無効な SPI、ステートフル ファイアウォール チェック失敗など)が検出されたためにドロップされたパケットのレートを表示します。

fw-drop

(任意)基本ファイアウォール チェックに失敗したためにドロップされたパケットのレートを表示します。このオプションは、このコマンドのファイアウォールに関連したパケット ドロップをすべて含む複合レートです。 interface-drop inspect-drop scanning-threat など、ファイアウォールに関連しないドロップ レートは含まれません。

icmp-drop

(任意)疑わしい ICMP パケットが検出されたためにドロップされたパケットのレートを表示します。

inspect-drop

(任意)アプリケーション インスペクションで不合格だったためにドロップされたパケットのレート制限を表示します。

interface-drop

(任意)インターフェイスの過負荷のためにドロップされるパケットのレート制限を表示します。

scanning-threat

(任意)スキャン攻撃が検出されたためにドロップされたパケットのレートを表示します。このオプションでは、たとえば最初の TCP パケットが SYN パケットでない、またはスリーウェイ ハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします。完全スキャン脅威検出( threat-detection scanning-threat コマンドを参照)では、このスキャン攻撃レートの情報を取得し、その情報をもとにして、たとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します。

syn-attack

(任意)TCP SYN 攻撃やデータなし UDP セッション攻撃などの不完全なセッションのためにドロップされたパケットのレートを表示します。

 
デフォルト

イベント タイプを指定しない場合、すべてのイベントが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

出力には次の情報が表示されます。

一定時間における平均レート(イベント/秒)。

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。

レートを超過した回数。

一定時間におけるイベントの合計数。

適応型セキュリティ アプライアンスは、平均レート間隔内でイベント カウントを 30 回計算します。つまり、適応型セキュリティ アプライアンスは、合計 30 回の完了バースト間隔で、各バースト期間の終わりにレートをチェックします。現在継続中の完了していないバースト間隔におけるイベントは、平均レートの計算に含まれません。たとえば平均レート間隔が 10 分の場合、バースト間隔は 10 秒です。最後のバースト間隔が 3:00:00 から 3:00:10 で、 show コマンドを 3:00:15 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 59 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

次に、 show threat-detection rate コマンドの出力例を示します。

hostname# show threat-detection rate
 
Average(eps) Current(eps) Trigger Total events
10-min ACL drop: 0 0 0 16
1-hour ACL drop: 0 0 0 112
1-hour SYN attck: 5 0 2 21438
10-min Scanning: 0 0 29 193
1-hour Scanning: 106 0 10 384776
1-hour Bad pkts: 76 0 2 274690
10-min Firewall: 0 0 3 22
1-hour Firewall: 76 0 2 274844
10-min DoS attck: 0 0 0 6
1-hour DoS attck: 0 0 0 42
10-min Interface: 0 0 0 204
1-hour Interface: 88 0 0 318225

 
関連コマンド

コマンド
説明

clear threat-detection rate

基本脅威検出の統計情報をクリアします。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection scanning-threat

threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにする場合、特権 EXEC モードで show threat-detection scanning-threat コマンドを使用して、攻撃者および攻撃対象として分類されたホストを表示します。

show threat-detection scanning-threat [ attacker | target ]

 
構文の説明

attacker

(任意)攻撃ホストの IP アドレスを表示します。

target

(任意)攻撃対象のホストの IP アドレスを表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.0(4)

ヘッダー テキストに「& Subnet List」が表示されるようになりました。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

次に、 show threat-detection scanning-threat コマンドの出力例を示します。

hostname# show threat-detection scanning-threat
Latest Target Host & Subnet List:
192.168.1.0
192.168.1.249
Latest Attacker Host & Subnet List:
192.168.10.234
192.168.10.0
192.168.10.2
192.168.10.3
192.168.10.4
192.168.10.5
192.168.10.6
192.168.10.7
192.168.10.8
192.168.10.9

 
関連コマンド

コマンド
説明

clear threat-detection shun

排除対象からホストを除外します。

show threat-detection shun

現在排除されているホストを表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection shun

threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにし、攻撃ホストを自動的に排除する場合は、特権 EXEC モードで show threat-detection shun コマンドを使用して、現在排除されているホストを表示します。

show threat-detection shun

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

排除対象からホストを除外するには、 clear threat-detection shun コマンドを使用します。

次に、 show threat-detection shun コマンドの出力例を示します。

hostname# show threat-detection shun
Shunned Host List:
10.1.1.6
198.1.6.7
 

 
関連コマンド

コマンド
説明

clear threat-detection shun

排除対象からホストを除外します。

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics host

threat-detection statistics host コマンドを使用して脅威統計情報をイネーブルにした後に、特権 EXEC モードで show threat-detection statistics host コマンドを使用してホストの統計情報を表示します。脅威検出統計情報には、許可およびドロップされたトラフィック レートが表示されます。

show threat-detection statistics [ min-display-rate min_display_rate ] host [ ip_address [ mask ]]

 
構文の説明

ip_address

(任意)特定のホストの統計情報を表示します。

mask

(任意)ホストの IP アドレスのサブネット マスクを設定します。

min-display-rate min_display_rate

(任意)最小表示レート(毎秒あたりのイベント数)を超えた統計情報だけが表示されるように制限します。 min_display_rate は、0 から 2147483647 の間で設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

出力には次の情報が表示されます。

一定時間における平均レート(イベント/秒)。

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。

レートを超過した回数(ドロップされたトラフィックの統計情報の場合に限る)。

一定時間におけるイベントの合計数。

適応型セキュリティ アプライアンスは、平均レート間隔内でイベント カウントを 30 回計算します。つまり、適応型セキュリティ アプライアンスは、合計 30 回の完了バースト間隔で、各バースト期間の終わりにレートをチェックします。現在継続中の完了していないバースト間隔におけるイベントは、平均レートの計算に含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

次に、 show threat-detection statistics host コマンドの出力例を示します。

hostname# show threat-detection statistics host
 
Average(eps) Current(eps) Trigger Total events
Host:10.0.0.1: tot-ses:289235 act-ses:22571 fw-drop:0 insp-drop:0 null-ses:21438 bad-acc:0
1-hour Sent byte: 2938 0 0 10580308
8-hour Sent byte: 367 0 0 10580308
24-hour Sent byte: 122 0 0 10580308
1-hour Sent pkts: 28 0 0 104043
8-hour Sent pkts: 3 0 0 104043
24-hour Sent pkts: 1 0 0 104043
20-min Sent drop: 9 0 1 10851
1-hour Sent drop: 3 0 1 10851
1-hour Recv byte: 2697 0 0 9712670
8-hour Recv byte: 337 0 0 9712670
24-hour Recv byte: 112 0 0 9712670
1-hour Recv pkts: 29 0 0 104846
8-hour Recv pkts: 3 0 0 104846
24-hour Recv pkts: 1 0 0 104846
20-min Recv drop: 42 0 3 50567
1-hour Recv drop: 14 0 1 50567
Host:10.0.0.0: tot-ses:1 act-ses:0 fw-drop:0 insp-drop:0 null-ses:0 bad-acc:0
1-hour Sent byte: 0 0 0 614
8-hour Sent byte: 0 0 0 614
24-hour Sent byte: 0 0 0 614
1-hour Sent pkts: 0 0 0 6
8-hour Sent pkts: 0 0 0 6
24-hour Sent pkts: 0 0 0 6
20-min Sent drop: 0 0 0 4
1-hour Sent drop: 0 0 0 4
1-hour Recv byte: 0 0 0 706
8-hour Recv byte: 0 0 0 706
24-hour Recv byte: 0 0 0 706
1-hour Recv pkts: 0 0 0 7
 

表 29-6 に各フィールドの説明を示します。

 

表 29-6 show threat-detection statistics host のフィールド

フィールド
説明

Host

ホストの IP アドレスを表示します。

tot-ses

ホストがデータベースに追加された以降の、ホストのセッションの合計数を表示します。

act-ses

ホストが現在関係しているアクティブなセッションの合計数を表示します。

fw-drop

ファイアウォール ドロップの数を表示します。ファイアウォール ドロップは、基本脅威検出で追跡されたすべてのファイアウォール関連パケットを含む複合レートです。アクセス リスト拒否、不良パケット、接続制限超過、DoS 攻撃パケット、疑わしい ICMP パケット、TCP SYN 攻撃パケット、およびデータがない UDP 攻撃パケットが含まれます。インターフェイスの過負荷、アプリケーション インスペクションで不合格になったパケット、および検出されたスキャン攻撃など、ファイアウォールに関連しないドロップは含まれません。

insp-drop

アプリケーション インスペクションで不合格だったためにドロップされたパケット数を表示します。

null-ses

30 秒間のタイムアウト以内に完了しなかった TCP SYN セッションと、セッションが開始してから 3 秒以内にサーバからデータを送信されなかった UDP セッションで構成される、ヌル セッションの数を表示します。

bad-acc

クローズ状態のホスト ポートに対する不正アクセス試行回数を表示します。ポートがヌル セッション(前述を参照)状態であると判断されると、ホストのポート状態は HOST_PORT_CLOSE に設定されます。このホストのポートにアクセスを試行するクライアントはすべて、タイムアウトを待つ必要がない不正アクセスとしてただちに分類されます。

Average(eps)

一定時間ごとの平均レート(イベント/秒)を表示します。

セキュリティ アプライアンスは、合計 30 回の完了したバースト間隔で、各バースト期間の終了時にカウント数を保存します。現在継続中の完了していないバースト間隔におけるイベントは、平均レートの計算に含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

Current(eps)

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。Average(eps) の説明で指定された例の場合、現在レートは 3:19:30 から 3:20:00 のレートです。

Trigger

ドロップされたパケットのレート制限を超過した回数を表示します。送受信バイトとパケットの行で識別された有効なトラフィックでは、有効なトラフィックをトリガーするレート制限が設定されていないため、この値は常に 0 になります。

Total events

各レート間隔のイベントの合計数を表示します。現在継続中の完了していないバースト間隔におけるイベントは、合計イベントの計算に含まれません。このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

20-min、1-hour、8-hour、および 24-hour

デフォルトでは、これらの固定レート間隔の統計情報を表示します。レート間隔を減らすには、 threat-detection statistics host number-of-rate コマンドを使用します。ホスト統計情報では大量のメモリが使用されるため、レート間隔の数値をデフォルトの 3 より減らすと、メモリ使用率が軽減します。このキーワードを 1 に設定すると、最短のレート間隔統計情報だけが保持されます。値を 2 に設定すると、2 つの最短の間隔が保持されます。

Sent byte

ホストから正常に送信されたバイト数を表示します。

Sent pkts

ホストから正常に送信されたパケット数を表示します。

Sent drop

スキャン攻撃の一部であるためにドロップされた、ホストから送信されたパケット数を表示します。

Recv byte

ホストが正常に受信したバイト数を表示します。

Recv pkts

ホストが正常に受信したパケット数を表示します。

Recv drop

スキャン攻撃の一部であるためにドロップされた、ホストが受信したパケット数を表示します。

 
関連コマンド

コマンド
説明

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

threat-detection statistics

脅威の統計情報をイネーブルにします。

show threat-detection statistics port

threat-detection statistics port コマンドを使用して脅威統計情報をイネーブルにしたら、特権 EXEC モードで show threat-detection statistics port コマンドを使用して TCP および UDP ポートの統計情報を表示します。脅威検出統計情報には、許可およびドロップされたトラフィック レートが表示されます。

show threat-detection statistics [ min-display-rate min_display_rate ] port [ start_port [ - end_port ]]

 
構文の説明

start_port [ - end_port ]

(任意)特定のポートまたはポート範囲の統計情報を、0 から 65535 の間で表示します。

min-display-rate min_display_rate

(任意)最小表示レート(毎秒あたりのイベント数)を超えた統計情報だけが表示されるように制限します。 min_display_rate は、0 から 2147483647 の間で設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

出力には次の情報が表示されます。

一定時間における平均レート(イベント/秒)。

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。

レートを超過した回数(ドロップされたトラフィックの統計情報の場合に限る)。

一定時間におけるイベントの合計数。

適応型セキュリティ アプライアンスは、平均レート間隔内でイベント カウントを 30 回計算します。つまり、適応型セキュリティ アプライアンスは、合計 30 回の完了バースト間隔で、各バースト期間の終わりにレートをチェックします。現在実行中で完了していないバースト間隔は、平均レートには含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

次に、 show threat-detection statistics port コマンドの出力例を示します。

hostname# show threat-detection statistics port
 
Average(eps) Current(eps) Trigger Total events
80/HTTP: tot-ses:310971 act-ses:22571
1-hour Sent byte: 2939 0 0 10580922
8-hour Sent byte: 367 22043 0 10580922
24-hour Sent byte: 122 7347 0 10580922
1-hour Sent pkts: 28 0 0 104049
8-hour Sent pkts: 3 216 0 104049
24-hour Sent pkts: 1 72 0 104049
20-min Sent drop: 9 0 2 10855
1-hour Sent drop: 3 0 2 10855
1-hour Recv byte: 2698 0 0 9713376
8-hour Recv byte: 337 20236 0 9713376
24-hour Recv byte: 112 6745 0 9713376
1-hour Recv pkts: 29 0 0 104853
8-hour Recv pkts: 3 218 0 104853
24-hour Recv pkts: 1 72 0 104853
20-min Recv drop: 24 0 2 29134
1-hour Recv drop: 8 0 2 29134
 

表 29-7 に各フィールドの説明を示します。

 

表 29-7 show threat-detection statistics port のフィールド

フィールド
説明

Average(eps)

一定時間ごとの平均レート(イベント/秒)を表示します。

セキュリティ アプライアンスは、合計 30 回の完了したバースト間隔で、各バースト期間の終了時にカウント数を保存します。現在実行中で完了していないバースト間隔は、平均レートには含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

Current(eps)

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。Average(eps) の説明で指定された例の場合、現在レートは 3:19:30 から 3:20:00 のレートです。

Trigger

ドロップされたパケットのレート制限を超過した回数を表示します。送受信バイトとパケットの行で識別された有効なトラフィックでは、有効なトラフィックをトリガーするレート制限が設定されていないため、この値は常に 0 になります。

Total events

各レート間隔のイベントの合計数を表示します。現在継続中の完了していないバースト間隔におけるイベントは、合計イベントの計算に含まれません。このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

port_number / port_name

パケットまたはバイトが送信、受信、またはドロップされた、ポートの番号と名前を表示します。

tot-ses

このポートのセッションの合計数を表示します。

act-ses

ポートが現在関係しているアクティブなセッションの合計数を表示します。

20-min、1-hour、8-hour、および 24-hour

これらの固定レート間隔の統計情報を表示します。

Sent byte

ポートから正常に送信されたバイト数を表示します。

Sent pkts

ポートから正常に送信されたパケット数を表示します。

Sent drop

スキャン攻撃の一部であるためにドロップされた、ポートから送信されたパケット数を表示します。

Recv byte

ポートが正常に受信したバイト数を表示します。

Recv pkts

ポートが正常に受信したパケット数を表示します。

Recv drop

スキャン攻撃の一部であるためにドロップされた、ポートが受信したパケット数を表示します。

 
関連コマンド

コマンド
説明

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

threat-detection statistics

脅威の統計情報をイネーブルにします。

show threat-detection statistics protocol

threat-detection statistics protocol コマンドを使用して脅威統計情報をイネーブルにしたら、特権 EXEC モードで show threat-detection statistics protocol コマンドを使用して IP プロトコルの統計情報を表示します。脅威検出統計情報には、許可およびドロップされたトラフィック レートが表示されます。

show threat-detection statistics [ min-display-rate min_display_rate ] protocol [ protocol_number | protocol_name ]

 
構文の説明

protocol_number

(任意)0 ~ 255 の特定のプロトコル番号の統計情報を表示します。

min-display-rate min_display_rate

(任意)最小表示レート(毎秒あたりのイベント数)を超えた統計情報だけが表示されるように制限します。 min_display_rate は、0 から 2147483647 の間で設定します。

protocol_name

(任意)特定のプロトコル名の統計情報を表示します。

ah

eigrp

esp

gre

icmp

igmp

igrp

ip

ipinip

ipsec

nos

ospf

pcp

pim

pptp

snp

tcp

udp

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.2(2)

脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

出力には次の情報が表示されます。

一定時間における平均レート(イベント/秒)。

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。

レートを超過した回数(ドロップされたトラフィックの統計情報の場合に限る)。

一定時間におけるイベントの合計数。

適応型セキュリティ アプライアンスは、平均レート間隔内でイベント カウントを 30 回計算します。つまり、適応型セキュリティ アプライアンスは、合計 30 回の完了バースト間隔で、各バースト期間の終わりにレートをチェックします。現在実行中で完了していないバースト間隔は、平均レートには含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

次に、 show threat-detection statistics protocol コマンドの出力例を示します。

hostname# show threat-detection statistics protocol
 
Average(eps) Current(eps) Trigger Total events
ICMP: tot-ses:0 act-ses:0
1-hour Sent byte: 0 0 0 1000
8-hour Sent byte: 0 2 0 1000
24-hour Sent byte: 0 0 0 1000
1-hour Sent pkts: 0 0 0 10
8-hour Sent pkts: 0 0 0 10
24-hour Sent pkts: 0 0 0 10
 

表 29-8 に各フィールドの説明を示します。

 

表 29-8 show threat-detection statistics protocol のフィールド

フィールド
説明

Average(eps)

一定時間ごとの平均レート(イベント/秒)を表示します。

セキュリティ アプライアンスは、合計 30 回の完了したバースト間隔で、各バースト期間の終了時にカウント数を保存します。現在実行中で完了していないバースト間隔は、平均レートには含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

Current(eps)

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。Average(eps) の説明で指定された例の場合、現在レートは 3:19:30 から 3:20:00 のレートです。

Trigger

ドロップされたパケットのレート制限を超過した回数を表示します。送受信バイトとパケットの行で識別された有効なトラフィックでは、有効なトラフィックをトリガーするレート制限が設定されていないため、この値は常に 0 になります。

Total events

各レート間隔のイベントの合計数を表示します。現在継続中の完了していないバースト間隔におけるイベントは、合計イベントの計算に含まれません。このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

protocol_number /
protocol_name

パケットまたはバイトが送信、受信、またはドロップされた、プロトコルの番号と名前を表示します。

tot-ses

現在使用されていません。

act-ses

現在使用されていません。

20-min、1-hour、8-hour、および 24-hour

これらの固定レート間隔の統計情報を表示します。

Sent byte

プロトコルから正常に送信されたバイト数を表示します。

Sent pkts

プロトコルから正常に送信されたパケット数を表示します。

Sent drop

スキャン攻撃の一部であるためにドロップされた、プロトコルから送信されたパケット数を表示します。

Recv byte

プロトコルが正常に受信したバイト数を表示します。

Recv pkts

プロトコルが正常に受信したパケット数を表示します。

Recv drop

スキャン攻撃の一部であるためにドロップされた、プロトコルが受信したパケット数を表示します。

 
関連コマンド

コマンド
説明

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics host

ホストの統計情報を表示します。

threat-detection statistics

脅威の統計情報をイネーブルにします。

show threat-detection statistics top

threat-detection statistics コマンドを使用して脅威統計情報をイネーブルにしたら、特権 EXEC モードで show threat-detection statistics top コマンドを使用して上位 10 件の統計情報を表示します。特定のタイプに対する脅威検出統計情報をイネーブルにしなかった場合、このコマンドを使用してそれらの統計情報は表示できません。脅威検出統計情報には、許可およびドロップされたトラフィック レートが表示されます。

show threat-detection statistics [ min-display-rate min_display_rate ] top [[ access-list | host | port-protocol ] [ rate-1 | rate-2 | rate-3 ] | tcp-intercept [ all ] [ detail ] [ long ]]

 
構文の説明

access-list

(任意)許可 ACE と拒否 ACE の両方を含め、パケットに一致する上位 10 件の ACE を表示します。許可されたトラフィックと拒否されたトラフィックは、この表示では区別されません。 threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにすると、 show threat-detection rate access-list コマンドを使用してアクセス リストの拒否を追跡できます。

all

(任意)TCP 代行受信に関する、すべての追跡サーバの履歴データを表示します。

detail

(任意)TCP 代行受信に関する、履歴サンプリング データを表示します。

host

(任意)一定間隔ごとの上位 10 件のホスト統計情報を表示します。

long

(任意)サーバの実際の IP アドレスおよび未変換 IP アドレスを示す、ロング形式の統計情報履歴を表示します。

min-display-rate min_display_rate

(任意)最小表示レート(毎秒あたりのイベント数)を超えた統計情報だけが表示されるように制限します。 min_display_rate は、0 から 2147483647 の間で設定します。

port-protocol

(任意)TCP/UDP ポート タイプと IP プロトコル タイプを組み合わせた上位 10 件の統計情報を表示します。TCP(プロトコル 6)および UDP(プロトコル 17)は IP プロトコルの表示に含まれませんが、TCP ポートと UDP ポートはポートの表示に含まれています。これらのタイプ、ポート、またはプロトコルの 1 つの統計情報だけをイネーブルにすると、イネーブルされた統計情報だけが表示されます。

rate-1

(任意)表示されている最小固定レート間隔の統計情報を表示します。たとえば、最後の 1 時間、8 時間、および 24 時間の統計情報が表示されている場合、 rate-1 キーワードを使用すると、適応型セキュリティ アプライアンスは 1 時間間隔だけを表示します。

rate-2

(任意)表示されている中間固定レート間隔の統計情報を表示します。たとえば、最後の 1 時間、8 時間、および 24 時間の統計情報が表示されている場合、 rate-2 キーワードを使用すると、適応型セキュリティ アプライアンスは 8 時間間隔だけを表示します。

rate-3

(任意)表示されている最大固定レート間隔の統計情報を表示します。たとえば、最後の 1 時間、8 時間、および 24 時間の統計情報が表示されている場合、 rate-3 キーワードを使用すると、適応型セキュリティ アプライアンスは 24 時間間隔だけを表示します。

tcp-intercept

TCP 代行受信の統計情報を表示します。攻撃を受けた上位 10 件の保護されたサーバが表示されます。

 
デフォルト

イベント タイプを指定しない場合、すべてのイベントが表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.0(4)

tcp-intercept キーワードが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.2(2)

long キーワードが tcp-intercept に追加されました。脅威イベントの重大度レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

 
使用上のガイドライン

出力には次の情報が表示されます。

一定時間における平均レート(イベント/秒)。

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。

レートを超過した回数(ドロップされたトラフィックの統計情報の場合に限る)。

一定時間におけるイベントの合計数。

適応型セキュリティ アプライアンスは、平均レート間隔内でイベント カウントを 30 回計算します。つまり、適応型セキュリティ アプライアンスは、合計 30 回の完了バースト間隔で、各バースト期間の終わりにレートをチェックします。現在実行中で完了していないバースト間隔は、平均レートには含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

次に、 show threat-detection statistics top access-list コマンドの出力例を示します。

hostname# show threat-detection statistics top access-list
 
Top Average(eps) Current(eps) Trigger Total events
1-hour ACL hits:
100/3[0] 173 0 0 623488
200/2[1] 43 0 0 156786
100/1[2] 43 0 0 156786
8-hour ACL hits:
100/3[0] 21 1298 0 623488
200/2[1] 5 326 0 156786
100/1[2] 5 326 0 156786
 

表 29-9 に各フィールドの説明を示します。

 

表 29-9 show threat-detection statistics top access-list のフィールド

フィールド
説明

Top

[0](最高数)から [9](最低数)の範囲で、時間範囲内の ACE のランクを表示します。10 ランクすべてを満たす十分な統計情報がない場合もあるため、10 件未満の ACE が一覧に表示されることもあります。

Average(eps)

一定時間ごとの平均レート(イベント/秒)を表示します。

セキュリティ アプライアンスは、合計 30 回の完了したバースト間隔で、各バースト期間の終了時にカウント数を保存します。現在実行中で完了していないバースト間隔は、平均レートには含まれません。たとえば、平均レート間隔が 20 分の場合、バースト間隔は 20 秒です。最後のバースト間隔が 3:00:00 から 3:00:20 で、 show コマンドを 3:00:25 に使用した場合、最後の 5 秒間は出力に含まれません。

このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

Current(eps)

最後に完了したバースト間隔における現在のバースト レート(イベント/秒)。バースト間隔は、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の間隔です。Average(eps) の説明で指定された例の場合、現在レートは 3:19:30 から 3:20:00 のレートです。

Trigger

アクセス リスト トラフィックがトリガーするレート制限は設定されていないため、このカラムは常に 0 です。許可および拒否されたトラフィックは、この表示では区別されません。 threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにすると、 show threat-detection rate access-list コマンドを使用してアクセス リストの拒否を追跡できます。

Total events

各レート間隔のイベントの合計数を表示します。現在継続中の完了していないバースト間隔におけるイベントは、合計イベントの計算に含まれません。このルールの唯一の例外は、合計イベントを計算する時点で、完了していないバースト間隔内でのイベント数が最も古いバースト間隔(30 間隔中の 1 番め)でのイベント数をすでに超過している場合です。この場合、適応型セキュリティ アプライアンスは、最後の 29 の完了間隔としてイベント数の合計を計算し、その時点で完了していないバースト間隔におけるイベントを加えます。この例外により、イベントの大幅な増加をリアルタイムでモニタできます。

1-hour, 8-hour

これらの固定レート間隔の統計情報を表示します。

acl_name / line_number

拒否を発生させた ACE のアクセス リスト名と行番号を表示します。

次に、 show threat-detection statistics top access-list rate-1 コマンドの出力例を示します。

hostname# show threat-detection statistics top access-list rate-1
 
Top Average(eps) Current(eps) Trigger Total events
1-hour ACL hits:
100/3[0] 173 0 0 623488
200/2[1] 43 0 0 156786
100/1[2] 43 0 0 156786
 

次に、 show threat-detection statistics top port-protocol コマンドの出力例を示します。

hostname# show threat-detection statistics top port-protocol
 
Top Name Id Average(eps) Current(eps) Trigger Total events
1-hour Recv byte:
1 gopher 70 71 0 0 32345678
2 btp-clnt/dhcp 68 68 0 0 27345678
3 gopher 69 65 0 0 24345678
4 Protocol-96 * 96 63 0 0 22345678
5 Port-7314 7314 62 0 0 12845678
6 BitTorrent/trc 6969 61 0 0 12645678
7 Port-8191-65535 55 0 0 12345678
8 SMTP 366 34 0 0 3345678
9 IPinIP * 4 30 0 0 2345678
10 EIGRP * 88 23 0 0 1345678
1-hour Recv pkts:
...
...
8-hour Recv byte:
...
...
8-hour Recv pkts:
...
...
24-hour Recv byte:
...
...
24-hour Recv pkts:
...
...
 
Note: Id preceded by * denotes the Id is an IP protocol type
 

表 29-10 に各フィールドの説明を示します。

 

表 29-10 show threat-detection statistics top port-protocol のフィールド

フィールド
説明

Top

[0](最高数)から [9](最低数)の範囲で、統計情報の時間範囲内またはタイプにあるポートまたはプロトコルのランクを表示します。10 ランクすべてを満たす十分な統計情報がない場合もあるため、10 件未満のポートまたはプロトコルが一覧に表示されることもあります。

Name

ポートまたはプロトコル名を表示します。

Id

ポート ID 番号またはプロトコル ID 番号を表示します。アスタリスク(*)は、その ID が IP プロトコル番号であることを意味します。

Average(eps)

表 29-6 の説明を参照してください。

Current(eps)

表 29-6 の説明を参照してください。

Trigger

ドロップされたパケットのレート制限を超過した回数を表示します。送受信バイトとパケットの行で識別された有効なトラフィックでは、有効なトラフィックをトリガーするレート制限が設定されていないため、この値は常に 0 になります。

Total events

表 29-6 の説明を参照してください。

Time_interval Sent byte

一覧にあるポートおよびプロトコルから正常に送信されたバイト数を、時間間隔ごとに表示します。

Time_interval Sent packet

一覧にあるポートおよびプロトコルから正常に送信されたパケット数を、時間間隔ごとに表示します。

Time_interval Sent drop

一覧にあるポートおよびプロトコルから送信され、スキャン攻撃の一部であるためにドロップされたパケット数を、時間間隔ごとに表示します。

Time_interval Recv byte

一覧にあるポートおよびプロトコルが正常に受信したバイト数を、時間間隔ごとに表示します。

Time_interval Recv packet

一覧にあるポートおよびプロトコルが正常に受信したパケット数を、時間間隔ごとに表示します。

Time_interval Recv drop

一覧にあるポートおよびプロトコルが受信し、スキャン攻撃の一部であるためにドロップされたパケット数を、時間間隔ごとに表示します。

port_number / port_name

パケットまたはバイトが送信、受信、またはドロップされた、ポートの番号と名前を表示します。

protocol_number / protocol_name

パケットまたはバイトが送信、受信、またはドロップされた、プロトコルの番号と名前を表示します。

 

次に、 show threat-detection statistics top host コマンドの出力例を示します。

hostname# show threat-detection statistics top host
 
Top Average(eps) Current(eps) Trigger Total events
1-hour Sent byte:
10.0.0.1[0] 2938 0 0 10580308
1-hour Sent pkts:
10.0.0.1[0] 28 0 0 104043
20-min Sent drop:
10.0.0.1[0] 9 0 1 10851
1-hour Recv byte:
10.0.0.1[0] 2697 0 0 9712670
1-hour Recv pkts:
10.0.0.1[0] 29 0 0 104846
20-min Recv drop:
10.0.0.1[0] 42 0 3 50567
8-hour Sent byte:
10.0.0.1[0] 367 0 0 10580308
8-hour Sent pkts:
10.0.0.1[0] 3 0 0 104043
1-hour Sent drop:
10.0.0.1[0] 3 0 1 10851
8-hour Recv byte:
10.0.0.1[0] 337 0 0 9712670
8-hour Recv pkts:
10.0.0.1[0] 3 0 0 104846
1-hour Recv drop:
10.0.0.1[0] 14 0 1 50567
24-hour Sent byte:
10.0.0.1[0] 122 0 0 10580308
24-hour Sent pkts:
10.0.0.1[0] 1 0 0 104043
24-hour Recv byte:
10.0.0.1[0] 112 0 0 9712670
24-hour Recv pkts:
10.0.0.1[0] 1 0 0 104846
 

表 29-11 に各フィールドの説明を示します。

 

表 29-11 show threat-detection statistics top host のフィールド

フィールド
説明

Top

[0](最高数)から [9](最低数)の範囲で、統計情報の時間範囲内またはタイプにあるホストのランクを表示します。10 ランクすべてを満たす十分な統計情報がない場合もあるため、10 件未満のホストが一覧に表示されることもあります。

Average(eps)

表 29-6 の説明を参照してください。

Current(eps)

表 29-6 の説明を参照してください。

Trigger

表 29-6 の説明を参照してください。

Total events

表 29-6 の説明を参照してください。

Time_interval Sent byte

一覧にあるホストに正常に送信されたバイト数を、時間間隔ごとに表示します。

Time_interval Sent packet

一覧にあるホストに正常に送信されたパケット数を、時間間隔ごとに表示します。

Time_interval Sent drop

一覧にあるホストに送信され、スキャン攻撃の一部であるためにドロップされたパケット数を、時間間隔ごとに表示します。

Time_interval Recv byte

一覧にあるホストが正常に受信したバイト数を、時間間隔ごとに表示します。

Time_interval Recv packet

一覧にあるポートおよびプロトコルが正常に受信したパケット数を、時間間隔ごとに表示します。

Time_interval Recv drop

一覧にあるポートおよびプロトコルが受信し、スキャン攻撃の一部であるためにドロップされたパケット数を、時間間隔ごとに表示します。

host_ip_address

パケットまたはバイトが送信、受信、またはドロップされた、ホストの IP アドレスを表示します。

次に、 show threat-detection statistics top tcp-intercept コマンドの出力例を示します。

hostname# show threat-detection statistics top tcp-intercept
 
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins Sampling interval: 30 secs
<Rank> <Server IP:Port> <Interface> <Ave Rate> <Cur Rate> <Total> <Source IP (Last Attack Time)>
----------------------------------------------------------------------------------
1 192.168.1.2:5000 inside 1249 9503 2249245 <various> Last: 10.0.0.3 (0 secs ago)
2 192.168.1.3:5000 inside 10 10 6080 10.0.0.200 (0 secs ago)
3 192.168.1.4:5000 inside 2 6 560 10.0.0.200 (59 secs ago)
4 192.168.1.5:5000 inside 1 5 560 10.0.0.200 (59 secs ago)
5 192.168.1.6:5000 inside 1 4 560 10.0.0.200 (59 secs ago)
6 192.168.1.7:5000 inside 0 3 560 10.0.0.200 (59 secs ago)
7 192.168.1.8:5000 inside 0 2 560 10.0.0.200 (59 secs ago)
8 192.168.1.9:5000 inside 0 1 560 10.0.0.200 (59 secs ago)
9 192.168.1.10:5000 inside 0 0 550 10.0.0.200 (2 mins ago)
10 192.168.1.11:5000 inside 0 0 550 10.0.0.200 (5 mins ago)
 

表 29-12 に各フィールドの説明を示します。

 

表 29-12 show threat-detection statistics top tcp-intercept のフィールド

フィールド
説明

Monitoring window size:

統計情報のために適応型セキュリティ アプライアンスがデータをサンプリングする期間を表示します。デフォルトは 30 分です。この設定を変更するには、 threat-detection statistics tcp-intercept rate-interval コマンドを使用します。適応型セキュリティ アプライアンスは、この間隔でデータを 30 回サンプリングします。

Sampling interval:

サンプリング間の間隔を表示します。この値は、常にレート間隔を 30 で割った数値になります。

rank

1 ~ 10 位のランキングを表示します。1 位は最も攻撃を受けたサーバで、10 位は最も攻撃が少なかったサーバです。

server_ip:port

攻撃を受けているサーバの IP アドレスおよびポートを表示します。

interface

サーバが攻撃を受けているインターフェイスを表示します。

avg_rate

攻撃の平均レートを表示します。サンプリング期間中の 1 秒あたりの攻撃数です。

current_rate

現在の攻撃レート(1 秒あたりの攻撃数)を表示します。

total

攻撃の合計数を表示します。

attacker_ip

攻撃者の IP アドレスを表示します。

( last_attack_time ago)

最後の攻撃が発生した時間を表示します。

次に、 show threat-detection statistics top tcp-intercept long コマンドの出力例を示します。実際の送信元 IP アドレスはカッコ内に示されています。

hostname# show threat-detection statistics top tcp-intercept long
 
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins Sampling interval: 30 secs
<Rank> <Server IP:Port (Real IP:Real Port)> <Interface> <Ave Rate> <Cur Rate> <Total> <Source IP (Last Attack Time)>
--------------------------------------------------------------------------------
1 10.1.0.2:6025 (209.165.200.227:6025) inside 18 709 33911 10.0.0.201 (0 secs ago)
2 10.1.0.2:6026 (209.165.200.227:6026) inside 18 709 33911 10.0.0.201 (0 secs ago)
3 10.1.0.2:6027 (209.165.200.227:6027) inside 18 709 33911 10.0.0.201 (0 secs ago)
4 10.1.0.2:6028 (209.165.200.227:6028) inside 18 709 33911 10.0.0.201 (0 secs ago)
5 10.1.0.2:6029 (209.165.200.227:6029) inside 18 709 33911 10.0.0.201 (0 secs ago)
6 10.1.0.2:6030 (209.165.200.227:6030) inside 18 709 33911 10.0.0.201 (0 secs ago)
7 10.1.0.2:6031 (209.165.200.227:6031) inside 18 709 33911 10.0.0.201 (0 secs ago)
8 10.1.0.2:6032 (209.165.200.227:6032) inside 18 709 33911 10.0.0.201 (0 secs ago)
9 10.1.0.2:6033 (209.165.200.227:6033) inside 18 709 33911 10.0.0.201 (0 secs ago)
10 10.1.0.2:6034 (209.165.200.227:6034) inside 18 709 33911 10.0.0.201 (0 secs ago)
 

次に、 show threat-detection statistics top tcp-intercept detail コマンドの出力例を示します。

hostname# show threat-detection statistics top tcp-intercept detail
 
Top 10 Protected Servers under Attack (sorted by average rate)
Monitoring Window Size: 30 mins Sampling Interval: 30 secs
<Rank> <Server IP:Port> <Interface> <Ave Rate> <Cur Rate> <Total> <Source IP (Last Attack Time)>
----------------------------------------------------------------------------------
1 192.168.1.2:5000 inside 1877 9502 3379276 <various> Last: 10.0.0.45 (0 secs ago)
Sampling History (30 Samplings):
95348 95337 95341 95339 95338 95342
95337 95348 95342 95338 95339 95340
95339 95337 95342 95348 95338 95342
95337 95339 95340 95339 95347 95343
95337 95338 95342 95338 95337 95342
95348 95338 95342 95338 95337 95343
95337 95349 95341 95338 95337 95342
95338 95339 95338 95350 95339 95570
96351 96351 96119 95337 95349 95341
95338 95337 95342 95338 95338 95342
......
 

表 29-13 に各フィールドの説明を示します。

 

表 29-13 show threat-detection statistics top tcp-intercept detail のフィールド

フィールド
説明

Monitoring window size:

統計情報のために適応型セキュリティ アプライアンスがデータをサンプリングする期間を表示します。デフォルトは 30 分です。この設定を変更するには、 threat-detection statistics tcp-intercept rate-interval コマンドを使用します。適応型セキュリティ アプライアンスは、この間隔でデータを 30 回サンプリングします。

Sampling interval:

サンプリング間の間隔を表示します。この値は、常にレート間隔を 30 で割った数値になります。

rank

1 ~ 10 位のランキングを表示します。1 位は最も攻撃を受けたサーバで、10 位は最も攻撃が少なかったサーバです。

server_ip:port

攻撃を受けているサーバの IP アドレスおよびポートを表示します。

interface

サーバが攻撃を受けているインターフェイスを表示します。

avg_rate

攻撃の平均レートを表示します。これは、 threat-detection statistics tcp-intercept rate-interval コマンドで設定されたレート間隔での 1 秒あたりの攻撃数です(デフォルトでは、レート間隔は 30 分です)。適応型セキュリティ アプライアンスは、レート間隔で 30 秒ごとにデータをサンプリングします。

current_rate

現在の攻撃レート(1 秒あたりの攻撃数)を表示します。

total

攻撃の合計数を表示します。

attacker_ip or <various> Last: attacker_ip

攻撃者の IP アドレスを表示します。攻撃者が複数いる場合、「<various>」の後に最後の攻撃者の IP アドレス表示されます。

( last_attack_time ago)

最後の攻撃が発生した時間を表示します。

sampling data

30 すべてのサンプリング データ値(各間隔の攻撃数)を表示します。

 
関連コマンド

コマンド
説明

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

threat-detection statistics

脅威の統計情報をイネーブルにします。

show tls-proxy

TLS プロキシとセッションの情報を表示するには、グローバル コンフィギュレーション モードで show tls-proxy コマンドを使用します。

show tls-proxy tls_name [ session [host host_addr | detail [ cert-dump | count ] [ statistics ]]

 
構文の説明

cert-dump

ローカル ダイナミック証明書をダンプします。出力は LDC の 16 進数ダンプです。

count

セッション カウンタだけを表示します。

detail

各 SSL レグと LDC の暗号を含む TLS プロキシ情報の詳細について表示します。

host host_addr

関連付けられたセッションを表示する特定のホストを指定します。

session

アクティブな TLS プロキシ セッションを表示します。

statistics

TLS セッションをモニタおよび管理するための統計情報を表示します。

tls_name

表示する TLS プロキシの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.3(1)

statistics キーワードが追加されました。

次に、 show tls-proxy コマンドの出力例を示します。

hostname# show tls-proxy
TLS-Proxy ‘proxy’: ref_cnt 1, seq#1
Server proxy:
Trust-point: local_ccm
Client proxy:
Local dynamic certificate issuer: ldc_signer
Local dynamic certificate key-pair: phone_common
Cipher-suite <unconfigured>
Run-time proxies:
Proxy 0x448b468: Class-map: skinny_ssl, Inspect: skinny
Active sess 1, most sess 4, byte 3244
 

次に、 show tls-proxy session コマンドの出力例を示します。

hostname# show tls-proxy session
outside 133.9.0.211:51291 inside 195.168.2.200:2443 P:0x4491a60(proxy)
S:0x482e790 byte 3388
 

次に、 show tls-proxy session detail コマンドの出力例を示します。

hostname# show tls-proxy session detail
1 in use, 1 most used
outside 133.9.0.211:50433 inside 195.168.2.200:2443 P:0xcba60b60(proxy) S:0xcbc10748 byte 1831704
Client: State SSLOK Cipher AES128-SHA Ch 0xca55efc8 TxQSize 0 LastTxLeft 0 Flags 0x1
Server: State SSLOK Cipher AES128-SHA Ch 0xca55efa8 TxQSize 0 LastTxLeft 0 Flags 0x9
Local Dynamic Certificate
Status: Available
Certificate Serial Number: 29
Certificate Usage: General Purpose
Public Key Type: RSA (1024 bits)
Issuer Name:
cn=TLS-Proxy-Signer
Subject Name:
cn=SEP0002B9EB0AAD
o=Cisco Systems Inc
c=US
Validity Date:
start date: 00:47:12 PDT Feb 27 2007
end date: 00:47:12 PDT Feb 27 2008
Associated Trustpoints:
 

次に、 show tls-proxy session statistics コマンドの出力例を示します。

hostname# show tls-proxy session stastics
TLS Proxy Sessions (Established: 600)
Mobility: 200
UC-IME: 400
 
Per-Session Licensed TLS Proxy Sessions
(Established: 222, License Limit: 250)
SIP: 2
SCCP: 20
Phone Proxy: 200
 
Total TLS Proxy Sessions
Established: 822
Platform Limit: 1000
 

 
関連コマンド

コマンド
説明

client

暗号スイートを定義し、ローカル ダイナミック証明書の発行者またはキーペアを設定します。

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードを開始します。

show running-config tls-proxy

すべてまたは指定された TLS プロキシの実行コンフィギュレーションを表示します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

show track

トラッキング プロセスにより追跡されたオブジェクトに関する情報を表示するには、ユーザ EXEC モードで show track コマンドを使用します。

show track [ track-id ]

 
構文の説明

track-id

トラッキング エントリのオブジェクト ID。有効な値は、1 ~ 500 です。

 
デフォルト

track-id が提供されない場合、すべてのトラッキング オブジェクトに関する情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、 show track コマンドの出力例を示します。

hostname(config)# show track
 
Track 5
Response Time Reporter 124 reachability
Reachability is UP
2 changes, last change 03:41:16
Latest operation return code: OK
Tracked by:
STATIC-IP-ROUTING 0
 

 
関連コマンド

コマンド
説明

show running-config track

実行コンフィギュレーションの track rtr コマンドを表示します。

track rtr

SLA をポーリングするためのトラッキング エントリを作成します。

show traffic

インターフェイスの送信アクティビティと受信アクティビティを表示するには、特権 EXEC モードで show traffic コマンドを使用します。

show traffic

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.2(1)

ASA 5550 適応型セキュリティ アプライアンスのための特別な表示が追加されました。

 
使用上のガイドライン

show traffic コマンドは、 show traffic コマンドが最後に入力された時点または適応型セキュリティ アプライアンスがオンラインになった時点以降に、各インターフェイスを通過したパケットの数とバイト数を表示します。秒数は、適応型セキュリティ アプライアンスが直前のリブート以降、オンラインになってからの経過時間です(直前のリブート以降に clear traffic コマンドが入力されていない場合)。このコマンドが入力されていた場合、この秒数は、コマンドが入力された時点からの経過時間です。

ASA 5550 適応型セキュリティ アプライアンスの場合、 show traffic コマンドはスロットごとの集約スループットも表示します。ASA 5550 適応型セキュリティ アプライアンスではスループットを最大限にするためにトラフィックが均一に配布されることが求められますが、この集約スループットの表示により、トラフィックが均一に配布されていることを簡単に判別できます。

次に、 show traffic コマンドの出力例を示します。

hostname# show traffic
outside:
received (in 102.080 secs):
2048 packets 204295 bytes
20 pkts/sec 2001 bytes/sec
transmitted (in 102.080 secs):
2048 packets 204056 bytes
20 pkts/sec 1998 bytes/sec

Ethernet0:
received (in 102.080 secs):
2049 packets 233027 bytes
20 pkts/sec 2282 bytes/sec
transmitted (in 102.080 secs):
2048 packets 232750 bytes
20 pkts/sec 2280 bytes/sec
 

ASA 5550 適応型セキュリティ アプライアンスの場合、次のテキストが最後に表示されます。

 
----------------------------------------
Per Slot Throughput Profile
----------------------------------------
Packets-per-second profile:
Slot 0: 3148 50%|****************
Slot 1: 3149 50%|****************
 
Bytes-per-second profile:
Slot 0: 427044 50%|****************
Slot 1: 427094 50%|****************
 

 
関連コマンド

コマンド
説明

clear traffic

送信アクティビティと受信アクティビティのカウンタをリセットします。

show uauth

現在認証されている 1 人またはすべてのユーザ、ユーザがバインドされているホスト IP、キャッシュされた IP およびポート認可情報を表示するには、特権 EXEC モードで show uauth コマンドを使用します。

show uauth [ username ]

 
構文の説明

username

(任意)表示するユーザ認証情報とユーザ認可情報をユーザ名で指定します。

 
デフォルト

ユーザ名を省略すると、すべてのユーザの認可情報が表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show uauth コマンドは、1 人またはすべてのユーザの AAA 認可キャッシュと AAA 認証キャッシュを表示します。

このコマンドは、 timeout コマンドとともに使用します。

各ユーザ ホストの IP アドレスには、認可キャッシュが付加されます。このキャッシュでは、ユーザ ホストごとに 16 個までのアドレスとサービスのペアが許可されます。正しいホストからキャッシュされているサービスにユーザがアクセスしようとした場合、適応型セキュリティ アプライアンスではそのアクセスが事前に許可されていると見なし、その接続を即座に代理します。ある Web サイトへのアクセスを一度認可されると、たとえば、イメージを読み込むときに、イメージごとに認可サーバと通信しません(イメージが同じ IP アドレスからであると想定されます)。この処理により、パフォーマンスが大幅に向上され、認可サーバの負荷が削減されます。

show uauth コマンドの出力では、認証および認可の目的で認可サーバに提供されたユーザ名が表示されます。また、ユーザ名がバインドされている IP アドレス、ユーザが認証されただけであるか、キャッシュされたサービスを持っているかが表示されます。


) Xauth をイネーブルにすると、クライアントに割り当てられている IP アドレスのエントリが uauth テーブル(show uauth コマンドで表示できます)に追加されます。ただし、ネットワーク拡張モードで Easy VPN Remote 機能とともに Xauth を使用すると、ネットワーク間に IPSec トンネルが作成されるため、ファイアウォールの向こう側にいるユーザを 1 つの IP アドレスに関連付けることができません。したがって、Xauth の完了時に uauth エントリが作成されません。AAA 認可またはアカウンティング サービスが必要となる場合は、AAA 認証プロキシをイネーブルにして、ファイアウォールの向こう側にいるユーザを認証します。AAA 認証プロキシの詳細については、aaa コマンドの項を参照してください。


ユーザの接続がアイドルになった後にキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザのすべての認可キャッシュを削除するには、 clear uauth コマンドを使用します。次回接続を作成するときには再認証される必要が生じます。

次に、ユーザが認証されておらず、1 人のユーザの認証が進行中である場合の show uauth コマンドの出力例を示します。

hostname(config)# show uauth
Current Most Seen
Authenticated Users 0 0
Authen In Progress 0 1
 

次に、3 人のユーザが認証され、適応型セキュリティ アプライアンスを介してサービスを使用することを認可されている場合の show uauth コマンドの出力例を示します。

hostname(config)# show uauth
user ‘pat’ from 209.165.201.2 authenticated
user ‘robin’ from 209.165.201.4 authorized to:
port 192.168.67.34/telnet 192.168.67.11/http 192.168.67.33/tcp/8001
192.168.67.56/tcp/25 192.168.67.42/ftp
user ‘terry’ from 209.165.201.7 authorized to:
port 192.168.1.50/http 209.165.201.8/http
 

 
関連コマンド

コマンド
説明

clear uauth

現在のユーザの認証情報と認可情報を削除します。

timeout

アイドル時間の最大継続期間を設定します。

show uc-ime

Cisco Intercompany Media Engine プロキシに関する情報を表示するには、特権 EXEC モードで show uc-ime コマンドを使用します。

show uc-ime { fallback-notification statistics | mapping-service-sessions [ statistics ] | media-sessions [ detail ] [{ call-id | session-id } ID ] | signaling-sessions [statistics | [detail] [{call-id | session-id} ID]]}

 
構文の説明

call-id

SIP コール ID に基づいてコマンド出力をフィルタリングします。

detail

(任意)UC-IME プロキシに関する情報を表示します。

fallback-notification

ローカル Cisco UCM への PSTN フォールバックに関する通知情報を表示します。

ID

メディア セッションのコールまたはセッション ID を示します。

mapping-service-sessions

オフ パス シグナリングで使用されるマッピング サービス セッションに関する情報を表示します。

media-sessions

UC-IME プロキシにより保存される対応するメディア セッションを表示します。

session-id

UC-IME PSTN フォールバック セッション ID に基づいてコマンド出力をフィルタリングします。

signaling-sessions

UC-IME プロキシにより保存される対応するコール シグナリング セッションを表示します。

statistics

(任意)UC-IME プロキシに関する統計情報を表示します。 fallback-notification キーワードを入力する場合は、 statistics キーワードも含める必要があります。fallback-notification キーワードを入力しない場合、statistics キーワードの入力は任意です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

ここでは、 show uc-ime コマンドのオプションを特定して Cisco Intercompany Media Engine プロキシのトラブルシューティング情報を取得する方法について説明します。

show uc-ime signaling-sessions

Cisco Intercompany Media Engine プロキシにより保存される対応する SIP シグナリング セッションを表示します。メディアまたはシグナリング障害のトラブルシューティングを行う場合はこのコマンドを使用します。このコマンドは、RTP モニタリングがイネーブルまたはディセーブルかどうか、SRTP キーが設定されるかどうかに関係なく、SIP メッセージ ヘッダーから抽出されるフォールバック パラメータも表示します。

Cisco Intercompany Media Engine プロキシを使用することで、シグナリングだけでなくメディアでも通信セキュリティが確保されます。これは、インターネット側で実行される SRTP にシグナリング暗号化および SRTP/RTP 変換を提供します。Cisco Intercompany Media Engine プロキシは、Cisco UCM からの SIP シグナリング メッセージを変更することで、それ自体をメディア パスに挿入します。Cisco Intercompany Media Engine プロキシは、エンタープライズ エッジで、エンタープライズ間で作成される SIP トランク間の SIP シグナリングを検査します。これは、インターネットから TLS シグナリングを終了し、ローカル Cisco UCM への TCP または TLS を開始します。

hostname# show uc-ime signaling-sessions
1 in use, 3 most used
inside 192.168.10.30:39608 outside 10.194.108.118:5070
Local Media (audio) conn: 10.194.108.119/29824 to 10.194.108.109/21558
Local SRTP key set : Remote SRTP key set
Remote Media (audio) conn: 192.168.10.51/19520 to 192.168.10.3/30930
Call-ID: ab6d7980-a7d11b08-50-1e0aa8c0@192.168.10.30
FB Sensitivity: 3
Session ID: 2948-32325449-0@81a985c9-f3a1-55a0-3b19-96549a027259
SIP Trunk URI: 81a985c9-f3a1-55a0-3b19-9654@UCM-30;maddr=192.168.10.30
Codec-name: G722
Payload type: 9
 

) コールが Cisco Intercompany Media Engine を通過しない場合、show tls-proxy session コマンドを使用して、Cisco Intercompany Media Engine システムのコンポーネント間での TLS ハンドシェイクの成功をトラブルシューティングできます。このコマンドの詳細については、Cisco ASA 5500 シリーズ コマンド リファレンスを参照してください。


show uc-ime signaling-sessions statistics

Cisco Intercompany Media Engine プロキシにより保存される対応するシグナリング セッションに関する統計情報を表示します。Cisco Intercompany Media Engine のシグナリング セッションの障害は、たとえば、チケット検証やドメイン名検証の障害や、インターネットを介した RTP の提供など、さまざまなコールに関連する理由で発生することがあります。

hostname# show uc-ime signaling-sessions statistics
10 in use, 20 most used
15 terminated
Ticket integrity check failed: 2
Ticket decode failed: 1
Ticket epoch mismatch: 1
Ticket DID mismatch: 0
Ticket timestamp invalid: 4
Ticket domain check failed: 2
Ticket not found: 0
Route domain name check failed: 1
RTP over UC-IME: 2
 

) コールに関連する障害は、たとえば、サービス ポリシー ルールの設定が変更された場合、またはプライマリ適応型セキュリティ アプライアンスがフェールオーバー モードで稼動している場合に発生します。Cisco Intercompany Media Engine プロキシのサービス ポリシー ルールが削除され(no service policy コマンドを使用)、再設定された場合、適応型セキュリティ アプライアンスを最初に横断するコールが失敗します。この問題を解決するには、clear connection コマンドを入力して、適応型セキュリティ アプライアンスを再起動する必要があります。フェールオーバーが原因で障害が発生した場合、プライマリ適応型セキュリティ アプライアンスからの接続がスタンバイ適応型セキュリティ アプライアンスと同期化されません。


show uc-ime media-sessions detail

Cisco Intercompany Media Engine プロキシに保存されるすべてのアクティブ メディア セッション(コール)に関する詳細を表示します。このコマンドを使用すると、成功したコールの出力を表示できます。また、このコマンドを使用して、片通話など、IP 電話通話に関する問題をトラブルシューティングできます。コールが現在アップ状態でない場合、この出力はブランクになります。

hostname(config)# show uc-ime media-sessions detail
2 in use, 5 most used
Media-session: 10.194.108.109/21558 :: client ip 192.168.10.51/19520
Call ID: ab6d7980-a7d11b08-50-1e0aa8c0@192.168.10.30
Session ID: 2948-32325449-0@81a985c9-f3a1-55a0-3b19-96549a027259
Lcl SRTP conn 10.194.108.109/21558 to 10.194.108.119/29824 tx_pkts 20203 rx_pkts 20200
refcnt 3 : created by Inspect SIP, passthrough not set
RTP monitoring is enabled
Failover_state : 0
Sum_all_packets : 20196
Codec_payload_format : 9
RTP_ptime_ms : 20
Max_RBLR_pct_x100 : 0
Max_ITE_count_in_8_sec : 0
Max_BLS_ms : 0
Max_PDV_usec : 1000
Min_PDV_usec : 0
Mov_avg_PDV_usec : 109
Total_ITE_count : 0
Total_sec_count : 403
Concealed_sec_count : 0
Severely_concealed_sec_count : 0
Max_call_interval_ms : 118
Total_SequenceNumber_Resets : 0
Media-session: 192.168.10.3/30930 :: client ip 10.194.108.119/29824
Call ID: N/A
Lcl RTP conn 192.168.10.3/30930 to 192.168.10.51/19520 tx_pkts 20201 rx_pkts 20203
 

show uc-ime fallback-notification statistics

Cisco UMC への PSTN フォールバック通知に関する統計情報を表示します。接続品質が良好であったためにコールが VoIP を介して送信される場合でも、接続品質により、コール継続が悪化することもあります。全体的に良好なエンド ユーザ エクスペリエンスを保障するため、Cisco Intercompany Media Engine は、コール中フォールバックを実行しようとします。コール中フォールバックを実行するには、適応型セキュリティ アプライアンスが、インターネットから受信される RTP パケットをモニタする必要があります。フォールバックが必要な場合、適応型セキュリティ アプライアンスは、REFER メッセージを Cisco UCM に送信して、コールを PSTN にフォールバックする必要があることを通知します。

Cisco Intercompany Media Engine は、設定可能なホールドダウン タイマーを使用して、PSTN へにフォールバックするかどうかを Cisco UCM に通知するまで適応型セキュリティ アプライアンスが待機する時間を設定します。

hostname# show uc-ime fallback-notification statistics
UCM address: 172.23.32.37
Total Notifications Sent: 10
 

show uc-ime mapping-service-sessions

Cisco Intercompany Media Engine プロキシがオフ パス環境で設定されている場合、プロキシとローカル Cisco UMC 間のマッピング サービス要求および応答を表示します。適応型セキュリティ アプライアンスの TCP ポートは、マッピング要求をリスニングするように設定されます。

デバイス上の他のサービス(Telnet や SSH など)との競合を回避するため、ポート番号は 1024 以上にする必要があります。デフォルトでは、このポート番号は TCP 8060 です。

Hostname# show uc-b2blink mapping-service-sessions
Total active sessions: 2
Session client (IP:Port) Idle time
192.168.1.10:2001 0:01:01
192.168.1.20:3001 0:10:20
 

show uc-ime mapping-service-sessions statistics

オフ パス シグナリングで使用される Cisco Intercompany Media Engine プロキシ マッピング サービスに関する統計情報を表示します。

Hostname# show uc-ime mapping-service-sessions statistics
Total active sessions: 2
Session client Total Responses Failed Pending Idle
(IP:Port) requests sent requests responses time
192.168.1.10:2001 10 9 1 0 0:01:01
192.168.1.20:3001 19 19 0 0 0:10:20
 

 
関連コマンド

コマンド
説明

show running-config uc-ime

実行コンフィギュレーションの Cisco Intercompany Media Engine プロキシの現在のコンフィギュレーションを表示します。

uc-ime

Cisco Intercompany Media Engine プロキシを設定します。

show url-block

url-block バッファにあるパケット数、およびバッファ上限を超えたためまたは再送信のためにドロップされたパケット数(ある場合)を表示するには、特権 EXEC モードで show url-block コマンドを使用します。

show url-block [ block statistics ]

 
構文の説明

block statistics

(任意)ブロック バッファ使用状況の統計情報を表示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show url-block block statistics コマンドは、url-block バッファにあるパケット数、およびバッファ上限を超えたためまたは再送信のためにドロップされたパケット数(ある場合)を表示します。

次に、 show url-block コマンドの出力例を示します。

hostname# show url-block
| url-block url-mempool 128 | url-block url-size 4 | url-block block 128
 

URL ブロック バッファのコンフィギュレーションが表示されています。

 

次に、 show url-block block statistics コマンドの出力例を示します。

hostname# show url-block block statistics
 
URL Pending Packet Buffer Stats with max block 128 |
Cumulative number of packets held: | 896
Maximum number of packets held (per URL): | 3
Current number of packets held (global): | 38
Packets dropped due to
| exceeding url-block buffer limit: | 7546
| HTTP server retransmission: | 10
Number of packets released back to client: | 0
 

 
関連コマンド

コマンド
説明

clear url-block block statistics

ブロック バッファの使用状況カウンタをクリアします。

filter url

トラフィックを URL フィルタリング サーバに送ります。

url-block

Web サーバの応答に使用される URL バッファを管理します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

show url-cache statistics

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバから受信された URL 応答に使用される、URL キャッシュに関する情報を表示するには、特権 EXEC モードで show url-cache statistics コマンドを使用します。

show url-cache statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show url-cache statistics コマンドは、次のエントリを表示します。

Size:KB 単位で表したキャッシュ サイズ。 url-cache size オプションを使用して設定します。

Entries:キャッシュ サイズに基づくキャッシュ エントリの最大数。

In Use:現在キャッシュにあるエントリ数。

Lookups:適応型セキュリティ アプライアンスがキャッシュ エントリを検索した回数。

Hits:適応型セキュリティ アプライアンスがキャッシュ内でエントリを検出した回数。

show perfmon コマンドを使用して、N2H2 Sentian または Websense フィルタリング アクティビティに関する追加情報を表示できます。

次に、show url-cache statistics コマンドの出力例を示します。

hostname# show url-cache statistics
 
URL Filter Cache Stats
----------------------
| Size : 1KB
Entries : 36
In Use : 30
Lookups : 300
| Hits : 290
 

 
関連コマンド

コマンド
説明

clear url-cache statistics

コンフィギュレーションから url-cache コマンド ステートメントを削除します。

filter url

トラフィックを URL フィルタリング サーバに送ります。

url-block

Web サーバの応答に使用される URL バッファを管理します。

url-cache

N2H2 サーバまたは Websense サーバから受信した応答の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

show url-server

URL フィルタリング サーバに関する情報を表示するには、特権 EXEC モードで show url-server コマンドを使用します。

show url-server statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

show url-server statistics コマンドは、URL サーバ ベンダー、URL の合計数、許可された数、拒否された数、HTTPS 接続の合計数、許可された数、拒否された数、TCP 接続の合計数、許可された数、拒否された数、および URL サーバ ステータスを表示します。

show url-server コマンドは、次の情報を表示します。

N2H2 の場合: url-server ( if_name ) vendor n2h2 host local_ip port number timeout seconds protocol [{ TCP | UDP }{ version 1 | 4 }]

Websense の場合: url-server ( if_name ) vendor websense host local_ip timeout seconds protocol [{ TCP | UDP }]

次に、 show url-server statistics コマンドの出力例を示します。

hostname## show url-server statistics
Global Statistics:
------------------
URLs total/allowed/denied 994387/155648/838739
URLs allowed by cache/server 70483/85165
URLs denied by cache/server 801920/36819
HTTPSs total/allowed/denied 994387/155648/838739
HTTPs allowed by cache/server 70483/85165
HTTPs denied by cache/server 801920/36819
FTPs total/allowed/denied 994387/155648/838739
FTPs allowed by cache/server 70483/85165
FTPs denied by cache/server 801920/36819
Requests dropped 28715
Server timeouts/retries 567/1350
Processed rate average 60s/300s 1524/1344 requests/second
Denied rate average 60s/300s 35648/33022 requests/second
Dropped rate average 60s/300s 156/189 requests/second
 
URL Server Statistics:
----------------------
192.168.0.1 UP
Vendor websense
Port 17035
Requests total/allowed/denied 366519/255495/110457
Server timeouts/retries 567/1350
Responses received 365952
Response time average 60s/300s 2/1 seconds/request
192.168.0.2 DOWN
Vendor websense
Port 17035
Requests total/allowed/denied 0/0/0
Server timeouts/retries 0/0
Responses received 0
Response time average 60s/300s 0/0 seconds/request
. . .
URL Packets Sent and Received Stats:
------------------------------------
Message Sent Received
STATUS_REQUEST 411 0
LOOKUP_REQUEST 366519 365952
LOG_REQUEST 0 NA
 
Errors:
-------
RFC noncompliant GET method 0
URL buffer update failure 0
 
Semantics:
This command allows the operator to display url-server statistics organized on a global and per-server basis. The output is reformatted to provide: more-detailed information and per-server organization.
 
Supported Modes:
privileged
router || transparent
single || multi/context
 
Privilege:
ATTR_ES_CHECK_CONTEXT
 
Debug support:
N/A
 
Migration Strategy (if any):
N/A
 

 
関連コマンド

コマンド
説明

clear url-server

URL フィルタリング サーバの統計情報をクリアします。

filter url

トラフィックを URL フィルタリング サーバに送ります。

url-block

Web サーバの応答に使用される URL バッファを管理します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

show version

ソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼動時間データを表示するには、ユーザ EXEC モードで show version コマンドを使用します。

show version

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

7.2(1)

ステートフル フェールオーバー モードでは、クラスタの稼動時間を示す行が表示されるように変更されました。

8.3(1)

出力に、機能で使用されるのが永続キーまたは時間ベース キーのいずれであるか、および使用中の時間ベース キーの期間が含まれるようになりました。

 
使用上のガイドライン

show version コマンドを使用すると、ソフトウェア バージョン、最後にリブートされた以降の動作時間、プロセッサ タイプ、フラッシュ パーティション タイプ、インターフェイス ボード、シリアル番号(BIOS ID)、アクティベーション キー値、ライセンス タイプ(R または UR)、コンフィギュレーションが最後に変更されたときのタイム スタンプを表示できます。

show version コマンドで表示されるシリアル番号は、フラッシュ パーティション BIOS のものです。シャーシのシリアル番号とは異なります。ソフトウェア アップグレードを取得する場合は、シャーシ番号ではなく、show version コマンドで表示されるシリアル番号が必要です。

フェールオーバー クラスタの稼動時間の値は、フェールオーバー セットが動作している期間の長さを示しています。1 台の装置が動作を停止しても、アクティブな装置が動作を継続する限り、稼動時間の値は増加していきます。そのため、フェールオーバー クラスタの稼動時間を個別の装置の稼動時間よりも長くすることが可能です。フェールオーバーを一時的にディセーブルにしてから再びイネーブルにすると、フェールオーバー クラスタの稼動時間には、フェールオーバーがディセーブルにされる前に装置が稼動していた時間に、フェールオーバーがディセーブルにされていた間に装置が稼動した時間を加えた時間が記録されます。

次に、 show version コマンドの出力例を示します。この例では、ソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼動時間データを表示する方法を示しています。ステートフル フェールオーバーが設定されている環境では、フェールオーバー クラスタの稼動時間を示す追加の行が表示されます。フェールオーバーが設定されていない場合、この行は表示されません。この表示は、最小メモリ要件に関する警告メッセージを示します。

 
*************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Minimum Memory Requirements NOT Met! <---- **
** **
** Installed RAM: 512 MB **
** Required RAM: 2048 MB **
** Upgrade part#: ASA5520-MEM-2GB= **
** **
** This ASA does not meet the minimum memory requirements needed to **
** run this image. Please install additional memory (part number **
** listed above) or downgrade to ASA version 8.2 or earlier. **
** Continuing to run without a memory upgrade is unsupported, and **
** critical system features will not function properly. **
** **
*************************************************************************
 
Cisco Adaptive Security Appliance Software Version 8.3(0)1
Device Manager Version 6.3(0)97
 
Compiled on Thu 22-Oct-09 04:05 by builders
System image file is "disk0:/cdisk.bin"
Config file at boot was "disk0:/tomm_backup.cfg"
asa3 up 3 days 3 hours
 
Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 128MB
BIOS Flash AT49LW080 @ 0xfff00000, 1024KB
 
Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.06
0: Ext: GigabitEthernet0/0 : address is 0013.c480.82ce, irq 9
1: Ext: GigabitEthernet0/1 : address is 0013.c480.82cf, irq 9
2: Ext: GigabitEthernet0/2 : address is 0013.c480.82d0, irq 9
3: Ext: GigabitEthernet0/3 : address is 0013.c480.82d1, irq 9
4: Ext: Management0/0 : address is 0013.c480.82cd, irq 11
5: Int: Not used : irq 11
6: Int: Not used : irq 5
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled 218 days
Security Contexts : 20 218 days
GTP/GPRS : Enabled 218 days
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Enabled
Shared SSL VPN Peers : 12000 perpetual
AnyConnect for Mobile : Enabled 218 days
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Enabled 218 days
Advanced Endpoint Assessment : Enabled 218 days
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 218 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
This platform is a shared license server.
 
Serial Number: JMX0938K0C0
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Configuration register is 0x1
Configuration last modified by docs at 15:23:22.339 EDT Fri Oct 30 2009
 

eject コマンドが実行された後、デバイスが物理的に取り付けられたままの状態で show version コマンドを入力すると、次のメッセージが表示されます。

Slot 1: Compact Flash has been ejected!
It may be removed and a new device installed.
 

 
関連コマンド

コマンド
説明

eject

外部コンパクト フラッシュ デバイスを、セキュリティ アプライアンスから物理的に取り外す前にシャットダウンできるようにします。

show hardware

ハードウェアの詳細情報を表示します。

show serial

ハードウェアのシリアル情報を表示します。

show uptime

適応型セキュリティ アプライアンスが動作している期間の長さを表示します。

show vlan

適応型セキュリティ アプライアンスに設定されているすべての VLAN を表示するには、特権 EXEC モードで show vlan コマンドを使用します。

show vlan

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、設定されている VLAN を表示します。

hostname# show vlan
10-11, 30, 40, 300
 

 
関連コマンド

コマンド
説明

clear interface

show interface コマンドのカウンタをクリアします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show vpn load-balancing

VPN ロード バランシング仮想クラスタのコンフィギュレーションに関する実行時統計情報を表示するには、グローバル コンフィギュレーション モード、特権 EXEC モード、VPN ロード バランシング モードで show vpn-load-balancing コマンドを使用します。

show vpn load-balancing

 
構文の説明

このコマンドには、変数や引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

VPN ロード バランシング

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

出力例の Load (%) 表示および Session 表示に、個別の IPSec カラムおよび SSL カラムが追加されました。

 
使用上のガイドライン

show vpn load-balancing コマンドは、仮想 VPN ロード バランシング クラスタに関する統計情報を表示します。ローカル デバイスが VPN ロード バランシング クラスタに参加していない場合、このコマンドは、このデバイスには VPN ロード バランシングが設定されていないことを通知します。

出力のアスタリスク(*)は、接続している適応型セキュリティ アプライアンスの IP アドレスを示します。

次の例は、ローカル デバイスが VPN ロード バランシング クラスタに参加している場合の show vpn load-balancing コマンドおよびその出力を示しています。

hostname(config-load-balancing)# show vpn load-balancing
 
Status: enabled
Role: Master
Failover: n/a
Encryption: enabled
Cluster IP: 192.168.1.100
Peers: 1
Load (%) Sessions
Public IP Role Pri Model IPSec SSL IPSec SSL
----------------------------------------------------------------------------
* 192.168.1.40 Master 10 PIX-515 0 0 0 0
192.168.1.110 Backup 5 PIX-515 0 0 0 0
hostname(config-load-balancing)#
 

ローカル デバイスが VPN ロード バランシング クラスタに参加していない場合、 show vpn load-balancing コマンドは、上とは異なる次のような結果を表示します。

hostname(config)# show vpn load-balancing
VPN Load Balancing has not been configured.

 
関連コマンド

コマンド
説明

clear configure vpn load-balancing

コンフィギュレーションから vpn load-balancing コマンド ステートメントを削除します。

show running-config vpn load-balancing

現在の VPN ロード バランシング仮想クラスタのコンフィギュレーションを表示します。

vpn load-balancing

VPN ロード バランシング モードを開始します。

show vpn-sessiondb

VPN セッションに関する情報を表示するには、特権 EXEC モードで vpn-sessiondb コマンドを使用します。このコマンドには、情報を完全または詳細に表示するためのオプションが含まれています。表示するセッションのタイプを指定できる他、情報をフィルタリングおよびソートするためのオプションが用意されています。構文の表と使用上の注意で、使用可能なオプションについてそれぞれ説明しています。

show vpn-sessiondb [detail] [full] {remote | l2l | index indexnumber | webvpn | email-proxy | svc} [filter {name username | ipaddress IPaddr | a-ipaddress IPaddr | p-ipaddress IPaddr | tunnel-group groupname | protocol protocol-name | encryption encryption-algo | inactive } ]
[sort {name | ipaddress | a-ipaddress | p-ip address | tunnel-group | protocol | encryption | inactivity}]

 
構文の説明

detail

(任意)セッションに関する詳細な情報を表示します。たとえば、IPSec セッションに対して detail オプションを使用すると、IKE ハッシュ アルゴリズム、認証モード、キー再生成間隔などの追加の詳細情報が表示されます。

detail と full オプションを指定すると、適応型セキュリティ アプライアンスはマシンで読み取り可能な形式で詳細出力を表示します。

filter filter_criteria

(任意)1 つ以上のフィルタ オプションを使用して、指定する情報だけ表示するように出力をフィルタリングします。 filter_criteria オプションのリストについては、「使用上のガイドライン」の項を参照してください。

full

(任意)連続した、短縮されていない出力を表示します。出力の各レコード間は、| 記号と || 文字列で区切られます。

session_type

(任意)特定のセッション タイプのデータを表示するには、次のキーワードのいずれかを入力します。

email-proxy :電子メールプロキシ セッションを表示します。

index indexnumber :インデックス番号を指定して、単一のセッションを表示します。セッションのインデックス番号(1 ~ 750)を指定します。

l2l :VPN の LAN-to-LAN セッション情報を表示します。

ratio :VPN セッション プロトコルまたは暗号リモートアクセス セッションを表示します。

remote :IPSec リモートアクセス セッションを表示します。

summary :VPN セッションの要約を表示します。

svc :SSL VPN クライアント セッションを表示します。

vpn-lb :VPN ロード バランシング管理セッションを表示します。

webvpn :クライアントレス SSL VPN セッションに関する情報を表示します。

sort sort_criteria

(任意)指定するソート オプションに従って出力をソートします。 sort_criteria オプションのリストについては、「使用上のガイドライン」の項を参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

VLAN フィールドの説明が追加されました。

8.0(5)

inactive filter オプションとして、 inactivity sort オプションとして追加されました。

8.2(1)

ライセンス情報が出力に追加されました。

 
使用上のガイドライン

次のオプションを使用して、セッションに関する表示内容をフィルタリングおよびソートできます。

 

フィルタ/ソート オプション
説明

filter a-ipaddress IPaddr

出力をフィルタリングして、指定した割り当て済み IP アドレス(複数可)の情報だけ表示します。

sort a-ipaddress

割り当て済み IP アドレスを基準として、表示内容をソートします。

filter encryption encryption-algo

出力をフィルタリングして、指定した暗号化アルゴリズム(複数可)を使用しているセッションの情報だけを表示します。

sort encryption

暗号化アルゴリズムを基準として、表示内容をソートします。暗号化アルゴリズムには、aes128、aes192、aes256、des、3des、rc4 が含まれます。

filter inactive

接続が切断された非アクティブ セッションをフィルタリングします。各セッションは、SSL トンネル ドロップ時間でタイム スタンプされます。セッションがアクティブな場合、00:00m:00s が表示されます。

sort inactivity

非アクティブ セッションをソートします。

filter ipaddress IPaddr

出力をフィルタリングして、指定した内部 IP アドレス(複数可)の情報だけ表示します。

sort ipaddress

内部 IP アドレスを基準として、表示内容をソートします。

filter name username

sort name

出力をフィルタリングして、指定したユーザ名(複数可)に関するセッションを表示します。

ユーザ名を基準として、表示内容をアルファベット順でソートします。

filter p-address IPaddr

出力をフィルタリングして、指定した外部 IP アドレスの情報だけ表示します。

sort p-address

指定した外部 IP アドレス(複数可)を基準として、表示内容をソートします。

filter protocol protocol-name

出力をフィルタリングして、指定したプロトコル(複数可)を使用しているセッションの情報だけ表示します。

sort protocol

プロトコルを基準として、表示内容をソートします。プロトコルには、IKE、IMAP4S、IPSec、IPSecLAN2LAN、IPSecLAN2LANOverNatT、IPSecOverNatT、IPSecoverTCP、IPSecOverUDP、SMTPS、userHTTPS、vcaLAN2LAN が含まれます。

filter tunnel-group groupname

出力をフィルタリングして、指定したトンネル グループ(複数可)の情報だけ表示します。

sort tunnel-group

トンネル グループを基準として、表示内容をソートします。

|

引数 {begin | include | exclude | grep | [-v]} {reg_exp} を使用して出力を修正します。

次に、 show vpn-sessiondb コマンドの出力例を示します。

hostname# show vpn-sessiondb
Active Session Summary
 
Sessions:
Active : Cumulative : Peak Concurrent
SSL VPN : 0 : 0 : 0
Clientless only : 0 : 0 : 0
With client : 0 : 0 : 0
Email Proxy : 0 : 0 : 0
IPsec LAN-to-LAN : 0 : 0 : 0
IPsec Remote Access : 0 : 0 : 0
VPN Load Balancing : 0 : 0 : 0
Totals : 0 : 0
 
License Information:
Multi-site VPN License Information:
SSL VPN : 10000
Allocated to this device : 0
Allocated in network : 0
Device limit : 250
 
IPsec : 250 Configured : 250 Active : 0 Load : 0%
SSL VPN : 10 Configured : 10 Active : 0 Load : 0%
Active : Cumulative : Peak Concurrent
IPsec : 0 : 0 : 0
SSL VPN : 0 : 0 : 0
AnyConnect Mobile : 0 : 0 : 0
Linksys Phone : 0 : 0 : 0
Totals : 0 : 0
 
Tunnels:
No tunnels to display
 
Active NAC Sessions:
No NAC sessions to display
 
Active VLAN Mapping Sessions:
No VLAN Mapping sessions to display
 

次に、 show vpn-sessiondb detail l2l コマンドの出力例を示します。この例では、LAN-to-LAN セッションに関する詳細な情報を表示しています。

hostname# show vpn-sessiondb detail l2l
Session Type: LAN-to-LAN Detailed
Connection : 172.16.0.1
Index : 1 IP Addr : 172.16.0.1
Protocol : IPSecLAN2LAN Encryption : AES256
Bytes Tx : 48484156 Bytes Rx : 875049248
Login Time : 09:32:03 est Mon Aug 2 2004
Duration : 6:16:26
Filter Name :
 
IKE Sessions: 1 IPSec Sessions: 2
 
IKE:
Session ID : 1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 63814 Seconds
D/H Group : 5
 
IPSec:
Session ID : 2
Local Addr : 10.0.0.0/255.255.255.0
Remote Addr : 209.165.201.30/255.255.255.0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel PFS Group : 5
Rekey Int (T): 28800 Seconds Rekey Left(T): 10903 Seconds
Bytes Tx : 46865224 Bytes Rx : 2639672
Pkts Tx : 1635314 Pkts Rx : 37526
 
 
IPSec:
Session ID : 3
Local Addr : 10.0.0.1/255.255.255.0
Remote Addr : 209.165.201.30/255.255.255.0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel PFS Group : 5
Rekey Int (T): 28800 Seconds Rekey Left(T): 6282 Seconds
Bytes Tx : 1619268 Bytes Rx : 872409912
Pkts Tx : 19277 Pkts Rx : 1596809
 
hostname#
 

次に、 show vpn-sessiondb detail full index 4 コマンドの出力例を示します。この例では、単一セッションの詳細を示しています。

 
AsaNacDev# show vpn-sessiondb detail full index 4
Session Type: Remote Detailed |
Index: 2 | EasyVPN: 0 | Username: uuuu | Group: DfltGrpPolicy | Tunnel Group: regr3000multigroup | IP Addr: 192.168.2.80 | Public IP: 10.44.173.216 | Protocol: IPSecOverUDP | Encryption: 3DES | Login Time: 12:51:54 EDT Wed Jun 21 2006 |Duration: 0h:02m:44s | Bytes Tx: 2134 | Bytes Rx: 8535 | Client Type: WinNT | Client Ver: 4.0.5 (Rel) | Filter Name: | NAC Result: N/A | Posture Token: : | VM Result: Static | VLAN: 10 ||
IKE Sessions: 1
| IPSecOverUDP Sessions: 1
|
Type: IKE | Session ID: 1 | Authentication Mode: preSharedKeys | UDP Source Port: 500 | UDP Destination Port: 500 | IKE Negotiation Mode: Aggressive | Encryption: 3DES | Hashing: SHA1 | Diffie-Hellman Group: 2 | Rekey Time Interval: 40000 Seconds| Rekey Left(T): 39836 Seconds ||
Type: IPSecOverUDP | Session ID: 2 | Local IP Addr: 0.0.0.0/0.0.0.0/0/0 | Remote IP Addr: 192.168.2.80/255.255.255.255/0/0 | Encryption: 3DES | Hashing: SHA1 | Encapsulation: Tunnel | UDP Destination Port: 10000 | Rekey Time Interval: 28800 Seconds | Rekey Left(T): 28636 Seconds | Idle Time Out: 30 Minutes | Idle TO Left: 30 Minutes | Bytes Tx: 2134 | Bytes Rx: 8535 | Packets Tx: 15 | Packets Rx: 2134 | ||
 
VLAN Mapping: VLAN: 10 |
 
AsaNacDev# show vpn-sessiondb detail index 1
 
Session Type: Remote Detailed
 
Username : user1
Index : 1
Assigned IP : 192.168.2.70 Public IP : 10.86.5.114
Protocol : IPSec Encryption : AES128
Hashing : SHA1
Bytes Tx : 0 Bytes Rx : 604533
Client Type : WinNT Client Ver : 4.6.00.0049
Tunnel Group : bxbvpnlab
Login Time : 15:22:46 EDT Tue May 10 2005
Duration : 7h:02m:03s
Filter Name :
NAC Result : Accepted
Posture Token: Healthy
VM Result : Static
VLAN : 10
 
IKE Sessions: 1 IPSec Sessions: 1 NAC Sessions: 1
 
IKE:
Session ID : 1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Aggressive Auth Mode : preSharedKeysXauth
Encryption : 3DES Hashing : MD5
Rekey Int (T): 86400 Seconds Rekey Left(T): 61078 Seconds
D/H Group : 2
 
IPSec:
Session ID : 2
Local Addr : 0.0.0.0
Remote Addr : 192.168.2.70
Encryption : AES128 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 26531 Seconds
Bytes Tx : 0 Bytes Rx : 604533
Pkts Tx : 0 Pkts Rx : 8126
 
NAC:
Reval Int (T): 3000 Seconds Reval Left(T): 286 Seconds
SQ Int (T) : 600 Seconds EoU Age (T) : 2714 Seconds
Hold Left (T): 0 Seconds Posture Token: Healthy
Redirect URL : www.cisco.com
 

例が示すように、 show vpn-sessiondb コマンドに応答して表示されるフィールドは、入力するキーワードにより異なります。 表 29-14 では、これらのフィールドについて説明しています。

 

表 29-14 show vpn-sessiondb コマンドのフィールド

フィールド
説明

Auth Mode

このセッションを認証するためのプロトコルまたはモード。

Bytes Rx

適応型セキュリティ アプライアンスによりリモートのピアまたはクライアントから受信した合計バイト数。

Bytes Tx

適応型セキュリティ アプライアンスによりリモートのピアまたはクライアントへ送信されたバイト数。

Client Type

リモート ピア上で実行されるクライアント ソフトウェア(可能な場合)。

Client Ver

リモート ピア上で実行されるクライアント ソフトウェアのバージョン。

Connection

接続名またはプライベート IP アドレス。

D/H Group

Diffie-Hellman グループ。IPSec SA 暗号キーを生成するためのアルゴリズムとキー サイズ。

Duration

セッション ログイン時刻から直前の画面リフレッシュまでの経過時間(HH:MM:SS)。

EAPoUDP Session Age

正常に完了した直前のポスチャ確認からの経過秒数。

Encapsulation

IPSec ESP(カプセル化セキュリティ ペイロード プロトコル)の暗号化と認証(つまり、ESP を適用した元の IP パケットの一部)を適用するためのモード。

Encryption

このセッションが使用しているデータ暗号化アルゴリズム(存在する場合)。

Encryption

このセッションが使用しているデータ暗号化アルゴリズム

EoU Age (T)

EAPoUDP セッション経過時間。正常に完了した直前のポスチャ確認からの経過秒数。

Filter Name

セッション情報の表示を制限するよう指定されたユーザ名。

Hashing

パケットのハッシュを生成するためのアルゴリズムで、IPSec データ認証に使用されます。

Hold Left (T)

Hold-Off Time Remaining の略です。直前のポスチャ確認が正常に完了した場合は、0 秒です。それ以外の場合は、次回のポスチャ確認試行までの秒数です。

Hold-Off Time Remaining

直前のポスチャ確認が正常に完了した場合は、0 秒です。それ以外の場合は、次回のポスチャ確認試行までの秒数です。

IKE Neg Mode

キー情報を交換し、SA を設定するための IKE(IPSec フェーズ 1)モード(アグレッシブまたはメイン)。

IKE Sessions

IKE(IPSec フェーズ 1)セッションの数で、通常は 1 です。これらのセッションは IPSec トラフィックのトンネルを確立します。

Index

このレコードの一意の ID。

IP Addr

このセッション用にリモート クライアントに割り当てられたプライベート IP アドレス。このアドレスは、「内部」または「仮想」IP アドレスとも呼ばれます。このアドレスにより、クライアントはプライベート ネットワークでホストと見なされます。

IPSec Sessions

IPSec(フェーズ 2)セッション(トンネル経由のデータ トラフィック セッション)の数。各 IPSec リモートアクセス セッションには 2 つの IPSec セッションがあります。1 つはトンネル エンドポイントで構成されるセッション、もう 1 つはトンネル経由で到達可能なプライベート ネットワークで構成されるセッションです。

License Information

共有 SSL VPN ライセンスの情報を表示します。

Local IP Addr

トンネルのローカル エンドポイント(適応型セキュリティ アプライアンス上のインターフェイス)に割り当てられた IP アドレス。

Login Time

セッションがログインした日付と時刻(MMM DD HH:MM:SS)。時刻は 24 時間表示です。

NAC Result

ネットワーク アドミッション コントロール ポスチャ確認の状態。状態は次のいずれかになります。

Accepted:ACS は正常にリモート ホストのポスチャを確認しました。

Rejected:ACS はリモート ホストの確認に失敗しました。

Exempted:適応型セキュリティ アプライアンスで設定されたポスチャ確認免除リストに従い、リモート ホストはポスチャ確認を免除されました。

Non-Responsive:リモート ホストは EAPoUDP Hello メッセージに応答しませんでした。

Hold-off:適応型セキュリティ アプライアンスで、ポスチャ確認に成功した後、リモート ホストと EAPoUDP の通信が途絶えました。

N/A:NAC は VPN NAC グループ ポリシーに応じてリモート ホストに対してディセーブルになります。

Unknown:ポスチャ確認が進行中です。

NAC Sessions

ネットワーク アドミッション コントロール(EAPoUDP)セッションの数。

Packets Rx

適応型セキュリティ アプライアンスによりリモート ピアから受信したパケット数。

Packets Tx

適応型セキュリティ アプライアンスによりリモート ピアに送信されたパケット数。

PFS Group

完全転送秘密グループ数。

Posture Token

アクセス コントロール サーバ上で設定可能な情報テキスト文字列。ACS は、ポスチャ トークンを情報提供の目的で適応型セキュリティ アプライアンスにダウンロードし、システムのモニタリング、レポート、デバッグ、およびロギングに使用します。通常のポスチャ トークンは、Healthy、Checkup、Quarantine、Infected、Unknown です。

Protocol

セッションが使用しているプロトコル。

Public IP

クライアントに割り当てられた、パブリックにルーティング可能な IP アドレス。

Redirect URL

ポスチャ確認またはクライアントレス認証に続いて、ACS はセッションのアクセス ポリシーを適応型セキュリティ アプライアンスにダウンロードします。リダイレクト URL は、アクセス ポリシー ペイロードのオプションの一部です。適応型セキュリティ アプライアンスはリモート ホストのすべての HTTP(ポート 80)要求と HTTPS(ポート 443)要求をリダイレクト URL(存在する場合)にリダイレクトします。アクセス ポリシーにリダイレクト URL が含まれていない場合、適応型セキュリティ アプライアンスはリモート ホストからの HTTP 要求と HTTPS 要求をリダイレクトしません。

リダイレクト URL は、IPSec セッションが終了するか、ポスチャ確認が実行されるまで有効です。ACS は、異なるリダイレクト URL が含まれるか、リダイレクト URL が含まれない新しいアクセス ポリシーをリダイレクト URL にダウンロードします。

Rekey Int (T)

IPSec(IKE)SA 暗号キーの有効期限。

Rekey Left (T)

IPSec(IKE)SA 暗号キーの残り有効期限。

Rekey Time Interval

IPSec(IKE)SA 暗号キーの有効期限。

Remote IP Addr

トンネルのリモート エンドポイントに割り当てられた IP アドレス(リモート ピア上のインターフェイス)。

Reval Int (T)

Revalidation Time Interval の略です。正常に完了した各ポスチャ確認間に、設ける必要のある間隔(秒単位)。

Reval Left (T)

Time Until Next Revalidation の略です。直前のポスチャ確認試行が正常に完了しなかった場合は 0 です。それ以外の場合は、Revalidation Time Interval と、正常に完了した直前のポスチャ確認からの経過秒数との差です。

Revalidation Time Interval

正常に完了した各ポスチャ確認間に、設ける必要のある間隔(秒単位)。

Session ID

セッション コンポーネント(サブセッション)の ID。各 SA には独自の ID があります。

Session Type

セッションのタイプ:LAN-to-LAN または Remote。

SQ Int (T)

Status Query Time Interval の略です。正常に完了した各ポスチャ確認またはステータス クエリー応答から、次回のステータス クエリー応答までの間に空けることができる秒数です。ステータス クエリーは、直前のポスチャ確認以降にホストでポスチャが変化したかどうかを確認するために、適応型セキュリティ アプライアンスがリモート ホストに発行する要求です。

Status Query Time Interval

正常に完了した各ポスチャ確認またはステータス クエリー応答から、次回のステータス クエリー応答までの間に空けることができる秒数です。ステータス クエリーは、直前のポスチャ確認以降にホストでポスチャが変化したかどうかを確認するために、適応型セキュリティ アプライアンスがリモート ホストに発行する要求です。

Time Until Next Revalidation

直前のポスチャ確認試行が正常に完了しなかった場合は 0 です。それ以外の場合は、Revalidation Time Interval と、正常に完了した直前のポスチャ確認からの経過秒数との差です。

Tunnel Group

アトリビュート値を求めるために、このトンネルが参照するトンネル グループ名。

UDP Dst Port
または
UDP Destination Port

UDP についてリモート ピアが使用するポート番号。

UDP Src Port
または
UDP Source Port

UDP について適応型セキュリティ アプライアンスが使用するポート番号。

Username

セッションを確立するために使用したユーザのログイン名。

VLAN

このセッションに割り当てられた出力 VLAN インターフェイス。適応型セキュリティ アプライアンスは、すべてのトラフィックをその VLAN に転送します。次の要素のいずれか 1 つで値を指定します。

グループ ポリシー

継承されたグループ ポリシー

 
関連コマンド

コマンド
説明

show running-configuration vpn-sessiondb

VPN セッション データベースの実行コンフィギュレーションを表示します。

show vpn-sessiondb ratio

VPN セッションの暗号化またはプロトコルの比率を表示します。

show vpn-sessiondb summary

すべての VPN セッションの要約を表示します。

show vpn-sessiondb ratio

現在のセッションについて、プロトコルまたは暗号化アルゴリズムごとの比率(%)を表示するには、特権 EXEC モードで show vpn-sessiondb ratio コマンドを使用します。

show vpn-sessiondb ratio {protocol | encryption} [filter groupname ]

 
構文の説明

encryption

表示する暗号化プロトコルを指定します。フェーズ 2 暗号化について指定します。暗号化アルゴリズムには、次の種類があります。

aes128

aes192

aes256

des

3des

rc4

filter groupname

出力をフィルタリングして、指定するトンネル グループだけのセッション比率を表示します。

protocol

表示するプロトコルを指定します。プロトコルには、次の種類があります。

IKE

IMAP4S

IPSec

IPSecLAN2LAN

IPSecLAN2LANOverNatT

IPSecOverNatT

IPSecoverTCP

IPSecOverUDP

SMTPS

userHTTPS

vcaLAN2LAN

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、 encryption を引数として指定した場合の show vpn-sessiondb ratio コマンドの出力例を示します。

hostname# show vpn-sessiondb ratio enc
Filter Group : All
Total Active Sessions: 5
Cumulative Sessions : 9
 
Encryption Sessions Percent
none 0 0%
DES 1 20%
3DES 0 0%
AES128 4 80%
AES192 0 0%
AES256 0 0%
 

次に、 protocol を引数として指定した場合の show vpn-sessiondb ratio コマンドの出力例を示します。

 
hostname# show vpn-sessiondb ratio protocol
Filter Group : All
Total Active Sessions: 6
Cumulative Sessions : 10
 
Protocol Sessions Percent
IKE 0 0%
IPSec 1 20%
IPSecLAN2LAN 0 0%
IPSecLAN2LANOverNatT 0 0%
IPSecOverNatT 0 0%
IPSecOverTCP 1 20%
IPSecOverUDP 0 0%
L2TP 0 0%
L2TPOverIPSec 0 0%
L2TPOverIPSecOverNatT 0 0%
PPPoE 0 0%
vpnLoadBalanceMgmt 0 0%
userHTTPS 0 0%
IMAP4S 3 30%
POP3S 0 0%
SMTPS 3 30%

 
関連コマンド

コマンド
説明

show vpn-sessiondb

セッションを詳細情報付きまたは詳細情報なしで表示します。指定する基準に従って、フィルタリングおよびソートすることもできます。

show vpn-sessiondb summary

セッションの要約を表示します。現在のセッションの合計数、各タイプの現在のセッション数、ピーク時の数および累積合計数、最大同時セッション数を含んでいます。

show vpn-sessiondb summary

IPSec セッション、Cisco AnyConnect セッション、NAC セッションの数を表示するには、特権 EXEC モードで show vpn-sessiondb summary コマンドを使用します。

show vpn-sessiondb summary

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(5)

アクティブ、累積、ピーク時数、非アクティブを示す新しい出力が追加されました。

8.0(2)

VLAN マッピング セッション テーブルが追加されました。

7.0(7)

このコマンドが追加されました。

次に、アクティブ デバイスでの show vpn-sessiondb summary コマンドの出力例を示します。


) スタンバイのデバイスは、アクティブと非アクティブ セッションを区別しません。


hostname# show vpn-sessiondb summary
 
Active Session Summary
Sessions:
Active : Cumulative : Peak Concurrent : Inactive :
SSL VPN : 0 : 1 : 1 :
Clientless only 0 : 1 : 1 :
With client 0 : 0 : 0 : 0
Totals 0 : 1
 
 
License Information:
Shared VPN License Information:
SSL VPN : 12000
Allocated to this device : 0
Allocated to network : 0
Device limit : 750
 
IPsec : 750 Configured : 750 Active : 0 Load : 0%
SSL VPN : 750 Configured : 750 Active : 0 Load : 0%
Active : Cumulative : Peak Concurrent
SSL VPN : 0 : 1 : 1
Totals : 0 : 1 :
 
Active NAC Sessions:
Accepted : 0
Rejected : 0
Exempted : 0
Non-responsive : 0
Hold-off : 0
N/A : 0
 
Active VLAN Mapping Sessions:
Static : 0
Auth : 0
Access : 0
Guest : 0
Quarantine : 0
N/A : 0
 
F1-asa1#
 

セッションとは、特定のピアとの間で確立された VPN トンネルです。IPSec LAN-to-LAN トンネルは 1 つのセッションとしてカウントされ、トンネル経由で多くのホスト間接続が許可されます。IPSec リモート アクセス セッションは、1 つのユーザ接続をサポートする 1 つのリモート アクセス トンネルです。

Active SSL VPN With Client 列は、データを渡すアクティブ接続の数を示します。Cumulative SSL VPN With Client 列は、確立されているアクティブ セッションの数を示します。この数には、非アクティブのセッションも含まれ、新しいセッションが追加された場合だけ増加します。Peak Concurrent SSL VPN With Client 列は、データを渡す同時アクティブ セッションのピークの数を示します。Inactive SSL VPN With Client 列は、非アクティブのセッションを示します。これらは、関連付けられたアクティブの SSL トンネルなしの AnyConnect セッションです。

表 29-15 では、アクティブ セッション テーブルとセッション情報テーブルのフィールドについて説明します。

 

表 29-15 show vpn-sessiondb summary コマンド:アクティブ セッションとセッション情報のフィールド

フィールド
説明

Concurrent Limit

この適応型セキュリティ アプライアンスで許可された、同時にアクティブなセッションの最大数。

Cumulative Sessions

適応型セキュリティ アプライアンスが最後にブートまたはリセットされてからのすべてのタイプのセッション数。

LAN-to-LAN

現在アクティブな IPSec LAN-to-LAN セッション数。

Peak Concurrent

適応型セキュリティ アプライアンスが最後にブートまたはリセットされてから、同時にアクティブであったすべてのタイプのセッションの最大数。

Percent Session Load

使用中の vpn セッション割り当てのパーセンテージ。この値は、Total Active Sessions を使用可能なセッションの最大数で割った値に等しく、パーセンテージで表示されます。使用可能なセッションの最大数は、次のいずれかの値です。

ライセンスがある IPSec セッションと SSL VPN セッションの最大数。

次のコマンドを使用して設定されたセッションの最大数。

vpn-sessiondb max-session-limit

vpn-sessiondb max-webvpn-session-limit

Remote Access

現在アクティブな PPTP、L2TP、IPSec リモートアクセス ユーザ、L2TP over IPSec、IPSec through NAT セッション数。

Total Active Sessions

現在アクティブなすべてのタイプのセッション数。

アクティブな NAC セッション テーブルには、ポスチャ確認の対象であるリモート ピアに関する一般的な統計情報が表示されます。

NAC 累積セッション テーブルには、ポスチャ確認の対象である、あるいは以前から対象であったリモート ピアに関する一般的な統計情報が表示されます。

表 29-16 では、アクティブな NAC セッション テーブルと NAC 累積合計セッション テーブルのフィールドについて説明します。

 

表 29-16 show vpn-sessiondb summary コマンド:アクティブな NAC セッション テーブルと NAC 累積合計セッション テーブルのフィールド

フィールド
説明

Accepted

ポスチャ確認が成功し、アクセス コントロール サーバによりアクセス ポリシーが供与されたピアの数。

Exempted

適応型セキュリティ アプライアンス上で設定されたポスチャ確認免除リストのエントリに一致しているため、ポスチャ確認の対象とならないピアの数。

Hold-off

適応型セキュリティ アプライアンスがポスチャ確認に成功した後、EAPoUDP との通信が途絶えたピアの数。NAC Hold Timer アトリビュート(コンフィギュレーション> VPN > NAC)は、このタイプのイベントと、ピアごとの次のポスチャ確認試行間の遅延を指定します。

N/A

VPN NAC グループ ポリシーに応じて NAC がディセーブルになるピアの数。

Non-responsive

ポスチャ確認時の Extensible Authentication Protocol(EAP; 拡張認証プロトコル)over UDP 要求に応答しないピアの数。CTA が実行されていないピアは、これらの要求に応答しません。適応型セキュリティ アプライアンス コンフィギュレーションがクライアントレス ホストをサポートする場合、アクセス コントロール サーバはクライアントレス ホストに関連付けられているアクセス ポリシーをこれらのピアの適応型セキュリティ アプライアンスにダウンロードします。クライアントレス ホストをサポートしない場合、適応型セキュリティ アプライアンスは NAC デフォルト ポリシーを割り当てます。

Rejected

ポスチャ確認に失敗したか、アクセス コントロール サーバによりアクセス ポリシーを供与されなかったピアの数。

アクティブな VLAN マッピング セッション テーブルには、ポスチャ確認の対象であるリモート ピアに関する一般的な統計情報が表示されます。

VLAN 累積マッピング セッション テーブルには、ポスチャ確認の対象である、あるいは以前から対象であったリモート ピアに関する一般的な統計情報が表示されます。

表 29-17 では、アクティブな VLAN マッピング セッション テーブルと VLAN 累積マッピング セッション テーブルのフィールドについて説明します。

 

表 29-17 show vpn-sessiondb summary コマンド:アクティブな VLAN マッピング セッションとアクティブな VLAN 累積マッピング セッションのフィールド

フィールド
説明

Access

今後使用するために予約されています。

Auth

今後使用するために予約されています。

Guest

今後使用するために予約されています。

N/A

今後使用するために予約されています。

Quarantine

今後使用するために予約されています。

Static

このフィールドには、事前設定された VLAN に割り当てられている VPN セッションの数が表示されます。

 
関連コマンド

コマンド
説明

show vpn-sessiondb

セッションを詳細情報付きまたは詳細情報なしで表示します。指定する基準に従って、フィルタリングおよびソートすることもできます。

show vpn-sessiondb ratio

VPN セッションの暗号化またはプロトコルの比率を表示します。

show wccp

Web Cache Communication Protocol(WCCP; Web キャッシュ通信プロトコル)に関連するグローバル統計情報を表示するには、特権 EXEC モードで show wccp コマンドを使用します。

show wccp {web-cache | service-number }[ detail | view ]

 
構文の説明

web-cache

Web キャッシュ サービスの統計情報を指定します。

service-number

(任意)キャッシュが制御する Web キャッシュ サービス グループの ID 番号。指定できる番号の範囲は 0 ~ 256 です。Cisco Cache Engine を使用する Web キャッシュの場合、逆プロキシ サービスは値 99 で示されます。

detail

(任意)ルータとすべての Web キャッシュに関する情報を表示します。

view

(任意)特定のサービス グループの他のメンバーが検出されたかどうかを表示します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、WCCP 情報を表示する例を示します。

hostname(config)# show wccp
Global WCCP information:
Router information:
Router Identifier: -not yet determined-
Protocol Version: 2.0
 
Service Identifier: web-cache
Number of Cache Engines: 0
Number of routers: 0
Total Packets Redirected: 0
Redirect access-list: foo
Total Connections Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: foobar
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total Bypassed Packets Received: 0
hostname(config)#

 
関連コマンド

コマンド
説明

wccp

サービス グループを使用して、WCCP のサポートをイネーブルにします。

wccp redirect

WCCP リダイレクションのサポートをイネーブルにします。

show webvpn csd

CSD がイネーブルになっているかどうかを判別し、イネーブルであった場合に、実行コンフィギュレーションの CSD バージョンを表示するか、または CSD の配布パッケージが有効かどうかを確認するためにファイルをテストするには、特権 EXEC モードで show webvpn csd コマンドを使用します。

show webvpn csd [image filename ]

 
構文の説明

filename

CSD 配布パッケージとしての有効性をテストするファイル名を指定します。これは securedesktop_asa_< n >_< n >*.pkg の形式にする必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

CSD の動作ステータスを確認するには、 show webvpn csd コマンドを使用します。このコマンドが入力されると、CLI は次のいずれかのメッセージで応答します。

Secure Desktop is not enabled.

CSD は実行コンフィギュレーション内にありますが、ディセーブルにされています。CSD をイネーブルにするには、webvpn コンフィギュレーション モードに入って csd enable コマンドを入力します。

Secure Desktop version n . n . n . n is currently installed and enabled.

CSD はイネーブルに設定されています。フラッシュ デバイスから読み込まれた配布パッケージがバージョン番号を判別します。Cisco Secure Desktop Manager には、ASDM Configuration > CSD のメニュー パスからアクセスできます。ユーザが CSD にアクセスできるのは、CSD コンフィギュレーションに場所が含まれる場合だけです。

ファイルが有効な CSD 配布パッケージであるかどうかをテストして確認するには、 show webvpn csd image コマンドを使用します。同様に、webvpn コンフィギュレーション モードで csd image コマンドが入力された場合は、コマンドで指定したファイルが有効な CSD 配布パッケージである場合に限り、CSD がインストールされます。ファイルが無効である場合は、「ERROR: Unable to use CSD image」のメッセージが表示されます。

show webvpn csd image コマンドは、有効な CSD 配布パッケージであるかどうかを確認するためにファイルをテストしますが、ファイルが有効な場合でも、自動的に CSD がインストールされることはありません。このコマンドが入力されると、CLI は次のいずれかのメッセージで応答します。

ERROR: This is not a valid Secure Desktop image file.

ファイル名が securedesktop_asa_< n >_<n>*.pkg の形式になっていることを確認します。形式が正しい場合は、ファイルを次の Web サイトから新たに取得したファイルで置き換えます。

http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop

次に show webvpn csd image コマンドを再入力します。イメージが有効である場合は、webvpn コンフィギュレーション モードで csd image および csd enable コマンドを使用して、CSD をインストールしてイネーブルにします。

This is a valid Cisco Secure Desktop image:
Version : 3.1.0.25
Built on : Wed 10/19/2005 14:51:23.82

ファイルが有効な場合、CLI の応答にはバージョンと日付スタンプが含まれることに注意してください。

次の例は、CSD が実行コンフィギュレーションにインストールされてイネーブルにされたことを示しています。

hostname# show webvpn csd
Secure Desktop version 3.1.0.25 is currently installed and enabled.
hostname#
 

次の例は、指定されたファイルが有効な CSD イメージであることを示しています。

hostname#show webvpn csd image securedesktop_asa_3_1_0_25.pkg
 
This is a valid Cisco Secure Desktop image:
Version : 3.1.0.25
Built on : Wed 10/19/2005 14:51:23.82
 
hostname#
 

 
関連コマンド

コマンド
説明

csd enable

管理およびリモート ユーザ アクセスの CSD をイネーブルにします。

csd image

コマンドで指定された CSD イメージを、パスで指定されたフラッシュ ドライブから実行コンフィギュレーションにコピーします。

show webvpn group-alias

特定のトンネル グループまたはすべてのトンネル グループのエイリアスを表示するには、特権 EXEC モードで group-alias コマンドを使用します。

show webvpn group-alias [ tunnel-group ]

 
構文の説明

tunnel-group

(任意)グループ エイリアスを表示する特定のトンネル グループを指定します。

 
デフォルト

トンネル グループ名を入力しない場合、このコマンドはすべてのトンネル グループのすべてのエイリアスを表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.1

このコマンドが追加されました。

 
使用上のガイドライン

show webvpn group-alias コマンドを入力するときには、WebVPN が実行されている必要があります。

各トンネル グループは、エイリアスを複数持つことも、まったく持たないこともあります。

次の例は、トンネル グループ「devtest」のエイリアスを表示する show webvpn group-alias コマンドと、そのコマンドの出力を示しています。

hostname# show webvpn group-alias devtest
QA
Fra-QA
 

 
関連コマンド

コマンド
説明

group-alias

グループに対して 1 つ以上の URL を指定します。

tunnel-group webvpn-attributes

WebVPN トンネル グループ アトリビュートを設定する config-webvpn モードを開始します。

show webvpn group-url

特定のトンネル グループまたはすべてのトンネル グループの URL を表示するには、特権 EXEC モードで group-url コマンドを使用します。

show webvpn group-url [ tunnel-group ]

 
構文の説明

tunnel-group

(任意)URL を表示する特定のトンネル グループを指定します。

 
デフォルト

トンネル グループ名を入力しない場合、このコマンドはすべてのトンネル グループのすべての URL を表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シンsグル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

show webvpn group-url コマンドを入力するときには、WebVPN が実行されている必要があります。各グループは、URL を複数持つことも、まったく持たないこともあります。

次の例は、トンネル グループ「frn-eng1」の URL を表示する show webvpn group-url コマンドと、そのコマンドの出力を示しています。

hostname# show webvpn group-url
http://www.cisco.com
https://fra1.vpn.com
https://fra2.vpn.com
 

 
関連コマンド

コマンド
説明

group-url

グループに対して 1 つ以上の URL を指定します。

tunnel-group webvpn-attributes

WebVPN トンネル グループ アトリビュートを設定する config-webvpn モードを開始します。

show webvpn sso-server

WebVPN シングル サインオン サーバに関する動作統計情報を表示するには、特権 EXEC モードで show webvpn sso-server コマンドを使用します。

show webvpn sso-server [name ]

 
構文の説明

name

オプションで、SSO サーバの名前を指定します。サーバ名は 4 ~ 31 文字にする必要があります。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

config-webvpn-sso-saml

--

--

--

config-webvpn-sso-siteminder

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 show webvpn sso-server コマンドは、セキュリティ デバイスで設定済みの任意の SSO サーバまたはすべての SSO サーバの動作統計情報を表示します。

SSO サーバ名引数が入力されない場合は、すべての SSO サーバの統計情報が表示されます。

次の例では、特権 EXEC モードでコマンドを入力し、名前が example で、タイプが SiteMinder の SSO サーバの統計情報を表示しています。

hostname# show webvpn sso-server example
Name: example
Type: SiteMinder
Authentication Scheme Version: 1.0
Web Agent URL: http://www.example.com/webvpn
Number of pending requests: 0
Number of auth requests: 0
Number of retransmissions: 0
Number of accepts: 0
Number of rejects: 0
Number of timeouts: 0
Number of unrecognized responses: 0
hostname#
 
次の例では、特定の SSO サーバ名を指定せずにこのコマンドを発行することで、適応型セキュリティ アプライアンスで設定されているすべての SSO サーバに関する統計情報を表示しています。
 
hostname#(config-webvpn)# show webvpn sso-server
Name: high-security-server
Type: SAML-v1.1-POST
Assertion Consumer URL:
Issuer:
Number of pending requests: 0
Number of auth requests: 0
Number of retransmissions: 0
Number of accepts: 0
Number of rejects: 0
Number of timeouts: 0
Number of unrecognized responses: 0
Name: my-server
Type: SAML-v1.1-POST
Assertion Consumer URL:
Issuer:
Number of pending requests: 0
Number of auth requests: 0
Number of retransmissions: 0
Number of accepts: 0
Number of rejects: 0
Number of timeouts: 0
Number of unrecognized responses: 0
Name: server
Type: SiteMinder
Authentication Scheme Version: 1.0
Web Agent URL:
Number of pending requests: 0
Number of auth requests: 0
Number of retransmissions: 0
Number of accepts: 0
Number of rejects: 0
Number of timeouts: 0
Number of unrecognized responses: 0
asa1(config-webvpn)#

 
関連コマンド

コマンド
説明

max-retry-attempts

適応型セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数を設定します。

policy-server-secret

SiteMinder タイプ SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

sso-server

シングル サインオン サーバを作成します。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

show webvpn svc

適応型セキュリティ アプライアンスにインストールされ、キャッシュ メモリに読み込まれる SSL VPN クライアント イメージについての情報を表示するには、またはファイルが有効なクライアント イメージであるかテストするには、特権 EXEC モードで show webvpn svc コマンドを使用します。

show webvpn svc [image filename ]

 
構文の説明

image filename

SSL VPN クライアント イメージ ファイルとしてテストするファイル名を指定します。

 
デフォルト

このコマンドには、デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

キャッシュ メモリに読み込まれ、リモート PC にダウンロードできる SSL VPN クライアント イメージについての情報を表示するには、特権 EXEC モードで show webvpn svc コマンドを使用します。ファイルをテストして有効なイメージかどうかを確認するには、 image filename キーワードと引数を使用します。ファイルが有効なイメージでない場合は、次のメッセージが表示されます。

ERROR: This is not a valid SSL VPN Client image file.

次に、現在インストールされているイメージに対する show webvpn svc コマンドの出力例を示します。

hostname# show webvpn svc
1. windows.pkg 1
SSL VPN Client
CISCO STC win2k+ 1.1.0
1,1,0,107
Thu 04/14/2005 09:27:54.43
2. window2.pkg 2
CISCO STC win2k+ 1.1.0
1,1,0,107
Thu 04/14/2005 09:27:54.43
 

次に、有効なイメージに対する show webvpn svc image filename コマンドの出力例を示します。

F1(config-webvpn)# show webvpn svc image sslclient-win-1.0.2.127.pkg
 
This is a valid SSL VPN Client image:
CISCO STC win2k+ 1.0.0
1,0,2,127
Fri 07/22/2005 12:14:45.43

 
関連コマンド

コマンド
説明

svc enable

適応型セキュリティ アプライアンスをイネーブルにして、SSL VPN クライアントをリモート PC にダウンロードできるようにします。

svc image

セキュリティ アプライアンスで、フラッシュ メモリからキャッシュ メモリへ SSL VPN クライアント ファイルを読み込みます。また、クライアント イメージをオペレーティング システムと一致させるときに、セキュリティ アプライアンスがクライアント イメージの各部分をリモート PC にダウンロードする順序を指定します。

vpn-tunnel-protocol

SSL VPN クライアントが使用する SSL を含め、リモート VPN ユーザ向けの特定の VPN トンネル プロトコルをイネーブルにします。

show xlate

NAT セッション(xlates)の情報を表示するには、特権 EXEC モードで show xlate コマンドを使用します。

show xlate [ global ip1 [ - ip2 ] [ netmask mask ]] [ local ip1 [ - ip2 ] [ netmask mask ]]
[
gport port1 [ - port2 ]] [ lport port1 [ - port2 ]] [ interface if_name ] [ type type ]

show xlate count

 
構文の説明

count

変換カウントを表示します。

global ip1 [ - ip2 ]

(任意)アクティブな変換をマッピングされた IP アドレスまたはアドレスの範囲別に表示します。

gport port1 [ -port2 ]

(任意)アクティブな変換をマッピングされたポートまたはポートの範囲別に表示します。

interface if_name

(任意)アクティブな変換をインターフェイス別に表示します。

local ip1 [ - ip2 ]

(任意)アクティブな変換を実際の IP アドレスまたはアドレスの範囲別に表示します。

lport port1 [ -port2 ]

(任意)アクティブな変換を実際のポートまたはポートの範囲別に表示します。

netmask mask

(任意)マッピングされた、または実際の IP アドレスを限定するネットワーク マスクを指定します。

state state

(任意)アクティブな変換をタイプ別に表示します。次のタイプを 1 つ以上入力できます。

static

portmap

dynamic

twice-nat

複数のタイプを指定する場合は、タイプをカンマで区切ります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドは、新しい NAT 実装をサポートするように変更されました。

 
使用上のガイドライン

show xlate コマンドは変換スロットの内容を表示します。


vpnclient コンフィギュレーションがイネーブルで、内部ホストが DNS 要求を送信する場合、show xlate コマンドはスタティック変換の複数の xlate をリストすることがあります。


次に、 show xlate コマンドの出力例を示します。

hostname# show xlate
5 in use, 5 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from any:10.90.67.2 to any:10.9.1.0/24
flags s idle 277:05:26 timeout 0:00:00
NAT from any:10.1.1.0/24 to any:172.16.1.0/24
flags s idle 277:05:26 timeout 0:00:00
NAT from any:10.90.67.2 to any:10.86.94.0
flags s idle 277:05:26 timeout 0:00:00
NAT from any:10.9.0.9, 10.9.0.10/31, 10.9.0.12/30,
10.9.0.16/28, 10.9.0.32/29, 10.9.0.40/30,
10.9.0.44/31 to any:0.0.0.0
flags s idle 277:05:26 timeout 0:00:00
NAT from any:10.1.1.0/24 to any:172.16.1.0/24
flags s idle 277:05:14 timeout 0:00:00
 

 
関連コマンド

コマンド
説明

clear xlate

現在の変換および接続情報をクリアします。

show conn

すべてのアクティブ接続を表示します。

show local-host

ローカル ホスト ネットワーク情報を表示します。

show uauth

現在認証済みのユーザを表示します。