interval milliseconds

ハートビートメッセージの間隔をミリ秒単位で指定します。この間隔は 100 ミリ秒単位で調整できます。デフォルトは 1000 です。許可された範囲は、リリース 6.2.2 以降では 100 〜 6000 ですが、古いリリースでは 300 〜 6000 です。

連続的なハートビートメッセージの損失がこの再試行回数に達すると、システムの残りの部分への障害通知がトリガーされます。デフォルトの 1000 ミリ秒の場合、障害検出設定がアグレッシブになり、誤った障害検出が生じるリスクがあります。

retry-count integer

応答がない場合、またはアプリケーション エージェントがハートビートメッセージのエラー応答を受信した場合に、アプリケーション エージェントがハートビートメッセージを再試行する回数を指定します（3 〜 10 回）。デフォルトは 3 です。

option

選択したポリシー用のルール エンジンのトランザクション コミット モデルをイネーブルにします。次のオプションがあります。

• access-group ：グローバルに、またはインターフェイスに適用されるアクセスルール。

• nat ：ネットワークアドレス変換ルール。

memory_size

（任意）ダイナミックな値を適用するのではなく、ブロック診断用のメモリ サイズをバイト単位で設定します。この値が空きメモリよりも大きい場合は、エラー メッセージが表示され、値は受け入れられません。この値が空きメモリの 50% を超える場合は、警告メッセージが表示されますが、値は受け入れられます。

any4

単一の IP アドレスおよびマスクではなく、任意の IPv4 アドレスを指定します。

any6

単一の IP アドレスおよびマスクではなく、任意の IPv6 アドレスを指定します。

all

高速セキュリティ パスでドロップされるすべてのパケットをキャプチャします。

asp-drop drop-code

（任意）高速セキュリティ パスでドロップされるパケットをキャプチャします。drop-code は、高速セキュリティ パスでドロップされるトラフィックのタイプを指定します。drop-code のリストについては、CLI ヘルプを参照してください。このキーワードは、packet-length 、circular-buffer 、および buffer キーワードと一緒に入力できますが、interface または ethernet-type キーワードと一緒には入力できません。クラスタでは、ドロップされた、ユニット間の転送データ パケットもキャプチャされます。

buffer buf_size

（任意）パケットの保存に使用するバッファのサイズをバイト単位で定義します。このバイト数のバッファがいっぱいになると、パケット キャプチャは停止します。クラスタ内で使用されるときは、これはユニットあたりのサイズです（全ユニットの合計ではありません）。サポートされる最大バッファサイズは 32 MB です。

バッファサイズとファイルサイズのオプションは同時に使用できません。

capture_name

パケット キャプチャの名前を指定します。複数のトラフィックのタイプをキャプチャするには、複数の capture ステートメントで同じ名前を使用します。show capture コマンドを使用してキャプチャのコンフィギュレーションを表示すると、すべてのオプションが 1 行にまとめられます。

data-plane

データプレーン インターフェイスでキャプチャされるパケットを指定します。

management-plane

管理インターフェイスでキャプチャされるパケットを指定します。

circular-buffer

（任意）バッファがいっぱいになったとき、バッファを先頭から上書きします。

ethernet-type type

（任意）キャプチャするイーサネット タイプを選択します。サポートされるイーサネット タイプには、8021Q、ARP、IP、IP6、IPX、LACP、PPPOED、PPPOES、RARP および VLAN などがあります。802.1Q タイプと VLAN タイプでは例外が発生します。802.1Q タグは自動的にスキップされ、照合には内部イーサネット タイプが使用されます。

file-size file-size

（任意）file-size はディスク上のファイルにパケットをキャプチャするように指定します。

file-size は、キャプチャファイルのサイズを 32 MB から 10 GB の範囲で指定します。

キャプチャファイルは、フラッシュメモリ (disk0:/) に capture_name.pcap という名前で作成されます。

file-size が設定されると、ハードディスクメモリ（ファイル）を使用して、キャプチャバッファでキャプチャされたデータが書き込まれます。キャプチャされたデータは、ファイル名に基づいてディスクに保存されます。

バッファサイズとファイルサイズのオプションは同時に使用できません。

headers-only

（任意）データなしでキャプチャするパケットのレイヤ 2 およびレイヤ 3/4 ヘッダーを選択します。

host source_ip , dest_ip

パケットの送信先または送信元ホストの単一の IP アドレスを指定します。

include-decrypted

（オプション）ファイアウォールデバイスに入った時点で、通常のトラフィックと復号化されたトラフィックの両方を含む復号化された IPsec パケットをキャプチャします。また、SSL 復号トラフィックのパケットもキャプチャします。ただし、パケットは VTI インターフェイスでのみ復号化された形式で表示されるため、このオプションは VTI トンネルには適用できません。暗号化マップ VPN のように外部ではありません。

inline-tag tag

特定の SGT 値のタグを指定するか、または未指定のままにしてすべての SGT 値のタグ付きパケットをキャプチャします。

interface interface_name

パケット キャプチャを使用するインターフェイスの名前を設定します。type asp-drop を除いて、パケットをキャプチャするにはインターフェイスを設定する必要があります。複数の capture コマンドで同じ名前を使用して、複数のインターフェイスを設定できます。管理プレーン上のパケットをキャプチャするには、interface キーワードを使用し、インターフェイス名として「asa_mgmt_plane 」を指定します。インターフェイス名として「cluster 」を指定すると、クラスタ制御リンクインターフェイスのトラフィックをキャプチャできます。データインターフェイス上で Management Center アクセスを有効にした場合に内部バックプレーン インターフェイスでパケットをキャプチャするには、nlp_int_tap を指定します。キャプチャのタイプとして lacp が設定されている場合は、インターフェイス名は物理名です。

ikev1 , ikev2

IKEv1 または IKEv2 プロトコル情報だけをキャプチャします。

isakmp

（オプション）VPN 接続の ISAKMP トラフィックをキャプチャします。ISAKMP サブシステムは、上位層プロトコルにアクセスできません。このキャプチャは、PCAP パーサーを満足させるために物理、IP、および UDP の各レイヤを 1 つにまとめた疑似キャプチャです。このピア アドレスは、SA 交換から取得され、IP レイヤに保存されます。

lacp

（オプション）LACP トラフィックをキャプチャします。設定されている場合は、インターフェイス名は物理インターフェイス名です。

mask

IP アドレスのサブネットマスク。たとえば、クラス C マスクの場合は 255.255.255.0 です。

match protocol

5 タプルが一致するパケットを指定し、キャプチャされるこれらのパケットのフィルタリングを許可します。1 行に最大 3 回このキーワードを使用できます。

operator src_port , dest_port

（任意）送信元または宛先で使用されるポート番号を照合します。使用できる演算子は、次のとおりです。

• lt ：小なり

• gt ：大なり

• eq ：等しい

• neq ：等しくない

• range ：範囲

packet-length bytes

（任意）キャプチャ バッファに保存する各パケットの最大バイト数を設定します。

persit

（オプション）クラスタユニットで永続的なパケットをキャプチャします。

raw-data

（任意）着信パケットおよび発信パケットを 1 つ以上のインターフェイスでキャプチャします。

stop

パケットキャプチャを削除せずに停止します。キャプチャを再開するには、このオプションを指定したこのコマンドの no 形式を使用します。

trace trace_count

（任意）パケット トレース情報、およびキャプチャするパケット数をキャプチャします。このオプションをアクセス リストとともに使用すると、トレース パケットがデータ パスに挿入されるので、パケットが想定どおりに処理されているかどうかを判別できます。

type

（任意）キャプチャされるデータのタイプを指定します。

ドメイン

トラフィックをキャプチャするドメインを指定します。

• 0：br1。管理インターフェイスからのトラフィックをキャプチャします。

• 1：ルータ。設定されたデータインターフェイスからのトラフィックをキャプチャします。

-A

各パケット（リンクレベルヘッダーを除く）を ASCII で出力します。Web ページのキャプチャに便利です。

-B

オペレーティングシステムのキャプチャバッファサイズを buffer_size に設定します。

-c

カウントパケットを受信すると終了します。

-C

raw パケットを savefile に書き込む前に、ファイルが現在 file_size よりも大きいかどうかを確認し、大きい場合は現在の savefile を閉じて新しいファイルを開きます。最初の savefile の後の savefile には、-w フラグの後に 1 から始まる数字が続く、指定された名前が付けられます。file_size の単位は、100 万バイト（1,048,576 バイトではなく 1,000,000 バイト）です。

-d

コンパイル済みのパケット照合コードを人間が読める形式で標準出力にダンプし、停止します。

-dd

パケット照合コードを C プログラムフラグメントとしてダンプします。

-ddd

パケット照合コードを 10 進数（先頭に count）としてダンプします。

-D

システムで使用でき、tcpdump がパケットをキャプチャできるネットワーク インターフェイスのリストを出力します。ネットワークインターフェイスごとに、番号とインターフェイス名が表示され、その後にインターフェイスの説明が続く場合もあります。インターフェイス名または番号に -i フラグを付けることで、キャプチャするインターフェイスを指定できます。

これは、リストするコマンドを持たないシステム（Windows システム、または ifconfig -a がない UNIX システム）で役立ちます。この番号は、インターフェイス名がやや複雑な文字列である Windows 2000 以降のシステムで役立ちます。

tcapdump が pcap_findaclldevs() 関数を持たない古いバージョンの libpcap で構築されている場合、-D フラグはサポートされません。

-e

各ダンプ行にリンクレベルヘッダーを出力します。

-E

addr にアドレス指定され、Security Parameter Index 値である spiを含む IPsec ESP パケットを復号化するには、spi@ipaddr algo:secret を使用します。この組み合わせは、カンマまたは改行で区切って繰り返すことができます。

-f

「外部」IPv4 アドレスを記号ではなく数値で出力します（このオプションは、Sun の NIS サーバーがローカル以外のインターネット番号を変換し続けて大抵ハングアップするという深刻な損傷を回避するためのもので、ます）。

「外部」IPv4 アドレスのテストは、キャプチャが実行されているインターフェイスの IPv4 アドレスとネットマスクを使用して実行されます。

キャプチャが行われているインターフェイスにアドレスまたはネットマスクがないことが理由で、または（複数のインターフェイス上でキャプチャできる Linux の「任意」のインターフェイスでキャプチャが行われていることが理由で、そのアドレスまたはネットマスクが使用できない場合は、このオプションは正しく機能しません。

-F

フィルタ式への入力としてファイルを使用します。コマンドラインで指定された追加の式は無視されます。

-G

指定した場合は、-w オプションで指定したダンプファイルを rotate_seconds 秒ごとにローテーションします。

savefile の名前は -w で指定され、strftime(3) で定義された時刻形式が含まれます。時刻形式が指定されていない場合、新しいファイルごとに前のファイルが上書きされます。

-C オプションと組み合わせて使用すると、ファイル名は ‘file<count>’ の形式になります。

-I

インターフェイスを「モニターモード」にします。これは IEEE 802.11 Wi-Fi インターフェイスでのみサポートされ、一部のオペレーティングシステムでのみサポートされます。

-K

TCP チェックサムの検証を試みないでください。

これは、ハードウェアで TCP チェックサム計算を実行するインターフェイスには便利ですが、それ以外の場合はすべての発信 TCP チェックサムが不良としてフラグ付けされます。

-l

stdout 行をバッファリングします。キャプチャ中にデータを表示する場合に便利です。たとえば、「‘tcpdump -l | tee dat」や「tcpdump -l > dat & tail -f dat」などです。

-L

インターフェイスと出口の既知のデータリンクタイプを一覧表示します。

-m

ファイルモジュールから SMI MIB モジュール定義をロードします。

このオプションを複数回使用すると、複数の MIB モジュールを tcpdump にロードすることができます。

-M

TCP-MD5 オプション（RFC 2385）がある場合、TCP セグメントで検出されたダイジェストを検証するための共有秘密として秘密を使用します。

-n

アドレス（ホストアドレス、ポート番号など）を名前に変換しません。

-N

ホスト名のドメイン名修飾を出力しません。

たとえば、このフラグを指定すると、tcpdump は「nic.ddn.mil」ではなく「nic」を出力します。

-O

パケット照合コードオプティマイザを実行しません。これは、オプティマイザのバグが疑われる場合にのみ役立ちます。

-p

インターフェイスを無差別モードに入れません。インターフェイスは他の理由で無差別モードになる可能性があることに注意してください。そのため、「-p」は「ether host {local-hw-addr} or ether broadcast」の省略形として使用できません。

-q

クイック出力。出力されるプロトコル情報が少ないため、出力行が短くなります。

-R

ESP/AH パケットが古い仕様（RFC1825 〜 RFC1829）に基づいていると仮定します。指定した場合、tcpdump はリプレイ防止フィールドを出力しません。

ESP/AH 仕様にプロトコル バージョン フィールドがないため、tcpdump は ESP/AH プロトコルのバージョンを推測できません。

-r

ファイル（-w オプションを使用して作成したもの）からパケットを読み取ります。ファイルが「-」の場合、標準入力が使用されます。

-S

相対 TCP シーケンス番号ではなく、絶対 TCP シーケンス番号を出力します。

-s

デフォルトの 68 ではなく、パケットそれぞれのデータの snaplen バイトを取得します（SunOS の NIT では、実際の最小値は 96 です）。IP、ICMP、TCP、および UDP では 68 バイトで十分ですが、ネームサーバーおよび NFS パケットからプロトコル情報が切り捨てられる場合があります（以下を参照）。限定的なスナップショットが原因で切り捨てられたパケットは、出力に「[|proto]」と表示されます。proto は、切り捨てが発生したプロトコルレベルの名前です。

スナップショットを大きくすると、パケットの処理にかかる時間が長くなり、パケットバッファリングの量が減少することに注意してください。これにより、パケットが失われる可能性があります。必要なプロトコル情報をキャプチャできる最小数に snaplen を制限する必要があります。snaplen を 0 に設定すると、パケット全体をキャッチするのに必要な長さを使用することを意味します。

-T

「式」によって選択されたパケットを強制的に指定されたタイプに変換します。現在知られているタイプは、aodv（アドホックオンデマンド距離ベクトルプロトコル）、cnfp（Cisco NetFlow プロトコル）、rpc（リモートプロシージャコール）、rtp（リアルタイム アプリケーション プロトコル）、rtcp（リアルタイム アプリケーション制御プロトコル）、 snmp（Simple Network Management Protocol）、tftp（Trivial File Transfer Protocol）、vat（Visual Audio Tool）、wb（Distributed White Board）です。

-t

各ダンプ行にタイムスタンプを出力しません。

-tt

各ダンプ行にフォーマットされていないタイムスタンプを出力します。

-ttt

各ダンプ行の現在の行と前の行の間の差分（マイクロ秒の解像度）を出力します。

-tttt

各ダンプ行にデフォルト形式のタイムスタンプと日付を出力します。

-ttttt

各ダンプ行の現在の行と最初の行の間の差分（マイクロ秒の解像度）を出力します。

-u

復号されていない NFS ハンドルを出力します。

-U

出力を -w オプション「packet-buffered」で保存します。つまり、出力バッファがいっぱいになったときのみではなく、各パケットが保存されるたびに出力ファイルに書き込まれます。

tcapdump が pcap_dump_flush() 関数を持たない古いバージョンの libpcap で構築されている場合、-U フラグはサポートされません。

-v

解析および出力時に、（もう少し）詳細な出力を生成します。たとえば、IP パケットの存続時間、ID、全長とオプションが表示されます。また、IP および ICMP ヘッダー チェックサムの検証などの、追加のパケット整合性チェックが使用可能です。

-w オプションを使用してファイルに書き込む場合、キャプチャされたパケット数を 10 秒ごとに報告します。

-vv

さらに詳細な出力。たとえば、NFS 応答パケットからの追加フィールドが出力され、SMB パケットは完全にデコードされます。

-vvv

さらに詳細な出力。たとえば、telnet SB... SE オプションはすべて出力されます。-X Telnet オプションは 16 進数でも出力されます。

-w

raw パケットを解析して出力するのではなく、ファイルに書き込みます。後で -r オプションを使用して出力できます。ファイルが「-」の場合、標準出力が使用されます。

-W

-C オプションと組み合わせて使用すると、作成されるファイルの数が指定された数に制限され、ファイルの書き込みが最初から開始されるため、「回転」バッファが作成されます。さらに、最大数のファイルをサポートするのに十分な数の先行 0 をファイル名に付けることで、ファイルを正しくソートできるようにします。

-x

解析および出力時に、各パケットのヘッダーの出力に加えて、各パケットのデータ（リンクレベルヘッダーを差し引いたもの）を 16 進数で出力します。パケット全体または snaplen バイトの小さい方が出力されます。これはリンク層パケット全体であるため、パディングを行うリンク層について（たとえば、イーサネット）、上位層のパケットが必要なパディングよりも短い場合、パディングバイトも出力されます。

-xx

解析および出力時に、各パケットのヘッダーの出力に加えて、各パケットのデータを、リンクレベルヘッダーを含めて 16 進数で出力します。

-X

解析および出力時に、各パケットのヘッダーの出力に加えて、各パケットのデータ（リンク レベル ヘッダーを差し引いたもの）を 16 進数と ASCII で出力します。

これは、新しいプロトコルの分析に非常に便利です。

-XX

解析および出力時に、各パケットのヘッダーの出力に加えて、各パケットのデータを、リンクレベルヘッダーを含めて 16 進数と ASCII で出力します。

-y

パケットをキャプチャするときに使用するデータリンクタイプを datalinktype に設定します。

-Z

（ルートであれば）権限をドロップし、ユーザー ID とグループ ID をユーザーのプライマリ グループのユーザーおよびグループ ID に変更します。

id

アクセス リストの名前。

statistics

ARP 統計情報をクリアします。

interface_name

指定したインターフェイスの統計情報をクリアします。

access-list acl_name

指定したアクセス リストのヒット カウンタだけをクリアします。

arp

ASP ARP テーブルのみでヒット カウンタをクリアします。

classify

ASP classify テーブルのみでヒット カウンタをクリアします。

cluster counter

クラスタ カウンタをクリアします。

counters

データパスインスペクションの Snort カウンタをクリアします。

dispatch

ディスパッチの統計情報をクリアします。

event

データ パスからコントロール プレーンへのイベントの統計情報をクリアします。

filter

ASP フィルタテーブルのヒットカウンタのみをクリアします。

flow

ドロップされたフロー統計をクリアします。

frame

ドロップされたフレーム/パケット統計をクリアします。

inspect-dp ack-passthrough

Snort インスペクションをバイパスした空の TCP ACK パケットのカウンタをクリアします。

inspect-dp egress-optimization

出力最適化の統計情報をクリアします。

inspect-dp snort

データパスインスペクションの Snort 統計情報をクリアします。

instance number

インスタンス ID でカウンタをクリアします。

load-balance history

パケット単位の ASP ロード バランシングの履歴をクリアし、自動切り替えが発生した回数をリセットします。

overhead

すべての ASP マルチプロセッサ オーバーヘッドの統計情報をクリアします。

packet-profile

パケットプロファイルの統計情報をクリアします。

queue number

インスタンス ID とキュー ID でカウンタをクリアします。

queue-exhaustion

データ パス インスペクションの Snort キュー スナップショットをクリアします。

snapshot number

スナップショット ID でキューの枯渇をクリアします。

table

ASP ARP テーブルおよび ASP 分類テーブルのヒット カウンタをクリアします。

*

現在のすべての BGP セッションをリセットすることを指定します。

as_number

（任意）すべての BGP ピア セッションがリセットされる自律システムの番号。

external

外部のすべての BGP セッションをリセットすることを指定します。

in

（オプション）インバウンド再構成を開始します。in と out のどちらのキーワードも指定しない場合は、インバウンドとアウトバウンドの両方のセッションがリセットされます。

ipv4 unicast

IPv4 アドレス ファミリ セッションのハードまたはソフト再構成を使用して BGP 接続をリセットします。

ipv6 unicast

IPv6 アドレス ファミリ セッションのハードまたはソフト再構成を使用して BGP 接続をリセットします。

neighbor_address

（任意）指定された BGP ネイバーのみをリセットすることを指定します。この引数の値には、IPv4 アドレスまたは IPv6 アドレスを指定できます。

out

（オプション）インバウンド再構成またはアウトバウンド再構成を開始します。in と out のどちらのキーワードも指定しない場合は、インバウンドとアウトバウンドの両方のセッションがリセットされます。

soft

（任意）低速ピアのステータスを強制的にクリアして、元のアップデート グループに移します。

table-map

BGP ルーティング テーブルの table-map 設定情報をクリアします。このコマンドを使用して、BGP ポリシー アカウンティング機能で設定されたトラフィック インデックス情報をクリアできます。

core-local [number]

（任意）すべてのコア、またはコア番号を指定する場合は特定のコアに対し、アプリケーションによってキューに入れられたシステム バッファをクリアします。

exhaustion

（任意）枯渇状態をクリアします。

export-failed

（任意）エクスポート失敗カウンタをクリアします。

history

（任意）履歴をクリアします。

queue

（任意）キューに入れられたブロックをクリアします。

snapshot

（任意）スナップショット情報をクリアします。

/all

すべてのインターフェイス上のパケットをクリアします。

capture_name

パケット キャプチャの名前を指定します。

is-neighbors

中間システムのネイバールートをクリアします。

neighbors

すべての CLNS ネイバールートをクリアします。

traffic

CLNS プロトコル統計情報をクリアします。

flow-mobility counters

クラスタ フローモビリティ カウンタをクリアします。

health details

クラスタ ヘルス情報をクリアします。

trace

クラスタ イベント トレース情報をクリアします。

transport

クラスタ転送統計情報をクリアします。

address ip[-ip]

指定された送信元または宛先の IP アドレス（IPv4 または IPv6）との接続をクリアします。範囲を指定するには、IP アドレスをダッシュ（-）で区切ります。例：10.1.1.1-10.1.1.5

all

to-the-box 接続を含む、すべての接続をクリアします。all キーワードを指定しない場合は、through-the-box 接続だけがクリアされます。

inline-set name

指定したインラインセットに一致する接続をクリアします。

netmask mask

（任意）指定された IP アドレスで使用するサブネット マスクを指定します。

port port[-port]

指定された送信元ポートまたは宛先ポートとの接続をクリアします。範囲を指定するには、ポート番号をダッシュ（-）で区切ります。例：1000-2000

protocol {tcp | udp | sctp}

指定したプロトコルが設定されている接続をクリアします。

security-group {name | tag} attribute

指定したセキュリティグループ属性が設定されている接続をクリアします。

user [domain_nickname\] user_name

指定したユーザーに属する接続をクリアします。domain_nickname 引数を含めない場合、システムはデフォルトドメイン内のユーザーの接続をクリアします。

user-group [domain_nickname\\] user_group_name]

指定したユーザーグループに属する接続をクリアします。domain_nickname 引数を含めない場合、システムはデフォルトドメイン内のユーザーグループの接続をクリアします。

zone [zone_name]

セキュリティゾーンに属する接続をクリアします。

[ vrf { name | global}]

Virtual Route Forwarding（VRF）（仮想ルータとも呼ばれる）を有効にすると、vrf name キーワードを使用してコマンドを特定の仮想ルータに制限できます。コマンドをグローバル仮想ルータに限定するには、vrf global を指定します。このキーワードを省略すると、コマンドはすべての仮想ルータに適用されます。

data-rate

（任意）保存されている現在の最大データレートをクリアします。

all

（任意）すべてのフィルタ詳細をクリアします。

counter_name

（任意）名前でカウンタを指定します。使用可能なカウンタ名を表示するには、show counters protocol コマンドを使用します。

detail

（任意）カウンタの詳細情報をクリアします。

protocol protocol_name

（任意）指定したプロトコルのカウンタをクリアします。

summary

（任意）カウンタの要約をクリアします。

threshold n

（任意）指定されたしきい値以上になっているカウンタをクリアします。指定できる範囲は 1 ～ 4294967295 です。

top n

（任意）指定されたしきい値以上になっているカウンタをクリアします。指定できる範囲は 1 ～ 4294967295 です。

module {0 | 1}

（任意）スロット 0 または 1 のモジュールのクラッシュ ファイルをクリアします。

trustpoint trust_point_name

トラストポイントの名前。名前を指定しない場合、このコマンドはシステム上のキャッシュされた CRL をすべてクリアします。trustpointname を指定せず trustpoint キーワードを指定した場合、コマンドは失敗します。

trustpool

trustpool 内の証明書に関連付けられた CRL にのみアクションが適用されることを示します。

noconfirm

ユーザー確認プロンプトを抑制し、コマンドが要求どおりに処理されます。

sa ip_address

SA をクリアします。すべての IKEv1 SA をクリアするには、IP アドレスを指定せずにこのオプションを使用します。それ以外の場合は、クリアする SA の IPv4 アドレスまたは IPv6 アドレスを指定します。

stats

IKEv1 統計情報をクリアします。

sa ip_address

SA をクリアします。すべての IKEv2 SA をクリアするには、IP アドレスを指定せずにこのオプションを使用します。それ以外の場合は、クリアする SA の IPv4 アドレスまたは IPv6 アドレスを指定します。

stats

IKEv2 統計情報をクリアします。

ah

認証ヘッダー。

counters

各 SA 統計情報のすべての IPsec をクリアします。

entry ip_address

指定した IP アドレス、ホスト名、プロトコル、および SPI 値に一致するトンネルを削除します。

esp

暗号化セキュリティ プロトコル。

inactive

すべての非アクティブな IPsec SA をクリアします。

map map_name

マップ名で識別される、指定したクリプト マップに関連付けられているすべてのトンネルを削除します。

peer ip_address

指定したホスト名または IP アドレスで識別されるピアへのすべての IPsec SA を削除します。

spi

セキュリティ パラメータ インデックス（16 進数）を指定します。受信 SPI である必要があります。このコマンドは、送信 SPI ではサポートされていません。

sa

IKEv1 および IKEv2 SA をクリアします。

stats

IKEv1 および IKEv2 統計情報をクリアします。

protocol

統計情報をクリアするプロトコルの名前を指定します。プロトコルの選択肢は次のとおりです。

• all ：現在サポートされているすべてのプロトコル。

• ikev1 ：インターネット キー エクスチェンジ（IKE）バージョン 1。

• ikev2 ：インターネット キー エクスチェンジ（IKE）バージョン 2。

• ipsec ：IP セキュリティ（IPsec）フェーズ 2 プロトコル。

• other ：新規プロトコル用に予約済み。

• srtp ：セキュア RTP（SRTP）プロトコル。

• ssh ：セキュアシェル（SSH）プロトコル。

• ssl ：セキュアソケットレイヤ（SSL）プロトコル。

cache

SSL セッション キャッシュ内の期限切れセッションをクリアします。

all

（任意）SSL セッション キャッシュ内のすべてのセッションおよび統計情報をクリアします。

errors

SSL エラーをクリアします。

mib

SSL MIB 統計情報をクリアします。

objects

SSL オブジェクト統計情報をクリアします。

all

（任意）すべての dhcpd バインディングをクリアします。

binding

クライアント アドレスのすべてのバインディングをクリアします。

ip_address

（任意）指定した IP アドレスのバインディングをクリアします。

statistics

統計情報カウンタをクリアします。

host fqdn_name

（任意）IP アドレスをクリアする完全修飾ドメイン名を指定します。ホストを指定しない場合、すべての DNS 解決がクリアされます。

ipcache [ counters]

ダイレクト インターネット アクセスのポリシーベースのルーティングで使用される DNS スヌーピングを通じて取得した IP キャッシュからすべてのエントリがクリアされます。

キャッシュ内のエントリを削除せずにそれらのヒットカウントをすべてリセットするだけの場合は、counters を指定します。

IPv4_address

指定した IPv4 アドレス（5 タプル）のスロットルされたエレファントフローをクリアします。

IPv6_address/prefix

指定した IPv6 アドレスのスロットルされたエレファントフローをクリアします。

all

スロットルをクリアし、すべてのエレファントフローを検査します。

bypass

（任意）スロットルをクリアし、すべてのエレファントフローの Snort インスペクションをバイパスします。

any

• 送信元アドレスとマスク 0.0.0.0 0.0.0.0 と ::/0 の省略形として使用します。

• 任意の送信元ポートまたは宛先ポートに使用します。

source_port

指定した送信先ポートとの接続のスロットルをクリアします。

destination_port

指定した宛先ポートとの接続のスロットルをクリアします。

tcp

TCP 接続のスロットルのみをクリアします。

udp

UDP 接続のスロットルのみをクリアします。

as_number

（任意）イベント ログをクリアする EIGRP プロセスの自律システム番号を指定します。デバイスでサポートされる EIGRP ルーティングプロセスは 1 つのみであるため、自律システム番号（プロセス ID）を指定する必要はありません。

as_number

（任意）ネイバー エントリを削除する EIGRP プロセスの自律システム番号を指定します。デバイスでサポートされる EIGRP ルーティングプロセスは 1 つだけなので、自律システム番号（AS）（プロセス ID）を指定する必要はありません。

if_name

（任意）インターフェイスの名前。インターフェイス名を指定すると、このインターフェイスを介して学習されたすべてのネイバー テーブル エントリが削除されます。

ip_addr

（任意）ネイバー テーブルから削除するネイバーの IP アドレス。

soft

デバイスは、隣接関係をリセットすることなくネイバーと再同期されます。

as_number

（任意）EIGRP プロセスの自律システム番号を指定します。デバイスでサポートされる EIGRP ルーティングプロセスは 1 つだけなので、自律システム番号（AS）（プロセス ID）を指定する必要はありません。

ip_addr

トポロジ テーブルからクリアする IP アドレス。

mask

（任意）ip-addr 引数に適用するネットワーク マスク。