show s

show saml metadata

SAML メタデータのトンネル グループ名を表示します。

show saml metadata tunnel-group-name

構文の説明

SAML メタデータを表示するトンネル グループの名前を入力します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.5(2)

このコマンドが追加されました。

使用上のガイドライン

特定のトンネル グループの SAML SP のメタデータを表示します。

次に、show scansafe server コマンドの出力例を示します。


ciscoasa# show saml metadata saml_sso_tunnel_group

show scansafe server

クラウド Web セキュリティ プロキシ サーバーのステータスを表示するには、特権 EXEC モードで show scansafe server コマンドを使用します。

show scansafe server

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.0(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、サーバーが現在のアクティブ サーバー、バックアップ サーバー、または到達不能のいずれであるか、サーバーのステータスを表示します。

マルチ コンテキスト モードでは、このコマンドの出力は、ScanSafe サーバーに到達する管理コンテキストの機能によって異なります。管理コンテキストは、定期的にポーリングを試行して、トラフィックが ASA を通過していない場合に ScanSafe サーバーがアップしているかどうかを確認します。ポーリング試行の間隔は設定不可で、15 分に固定されています。また、管理コンテキストは、ScanSafe タワーにキープアライブを送信します。

次に、show scansafe server コマンドの出力例を示します。


ciscoasa# show scansafe server
ciscoasa# Primary: proxy197.scansafe.net (72.37.244.115) (REACHABLE)*
ciscoasa# Backup: proxy137.scansafe.net (80.254.152.99) 

show scansafe statistics

クラウド Web セキュリティアクティビティに関する情報を表示するには、特権 EXEC モードで show scansafe statistics コマンドを使用します。

show scansafe statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.0(1)

このコマンドが追加されました。

使用上のガイドライン

show scansafe statistics コマンドは、プロキシサーバーにリダイレクトされる接続数、現在リダイレクトされている接続数、ホワイトリストに記載されている接続数などの クラウド Web セキュリティアクティビティに関する情報を示します。

次に、show scansafe statistics コマンドの出力例を示します。


ciscoasa# show scansafe statistics 
Current HTTP sessions : 0
Current HTTPS sessions : 0
Total HTTP Sessions : 0
Total HTTPS Sessions : 0
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 0 Bytes
Total Bytes Out : 0 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 0/0/0
HTTPS session Connect Latency in ms(min/max/avg) : 0/0/0

show sctp

現在の Stream Control Transmission Protocol(SCTP)Cookie とアソシエーションを表示するには、特権 EXEC モードで show sctp コマンドを使用します。

show sctp [ detail ]

構文の説明

detail

SCTP アソシエーションに関する詳細情報を表示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.5(2)

このコマンドが追加されました。

9.7(1)

詳細な出力に、マルチホーミング、複数のストリーム、およびフレーム リアセンブルに関する情報が含まれるようになりました。

使用上のガイドライン

show sctp コマンドは、SCTP Cookie とアソシエーションに関する情報を表示します。

次に、show sctp コマンドの出力例を示します。


ciscoasa# show sctp
 
AssocID: 2279da7a
Local:  192.168.107.11/20001 (ESTABLISHED)
Remote: 192.168.108.11/40174 (ESTABLISHED)
AssocID: 4924f520
Local:  192.168.107.11/20001 (ESTABLISHED)
Remote: 192.168.108.11/40200 (ESTABLISHED)

次に、show sctp detail コマンドの出力例を示します。


ciscoasa(config)# show sctp detail
 
 
AssocID: 8b7e3ffb
Local:  192.168.100.56/3868 (ESTABLISHED)
    Receiver Window: 48000
    Cumulative TSN: 5cb6cd9b
    Next TSN: 5cb6cd9c
    Earliest Outstanding TSN: 5cb6cd9c
    Out-of-Order Packet Count: 0
Remote: 192.168.200.78/3868 (ESTABLISHED)
    Receiver Window: 114688
    Cumulative TSN: 5cb6cd98
    Next TSN: 0
    Earliest Outstanding TSN: 5cb6cd9c
    Out-of-Order Packet Count: 0

9.7(1) から、詳細な出力に、マルチホーミング、複数のストリームおよびフレーム リアセンブルに関する情報が含まれるようになりました。


asa2005# show sctp detail
 
AssocID: 2e590263
Local:  10.0.103.250/50000 (ESTABLISHED)
    Multi-homing IP's: 10.0.103.251(10.0.103.251)
    Receiver Window: 106496
    Cumulative TSN: bf0a3180
    Next TSN: 0
    Earliest Outstanding TSN: 0
    Re-ordering queue:
    Stream ID 3: next SN 10, first/last queued SN 11/16, hole SN:
    Stream ID 4: next SN 10, first/last queued SN 11/16, hole SN:
Remote: 10.0.102.250/3868 (CLOSED)
    Multi-homing IP's: 10.0.102.251(10.0.102.251)
    Receiver Window: 106496
    Cumulative TSN: 915d5916
    Next TSN: 0
    Earliest Outstanding TSN: 0
    Re-ordering queue:
Secondary Conn List:
    10.0.102.251(10.0.102.251):3868 to 10.0.103.251(10.0.103.251):50000
    10.0.103.251(10.0.103.251):50000 to 10.0.102.251(10.0.102.251):3868
    10.0.102.250(10.0.102.250):3868 to 10.0.103.251(10.0.103.251):50000
    10.0.103.251(10.0.103.251):50000 to 10.0.102.250(10.0.102.250):3868
    10.0.102.251(10.0.102.251):3868 to 10.0.103.250(10.0.103.250):50000
    10.0.103.250(10.0.103.250):50000 to 10.0.102.251(10.0.102.251):3868

show service-policy

サービスポリシー統計情報を表示するには、特権 EXEC モードで show service-policy コマンドを使用します。

show service-policy [ global | interface intf ][ csc | cxsc | inspect inspection [ arguments ] | ips | police | priority | set connection [ details ] | sfr | shape | user-statistics ]

show service-policy [ global | interface intf ][ flow protocol { host src_host | src_ip src_mask }[ eq src_port ]{ host dest_host | dest_ip dest_mask }[ eq dest_port ][ icmp_number | icmp_control_message ]]

構文の説明

csc

(任意) csc コマンドを含むポリシーに関する詳細情報を表示します。

cxsc

(任意) cxsc コマンドを含むポリシーに関する詳細情報を表示します。

dest_ip dest_mask

flow キーワードの場合、宛先 IP アドレスおよびトラフィックフローのネットマスク。

details

(任意) set connection キーワードの場合、クライアントごとの接続制限が有効な場合に、クライアントごとの接続情報を表示します。

eq dest_port

(任意) flow キーワードの場合、フローの宛先ポートに相当します。

eq src_port

(任意) flow キーワードの場合、フローの送信元ポートに相当します。

flow protocol

(オプション)5 つのタプル(プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート)で識別される特定フローに一致するポリシーを示します。このコマンドを利用すると、サービス ポリシー コンフィギュレーションによって、必要なサービスが特定の接続に提供されることを確認できます。

フローが 5 つのタプルとして示されるため、すべてのポリシーがサポートされるわけではません。次のサポート対象ポリシーが一致します。

  • match access-list

  • match port

  • match rtp

  • match default-inspection-traffic

global

(オプション)出力をグローバル ポリシーに制限します。

host dest_host

flow キーワードの場合、トラフィックフローのホスト宛先 IP アドレス。

host src_host

flow キーワードの場合、トラフィックフローのホスト送信元 IP アドレス。

icmp_control_message

(任意)プロトコルとして ICMP を指定した場合の flow キーワードに対して、トラフィックフローの ICMP 制御メッセージを指定します。

icmp_number

(任意)プロトコルとして ICMP を指定した場合の flow キーワードに対して、トラフィックフローの ICMP プロトコル番号を指定します。

inspect inspection [arguments ]

(任意) inspect コマンドを含むポリシーに関する詳細情報を表示します。詳細出力では、一部の inspect コマンドはサポートされません。すべてのインスペクションを表示するには、引数を使用せずに show service-policy コマンドを使用します。各インスペクションで使用できる引数は異なります。詳細については、CLI ヘルプを参照してください。

interface intf

(任意) intf 引数で指定したインターフェイスに適用されるポリシーを表示します。 intf nameif コマンドで定義したインターフェイス名です。

ips

(任意) ips コマンドを含むポリシーに関する詳細情報を表示します。

police

(任意) police コマンドを含むポリシーに関する詳細情報を表示します。

priority

(任意) priority コマンドを含むポリシーに関する詳細情報を表示します。

set connection

(任意) set connection コマンドを含むポリシーに関する詳細情報を表示します。

sfr

(任意) sfr コマンドを含むポリシーに関する詳細情報を表示します。

shape

(任意) shape コマンドを含むポリシーに関する詳細情報を表示します。

src_ip src_mask

flow キーワードの場合、送信元 IP アドレスおよびトラフィックフローで使用されるネットマスク。

user-statistics

(任意) user-statistics コマンドを含むポリシーに関する詳細情報を表示します。このコマンドは、アイデンティティ ファイアウォールに関するユーザー統計情報を表示します。これには、選択したユーザーの、送信パケット数、送信ドロップ数、受信パケット数および送信ドロップ数が含まれます。

コマンド デフォルト

引数を指定しない場合、このコマンドはすべてのグローバル ポリシーおよびインターフェイス ポリシーを表示します。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

csc キーワードが追加されました。

7.2(4)/8.0(4)

shape キーワードが追加されました。

8.4(2)

アイデンティティ ファイアウォール用の user-statistics キーワードのサポートが追加されました。

8.4(4.1)

ASA CX モジュール用の cxsc キーワードのサポートが追加されました。

9.2(1)

ASA FirePOWER モジュール用の sfr キーワードのサポートが追加されました。

9.5(2)

inspect sctp および inspect diameter キーワードが追加されました。

9.6(2)

inspect stun および inspect m3ua { drops | endpoint ip_address } キーワードが追加されました。

9.7(1)

inspect m3ua session および inspect gtp pdpmcb teid teid キーワードが追加されました。また、表示ルールの制限がクラス マップあたり 64 から 128 に引き上げられました。

9.10(1)

dns を検査する detail キーワードが追加されました。Cisco Umbrella に関する詳細が提供されます。

使用上のガイドライン

show service-policy コマンドの出力に表示される初期接続の数は、 class-map コマンドによって定義されたトラフィックマッチングに一致するインターフェイスへの、初期接続の数を示しています。「embryonic-conn-max」フィールドには、モジュラ ポリシー フレームワークを使用するトラフィック クラスに設定された最大初期接続の制限値が表示されます。表示される現在の初期接続数が最大値と等しい場合、または最大値を超えている場合は、新しい TCP 接続が class-map コマンドによって定義されたトラフィックタイプに一致すると、その接続に対して TCP 代行受信が適用されます。

コンフィギュレーションに対してサービス ポリシーの変更を加えた場合は、すべての新しい接続で新しいサービス ポリシーが使用されます。既存の接続は、接続の確立時に設定されたポリシーを引き続き使用します。 show コマンド出力には古い接続に関するデータは含まれません。たとえば、インターフェイスから QoS サービスポリシーを削除し、変更したバージョンを再度追加した場合、 show service-policy コマンドには、新しいサービスポリシーに一致する新しい接続に関連付けられた QoS カウンタだけが表示されます。古いポリシーの既存の接続はコマンド出力には表示されなくなります。すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。 clear conn コマンドまたは clear local-host コマンドを参照してください。


(注)  


inspect icmp ポリシーと inspect icmp error ポリシーの場合、パケット数にはエコー要求パケットと応答パケットのみが含まれます。

次に、 show service-policy global コマンドの出力例を示します。


ciscoasa# show service-policy global
Global policy:
  Service-policy: inbound_policy
    Class-map: ftp-port
      Inspect: ftp strict inbound_ftp, packet 0, drop 0, reset-drop 0

次に、 show service-policy priority コマンドの出力例を示します。


ciscoasa# show service-policy priority
Interface outside:
Global policy:
  Service-policy: sa_global_fw_policy
Interface outside:
  Service-policy: ramap
    Class-map: clientmap
      Priority:
        Interface outside: aggregate drop 0, aggregate transmit 5207048
    Class-map: udpmap
      Priority:
        Interface outside: aggregate drop 0,  aggregate transmit 5207048
    Class-map: cmap

次に、 show service-policy flow コマンドの出力例を示します。


ciscoasa# show service-policy flow udp host 209.165.200.229 host 209.165.202.158 eq 5060
Global policy: 
  Service-policy: f1_global_fw_policy
    Class-map: inspection_default
      Match: default-inspection-traffic
      Action:
        Input flow:  inspect sip 
Interface outside:
  Service-policy: test
    Class-map: test
      Match: access-list test
        Access rule: permit ip 209.165.200.229 255.255.255.224 209.165.202.158 255.255.255.224
      Action:
        Input flow:  ids inline
        Input flow:  set connection conn-max 10 embryonic-conn-max 20

次に、 show service-policy inspect http コマンドの出力例を示します。この例では、match-any クラス マップ内の match コマンドごとに統計情報が表示されます。


ciscoasa# show service-policy inspect http
Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: http http, packet 1916, drop 0, reset-drop 0
        protocol violations
          packet 0
        class http_any (match-any) 
          Match: request method get, 638 packets
          Match: request method put, 10 packets
          Match: request method post, 0 packets
          Match: request method connect, 0 packets
          log, packet 648

複数の CPU コアを搭載しているデバイスの場合は、ロック失敗用のカウンタがあります。共有されるデータ構造と変数は複数のコアによって使用可能なため、それらを保護するためにロック メカニズムが使用されます。コアはロックの取得に失敗すると、ロックの取得を再試行します。ロック失敗カウンタは、試行が失敗するごとに増分されます。


ciscoasa# show service-policy 
Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
      ...
      Inspect: esmtp _default_esmtp_map, packet 96716502, lock fail 7, drop 25, 
reset-drop 0
      Inspect: sqlnet, packet 2526511491, lock fail 21, drop 2362, reset-drop 0

次に、 show service-policy inspect waas コマンドの出力例を示します。この例では、waas の統計情報が表示されます。


ciscoasa# show service-policy inspect waas
Global policy: 
  Service-policy: global_policy
    Class-map: WAAS
      Inspect: waas, packet 12, drop 0, reset-drop 0
		SYN with WAAS option 4
		SYN-ACK with WAAS option 4
		Confirmed WAAS connections 4
		Invalid ACKs seen on WAAS connections 0
		Data exceeding window size on WAAS connections 0

次に、GTP インスペクションの統計情報を表示するコマンドを示します。出力については、表 12-1 で説明されています。


firewall(config)# show service-policy inspect gtp statistics
 
GPRS GTP Statistics:
  version_not_support               0     msg_too_short             0
  unknown_msg                       0     unexpected_sig_msg        0
  unexpected_data_msg               0     ie_duplicated             0
  mandatory_ie_missing              0     mandatory_ie_incorrect    0
  optional_ie_incorrect             0     ie_unknown                0
  ie_out_of_order                   0     ie_unexpected             0
  total_forwarded                  67     total_dropped             1
  signalling_msg_dropped            1     data_msg_dropped          0
  signalling_msg_forwarded         67     data_msg_forwarded        0
  total created_pdp                33     total deleted_pdp         32
  total created_pdpmcb             31     total deleted_pdpmcb      30
  total dup_sig_mcbinfo             0     total dup_data_mcbinfo    0
  no_new_sgw_sig_mcbinfo            0     no_new_sgw_data_mcbinfo   0
  pdp_non_existent                  1
表 1. GPRS GTP 統計情報

カラムのヘッダー

説明

version_not_support

サポートされていない GTP バージョン フィールドを持つパケットの数を表示します。

msg_too_short

長さが 8 バイトより短いパケットの数を表示します。

unknown_msg

不明なタイプのメッセージ数を表示します。

unexpected_sig_msg

予期しないシグナリング メッセージ数を表示します。

unexpected_data_msg

予期しないデータ メッセージ数を表示します。

mandatory_ie_missing

必須情報要素(IE)が欠落しているメッセージ数を表示します。

mandatory_ie_incorrect

不正な形式の必須情報要素(IE)を持つメッセージ数を表示します。

optional_ie_incorrect

無効なオプション情報要素(IE)を持つメッセージ数を表示します。

ie_unknown

不明な情報要素(IE)を持つメッセージ数を表示します。

ie_out_of_order

順番どおりでない情報要素(IE)を持つメッセージ数を表示します。

ie_unexpected

予期しない情報要素(IE)を持つメッセージを表示します。

ie_duplicated

重複した情報要素(IE)を持つメッセージ数を表示します。

optional_ie_incorrect

不正な形式のオプション情報要素(IE)を持つメッセージ数を表示します。

total_dropped

ドロップされたメッセージの合計数を表示します。

signalling_msg_dropped

ドロップされた信号メッセージ数を表示します。

data_msg_dropped

ドロップされたデータ メッセージ数を表示します。

total_forwarded

転送されたメッセージの合計数を表示します。

signalling_msg_forwarded

転送された信号メッセージ数を表示します。

data_msg_forwarded

転送されたデータ メッセージ数を表示します。

total created_pdp

作成されたパケット データ プロトコル(PDP)またはベアラー コンテキストの合計数を表示します。

total deleted_pdp

削除されたパケット データ プロトコル(PDP)またはベアラー コンテキストの合計数を表示します。

total created_pdpmcb

total deleted_pdpmcb

total dup_sig_mcbinfo

total dup_data_mcbinfo

no_new_sgw_sig_mcbinfo

no_new_sgw_data_mcbinfo

これらのフィールドは、実装機能である PDP マスター制御ブロックの使用に関連しています。これらのカウンタは、トラブルシューティング向けにシスコ テクニカル サポートによって使用され、エンドユーザーには直接の関係はありません。

pdp_non_existent

存在しない PDP コンテキストに対して受信したメッセージ数を表示します。

次に、PDP コンテキストに関する情報を表示するコマンドを示します。


ciscoasa# show service-policy inspect gtp pdp-context
1 in use, 32 most used
Version TID                  MS Addr        SGSN Addr    Idle     Timeout   APN
v2      2692026893437055 10.0.0.1        10.0.0.11       0:00:11  0:04:00  gprs.example.com

ASA 9.6.2 以降、GTP PDP コンテキスト情報はテーブルではなく、1 行ずつ示されます。このため、IPv6 アドレスの使用時に、情報が読み取り易くなります。


ciscoasa# show service-policy inspect gtp pdp-context
4 in use, 5 most used
Version v1,   TID 050542012151705f,  MS Addr 2005:a00::250:56ff:fe96:eec, 
SGSN Addr 10.0.203.22,      Idle 0:52:01,   Timeout 3:00:00,   APN ssenoauth146
Version v2,   TID 0505420121517056,  MS Addr 100.100.100.102,  
SGW Addr 10.0.203.24,      Idle 0:00:05,   Timeout 3:00:00,   APN ssenoauth146
Version v2,   TID 0505420121517057,  MS Addr 100.100.100.103,  
SGW Addr 10.0.203.25,      Idle 0:00:04,   Timeout 3:00:00,   APN ssenoauth146
Version v2,   TID 0505420121517055,  MS Addr 100.100.100.101,  
SGW Addr 10.0.203.23,      Idle 0:00:06,   Timeout 3:00:00,   APN ssenoauth146

表 12-2 で、 show service-policy inspect gtp pdp-context コマンドの出力について説明します。

表 2. PDP コンテキスト

カラムのヘッダー

説明

バージョン

GTP のバージョンを表示します。

TID

トンネル識別子を表示します。

MS Addr

モバイル ステーションのアドレスを表示します。

SGSN Addr

SGW Addr

サービング ゲートウェイ サービス ノード(SGSN)またはサービング ゲートウェイ(SGW)を表示します。

Idle

PDP またはベアラー コンテキストが使用されていない期間を表示します。

APN

アクセス ポイント名を表示します。

show shared license

共有ライセンス統計情報を表示するには、特権 EXEC モードで show shared license コマンドを使用します。オプションのキーワードはライセンス サーバーのみで使用できます。

show shared license [ detail | client [ hostname ] | backup ]

構文の説明

backup

(任意)バックアップ サーバーに関する情報を表示します。

client

(任意)参加ユニットの情報だけを表示します。

detail

(任意)参加ユニットごとの統計情報を含む、すべての統計情報を表示します。

hostname

(任意)特定の参加ユニットの情報だけを表示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(1)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

統計情報をクリアするには、 clear shared license コマンドを入力します。

次に、ライセンス参加ユニットでの show shared license コマンドの出力例を示します。


ciscoasa# show shared license
Primary License Server : 10.3.32.20
  Version              : 1
  Status               : Inactive
Shared license utilization:
  SSLVPN:
    Total for network :     5000
    Available         :     5000
    Utilized          :        0
  This device:
    Platform limit    :      250
    Current usage     :        0
    High usage        :        0
  Messages Tx/Rx/Error:
    Registration    : 0 / 0 / 0
    Get             : 0 / 0 / 0
    Release         : 0 / 0 / 0
    Transfer        : 0 / 0 / 0
Client ID           Usage   Hostname
  ASA0926K04D         0       5510-B

表 12-3 で、 show shared license コマンドの出力について説明します。

表 3. show shared license の説明

フィールド

説明

Primary License Server

プライマリ サーバーの IP アドレス。

Version

共有ライセンスのバージョン。

Status(ステータス)

コマンドがバックアップ サーバーで発行された場合、「Active」はこのデバイスがプライマリ共有ライセンス サーバーとしての役割を果たしていることを意味します。「Inactive」は、デバイスがスタンバイ モードで待機しており、デバイスはプライマリ サーバーと通信していることを意味します。

フェールオーバー ライセンスがプライマリ サーバーで設定されると、バックアップ サーバーは、フェールオーバー中、瞬間的に「Active」になりますが、通信の同期が再び完了すると「Inactive」に戻ります。

Shared license utilization

SSLVPN

Total for network

使用可能な共有セッションの合計数が表示されます。

Available

使用できる残りの共有セッションを表示します。

Utilized

アクティブなライセンス サーバーに対して取得された共有セッション数を表示します。

This device

Platform limit

インストールされているライセンス応じて、デバイスの SSL VPN セッションの合計数を表示します。

現在の使用状況

現在このデバイスが所有する、共有プールからの共有 SSL VPN セッション数を表示します。

High usage

このデバイスが所有した共有 SSL VPN セッションの最大数を表示します。

Messages Tx/Rx/Error

RegistrationGetReleaseTransfer

各接続タイプの送信、受信およびエラーのパケット数を示します。

Client ID

一意のクライアント ID。

使用法

使用中のセッション数を表示します。

Hostname

このデバイスのホスト名を表示します。

次に、ライセンスサーバー上での show shared license detail コマンドの出力例を示します。


ciscoasa# show shared license detail
Backup License Server Info:
Device ID           : ABCD
Address             : 10.1.1.2
Registered          : NO
HA peer ID          : EFGH
Registered          : NO
  Messages Tx/Rx/Error:
    Hello           : 0 / 0 / 0
    Sync            : 0 / 0 / 0
    Update          : 0 / 0 / 0
Shared license utilization:
  SSLVPN:
    Total for network :      500
    Available         :      500
    Utilized          :        0
  This device:
    Platform limit    :      250
    Current usage     :        0
    High usage        :        0
  Messages Tx/Rx/Error:
    Registration    : 0 / 0 / 0
    Get             : 0 / 0 / 0
    Release         : 0 / 0 / 0
    Transfer        : 0 / 0 / 0
Client Info:
  Hostname          : 5540-A
  Device ID         : XXXXXXXXXXX
  SSLVPN:
    Current usage   : 0
    High            : 0
  Messages Tx/Rx/Error:
    Registration    : 1 / 1 / 0
    Get             : 0 / 0 / 0
    Release         : 0 / 0 / 0
    Transfer        : 0 / 0 / 0
...

show shun

shun 情報を表示するには、特権 EXEC モードで show shun コマンドを使用します。

show shun [ src_ip | statistics ]

構文の説明

src_ip

(任意)このアドレスに関する情報を表示します。

statistics

(任意)インターフェイスのカウンタだけを表示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

8.2(2)

脅威イベントについては、シビラティ(重大度)レベルが警告から通知に変更されました。脅威イベントは 5 分ごとにトリガーできます。

次に、show shun コマンドの出力例を示します。


ciscoasa# show shun
shun (outside) 10.1.1.27 10.2.2.89 555 666 6
shun (inside1) 10.1.1.27 10.2.2.89 555 666 6

show sip

SIP セッションを表示するには、特権 EXEC モードで sip コマンドを使用します。

show sip

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

show sip コマンドは、ASA を越えて確立されている SIP セッションの情報を表示します。


(注)  


pager コマンドを設定してから show sip コマンドを使用することを推奨します。多数の SIP セッションレコードが存在する場合に pager コマンドが設定されていないと、show sip コマンドが最後まで出力されるまでに時間がかかります。

次に、show sip コマンドの出力例を示します。


ciscoasa# show sip
Total: 2
call-id c3943000-960ca-2e43-228f@10.130.56.44
 | state Call init, idle 0:00:01
call-id c3943000-860ca-7e1f-11f7@10.130.56.45
 | state Active, idle 0:00:06

この例では、ASA 上の 2 つのアクティブな SIP セッションが表示されています(Total フィールドを参照)。各 call-id が 1 つのコールを表します。

最初のセッションは call-id c3943000-960ca-2e43-228f@10.130.56.44 で、Call Init 状態にあります。これは、このセッションがまだコール設定中であることを示しています。コール設定が完了するのは、ACK が確認されてからです。このセッションは、1 秒間アイドル状態でした。

2 番目のセッションは Active 状態です。この状態ではコール設定が完了し、エンドポイントがメディアを交換しています。このセッションは、6 秒間アイドル状態でした。

show skinny

SCCP(Skinny)インスペクション エンジンの問題をトラブルシューティングするには、特権 EXEC モードで show skinny コマンドを使用します。

show skinny

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

show skinny コマンドは、SCCP(Skinny)セッションに関する情報を表示します。

次に、次の条件における show skinny コマンドの出力例を示します。ASA を越えて 2 つのアクティブな Skinny セッションがセットアップされています。最初の Skinny セッションは、ローカル アドレス 10.0.0.11 にある内部 Cisco IP Phone と 172.18.1.33 にある外部 Cisco CallManager の間に確立されています。TCP ポート 2000 は、CallManager です。2 番目の Skinny セッションは、ローカル アドレス 10.0.0.22 にある別の内部 Cisco IP Phone と同じ Cisco CallManager の間に確立されています。


ciscoasa# show skinny
MEDIA 10.0.0.22/20798         172.18.1.11/22948
LOCAL                   FOREIGN                 STATE
---------------------------------------------------------------
1       10.0.0.11/52238         172.18.1.33/2000                1
  MEDIA 10.0.0.11/22948         172.18.1.22/20798
2       10.0.0.22/52232         172.18.1.33/2000                1
  MEDIA 10.0.0.22/20798         172.18.1.11/22948

この出力から、両方の内部 Cisco IP Phone の間でコールが確立されていることがわかります。最初と 2 番目の電話機の RTP リスン ポートは、それぞれ UDP 22948 と 20798 です。

show sla monitor configuration

デフォルトを含む、SLA 動作のコンフィギュレーション値を表示するには、ユーザー EXEC モードで show sla monitor configuration コマンドを使用します。

show sla monitor configuration [ sla-id ]

構文の説明

sla-id

(任意)SLA 動作の ID 番号。有効な値は 1 ~ 2147483647 です。

コマンド デフォルト

sla-id が指定されていない場合は、すべての SLA 動作のコンフィギュレーション値が表示されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ユーザー EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

show running config sla monitor コマンドを使用して、実行コンフィギュレーションの SLA 動作コマンドを確認します。

次に、show sla monitor コマンドの出力例を示します。SLA 動作 123 のコンフィギュレーション値が表示されます。show sla monitor コマンドの出力に続いて、同じ SLA 動作の show running-config sla monitor コマンドの出力が表示されます。


ciscoasa> show sla monitor 124
SA Agent, Infrastructure Engine-II
Entry number: 124
Owner: 
Tag: 
Type of operation to perform: echo
Target address: 10.1.1.1
Interface: outside
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 1000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 3
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
ciscoasa# show running-config sla monitor 124
sla monitor 124
 type echo protocol ipIcmpEcho 10.1.1.1 interface outside
 timeout 1000
 frequency 3
sla monitor schedule 124 life forever start-time now

show sla monitor operational-state

SLA 動作の動作状態を表示するには、ユーザー EXEC モードで show sla monitor operational-state コマンドを使用します。

show sla monitor operational-state [ sla-id ]

構文の説明

sla-id

(任意)SLA 動作の ID 番号。有効な値は 1 ~ 2147483647 です。

コマンド デフォルト

sla-id が指定されていない場合は、すべての SLA 動作の統計情報が表示されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ユーザー EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

実行コンフィギュレーションの SLA 動作コマンドを表示するには、show running-config sla monitor コマンドを使用します。

次に、show sla monitor operational-state コマンドの出力例を示します。


ciscoasa> show sla monitor operationl-state
Entry number: 124
Modification time: 14:42:23.607 EST Wed Mar 22 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 4043
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 18:04:26.609 EST Wed Mar 22 2006
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

show snmp-server engineid

ASA 上で設定されている SNMP エンジンの ID を表示するには、特権 EXEC モードで show snmp-server engineid コマンドを使用します。

show snmp-server engineid

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(1)

このコマンドが追加されました。

次に、 show snmp-server engineid コマンドの出力例を示します。


ciscoasa
# 
show snmp-server engineid
Local SNMP engineID: 80000009fe85f8fd882920834a3af7e4ca79a0a1220fe10685

使用上のガイドライン

SNMP エンジンは、ローカル デバイス上に配置できる SNMP のコピーです。エンジン ID は、各 ASA コンテキストの SNMP エージェントごとに割り当てられる固有の値です。ASA ではエンジン ID を設定できません。エンジン ID の長さは 25 バイトで、この ID は暗号化されたパスワードの生成に使用されます。暗号化されたパスワードはフラッシュ メモリに保存されます。エンジン ID はキャッシュすることができます。フェールオーバー ペアでは、エンジン ID がピアと同期化されます。

show snmp-server group

設定済みの SNMP グループの名前、使用するセキュリティモデル、さまざまなビューのステータス、および各グループのストレージタイプを表示するには、特権 EXEC モードで show snmp-server group コマンドを使用します。

show snmp-server group

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(1)

このコマンドが追加されました。

次に、 show snmp-server group コマンドの出力例を示します。


ciscoasa
# 
show snmp-server group
groupname: public                           security model:v1
readview : <no readview specified>          writeview: <no writeview specified>
notifyview: <no readview specified>
row status: active
groupname: public                           security model:v2c
readview : <no readview specified>          writeview: <no writeview specified>
notifyview: *<no readview specified>
row status: active
groupname: privgroup                   security model:v3 priv
readview : def_read_view               writeview: <no writeview specified>
notifyview: def_notify_view
row status: active

使用上のガイドライン

SNMP ユーザーおよび SNMP グループは、SNMP の View-based Access Control Model(VACM)に従って使用されます。使用されるセキュリティ モデルは、SNMP グループによって決まります。SNMP ユーザーは、SNMP グループのセキュリティ モデルに一致する必要があります。各 SNMP グループ名とセキュリティ レベルのペアは一意である必要があります。

show snmp-server host

ホストグループに属する設定済みの SNMP ホストの名前、使用されているインターフェイスおよび使用されている SNMP のバージョンを表示するには、特権 EXEC モードで show snmp-server host コマンドを使用します。

show snmp-server host

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(1)

このコマンドが追加されました。

9.4(1)

出力は、ASA をポーリングしているアクティブなホストと、静的に設定されているホストのみを表示するように更新されました。

次に、 show snmp-server host コマンドの出力例を示します。


ciscoasa
# 
show snmp-server host
host ip = 10.10.10.1, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.10, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.2, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.3, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.4, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.5, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.6, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.7, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.8, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.9, interface = mgmt  poll community ***** version 2c

次に、Version 9.4(1) 現在の show snmp-server host コマンドの出力例を示します。ASA をポーリングしているアクティブなホストのみが表示されます。


ciscoasa
# 
show snmp-server host
host ip = 10.10.10.3, interface = mgmt  poll community ***** version 2c
host ip = 10.10.10.6, interface = mgmt  poll community ***** version 2c

show snmp-server statistics

SNMP サーバー統計情報を表示するには、特権 EXEC モードで show snmp-server statistics コマンドを使用します。

show snmp-server statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、show snmp-server statistics コマンドの出力例を示します。


ciscoasa# show snmp-server statistics
0 SNMP packets input
    0 Bad SNMP version errors
    0 Unknown community name
    0 Illegal operation for community name supplied
    0 Encoding errors
    0 Number of requested variables
    0 Number of altered variables
    0 Get-request PDUs
    0 Get-next PDUs
    0 Get-bulk PDUs
    0 Set-request PDUs (Not supported)
0 SNMP packets output
    0 Too big errors (Maximum packet size 512)
    0 No such name errors
    0 Bad values errors
    0 General errors
    0 Response PDUs
    0 Trap PDUs

show snmp-server user

設定されている SNMP ユーザーの特性に関する情報を表示するには、特権 EXEC モードで show snmp-server user コマンドを使用します。

show snmp-server user [ username ]

構文の説明

username

(任意)SNMP 情報を表示する特定のユーザー(複数可)を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(1)

このコマンドが追加されました。

次に、 show snmp-server user コマンドの出力例を示します。


ciscoasa
# 
show snmp-server user authuser
User name: authuser 
Engine ID: 00000009020000000C025808 
storage-type: nonvolatile       active access-list: N/A
Rowstatus: active 
Authentication Protocol: MD5
Privacy protocol: DES 
Group name: VacmGroupName 

この出力には次の情報が表示されます。

  • ユーザー名。SNMP ユーザーの名前を識別するストリングです。

  • エンジン ID。ASA 上の SNMP のコピーを識別するストリングです。

  • ストレージタイプ。ASA の揮発性メモリまたは一時メモリに設定が格納されているか、あるいは不揮発性メモリまたは永続メモリに格納されているかを示します。非揮発性メモリまたは永続メモリに格納されている場合、ASA をオフにして再度オンにした場合でも設定は存続します。

  • アクティブなアクセス リスト。SNMP ユーザーに関連付けられている標準の IP アクセス リストです。

  • Rowstatus。ユーザーがアクティブか非アクティブかを示します。

  • 認証プロトコル。使用されている認証プロトコルを示します。選択できるのは、MD5、SHA、なしのいずれかです。ソフトウェア イメージで認証がサポートされていない場合、このフィールドは表示されません。

  • プライバシー プロトコル。DES によるパケット暗号化がイネーブルかどうかを示します。ソフトウェア イメージでプライバシーがサポートされていない場合、このフィールドは表示されません。

  • グループ名。ユーザーが属している SNMP グループを示します。SNMP グループは、View-based Access Control Model(VACM)に従って定義されます。

使用上のガイドライン

SNMP ユーザーは、SNMP グループの一部である必要があります。username 引数が入力されなかった場合、show snmp-server user コマンドには設定済みのすべてのユーザーに関する情報が表示されます。username 引数が入力され、そのユーザーが存在する場合は、指定したユーザーに関する情報が表示されます。

show software authenticity development

開発キー署名イメージのロードが有効または無効になっていることを確認するには、特権 EXEC モードで show software authenticity development コマンドを使用します。

show software authenticity development

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.3(2)

このコマンドが追加されました。

次に、 show software authenticity file コマンドの出力例を示します。


ciscoasa(config)# show software authenticity development
Loading of development images is disabled
ciscoasa(config)# 

show software authenticity file

特定のイメージファイルのソフトウェア認証に関連したデジタル署名情報を表示するには、特権 EXEC モードで show software authenticity file コマンドを使用します。

show software authenticity [ filename ]

構文の説明

filename

(オプション)特定のイメージ ファイルを指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.3(2)

このコマンドが追加されました。

次に、 show software authenticity file コマンドの出力例を示します。


ciscoasa
# 
show software authenticity file asa913.SSA
File Name                     : disk0:/asa913.SSA 
Image type                    : Development 
    Signer Information 
        Common Name           : Cisco 
        Organization Unit     : ASA5585-X 
        Organization Name     : Engineering 
    Certificate Serial Number : abcd1234efgh5678
    Hash Algorithm            : SHA512 
    Signature Algorithm       : 2048-bit RSA 
    Key Version               : A

この出力には次の情報が表示されます。

  • メモリ内のファイルの名前であるファイル名。

  • 表示されるイメージのタイプであるイメージ タイプ。

  • 署名者情報によって、次のようなシグニチャ情報が指定されます。

  • 一般名。ソフトウェア メーカーの名前です。

  • 組織単位。ソフトウェア イメージが展開されるハードウェアを示します。

  • 組織名。ソフトウェア イメージの所有者です。

  • 証明書シリアル番号。デジタル署名の証明書シリアル番号です。

  • ハッシュ アルゴリズム。デジタル署名確認に使用されるハッシュ アルゴリズムのタイプを示します。

  • 署名アルゴリズム。デジタル署名確認に使用される署名アルゴリズムのタイプを識別します。

  • キー バージョン。確認に使用されるキー バージョンを示します。

show software authenticity keys

SPI フラッシュに格納されている開発キーおよびリリースキーの情報を表示するには、特権 EXEC モードで show software authenticity keys コマンドを使用します。

show software authenticity keys

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.3(2)

このコマンドが追加されました。

次に、 show software authenticity keys コマンドの出力例を示します。


ciscoasa# show software authenticity keys
Public Key #1 Information
--------------------------
Key Type              : Development (Primary)
Public Key Algorithm  : 2048-bit RSA
Modulus :
        E1:61:22:18:6D:0D:A3:D8:C8:54:62:0D:8D:9A:0E:09:
        05:C8:02:5C:B6:51:47:C7:23:AF:1D:1E:AC:8D:9D:0E:
        DD:30:3C:50:26:F6:E8:26:F9:D7:69:D2:1E:DA:4E:24:
        99:D4:A5:A6:13:68:8D:B0:53:39:02:61:64:81:70:94:
        27:A3:31:A5:05:95:63:AF:EA:EB:26:AB:39:8C:31:6A:
        DD:13:22:22:41:A7:3A:FC:19:80:BE:FC:13:2A:C1:39:
        E0:E6:70:1B:DE:4F:69:EB:92:84:34:23:61:AE:46:53:
        C4:68:4E:DE:A3:98:F6:2E:5A:B5:AC:18:05:90:37:80:
        7C:3E:08:E3:03:83:91:30:11:29:E3:12:B0:26:23:AC:
        0A:C0:DE:31:9D:4B:14:D8:A6:78:B8:B5:84:04:EA:C7:
        FB:CF:C1:DD:16:75:82:FC:1B:5C:FF:B7:C0:36:88:E3:
        3E:BE:44:82:65:2F:66:FF:25:1A:FA:2C:B2:03:17:16:
        0D:C8:33:4F:13:C6:62:D8:53:FC:11:1A:9C:3C:10:EE:
        09:32:FE:38:C2:A2:E2:56:E5:ED:93:89:40:46:B9:E4:
        B3:9C:68:76:B0:BF:0D:FD:33:E6:F6:8C:26:D9:FF:F9:
        DA:B5:D4:86:81:B4:D1:3B:5E:81:1E:20:9F:BE:6E:B7
Exponent              : 65537
Key Version           : A
Public Key #2 Information
--------------------------
Key Type              : Release (Primary)
Public Key Algorithm  : 2048-bit RSA
Modulus :
        96:A2:E6:E4:51:4D:4A:B0:F0:EF:DB:41:82:A6:AC:D0:
        FC:11:40:C2:F0:76:10:19:CE:D0:16:7D:26:73:B1:55:
        FE:42:FE:5D:5F:4D:A5:D5:29:7F:91:EC:91:4D:9B:33:
        54:4B:B8:4D:85:E9:11:2D:79:19:AA:C5:E7:2C:22:5E:
        F6:66:27:98:1C:5A:84:5E:25:E7:B9:09:80:C7:CD:F4:
        13:FB:32:6B:25:B5:22:DE:CD:DC:BE:65:D5:6A:99:02:
        95:89:78:8D:1A:39:A3:14:C9:32:EE:02:4C:AB:25:D0:
        38:AD:E4:C9:C6:6B:28:FE:93:C3:0A:FE:90:D4:22:CC:
        FF:99:62:25:57:FB:A7:C6:E4:A5:B2:22:C7:35:91:F8:
        BB:2A:19:42:85:8F:5E:2E:BF:A0:9D:57:94:DF:29:45:
        AA:31:56:6B:7C:C4:5B:54:FE:DE:30:31:B4:FC:4E:0C:
        9D:D8:16:DB:1D:3D:8A:98:6A:BB:C2:34:8B:B4:AA:D1:
        53:66:FF:89:FB:C2:13:12:7D:5B:60:16:CA:D8:17:54:
        7B:41:1D:31:EF:54:DB:49:40:1F:99:FB:18:38:03:EE:
        2D:E8:E1:9F:E6:B2:C3:1C:55:70:F4:F3:B2:E7:4A:5A:
        F5:AA:1D:03:BD:A1:C3:9F:97:80:E6:63:05:27:F2:1F
Exponent              : 65537
Key Version           : A
Public Key #3 Information
--------------------------
Key Type              : Development (Backup)
Public Key Algorithm  : 2048-bit RSA
Modulus :
        E1:61:22:18:6D:0D:A3:D8:C8:54:62:0D:8D:9A:0E:09:
        05:C8:02:5C:B6:51:47:C7:23:AF:1D:1E:AC:8D:9D:0E:
        DD:30:3C:50:26:F6:E8:26:F9:D7:69:D2:1E:DA:4E:24:
        99:D4:A5:A6:13:68:8D:B0:53:39:02:61:64:81:70:94:
        27:A3:31:A5:05:95:63:AF:EA:EB:26:AB:39:8C:31:6A:
        DD:13:22:22:41:A7:3A:FC:19:80:BE:FC:13:2A:C1:39:
        E0:E6:70:1B:DE:4F:69:EB:92:84:34:23:61:AE:46:53:
        C4:68:4E:DE:A3:98:F6:2E:5A:B5:AC:18:05:90:37:80:
        7C:3E:08:E3:03:83:91:30:11:29:E3:12:B0:26:23:AC:
        0A:C0:DE:31:9D:4B:14:D8:A6:78:B8:B5:84:04:EA:C7:
        FB:CF:C1:DD:16:75:82:FC:1B:5C:FF:B7:C0:36:88:E3:
        3E:BE:44:82:65:2F:66:FF:25:1A:FA:2C:B2:03:17:16:
        0D:C8:33:4F:13:C6:62:D8:53:FC:11:1A:9C:3C:10:EE:
        09:32:FE:38:C2:A2:E2:56:E5:ED:93:89:40:46:B9:E4:
        B3:9C:68:76:B0:BF:0D:FD:33:E6:F6:8C:26:D9:FF:F9:
        DA:B5:D4:86:81:B4:D1:3B:5E:81:1E:20:9F:BE:6E:B7
Exponent              : 65537
Key Version           : A

show software authenticity running

特定のイメージファイルのソフトウェア認証に関連したデジタル署名情報を表示するには、特権 EXEC モードで show software authenticity running コマンドを使用します。このコマンドは、現在実行中のファイルに関連したデジタル署名情報を表示することを除き、show software authenticity file と同じです。

show software authenticity running

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.3(2)

このコマンドが追加されました。

次に、 show software authenticity running コマンドの出力例を示します。


ciscoasa# show software authenticity running
Image type                    : Development
    Signer Information
        Common Name           : abraxas
        Organization Unit     : NCS_Kenton_ASA
        Organization Name     : CiscoSystems
    Certificate Serial Number : 5448091A
    Hash Algorithm            : SHA2 512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A
    Verifier Information
        Verifier Name         : ROMMON
        Verifier Version      : Cisco Systems ROMMON,1.0.16

この出力には次の情報が表示されます。

  • メモリ内のファイルの名前であるファイル名。

  • 表示されるイメージのタイプであるイメージ タイプ。

  • 署名者情報によって、次のようなシグニチャ情報が指定されます。

  • 一般名。ソフトウェア メーカーの名前です。

  • 組織単位。ソフトウェア イメージが展開されるハードウェアを示します。

  • 組織名。ソフトウェア イメージの所有者です。

  • 証明書シリアル番号。デジタル署名の証明書シリアル番号です。

  • ハッシュ アルゴリズム。デジタル署名確認に使用されるハッシュ アルゴリズムのタイプを示します。

  • 署名アルゴリズム。デジタル署名確認に使用される署名アルゴリズムのタイプを識別します。

  • キー バージョン。確認に使用されるキー バージョンを示します。

show ssd

SSD のステータスを表示するには、show ssd コマンドを使用します。


(注)  


このコマンドは、Cisco Secure Firewall 3100 でのみサポートされています。


show ssd

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.17(1)

このコマンドが導入されました。

次の表示例は、SSD に関する情報を示しています。


> show ssd
Local Disk: 1
Name: nvme0n1
Size(MB): 858306
Operability:
operable
Presence:
equipped
Model: Micron_7300_MTFDHBE960TDF
Serial: MSA244302N0
Drive State: online
SED Support:
yes
SED State:
unlocked
SED Auth Status: ok
RAID action: none 

show ssh sessions

ASA 上のアクティブな SSH セッションに関する情報を表示するには、特権 EXEC モードで show ssh sessions コマンドを使用します。

show ssh sessions [ hostname または A.B.C.D ][ hostname または X:X:X:X::X ][ detail ]

構文の説明

hostname または A.B.C.D

(オプション)指定された SSH クライアント IPv4 アドレスのみの SSH セッション情報を表示します。

hostname または X:X:X:X::X

(オプション)指定された SSH クライアント IPv6 アドレスのみの SSH セッション情報を表示します。

detail

SSH セッションの詳細情報を表示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

9.1(2)

detail オプションが追加されました。

使用上のガイドライン

SID は、SSH セッションを識別する一意の番号です。Client IP は、SSH クライアントを実行しているシステムの IP アドレスです。Version は、SSH クライアントがサポートしているプロトコル バージョン番号です。SSH が SSH バージョン 1 だけをサポートしている場合、Version 列には 1.5 が表示されます。SSH クライアントが SSH バージョン 1 と SSH バージョン 2 の両方をサポートしている場合、Version 列には 1.99 が表示されます。SSH クライアントが SSH バージョン 2 だけをサポートしている場合、Version 列には 2.0 が表示されます。Encryption 列には、SSH クライアントが使用している暗号化のタイプが表示されます。State 列には、クライアントと ASA が行っている通信の進行状況が表示されます。Username には、このセッションで認証されているログイン ユーザー名が表示されます。Mode 列には、SSH データ ストリームの方向が表示されます。

SSH バージョン 2 の場合は、同じ暗号化アルゴリズムを使用することも、異なるアルゴリズムを使用することもできます。Mode フィールドには in および out が表示されます。SSH バージョン 1 の場合は、いずれの方向にも同じ暗号化を使用します。Mode フィールドには該当なしを表す記号(「-」)が表示され、1 つの接続に対して 1 つのエントリのみが表示されます。

次に、 show ssh sessions コマンドの出力例を示します。


ciscoasa# show ssh sessions
SID Client IP       Version Mode Encryption Hmac     State           Username
0   172.69.39.39    1.99    IN   aes128-cbc md5      SessionStarted  pat
                            OUT  aes128-cbc md5      SessionStarted  pat
1   172.23.56.236   1.5     -    3DES       -        SessionStarted  pat
2   172.69.39.29    1.99    IN   3des-cbc   sha1     SessionStarted  pat
                            OUT  3des-cbc   sha1     SessionStarted  pat

次に、 show ssh sessions detail コマンドの出力例を示します。


ciscoasa# show ssh sessions detail
SSH Session ID             : 0
>   Client IP              : 161.44.66.200
>   Username               : root
>   SSH Version            : 2.0
>   State                  : SessionStarted
>   Inbound Statistics
>    Encryption            : aes256-cbc
>    HMAC                  : sha1
>    Bytes Received        : 2224
>   Outbound Statistics
>    Encryption            : aes256-cbc
>    HMAC                  : sha1
>    Bytes Transmitted     : 2856
>   Rekey Information
>    Time Remaining (sec)  : 3297
>    Data Remaining (bytes): 996145356
>    Last Rekey            : 16:17:19.732 EST Wed Jan 2 2013
>    Data-Based Rekeys     : 0
>    Time-Based Rekeys     : 0

show ssl

ASA 上の SSL 設定およびアクティブな SSL セッションに関する情報を表示するには、特権 EXEC モードで show ssl コマンドを使用します。あ

show ssl [ cache | ciphers [ level ]| errors | information | mib | objects ]

構文の説明

cache

(オプション)SSL セッション キャッシュの統計情報を表示します。

ciphers [ level ]

(任意) ssl cipher コマンドを使用して設定したレベルに基づき、使用するために設定されている暗号方式を表示します。次のいずれかのレベルを指定すると、そのレベルの暗号方式のみを表示できます。レベルを指定しない場合、中間レベルの SSL、TLS、DTLS の各バージョンが表示されます。

  • all :すべての暗号方式が含まれます。

  • low :NULL-SHA を除くすべての暗号が含まれます。

  • medium :NULL、DES、RC4 の暗号方式を除くすべての暗号方式が含まれます。

  • fips :すべての FIPS 準拠の暗号方式が含まれます。

  • high :TLSv1.2 にのみ適用され、最も強力な暗号方式のみが含まれます。

errors

(オプション)SSL エラーを表示します。

情報

(オプション)3DES ライセンスの有無にかかわらず、またデバイスでサポート可能なすべての暗号方式を使用して、SSL でサポートされている設定を表示します。

mib

(オプション)SSL MIB の統計情報を表示します。

objects

(オプション)SSL オブジェクトの統計情報を表示します。

コマンド デフォルト

Show ssl information では、次のデフォルト設定が 3DES の有無にかかわらず適用されます。

  • 3DES(またはそれ以上の暗号サポート)がない場合のデフォルト設定は次のとおりです。


	ssl server-version tlsv1 dtlsv1
	ssl client-version tlsv1
	ssl cipher default low
	ssl cipher tlsv1 low
	ssl cipher tlsv1.1 low
	ssl cipher tlsv1.2 low
	ssl cipher dtlsv1 low
	ssl cipher dtlsv1.2 low
	ssl dh-group group2
	ssl ecdh-group group19
	ssl certificate-authentication fca-timeout 2
  • 3DES(またはそれ以上の暗号サポート)がある場合のデフォルト設定は次のとおりです。


	ssl server-version tlsv1 dtlsv1
	ssl client-version tlsv1 dtlsv1
	ssl cipher default medium
	ssl cipher tlsv1 medium
	ssl cipher tlsv1.1 medium
	ssl cipher tlsv1.2 medium
	ssl cipher dtlsv1 medium
	ssl cipher dtlsv1.2 medium
	ssl dh-group group2
	ssl ecdh-group group19
	ssl certificate-authentication fca-timeout 2

次の出力は、show ssl cache コマンドを実行した結果です。


SSL session cache statistics:
  Maximum cache size:          750    Current cache size:           5
  Cache hits:                    0    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               5    Accepts successful:           5
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0
SSL VPNLB session cache statistics:
  Maximum cache size:           10    Current cache size:           0
  Cache hits:                    0    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               0    Accepts successful:           0
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0
DTLS session cache statistics:
  Maximum cache size:          750    Current cache size:           1
  Cache hits:                    1    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               2    Accepts successful:           1
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.16(1)

show ssl cache コマンドの出力が更新され、SSLDEV セッションキャッシュ統計情報が削除されました。

9.12(1)

Show ssl cipher all コマンドが削除されて廃止され、show ssl cipher information コマンドが追加されました。

9.3(2)

TLSv1.1 および TLSv1.2 のサポートが追加されました。 ciphers キーワードが追加されました。

9.1(2)

detail オプションが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

8.4(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、現在の SSLv2 および SSLv3 セッションに関する情報を表示します。情報には、イネーブルにされた暗号の順序、ディセーブルにされた暗号、使用されている SSL トラストポイント、証明書認証がイネーブルかどうか、などが含まれます。

次に、 show ssl コマンドの出力例を示します。


ciscoasa# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1.2 or greater
Start connections using SSLv3 and negotiate to SSLv3 or greater
SSL DH Group: group2
SSL trust-points:
  Self-signed RSA certificate available
  Default: certsha256
  Interface inside: certsha256
Certificate authentication is not enabled

次に、 show ssl ciphers fips コマンドの出力例を示します。


ciscoasa# show ssl ciphers fips
  
  ECDHE-ECDSA-AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  DHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-ECDSA-AES256-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-SHA384 (tlsv1.2)
  DHE-RSA-AES256-SHA256 (tlsv1.2)
  AES256-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  DHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES128-SHA256 (tlsv1.2)
  AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  DHE-RSA-AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)

次に、 show ssl ciphers コマンドの出力を示します。


ciscoasa# show ssl ciphers all
 
These are the ciphers for the given cipher level; not all ciphers
are supported by all versions of SSL/TLS.
These names can be used to create a custom cipher list
  ECDHE-ECDSA-AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  DHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-ECDSA-AES256-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-SHA384 (tlsv1.2)
  DHE-RSA-AES256-SHA256 (tlsv1.2)
  AES256-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  DHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES128-SHA256 (tlsv1.2)
  AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  DHE-RSA-AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  DES-CBC3-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  RC4-SHA (tlsv1)
  RC4-MD5 (tlsv1)
  DES-CBC-SHA (tlsv1)
  NULL-SHA (tlsv1)
asa3(config-tlsp)# show ssl ciphers medium
  ECDHE-ECDSA-AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  DHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-ECDSA-AES256-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-SHA384 (tlsv1.2)
  DHE-RSA-AES256-SHA256 (tlsv1.2)
  AES256-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  DHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES128-SHA256 (tlsv1.2)
  AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  DHE-RSA-AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
asa3(config-tlsp)# show ssl ciphers fips  
  ECDHE-ECDSA-AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  DHE-RSA-AES256-GCM-SHA384 (tlsv1.2)
  AES256-GCM-SHA384 (tlsv1.2)
  ECDHE-ECDSA-AES256-SHA384 (tlsv1.2)
  ECDHE-RSA-AES256-SHA384 (tlsv1.2)
  DHE-RSA-AES256-SHA256 (tlsv1.2)
  AES256-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  DHE-RSA-AES128-GCM-SHA256 (tlsv1.2)
  AES128-GCM-SHA256 (tlsv1.2)
  ECDHE-ECDSA-AES128-SHA256 (tlsv1.2)
  ECDHE-RSA-AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES128-SHA256 (tlsv1.2)
  AES128-SHA256 (tlsv1.2)
  DHE-RSA-AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  DHE-RSA-AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
  AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)
asa3(config-tlsp)# show ssl ciphers
Current cipher configuration:
default (medium):
  ECDHE-ECDSA-AES256-GCM-SHA384
  ECDHE-RSA-AES256-GCM-SHA384
  DHE-RSA-AES256-GCM-SHA384
  AES256-GCM-SHA384
  ECDHE-ECDSA-AES256-SHA384
  ECDHE-RSA-AES256-SHA384
  DHE-RSA-AES256-SHA256
  AES256-SHA256
  ECDHE-ECDSA-AES128-GCM-SHA256
  ECDHE-RSA-AES128-GCM-SHA256
  DHE-RSA-AES128-GCM-SHA256
  AES128-GCM-SHA256
  ECDHE-ECDSA-AES128-SHA256
  ECDHE-RSA-AES128-SHA256
  DHE-RSA-AES128-SHA256
  AES128-SHA256
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
tlsv1 (medium):
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
tlsv1.1 (medium):
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
tlsv1.2 (medium):
  ECDHE-ECDSA-AES256-GCM-SHA384
  ECDHE-RSA-AES256-GCM-SHA384
  DHE-RSA-AES256-GCM-SHA384
  AES256-GCM-SHA384
  ECDHE-ECDSA-AES256-SHA384
  ECDHE-RSA-AES256-SHA384
  DHE-RSA-AES256-SHA256
  AES256-SHA256
  ECDHE-ECDSA-AES128-GCM-SHA256
  ECDHE-RSA-AES128-GCM-SHA256
  DHE-RSA-AES128-GCM-SHA256
  AES128-GCM-SHA256
  ECDHE-ECDSA-AES128-SHA256
  ECDHE-RSA-AES128-SHA256
  DHE-RSA-AES128-SHA256
  AES128-SHA256
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
dtlsv1 (medium):
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA

show startup-config

スタートアップ コンフィギュレーションを表示したり、スタートアップ コンフィギュレーションがロードされたときのエラーを表示したりするには、特権 EXEC モードで show startup-config コマンドを使用します。

show startup-config [ errors ]

構文の説明

errors

(任意)ASA がスタートアップ コンフィギュレーションをロードしたときに生成されたエラーを表示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム1

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

1errors キーワードは、シングルモードおよびシステム実行スペースでだけ使用できます。

コマンド履歴

リリース

変更内容

7.0(1)

errors キーワードが追加されました。

8.3(1)

暗号化されたパスワードが出力に追加されました。

使用上のガイドライン

マルチコンテキストモードでは、show startup-config コマンドを実行すると、現在の実行スペース(システム設定またはセキュリティコンテキスト)のスタートアップ設定が表示されます。

show startup-config コマンドの出力では、パスワードの暗号化が有効か無効かに応じて、パスワードが暗号化、マスク、またはクリアテキストの状態で表示されます。

スタートアップエラーをメモリからクリアするには、clear startup-config errors コマンドを使用します。

次に、show startup-config コマンドの出力例を示します。


ciscoasa# show startup-config
: Saved
: Written by enable_15 at 01:44:55.598 UTC Thu Apr 17 2003
Version 7.X(X)
!
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 209.165.200.224
 webvpn enable
!
interface GigabitEthernet0/1
 shutdown
 nameif test
 security-level 0
 ip address 209.165.200.225
!
...
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname firewall1
domain-name example.com
boot system disk0:/cdisk.bin
ftp mode passive
names
name 10.10.4.200 outside
access-list xyz extended permit ip host 192.168.0.4 host 209.165.200.226
!
ftp-map ftp_map
!
ftp-map inbound_ftp
 deny-request-cmd appe stor stou
!
...
Cryptochecksum:4edf97923899e712ed0da8c338e07e63

次に、show startup-config errors コマンドの出力例を示します。


ciscoasa# show startup-config errors
ERROR: 'Mac-addresses': invalid resource name
*** Output from config line 18, "limit-resource Mac-add..."
INFO: Admin context is required to get the interfaces
*** Output from config line 30, "arp timeout 14400"
Creating context 'admin'... WARNING: Invoked the stub function ibm_4gs3_context_
set_max_mgmt_sess
WARNING: Invoked the stub function ibm_4gs3_context_set_max_mgmt_sess
Done. (1)
*** Output from config line 33, "admin-context admin"
WARNING: VLAN *24* is not configured.
*** Output from config line 12, context 'admin', "nameif inside"
.....
*** Output from config line 37, "config-url disk:/admin..."

show sunrpc-server active

Sun RPC サービス用に開いているピンホールを表示するには、特権 EXEC モードで show sunrpc-server active コマンドを使用します。

show sunrpc-server active

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

show sunrpc-server active コマンドは、NFS や NIS などの Sun RPC サービス用に開いているピンホールを表示するために使用します。

Sun RPC サービスで開かれているピンホールを表示するには、show sunrpc-server active コマンドを入力します。次に、show sunrpc-server active コマンドの出力例を示します。


ciscoasa# show sunrpc-server active
        LOCAL           FOREIGN                 SERVICE TIMEOUT
        -----------------------------------------------
        192.168.100.2/0 209.165.200.5/32780     100005 00:10:00

LOCAL カラムのエントリは、内部インターフェイスのクライアントまたはサーバーの IP アドレスを示します。FOREIGN カラムの値は、外部インターフェイスのクライアントまたはサーバーの IP アドレスを示します。

show switch mac-address-table

スイッチの MAC アドレステーブルを表示するには、特権 EXEC モードで show switch mac-address-table コマンドを使用します。

show switch mac-address-table


(注)  


Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.13(1)

Firepower 1010 のサポートが追加されました。

使用上のガイドライン

スイッチ MAC アドレス テーブルには、スイッチ ハードウェア内の各 VLAN のトラフィックに適用する MAC アドレスとスイッチ ポートのマッピングが保持されます。トランスペアレント ファイアウォール モードでは、show mac-address-table コマンドを使用して ASA ソフトウェア内のブリッジ MAC アドレステーブルを表示します。このブリッジ MAC アドレス テーブルには、VLAN 間を通過するトラフィックに適用する MAC アドレスと VLAN インターフェイスのマッピングが保持されます。

MAC アドレス エントリは 5 分経過するとエージング アウトします。

次に、show switch mac-address-table コマンドの出力例を示します。


ciscoasa# show switch mac-address-table
Legend: Age - entry expiration time in seconds
   Mac Address  | VLAN |       Type       | Age | Port
-------------------------------------------------------
 000e.0c4e.2aa4 | 0001 |     dynamic      | 287 | Et0/0
 0012.d927.fb03 | 0001 |     dynamic      | 287 | Et0/0
 0013.c4ca.8a8c | 0001 |     dynamic      | 287 | Et0/0
 00b0.6486.0c14 | 0001 |     dynamic      | 287 | Et0/0
 00d0.2bff.449f | 0001 |     static       |  -  | In0/1
 0100.5e00.000d | 0001 | static multicast |  -  | In0/1,Et0/0-7
Total Entries: 6

表 12-4 に、各フィールドの説明を示します。

表 4. show switch mac-address-table のフィールド

フィールド

説明

Mac Address

MAC アドレスを表示します。

VLAN

MAC アドレスに関連付けられている VLAN を表示します。

タイプ

MAC アドレスを、ダイナミックに学習するか、スタティック マルチキャスト アドレスとして学習するか、またはスタティックに学習するかを示します。スタティック エントリは、内部バックプレーン インターフェイスの場合にのみ該当します。

Age

MAC アドレス テーブル内にあるダイナミック エントリの経過時間を表示します。

Port

この MAC アドレスのホストに到達できるスイッチ ポートを表示します。

show switch vlan

VLAN および関連するスイッチポートを表示するには、特権 EXEC モードで show switch vlan コマンドを使用します。

show switch vlan


(注)  


Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.13(1)

Firepower 1010 のサポートが追加されました。

使用上のガイドライン

このコマンドは、組み込みスイッチを持つモデル専用です。他のモデルの場合は、show vlan コマンドを使用します。

次に、show switch vlan コマンドの出力例を示します。


ciscoasa# show switch vlan
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------
100  inside                           up        Et0/0, Et0/1
200  outside                          up        Et0/7
300  -                                down      Et0/1, Et0/2
400  backup                           down      Et0/3

表 12-4 に、各フィールドの説明を示します。

表 5. show switch vlan のフィールド

フィールド

説明

VLAN

VLAN 番号を表示します。

名前

VLAN インターフェイスの名前を表示します。nameif コマンドを使用して名前が設定されていない場合、または interface vlan コマンドが実行されていない場合は、ダッシュ(-)が表示されます。

Status(ステータス)

スイッチ内の VLAN とトラフィックを送受信するためのステータス(up または down)を表示します。VLAN がアップ状態になるには、その VLAN で少なくとも 1 つのスイッチ ポートがアップ状態である必要があります。

ポート

各 VLAN に割り当てられたスイッチ ポートを表示します。1 つのスイッチ ポートが複数の VLAN にリストされている場合、そのポートはトランク ポートです。上記の出力例で、Ethernet 0/1 は VLAN 100 および VLAN 300 を伝送するトランク ポートです。

show sw-reset-button

ASA 5506-X、5508-X、または 5516-X のソフトウェアリセットボタンが有効になっているかどうかを表示するには、特権 EXEC モードで show sw-reset-button コマンドを使用します。

show sw-reset-button

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

ソフトウェア リセット ボタンはデフォルトで有効になっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.3(2)

コマンドが追加されました。

使用上のガイドライン

service sw-reset-button コマンドを使用して、ソフトウェアリセットボタンを有効または無効にします。リセット ボタンは背面パネルにある小さな埋め込み型のボタンです。約 3 秒以上押すと ASA がリセットされ、次のリブート後に「出荷時」のデフォルト状態に戻ります。設定変数が工場出荷時デフォルトにリセットされます。ただし、フラッシュは削除されないため、ファイルは削除されません。

次に、ソフトウェア リセット ボタンをイネーブルにする例を示します。


ciscoasa(config)# service sw-reset-button 
ciscoasa(config)# show sw-reset-button
Software Reset Button is configured.

次に、ソフトウェア リセット ボタンを無効にする例を示します。


ciscoasa(config)# no service sw-reset-button 
ciscoasa(config)# show sw-reset-button
Software Reset Button is not configured.