ASASM 用 Cisco IOS コマンド

clear diagnostics loopback

オンライン診断テストの設定をクリアするには、特権 EXEC モードで loopback コマンドを使用します。

clear diagnostics loopback

構文の説明

このコマンドには、引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

特権 EXEC

使用上のガイドライン

clear diagnostics loopback command は、オンライン診断テストの設定をクリアします。

次に、clear diagnostics loopback コマンドの出力例を示します。


ciscoasa# 
clear diagnostics loopback
Port		Test		Pkts-received				Failures
0		0		0				0
1		0		0				0

firewall autostate

自動ステートメッセージングをイネーブルにするには、グローバル コンフィギュレーション モードで firewall autostate コマンドを使用します。自動ステートをディセーブルにするには、このコマンドの no 形式を使用します。

firewall autostate

no firewall autostate

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトでは、自動ステートはディセーブルになっています。

コマンド モード

グローバル コンフィギュレーション

使用上のガイドライン

自動ステートメッセージングを行うと、スイッチインターフェイスに障害が発生したか、起動したかについて、ASA ですばやく検出できます。スーパーバイザエンジンは、ASA VLAN に関連付けられている物理インターフェイスのステータスに関する自動ステートメッセージを ASA に送信できます。たとえば、VLAN に関連付けられているすべての物理インターフェイスがダウンすると、自動ステート メッセージにより、VLAN がダウンしていることが ASA に通知されます。ASA では、この情報を受けて、VLAN をダウンとして宣言し、いずれの側でリンク障害が発生しているかを判別するために通常必要となるインターフェイス モニタリング テストをバイパスできます。自動ステート メッセージングにより、ASA がリンク障害を検出するのに要する時間が大幅に短縮されます(自動ステートがサポートされていない場合の最長 45 秒と比較すると、数ミリ秒も短縮されます)。

次の場合に、スイッチのスーパーバイザから ASA に自動ステートメッセージが送信されます。

  • VLAN に属している最後のインターフェイスが停止した

  • VLAN に属している最初のインターフェイスが動作を開始した

次の例では、自動ステート メッセージングをイネーブルにします。


Router(config)# firewall autostate

firewall module

ファイアウォールグループを ASA に割り当てるには、グローバル コンフィギュレーション モードで firewall module コマンドを入力します。このグループを削除するには、このコマンドの no 形式を使用します。

firewall module module_number vlan-group firewall_group

no firewall module module_number vlan-group firewall_group

構文の説明

module_number

モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。

vlan-group firewall_group

firewall vlan-group コマンドで定義されている 1 つ以上のグループ番号を指定します。

  • 単一の番号(n

  • 範囲(n-x

番号または範囲はカンマで区切ります。番号の入力例を示します。


5,7-10

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

グローバル コンフィギュレーション

使用上のガイドライン

  • ASASM ごとに最大 16 のファイアウォール VLAN グループを割り当てることができます。(Cisco IOS ソフトウェアで 16 より多くの VLAN グループを作成できますが、各 ASASM に割り当てることができるのは 16 グループのみです)。グループを作成するには、firewall vlan-group コマンドを参照してください。たとえば、すべての VLAN を 1 つのグループに割り当てる、内部グループと外部グループを作成する、またはカスタマーごとにグループを 1 つずつ作成するといったことが可能です。

  • グループごとの VLAN の数に制限はありませんが、ASASM が使用できる VLAN の数は ASASM システムの上限値までに限られます(詳細については、ASASM ライセンスマニュアルを参照してください)。

  • 同じ VLAN を複数のファイアウォール グループに関連付けることはできません。

  • 複数の ASASM に単一のファイアウォールグループを割り当てることはできます。たとえば、複数の ASASM に割り当てる VLAN は、それぞれの ASASM に対して一意の VLAN とは別のグループに配置できます。

  • 同一スイッチシャーシ内で ASASM フェールオーバーを使用する場合は、フェールオーバーおよびステートフル通信のために確保してある VLAN(複数可)をスイッチポートに割り当てないでください。ただし、シャーシ間でフェールオーバーを使用する場合は、シャーシ間を結ぶトランク ポートに VLAN を組み込む必要があります。

  • ASASM に VLAN を割り当てる前に、スイッチに VLAN を追加しなかった場合、VLAN はスーパーバイザエンジンのデータベースに保管され、スイッチに追加された時点で ASASM に送信されます。

  • VLAN がスイッチに割り当てられる前に、ASASM コンフィギュレーションに VLAN を設定できます。スイッチが ASASM に VLAN を送信すると、ASASM コンフィギュレーションで VLAN をシャットダウンしたかどうかに関係なく、VLAN はデフォルトで ASASM において管理目的のアップ状態になります。この場合、再度シャットダウンする必要があります。

次の例では、3 つのファイアウォール VLAN グループ(各 ASA に 1 グループずつ、および両方の ASA に割り当てられた VLAN を含む 1 グループ)を作成する方法を示します。


Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall vlan-group 52 100
Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52

次に、show firewall vlan-group コマンドの出力例を示します。


Router# show firewall vlan-group
Group vlans
----- ------
   50 55-57
   51 70-85
   52 100

次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。


Router# show firewall module
Module Vlan-groups
  5    50,52
  8    51,52

firewall multiple-vlan-interfaces

複数の SVI を ASA に追加できるようにするには、グローバル コンフィギュレーション モードで firewall multiple-vlan-interfaces コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

firewall multiple-vlan-interfaces

no firewall multiple-vlan-interfaces

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトでは、複数の SVI は許可されません。

コマンド モード

グローバル コンフィギュレーション

使用上のガイドライン

MSFC 上で定義された VLAN をスイッチ仮想インターフェイス(SVI)といいます。SVI 用の VLAN を ASA に割り当てると、MSFC は、ASA と他のレイヤ 3 VLAN 間でルーティングを行います。セキュリティ上の理由から、デフォルトでは MSFC と ASA 間に配置できる SVI は 1 つだけです。たとえば、誤って複数の SVI をシステムに設定した場合は、MSFC に内部 VLAN と外部 VLAN の両方が割り当てられていることによって、トラフィックが偶発的に ASA をバイパスする可能性があります。

ただし、ネットワークシナリオの中には、ASA をバイパスする必要があるものもあります。たとえば、IP ホストと同じイーサネット セグメント上に IPX ホストが配置されている場合、複数の SVI を使用する必要があります。ルーテッド ファイアウォール モードの ASA は IP トラフィックしか処理せず、IPX などの他のプロトコルトラフィックを廃棄するため(トランスペアレント ファイアウォール モードでは IP 以外のトラフィックの通過が任意に許可されます)、IPX トラフィックで ASA をバイパスすることが必要になる場合があります。この場合、必ず、VLAN を通過できるのが IPX トラフィックに限定されるアクセス リストを使用して MSFC を設定してください。

トランスペアレント ファイアウォールがマルチ コンテキスト モードの場合、コンテキストごとに対応する外部インターフェイス上に固有の VLAN が必要なため、複数の SVI を使用する必要があります。ルーテッド モードの場合でも複数の SVI を使用できるので、外部インターフェイス用に 1 つの VLAN を共有する必要はありません。

次に、複数の SVI を使用する一般的な設定例を示します。


Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall module 8 vlan-group 50-51
Router(config)# firewall multiple-vlan-interfaces
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# end
Router#

次に、show interface コマンドの出力例を示します。


Router# show interface vlan 55
Vlan55 is up, line protocol is up 
  Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
  Internet address is 55.1.1.1/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  ARP type:ARPA, ARP Timeout 04:00:00
  Last input never, output 00:00:08, output hang never
  Last clearing of "show interface" counters never
  Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
  Queueing strategy:fifo
  Output queue :0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
  L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
  L3 out Switched:ucast:0 pkt, 0 bytes 
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     4 packets output, 256 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

firewall vlan-group

VLAN をファイアウォールグループに割り当てるには、グローバル コンフィギュレーション モードで firewall vlan-group コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。

firewall [ switch { 1 | 2 }] vlan-group firewall_group vlan_range

no firewall [ switch { 1 | 2 }] vlan-group firewall_group vlan_range

構文の説明

firewall_group

整数のグループ ID を指定します。

vlan_range

グループに割り当てる VLAN を指定します。vlan_range 値には、次のいずれかの形式で 1 つまたは複数の VLAN(2 ~ 1000 および 1025 ~ 4094)を指定できます。

  • 単一の番号(n

  • 範囲(n-x

番号または範囲はカンマで区切ります。番号の入力例を示します。


5,7-10,13,45-100

(注)  

 
ルーテッド ポートと WAN ポートは内部 VLAN を使用するため、1020 ~ 1100 の範囲に含まれる番号は、すでに使用されている可能性があります。

switch {1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

グローバル コンフィギュレーション

使用上のガイドライン

  • firewall module コマンドを使用して、ASASM ごとに最大 16 のファイアウォール VLAN グループを割り当てることができます。(Cisco IOS ソフトウェアで 16 より多くの VLAN グループを作成できますが、各 ASASM に割り当てることができるのは 16 グループのみです)。たとえば、すべての VLAN を 1 つのグループに割り当てる、内部グループと外部グループを作成する、またはカスタマーごとにグループを 1 つずつ作成するといったことが可能です。

  • グループごとの VLAN の数に制限はありませんが、ASASM が使用できる VLAN の数は ASASM システムの上限値までに限られます(詳細については、ASASM ライセンスマニュアルを参照してください)。

  • 同じ VLAN を複数のファイアウォール グループに関連付けることはできません。

  • 複数の ASASM に単一のファイアウォールグループを割り当てることはできます。たとえば、複数の ASASM に割り当てる VLAN は、それぞれの ASASM に対して一意の VLAN とは別のグループに配置できます。

  • VLAN ID 2 ~ 1000 および 1025 ~ 4094 を使用します。

  • ルーテッド ポートと WAN ポートは内部 VLAN を使用するため、1020 ~ 1100 の範囲に含まれる番号は、すでに使用されている可能性があります。

  • 予約済みの VLAN は使用できません。

  • VLAN 1 は使用できません。

  • 同一スイッチシャーシ内で ASASM フェールオーバーを使用する場合は、フェールオーバーおよびステートフル通信のために確保してある VLAN(複数可)をスイッチポートに割り当てないでください。ただし、シャーシ間でフェールオーバーを使用する場合は、シャーシ間を結ぶトランク ポートに VLAN を組み込む必要があります。

  • ASASM に VLAN を割り当てる前に、スイッチに VLAN を追加しなかった場合、VLAN はスーパーバイザエンジンのデータベースに保管され、スイッチに追加された時点で ASASM に送信されます。

  • VLAN がスイッチに割り当てられる前に、ASASM コンフィギュレーションに VLAN を設定できます。スイッチが ASASM に VLAN を送信すると、ASASM コンフィギュレーションで VLAN をシャットダウンしたかどうかに関係なく、VLAN はデフォルトで ASASM において管理目的のアップ状態になります。この場合、再度シャットダウンする必要があります。

次の例では、3 つのファイアウォール VLAN グループ(各 ASA に 1 グループずつ、および両方の ASA に割り当てられた VLAN を含む 1 グループ)を作成する方法を示します。


Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall vlan-group 52 100
Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52

次に、show firewall vlan-group コマンドの出力例を示します。


Router# show firewall vlan-group
Group vlans
----- ------
   50 55-57
   51 70-85
   52 100

次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。


Router# show firewall module
Module Vlan-groups
  5    50,52
  8    51,52

service-module session

スイッチの CLI から ASASM にコンソールアクセスするには、特権 EXEC モードで service-module session コマンドを入力します。

service-module session [ switch { 1 | 2 }] slot number

構文の説明

slot number

ASASM のスロット番号を指定します。モジュールのスロット番号を表示するには、スイッチプロンプトで show module コマンドを入力します。

switch {1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

特権 EXEC

使用上のガイドライン

service-module session コマンドを使用して、ASASM への仮想コンソール接続を作成します。仮想コンソール接続は、実際のコンソール接続の利点と制限をすべて備えています。

利点を次に示します。

  • 接続はリロード中も持続し、タイムアウトしません。

  • ASASM リロード中も接続を維持でき、スタートアップ メッセージを閲覧できます。

  • ASASM がイメージをロードできない場合、ROMMON にアクセスできます。

制限を次に示します。

  • 接続が低速です(9600 ボー)。

  • 一度にアクティブにできるコンソール接続は 1 つだけです。


(注)  


接続は保持されるため、ASASM を正しくログアウトしないと、意図したよりも長く接続が存続する可能性があります。他の人がログインする場合は、既存の接続を終了する必要があります。詳細については、CLI コンフィギュレーション ガイドを参照してください。

次に、スロット 3 の ASASM にコンソールアクセスする例を示します。


Router# service-module session slot 3
ciscoasa>

session

スイッチの CLI から ASASM にバックプレーン経由で Telnet 接続するには、特権 EXEC モードで session コマンドを使用します。

session [ switch { 1 | 2 }] slot number processor 1

構文の説明

processor 1

プロセッサ番号を指定します。これは常に 1 です。

slot number

スロット番号を指定します。モジュールのスロット番号を表示するには、スイッチプロンプトで show module コマンドを入力します。

switch {1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

特権 EXEC

使用上のガイドライン

session コマンドを使用して、ASASM への Telnet 接続を作成します。

利点を次に示します。

  • ASASM への複数のセッションを同時に使用できます。

  • Telnet セッションは、高速接続です。

制限を次に示します。

  • Telnet セッションは、ASASM リロード時に終了し、タイムアウトします。

  • ASASM が完全にロードするまで ASASM にはアクセスできません。したがって、ROMMON にアクセスできません。


(注)  


session slot processor 0 コマンドは、他のサービスモジュールではサポートされていますが、ASASM ではサポートされていません。ASASM にはプロセッサ 0 がありません。

ログイン パスワードの入力が求められます。ASADM へのログイン パスワードを入力します。デフォルトのパスワードは cisco です。

ユーザー EXEC モードにアクセスします。

次の例では、プロセッサ 1 の ASASM への Telnet 接続を確立します。


Router# session slot number processor 1
ciscoasa passwd: cisco
ciscoasa>

show boot device

デフォルトの起動パーティションを表示するには、show boot device コマンドを使用します。

show boot device [ mod_num ]

構文の説明

mod_num

(任意)モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。

コマンド デフォルト

デフォルトの起動パーティションは cf:4 です。

コマンド モード

特権 EXEC

次に、Cisco IOS ソフトウェア上でインストール済みの各 ASA の起動パーティションを表示する show boot device コマンドの出力例を示します。


Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:

show diagnostic loopback

テスト実行数、受信したループバックパケット数、検出された障害数などの PC のループバックテストに関連する情報を表示するには、特権 EXEC モードで show diagnostics loopback コマンドを使用します。

show diagnostics loopback

構文の説明

このコマンドには、引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

コマンド履歴

リリース

変更内容

12.2(18)SXF5

このコマンドが追加されました。

使用上のガイドライン

show diagnostics loopback command provides コマンドは、テスト実行数、受信したループバックパケット数、および検出された障害数など、PC のループバックテストに関連した情報を表示します。

次に、 show diagnostics loopback コマンドの出力例を示します。


ciscoasa# 
show diagnostics loopback
Port		Test		Pkts-received				Failures
0		447		447				0
1		447		447				0

show firewall autostate

自動ステート機能の設定を表示するには、特権 EXEC モードで show firewall autostate コマンドを使用します。

show firewall autostate

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトでは、自動ステートはディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

使用上のガイドライン

Cisco IOS ソフトウェアの自動ステートメッセージ機能により、スイッチインターフェイスに障害が発生しているのか、または起動しているのかを ASA が迅速に検出できます。次の場合に、スイッチのスーパーバイザから ASA に自動ステートメッセージが送信されます。

  • VLAN に属している最後のインターフェイスが停止した

  • VLAN に属している最初のインターフェイスが動作を開始した

show firewall module

各 ASA に割り当てられた VLAN グループを表示するには、特権 EXEC モードで show firewall module コマンドを入力します。

show firewall [ switch { 1 | 2 }] module [ module_number ]

構文の説明

module_number

(任意)モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。

switch { 1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。


Router# show firewall module
Module Vlan-groups
  5    50,52
  8    51,52

show firewall module state

各 ASA の状態を表示するには、特権 EXEC モードで show firewall module state コマンドを入力します。

show firewall [ switch { 1 | 2 }] module [ module_number ] state

構文の説明

module_number

(任意)モジュール番号を指定します。

switch { 1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

次に、show firewall module state コマンドの出力例を示します。


Router# show firewall module 11 state
Firewall module 11:
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 3,6,7,20-24,40,59,85,87-89,99-115,150,188-191,200,250,
     501-505,913,972
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk: 
Vlans allowed and active in management domain: 
Vlans in spanning tree forwarding state and not pruned: 

show firewall module traffic

各 ASA を通過するトラフィックを表示するには、特権 EXEC モードで show firewall module traffic コマンドを入力します。

show firewall [ switch { 1 | 2 }] module [ module_number ] traffic

構文の説明

module_number

(任意)モジュール番号を指定します。

switch { 1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

次に、show firewall module traffic コマンドの出力例を示します。


Router# show firewall module 11 traffic
Firewall module 11:
Specified interface is up line protocol is up (connected)
  Hardware is EtherChannel, address is 0014.1cd5.bef6 (bia 0014.1cd5.bef6)
  MTU 1500 bytes, BW 6000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Full-duplex, 1000Mb/s, media type is unknown
  input flow-control is on, output flow-control is on 
  Members in this channel: Gi11/1 Gi11/2 Gi11/3 Gi11/4 Gi11/5 Gi11/6 
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 10000 bits/sec, 17 packets/sec
     8709 packets input, 845553 bytes, 0 no buffer
     Received 745 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     18652077 packets output, 1480488712 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

show firewall module version

ASA のソフトウェアバージョン番号を表示するには、特権 EXEC モードで show firewall module version コマンドを使用します。

show firewall [ switch { 1 | 2 }] module [ module_number ] version

構文の説明

module_number

(任意)モジュール番号を指定します。

switch {1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

次に、show firewall module version コマンドの出力例を示します。


Router# show firewall switch 1 module 2 version
ASA Service Module 2:
Sw Version: 100.7(8)19

show firewall module vlan-group

ASA に割り当て可能な VLAN グループを表示するには、特権 EXEC モードで show firewall module vlan-group コマンドを入力します。

show firewall [ switch { 1 | 2 }] module [ module_number ] vlan-group [ firewall_group ]

構文の説明

firewall_group

(任意)グループ ID を指定します。

module_number

(任意)モジュール番号を指定します。

switch {1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

次に、show firewall module vlan-group コマンドの出力例を示します。


Router# show firewall module vlan-group
Group vlans
----- ------
   50 55-57
   51 70-85
   52 100

show firewall multiple-vlan-interfaces

ASASM の複数のファイアウォール VLAN インターフェイスの状態を表示するには、特権 EXEC モードで show firewall multiple-vlan-interfaces コマンドを入力します。

show firewall multiple-vlan-interfaces

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

次に、show firewall multiple-vlan-interfaces コマンドの出力例を示します。


Router# show firewall multiple-vlan-interfaces
Multiple firewall vlan interfaces feature is enabled

show module

スイッチが ASASM を許可し、オンラインにしたことを確認するには、特権 EXEC モードで show module コマンドを使用します。

show module [ switch { 1 | 2 }][ mod-num | all ]

構文の説明

all

(オプション)すべてのモジュールを指定します。

mod_num

(任意)モジュール番号を指定します。

switch { 1 | 2 }

(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

次に、show module コマンドの出力例を示します。


Router# show module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
 2    3  ASA Service Module                     WS-SVC-ASA-SM1     SAD143502E8
 4    3  ASA Service Module                     WS-SVC-ASA-SM1     SAD135101Z9
 5    5  Supervisor Engine 720 10GE (Active)    VS-S720-10G        SAL12426KB1
 6   16  CEF720 16 port 10GE                    WS-X6716-10GE      SAL1442WZD1
Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
 2  0022.bdd4.016f to 0022.bdd4.017e   0.201 12.2(2010080 12.2(2010121 Ok
 4  0022.bdd3.f64e to 0022.bdd3.f655   0.109 12.2(2010080 12.2(2010121 PwrDown
 5  0019.e8bb.7b0c to 0019.e8bb.7b13   2.0   8.5(2)       12.2(2010121 Ok
 6  f866.f220.5760 to f866.f220.576f   1.0   12.2(18r)S1  12.2(2010121 Ok
Mod  Sub-Module                  Model              Serial       Hw     Status 
---- --------------------------- ------------------ ----------- ------- -------
2/0 ASA Application Processor   SVC-APP-PROC-1     SAD1436015D  0.202  Other
4/0 ASA Application Processor   SVC-APP-INT-1      SAD141002AK  0.106  PwrDown
 5  Policy Feature Card 3       VS-F6K-PFC3C       SAL12437BM2  1.0    Ok
 5  MSFC3 Daughterboard         VS-F6K-MSFC3       SAL12426DE3  1.0    Ok
 6  Distributed Forwarding Card WS-F6700-DFC3C     SAL1443XRDC  1.4    Ok
Base PID:
Mod  Model            Serial No.
---- -----------      ----------
 2 WS-SVC-APP-HW-1    SAD143502E8
 4 TRIFECTA           SAD135101Z9
Mod  Online Diag Status 
---- -------------------
 2  Pass
2/0 Not Applicable
 4  Not Applicable
4/0 Not Applicable
 5  Pass
 6  Pass