Cisco Secure Firewall Threat Defense コマンドリファレンス

show capture

オプションを指定しないでキャプチャの設定を表示するには、show capture コマンドを使用します。

show capture [ capture_name] [ access-list access_list_name] [ count number] [ decode] [ detail] [ dump] [ packet-number number] [ trace]

構文の説明


access-list `access_list_name`	（任意）特定のアクセスリスト ID の IP フィールドまたはより高位のフィールドに基づいて、パケットに関する情報を表示します。
`capture_name`	（オプション）パケットキャプチャの名前を指定します。
count `number`	（任意）指定されたデータのパケット数を表示します。有効な値は 0 ～ 4294967295 です。
decode	このオプションは、isakmp タイプのキャプチャがインターフェイスに適用されている場合に役立ちます。当該のインターフェイスを通過する ISAKMP データは、復号化の後にすべてキャプチャされ、フィールドをデコードした後にその他の情報とともに表示されます。
detail	（任意）各パケットについて、プロトコル情報を追加表示します。
dump	（オプション）データリンク経由で転送されたパケットの 16 進ダンプを表示します。
packet-number `number`	（任意）指定したパケット番号から表示を開始します。有効な値は 0 ～ 4294967295 です。
trace	（任意）前述のように trace キーワードを使用してキャプチャが設定されている場合に使用される、各パケットの拡張トレース情報を表示します。また、インバウンド方向の各パケットのパケットトレーサの出力が表示されます。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

キャプチャ名を指定した場合は、そのキャプチャのキャプチャバッファの内容が表示されます。

dump キーワードを指定しても、MAC 情報は 16 進ダンプに表示されません。

パケットのデコード出力は、パケットのプロトコルによって異なります。次の表の角カッコに囲まれている出力は、detail キーワードを指定した場合に表示されます。

表 1. パケットキャプチャの出力形式
パケットタイプ	キャプチャの出力形式
802.1Q	`HH:MM:SS.ms` [ether-hdr] `VLAN-info encap-ether-packet`
『ARP』	`HH:MM:SS.ms` [ether-hdr] `arp-type arp-info`
IP/ICMP	`HH:MM:SS.ms` [ether-hdr] `ip-source` > `ip-destination:` icmp: `icmp-type icmp-code` [checksum-failure]
IP/UDP	`HH:MM:SS.ms` [ether-hdr] `src-addr.src-port dest-addr.dst-port:` [checksum-info] udp `payload-len`
IP/TCP	`HH:MM:SS.ms` [ether-hdr] `src-addr.src-port dest-addr.dst-port: tcp-flags` [header-check] [checksum-info] `sequence-number ack-number tcp-window urgent-info tcp-options`
IP/Other	`HH:MM:SS.ms` [ether-hdr] `src-addr dest-addr: ip-protocol ip-length`
Other	`HH:MM:SS.ms ether-hdr: hex-dump`

脅威に対する防御デバイスが不正な形式の TCP ヘッダー付きのパケットを受信し、ASP ドロップの理由が invalid-tcp-hdr-length でそのパケットをドロップした場合、そのパケットを受信したインターフェイスでは show capture コマンドの出力にそれらのパケットは表示されません。

（注）

ファイルサイズオプションを使用する場合：

show capture [ capture_name] コマンドは、キャプチャされてスキップされたパケットの数を表示します。
show capture コマンドは、キャプチャされたデータを KB および MB 単位で表示します。

例

次に、キャプチャのコンフィギュレーションを表示する例を示します。


> show capture
capture arp ethernet-type arp interface outside
capture http access-list http packet-length 74 interface inside

次に、ARP キャプチャによってキャプチャされたパケットを表示する例を示します。


> show capture arp
2 packets captured
19:12:23.478429 arp who-has 171.69.38.89 tell 171.69.38.10
19:12:26.784294 arp who-has 171.69.38.89 tell 171.69.38.10
2 packets shown

次に、クラスタリング環境の 1 つのユニットでキャプチャされたパケットを表示する例を示します。


> show capture
capture 1 cluster type raw-data interface primary interface cluster [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]

次に、クラスタリング環境のすべてのユニットでキャプチャされたパケットを表示する例を示します。


> cluster exec show capture
mycapture (LOCAL):----------------------------------------------------------
capture 1 type raw-data interface primary [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]

yourcapture:----------------------------------------------------------------
capture 1 type raw-data interface primary [Capturing - 191484 bytes]
capture 2 type raw-data interface cluster [Capturing - 532354 bytes]

次に、SGT とイーサネットタギングがインターフェイスでイネーブルになっている場合にキャプチャされたパケットの例を示します。


> show capture my-inside-capture
1: 11:34:42.931012 INLINE-TAG 36 10.0.101.22 > 11.0.101.100: icmp: echo request
2: 11:34:42.931470 INLINE-TAG 48 11.0.101.100 > 10.0.101.22: icmp: echo reply
3: 11:34:43.932553 INLINE-TAG 36 10.0.101.22 > 11.0.101.100: icmp: echo request
4: 11.34.43.933164 INLINE-TAG 48 11.0.101.100 > 10.0.101.22: icmp: echo reply

SGT とイーサネットタギングがインターフェイスでイネーブルの場合、インターフェイスは引き続きタグ付きパケットまたはタグなしパケットを受信できます。この例は、出力に INLINE-TAG 36 があるタグ付きパケット用です。同じインターフェイスがタグなしパケットを受信した場合も、出力は変わりません（つまり、「INLINE-TAG 36」エントリは出力に含まれません）。

Command	説明
capture	パケットスニッフィングおよびネットワーク障害の切り分けのためにパケットキャプチャ機能をイネーブルにします。
clear capture	キャプチャバッファをクリアします。
copy capture	キャプチャファイルをサーバーにコピーします。

show cert-update

脅威に対する防御デバイスの CA 証明書の自動更新のステータスを表示するには、show cert-update コマンドを使用します。

show cert-update

コマンド履歴


リリース	変更内容
7.0.5	このコマンドが導入されました。

例

次に、show cert-update コマンドの出力例を示します。


> show cert-update
Autoupdate is enabled and set for every day at 09:34 UTC
CA bundle was last modified 'Thu Sep 15 16:12:35 2022'

Command	説明
configure cert-update auto-update	毎日の CA 証明書の自動更新を有効または無効にします。
configure cert-update run-now	CA 証明書の更新をすぐに試します。
configure cert-update test	シスコのサーバーからの最新の CA 証明書を使用して接続チェックを実行します。

show checkheaps

チェックヒープ統計情報を表示するには、show checkheaps コマンドを使用します。チェックヒープは、ヒープメモリバッファの正常性およびコード領域の完全性を検証する定期的なプロセスです（ダイナミックメモリはシステムヒープメモリ領域から割り当てられます）。

show checkheaps

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、show checkheaps コマンドの出力例を示します。


> show checkheaps
Checkheaps stats from buffer validation runs
--------------------------------------------
Time elapsed since last run     : 42 secs
Duration of last run            : 0 millisecs
Number of buffers created       : 8082
Number of buffers allocated     : 7808
Number of buffers free          : 274
Total memory in use             : 43570344 bytes
Total memory in free buffers    : 87000 bytes
Total number of runs            : 310

show checksum

設定のチェックサムを表示するには、show checksum コマンドを使用します。

show checksum

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

show checksum コマンドを使用すると、設定内容のデジタルサマリーとして機能する 4 つのグループの 16 進数を表示できます。このチェックサムが計算されるのは、コンフィギュレーションをフラッシュメモリに格納するときのみです。

show running-config コマンドまたは show checksum コマンドの出力でチェックサムの前にドット（「.」）が表示された場合、この出力は、通常の設定の読み込みまたは書き込みモードのインジケータを示しています（脅威に対する防御のフラッシュパーティションからの読み込みまたはフラッシュパーティションへの書き込み時）。「.」は、脅威に対する防御デバイスが操作ですでに占有されているものの、「ハングアップ」しているわけではないことを示します。このメッセージは、「system processing, please wait」メッセージに似ています。

例

次に、コンフィギュレーションまたはチェックサムを表示する例を示します。


> show checksum
Cryptochecksum: 1a2833c0 129ac70b 1a88df85 650dbb81

show chunkstat

チャンク統計情報を表示するには、show chunkstat コマンドを使用します。

show chunkstat

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、チャンクに関する統計情報を表示する例を示します。


> show chunkstat
Global chunk statistics: created 181, destroyed 34, siblings created 94, siblings destroyed 34

Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01edb4cc, name "Managed Chunk Queue Elements", data start @ 01edbd24, end @ 01eddc54
next: 01eddc8c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 499, elt size: 16, index first free 498
# chunks in use: 1, HWM of total used: 1, alignment: 0
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01eddc8c, name "Registry Function List", data start @ 01eddea4, end @ 01ede348
next: 01ede37c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 99, elt size: 12, index first free 42
# chunks in use: 57, HWM of total used: 57, alignment: 0

Command	説明
show counters	プロトコルスタックカウンタを表示します。
show cpu	CPU の使用状況に関する情報を表示します。

show clns

IS-IS の Connectionless Network Service（CLNS）情報を表示するには、show clns コマンドを使用します。

show clns { filter-set [ name] | interface [ interface_name] | is-neighbors [ interface_name [ detail] | neighbors [ areas] [ interface_name] [ detail] | protocol [ domain] | traffic}

構文の説明


filter-set [`name`]	CLNS フィルタセットを表示します。必要に応じて、フィルタセットの名前を指定できます。
interface [`interface_name`]	CLNS インターフェイスのステータスと設定を表示します。必要に応じて、出力を絞り込むインターフェイスの名前を指定できます。
is-neighbors [`interface_name`] [detail]	IS ネイバー隣接関係を表示します。ネイバーエントリは、配置されているエリアに応じてソートされます。必要に応じて、出力を絞り込むインターフェイスの名前を指定できます。 detail を指定して、中継システムに関連付けられたエリアを含めます。そうでない場合は、サマリー表示が提供されます。
neighbors [areas] [`interface_name`] [detail]	エンドシステム（ES）、中継システム（IS）、およびマルチトポロジ統合 Intermediate System-to-Intermediate System（M-ISIS）ネイバーを表示します。必要に応じて、出力を絞り込むインターフェイスの名前を指定できます。 CLNS マルチエリア隣接関係を表示するには、areas キーワードを含めます。 detail を指定して、中継システムに関連付けられたエリアを含めます。そうでない場合は、サマリー表示が提供されます。
protocol [`domain`]	CLNS ルーティングプロトコルプロセス情報を表示します。少なくとも 2 つのルーティングプロセス、レベル 1 およびレベル 2 が常に存在し、さらに多い場合もあります。必要に応じて、CLNS ドメインの名前を指定して出力を絞り込むことができます。
traffic	このルータが認識した CLNS パケットをリストします。

コマンド履歴


リリース	変更内容
6.3	このコマンドが導入されました。

例

次に、実行コンフィギュレーションで定義されている CLNS フィルタセットを表示し、show clns filter-set コマンドを使用して表示する例を示します。


> show running-config clns
clns filter-set US-OR-NORDUNET permit 47.0005...
clns filter-set US-OR-NORDUNET permit 47.0023...
clns filter-set LOCAL permit 49.0003
> show clns filter-set 

CLNS filter set US-OR-NORDUNET 
      permit 47.0005... 
      permit 47.0023... 
CLNS filter set LOCAL 
      permit 49.0003...

次に、show clns interface コマンドの出力例を示します。[Routing Protocol: IS-IS] の下の情報には、レベル 1 とレベル 2 のメトリック、優先順位、回線 ID、アクティブなレベル 1 とレベル 2 の隣接関係の数など、Intermediate System-to-Intermediate System（IS-IS）に関する情報が表示されます。


> show clns interface
GigabitEthernet0/1 is up, line protocol is up
  Checksums enabled, MTU 1500
  ERPDUs enabled, min. interval 10 msec.
  DEC compatibility mode OFF for this interface
  Next ESH/ISH in 0 seconds
  Routing Protocol: IS-IS
    Circuit Type: level-1-2
    Interface number 0x0, local circuit ID 0x1
    Level-1 Metric: 10, Priority: 64, Circuit ID: c2.01
    DR ID: c2.01
    Level-1 IPv6 Metric: 10
    Number of active level-1 adjacencies: 3
    Level-2 Metric: 10, Priority: 64, Circuit ID: c2.01
    DR ID: c2.01
    Level-2 IPv6 Metric: 10
    Number of active level-2 adjacencies: 3
    Next IS-IS LAN Level-1 Hello in 1 seconds
    Next IS-IS LAN Level-2 Hello in 1 seconds

次に、show clns neighbors コマンドの出力例を示します。


> show clns neighbors

System Id      Interface   SNPA                State  Holdtime  Type Protocol
CSR7001        inside      000c.2921.ff44      Up          29   L1L2
CSR7002        inside      000c.2906.491c      Up          27   L1L2

次の表で、ネイバー出力の各フィールドについて説明します。

表 2. ネイバー出力のフィールド
フィールド	説明
System Id	エリア内のシステムを識別する 6 バイト値。
インターフェイス	システムの学習元インターフェイス名。
SNPA	サブネットワークポイントオブアタッチメント。これはデータリンクアドレスです。
状態	ES、IS、または M-ISIS の状態。 Init：システムは IS で、IS-IS hello メッセージを待機しています。IS-IS は、ネイバーを隣接関係にないと見なします。 Up：ES または IS が到達可能であると確信しています。
Holdtime	この隣接関係エントリがタイムアウトするまでの秒数。
タイプ	隣接関係のタイプ。 ES：エンドシステム隣接関係が、ES-IS プロトコルを介して検出されたか、または静的に設定されました。 IS：ルータ隣接関係が、ES-IS プロトコルを介して検出されたか、または静的に設定されました。 M-ISIS：ルータ隣接関係が、マルチトポロジ IS-IS プロトコルを介して検出されました。 L1：レベル 1 ルーティングのみのルータ隣接関係。 L1L2：レベル 1 およびレベル 2 ルーティングのルータ隣接関係。 L2: 第 2 レベルのみのルータ隣接関係。
Protocol	隣接関係が学習されたプロトコル。有効なプロトコルソースは、ES-IS、IS-IS、ISO IGRP、Static、DECnet、および M-ISIS です。

次に、show clns neighbors detail コマンドの出力例を示します。


> show clns neighbors detail

System Id      Interface   SNPA                State  Holdtime  Type Protocol
CSR7001        inside      000c.2921.ff44      Up          26   L1L2
  Area Address(es): 49.0001
  IP Address(es):  1.3.3.3*
  Uptime: 01:16:33
  NSF capable
  Interface name: inside
CSR7002        inside      000c.2906.491c      Up          27   L1L2
  Area Address(es): 49.0001
  IP Address(es):  20.3.3.3*
  Uptime: 01:16:33
  NSF capable
  Interface name: inside

次に、show clns is-neighbors コマンドの出力例を示します。


> show clns is-neighbors

System Id      Interface   State  Type Priority  Circuit Id         Format
CSR7001        inside      Up     L1L2 64/64    ciscoasa.01         Phase V
CSR7002        inside      Up     L1L2 64/64    ciscoasa.01         Phase V

次の表で、IS ネイバー出力の列について説明します。

表 3. IS ネイバー出力のフィールド
フィールド	説明
System Id	システムの ID 値。
インターフェイス	ルータが検出されたインターフェイス。
状態	隣接状態。Up および Init が状態です。詳細については、show clns neighbors の説明を参照してください。
タイプ	隣接関係のタイプ：L1、L2、または L1L2。詳細については、show clns neighbors の説明を参照してください。
プライオリティ	関連ネイバーがアドバタイズしている IS-IS のプライオリティ。インターフェイスの指定 IS-IS ルータに対して最もプライオリティの高いネイバーが選ばれます。
Circuit Id	インターフェイスにとって指定 IS-IS ルータが何であるかについてのネイバーの認識。
書式	ネイバーがフェーズ V（OSI）隣接またはフェーズ IV（DECnet）隣接のいずれであるかを示すフォーマット。

次に、show clns is-neighbors detail コマンドの出力例を示します。


> show clns is-neighbors detail

System Id      Interface   State  Type Priority  Circuit Id         Format
CSR7001        inside      Up     L1L2 64/64    ciscoasa.01         Phase V
  Area Address(es): 49.0001
  IP Address(es):  1.3.3.3*
  Uptime: 00:12:49
  NSF capable
  Interface name: inside
CSR7002        inside      Up     L1L2 64/64    ciscoasa.01         Phase V
  Area Address(es): 49.0001
  IP Address(es):  20.3.3.3*
  Uptime: 00:12:50
  NSF capable
  Interface name: inside

次に、show clns protocol コマンドの出力例を示します。


> show clns protocol
IS-IS Router
  System Id: 0050.0500.5008.00  IS-Type: level-1-2
  Manual area address(es):
        49.0001
  Routing for area address(es):
        49.0001
  Interfaces supported by IS-IS:
        outside - IP
  Redistribute:
    static (on by default)
  Distance for L2 CLNS routes: 110
  RRR level: none
  Generate narrow metrics: level-1-2
  Accept narrow metrics:   level-1-2
  Generate wide metrics:   none
  Accept wide metrics:     none

次に、show clns traffic コマンドの出力例を示します。


> show clns traffic

CLNS:  Time since last clear: never
CLNS & ESIS Output: 0, Input: 8829
CLNS Local: 0, Forward: 0
CLNS Discards:
  Hdr Syntax: 0, Checksum: 0, Lifetime: 0, Output cngstn: 0
  No Route: 0, Discard Route: 0, Dst Unreachable 0, Encaps. Failed: 0
  NLP Unknown: 0, Not an IS: 0
CLNS Options: Packets 0, total 0 , bad 0, GQOS 0, cngstn exprncd 0
CLNS Segments:  Segmented: 0, Failed: 0
CLNS Broadcasts: sent: 0, rcvd: 0
Echos: Rcvd 0 requests, 0 replies
      Sent 0 requests, 0 replies
ESIS(sent/rcvd): ESHs: 0/0, ISHs: 0/0, RDs: 0/0, QCF: 0/0
Tunneling (sent/rcvd): IP: 0/0, IPv6: 0/0
Tunneling dropped (rcvd) IP/IPV6:  0
ISO-IGRP: Querys (sent/rcvd): 0/0 Updates (sent/rcvd): 0/0
ISO-IGRP: Router Hellos: (sent/rcvd): 0/0
ISO-IGRP Syntax Errors: 0

IS-IS: Time since last clear: never
IS-IS: Level-1 Hellos (sent/rcvd): 1928/1287
IS-IS: Level-2 Hellos (sent/rcvd): 1918/1283
IS-IS: PTP Hellos     (sent/rcvd): 0/0
IS-IS: Level-1 LSPs sourced (new/refresh): 7/13
IS-IS: Level-2 LSPs sourced (new/refresh): 7/14
IS-IS: Level-1 LSPs flooded (sent/rcvd): 97/2675
IS-IS: Level-2 LSPs flooded (sent/rcvd): 73/2628
IS-IS: LSP Retransmissions: 0
IS-IS: Level-1 CSNPs (sent/rcvd): 642/0
IS-IS: Level-2 CSNPs (sent/rcvd): 639/0
IS-IS: Level-1 PSNPs (sent/rcvd): 0/554
IS-IS: Level-2 PSNPs (sent/rcvd): 0/390
IS-IS: Level-1 DR Elections: 1
IS-IS: Level-2 DR Elections: 1
IS-IS: Level-1 SPF Calculations: 9
IS-IS: Level-2 SPF Calculations: 8
IS-IS: Level-1 Partial Route Calculations: 0
IS-IS: Level-2 Partial Route Calculations: 0
IS-IS: LSP checksum errors received: 0
IS-IS: Update process queue depth: 0/200
IS-IS: Update process packets dropped: 0

次の表で、トラフィック出力のフィールドについて説明します。

表 4. トラフィック出力のフィールド
フィールド	説明
CLNS & ESIS Output	このルータが送信したパケットの合計数。
入力	このルータが受信したパケットの合計数。
CLNS Local	このルータによって生成されたパケット数。
Forward	このルータが転送したパケット数。
CLNS Discards	CLNS が廃棄したパケット数（廃棄理由ごとに分類されたもの）。
CLNS Options	CLNS パケット内で見つかったオプション。
CLNS Segments	セグメント化されたパケットの数と、パケットをセグメント化できなかったことによって発生した障害数。
CLNS Broadcasts	送受信された CLNS ブロードキャストの数。
Echos	受信されたエコー要求パケットとエコー応答パケットの数。このフィールドの後ろの行には、送信されたエコー要求パケットとエコー応答パケットの数をリストします。
ESIS (sent/rcvd)	送受信されたエンドシステム Hello（ESH）、中継システム Hello（ISH）、およびリダイレクトの数。
ISO IGRP	送受信された ISO Interior Gateway Routing Protocol（IGRP）のクエリーおよび更新の数。
Router Hellos	送受信された ISO IGRP ルータ hello パケットの数。
IS-IS: Level-1 hellos (sent/rcvd)	送受信されたレベル 1 IS-IS hello パケットの数。
IS-IS: Level-2 hellos (sent/rcvd)	送受信されたレベル 2 IS-IS hello パケットの数。
IS-IS: PTP hellos (sent/rcvd)	シリアルリンクを通して送受信されたポイントツーポイントの IS-IS hello パケットの数。
IS-IS: Level-1 LSPs (sent/rcvd)	送受信されたレベル 1 のリンクステートプロトコルデータユニット（PDU）の数。
IS-IS: Level-2 LSPs (sent/rcvd)	送受信されたレベル 2 のリンクステート PDU の数。
IS-IS: Level-1 CSNPs (sent/rcvd)	送受信されたレベル 1 Complete Sequence Number Packet（CSNP）の数。
IS-IS: Level-2 CSNPs (sent/rcvd)	送受信されたレベル 2 の CSNP の数。
IS-IS: Level-1 PSNPs (sent/rcvd)	送受信されたレベル 1 Partial Sequence Number Packet（PSNP）の数。
IS-IS: Level-2 PSNPs (sent/rcvd)	送受信されたレベル 2 の PSNP の数。
IS-IS: Level-1 DR Elections	レベル 1 の指定ルータの選定が行われた回数。
IS-IS: Level-2 DR Elections	レベル 2 の指定ルータの選定が行われた回数。
IS-IS: Level-1 SPF Calculations	レベル 1 の最短パス優先（SPF）ツリーが計算された回数。
IS-IS: Level-2 SPF Calculations	レベル 2 の SPF ツリーが計算された回数。

Command	説明
clear clns	CLNS 固有の情報をクリアします。

show cluster

クラスタ全体の集約データまたはその他の情報を表示するには、show cluster コマンドを使用します。

show cluster { access-list [ acl_name ] | conn [ count ] | cpu [ usage ] | interface-mode | memory | resource usage | rule hits [ raw ] | service-policy | traffic | xlate count }

構文の説明


access-list [`acl_name`]	アクセスポリシーのヒットカウンタを示します。特定の ACL のカウンタを表示するには、acl_name と入力します。
conn [count]	使用中の接続の、すべてのユニットでの合計数を表示します。count キーワードを入力すると、接続数だけが表示されます。
cpu [usage]	CPU の使用率情報を表示します。
interface-mode	クラスタインターフェイスモードを表示します（spanned または individual）。
memory	システムメモリ使用率などの情報を表示します。
resource usage	システムリソースと使用状況を表示します。
rule hits `[` raw`]`	アクセスコントロールポリシーおよびプレフィルタポリシーのすべての評価済みルールのルールヒット情報を表示します。raw キーワードを指定すると、データが .csv 形式で表示されます。
service-policy	MPF サービスポリシー統計情報を表示します。
traffic	トラフィック統計情報を表示します。
xlate count	現在の変換情報を表示します。

コマンド履歴


リリース	変更内容
6.4	rule hits `[` raw`]` キーワードが追加されました。
6.1	このコマンドが導入されました。

例

次に、show cluster access-list コマンドの出力例を示します。


> show cluster access-list
hitcnt display order: cluster-wide aggregated result, unit-A, unit-B,  unit-C, unit-D
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 101; 122 elements; name hash: 0xe7d586b5
access-list 101 line 1 extended permit tcp 192.168.143.0 255.255.255.0 any eq www 
  (hitcnt=0, 0, 0, 0, 0) 0x207a2b7d
access-list 101 line 2 extended permit tcp any 192.168.143.0 255.255.255.0 
  (hitcnt=0, 0, 0, 0, 0) 0xfe4f4947
access-list  101 line 3 extended permit tcp host 192.168.1.183 host 192.168.43.238 
  (hitcnt=1, 0, 0, 0, 1) 0x7b521307
access-list 101 line 4 extended permit tcp host 192.168.1.116 host 192.168.43.238 
  (hitcnt=0, 0, 0, 0, 0) 0x5795c069
access-list 101 line 5 extended permit tcp host 192.168.1.177 host 192.168.43.238 
  (hitcnt=1, 0, 0, 1, 0) 0x51bde7ee
access list 101 line 6 extended permit tcp host 192.168.1.177 host 192.168.43.13 
  (hitcnt=0, 0, 0, 0, 0) 0x1e68697c
access-list 101 line 7 extended permit tcp host 192.168.1.177 host 192.168.43.132 
  (hitcnt=2, 0, 0, 1, 1) 0xc1ce5c49
access-list 101 line 8 extended permit tcp host 192.168.1.177 host 192.168.43.192 
  (hitcnt=3, 0, 1, 1, 1) 0xb6f59512
access-list 101 line 9 extended permit tcp host 192.168.1.177 host 192.168.43.44 
  (hitcnt=0, 0, 0, 0, 0) 0xdc104200
access-list 101 line 10 extended permit tcp host 192.168.1.112 host 192.168.43.44 
  (hitcnt=429, 109, 107, 109, 104)0xce4f281d
access-list 101 line 11 extended permit tcp host 192.168.1.170 host 192.168.43.238 
  (hitcnt=3, 1, 0, 0, 2) 0x4143a818
access-list 101 line 12 extended permit tcp host 192.168.1.170 host 192.168.43.169 
  (hitcnt=2, 0, 1, 0, 1) 0xb18dfea4
access-list 101 line 13 extended permit tcp host 192.168.1.170 host 192.168.43.229 
  (hitcnt=1, 1, 0, 0, 0) 0x21557d71
access-list 101 line 14 extended permit tcp host 192.168.1.170 host 192.168.43.106 
  (hitcnt=0, 0, 0, 0, 0) 0x7316e016
access-list 101 line 15 extended permit tcp host 192.168.1.170 host 192.168.43.196 
  (hitcnt=0, 0, 0, 0, 0) 0x013fd5b8
access-list 101 line 16 extended permit tcp host 192.168.1.170 host 192.168.43.75 
  (hitcnt=0, 0, 0, 0, 0) 0x2c7dba0d

使用中の接続の、すべてのユニットでの合計数を表示するには、次のとおりに入力します。


> show cluster conn count
Usage Summary In Cluster:*********************************************
  200 in use (cluster-wide aggregated)
     cl2(LOCAL):***********************************************************
  100 in use, 100 most used
  cl1:******************************************************************
  100 in use, 100 most used

Command	説明
show cluster info	クラスタ情報を表示します。

show cluster history

クラスタのイベント履歴を表示するには、特権 EXEC モードで show cluster history コマンドを使用します。

show cluster history [ brief ] [ latest [ number ] ] [ reverse ] [ time [ year month day ] hh : mm : ss ]

構文の説明


brief	一般イベントを除くクラスタ履歴を表示します。
latest [`number`]	最新のイベントを表示します。デフォルトでは、最新の 512 のイベントが表示されます。`number` を指定することでイベントの数を 1 〜 512 に制限できます。
reverse	イベントを逆の順序で表示します。
time [ `year month day`] `hh`:`mm`:`ss`	指定された日時より前のイベントを表示します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンド履歴


リリース	変更内容
7.0	brief 、latest 、reverse 、time キーワードが追加されました。
6.6	show cluster history コマンドは強化され、クラスタユニットがクラスタに参加できなかった理由、またはクラスタから離脱した理由に関するメッセージが追加されました。
6.1	このコマンドが追加されました。

使用上のガイドライン

例

次に、 show cluster history time コマンドの出力例を示します。


> show cluster history time august 26 10:10:05
==========================================================================
From State            To State              Reason
==========================================================================
 
10:08:49 UTC Aug 26 2020
DISABLED              DISABLED              Disabled at startup
 
 
10:09:43 UTC Aug 26 2020
DISABLED              ELECTION              Enabled from CLI
 
 
10:10:01 UTC Aug 26 2020
ELECTION              ONCALL                Event: Cluster unit A state is MASTER
 
 
10:10:02 UTC Aug 26 2020
ONCALL                SLAVE_COLD            Slave proceeds with configuration sync
 
 
10:10:02 UTC Aug 26 2020
SLAVE_COLD            SLAVE_CONFIG          Client progression done
 
 
10:10:04 UTC Aug 26 2020
SLAVE_CONFIG          SLAVE_FILESYS         Configuration replication finished
 
 
10:10:05 UTC Aug 26 2020
SLAVE_FILESYS         SLAVE_BULK_SYNC       Client progression done

次に、 show cluster history brief コマンドの出力例を示します。


> show cluster history brief 
==========================================================================
From State            To State              Reason
==========================================================================
 
10:08:49 UTC Aug 26 2020
DISABLED              DISABLED              Disabled at startup
 
 
10:09:43 UTC Aug 26 2020
DISABLED              ELECTION              Enabled from CLI
 
 
 
10:10:02 UTC Aug 26 2020
ONCALL                SLAVE_COLD            Slave proceeds with configuration sync
 
 
10:10:02 UTC Aug 26 2020
SLAVE_COLD            SLAVE_CONFIG          Client progression done
 
 
10:10:04 UTC Aug 26 2020
SLAVE_CONFIG          SLAVE_FILESYS         Configuration replication finished
 
 
10:10:05 UTC Aug 26 2020
SLAVE_FILESYS         SLAVE_BULK_SYNC       Client progression done

次に、 show cluster history latest コマンドの出力例を示します。


> show cluster history latest 3
==========================================================================
From State            To State              Reason
==========================================================================
 
10:10:05 UTC Aug 26 2020
SLAVE_FILESYS         SLAVE_BULK_SYNC       Client progression done
 
 
10:10:04 UTC Aug 26 2020
SLAVE_CONFIG          SLAVE_FILESYS         Configuration replication finished
 
 
10:10:02 UTC Aug 26 2020
SLAVE_COLD            SLAVE_CONFIG          Client progression done

Command	説明
show cluster	クラスタ全体の集約データおよびその他の情報を表示します。
show cluster info	クラスタ情報を表示します。

show cluster info

クラスタ情報を表示するには、show cluster info コマンドを使用します。

show cluster info [ auto-join | clients | conn-distribution | flow-mobility counters | goid [ options ] | health | incompatible-config | instance-type | loadbalance | old-members | packet-distribution | trace [ options ] | transport { asp | cp }]

構文の説明


auto-join	時間遅延後にクラスタユニットがクラスタに自動的に再参加するかどうか、および障害状態（ライセンスの待機やシャーシのヘルスチェック障害など）がクリアされたかどうかを示します。ユニットが永続的に無効になっている場合、またはユニットがすでにクラスタ内にある場合、このコマンドでは出力が表示されません。
clients	（オプション）登録クライアントのバージョンを表示します。
conn-distribution	（オプション）クラスタ内の接続分布を表示します。
flow-mobility counters	（オプション）EID の移動やフローオーナーの移動に関する情報を表示します。
goid [`options`]	（オプション）グローバルオブジェクト ID データベースを示します。次のオプションがあります。 classmap conn-set hwidb idfw-domain idfw-group interface policymap virtual-context
health	（オプション）ヘルスモニタリング情報を表示します。
incompatible-config	（オプション）現在の実行コンフィギュレーションのクラスタリングと互換性のないコマンドを表示します。このコマンドは、クラスタリングをイネーブルにする前に役立ちます。
instance-type	（任意）マルチインスタンスクラスタリングを使用する場合、クラスタメンバーごとのモジュールタイプとリソースサイズを表示します。
loadbalance	（オプション）ロードバランシング情報を表示します。
old-members	（オプション）クラスタの以前のメンバーを表示します。
packet-distribution	（オプション）クラスタのパケット分布を表示します。
trace [`options`]	（オプション）クラスタリング制御モジュールイベントトレースを表示します。次のオプションがあります。 latest [`number`] ：最新の number のイベントを表示します。number は 1 ～ 2147483647 の範囲です。デフォルトではすべてが表示されます。 level `level` ：レベル別にイベントをフィルタ処理します。レベルは、次のいずれかです。all 、critical 、debug 、informational 、または warning 。 module `module` ：モジュール別にイベントをフィルタ処理します。モジュールは、次のいずれかです。ccp 、datapath 、fsm 、general 、hc 、license 、rpc 、または transport 。 time {[`month day`] [`hh:mm:ss`]} ：指定した時刻または日付より前のイベントを表示します。
transport {asp \| cp}	（オプション）次のトランスポート関連の統計情報を表示します。 asp ：データプレーンのトランスポート統計情報。 cp ：コントロールプレーンのトランスポート統計情報。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。
6.2.3	auto-join キーワードが追加されました。
6.6	出力が拡張され、マルチインスタンスクラスタリングの特性が表示されるようになりました。クラスタメンバーごとのモジュールタイプとリソースサイズを表示するための instance-type キーワードも追加されました。

使用上のガイドライン

オプションを指定しない場合、show cluster info コマンドはクラスタの名前とステータス、クラスタメンバー、メンバーの状態など、一般的なクラスタ情報を表示します。

clear cluster info コマンドを使用して、統計情報をクリアします。

例

次に、show cluster info コマンドの出力例を示します。


> show cluster info
Cluster stbu: On
  This is "C" in state SLAVE
      ID        : 0
      Site ID : 1
      Version   : 6.2
      Serial No.: P3000000025
      CCL IP    : 10.0.0.3
      CCL MAC   : 000b.fcf8.c192
      Last join : 17:08:59 UTC Sep 26 2011
      Last leave: N/A
Other members in the cluster:
  Unit "D" in state SLAVE
      ID        : 1
      Site ID : 1
      Version   : 6.2
      Serial No.: P3000000001
      CCL IP    : 10.0.0.4
      CCL MAC   : 000b.fcf8.c162
      Last join : 19:13:11 UTC Sep 23 2011
      Last leave: N/A
  Unit "A" in state MASTER
      ID        : 2
      Site ID : 2
      Version   : 6.2
      Serial No.: JAB0815R0JY
      CCL IP    : 10.0.0.1
      CCL MAC   : 000f.f775.541e
      Last join : 19:13:20 UTC Sep 23 2011
      Last leave: N/A
  Unit "B" in state SLAVE
      ID        : 3
      Site ID : 2
      Version   : 6.2
      Serial No.: P3000000191
      CCL IP    : 10.0.0.2
      CCL MAC   : 000b.fcf8.c61e
      Last join : 19:13:50 UTC Sep 23 2011
      Last leave: 19:13:36 UTC Sep 23 2011

次に、マルチインスタンスクラスタリングを使用ている場合の show cluster info コマンドの出力例を示します


> show cluster info
Cluster MI: On
    Interface mode: spanned
    This is "unit-3-1" in state MASTER
        ID             : 0
        Site ID         : 1
        Version           : 6.6
        Serial No.        : FLM2123050F12T
        CCL IP             : 127.2.3.1
        CCL MAC   : a28e.6000.0012
        Module.        
: FPR4K-SM-12
        Resource.      
: 10 cores / 23876 MB RAM
        Last join          : 19:48:33 UTC Nov 13 2018
        Last leave: N/A
Other members in the cluster:
    Unit "unit-4-1" in state SLAVE
        ID                : 1
        Site ID            : 1
        Version            : 6.6
        Serial No.         : FLM212305ELPXW
        CCL IP             : 127.2.4.1
        CCL MAC     : a2f7.2000.0009
        Module        
: FPR4K-SM-12
        Resource   
: 6 cores / 14426 MB RAM
        Last join           : 20:29:55 UTC Nov 14 2018
        Last leave        : 19:07:53 UTC Nov 14 2018

 

Warning: Mixed module and / or mismatched resource profile size in cluster. System may not run in an optimized state.

次に、マルチインスタンスクラスタリングを使用ているた場合の show cluster info instance-type コマンドの出力例を示します。


> show cluster info instance-type

     Cluster Member     Module Type                CPU Cores        RAM (MB)
         unit-3-1       FPR4K-SM-12                  10              23876
         unit-4-1       FPR4K-SM-12                  6               14446

Warning: Mixed module type and / or mismatched resource profile in cluster. System may not run in an optimized state.

次に、show cluster info incompatible-config コマンドの出力例を示します。


> show cluster info incompatible-config
INFO: Clustering is not compatible with following commands which given a 
user's confirmation upon enabling clustering, can be removed automatically 
from running-config.
policy-map global_policy
 class scansafe-http
  inspect scansafe http-map fail-close
policy-map global_policy
 class scansafe-https
  inspect scansafe https-map fail-close
INFO: No manually-correctable incompatible configuration is found.

次に、show cluster info trace コマンドの出力例を示します。


> show cluster info trace
 Feb 02 14:19:47.456 [DBUG]Receive CCP message: CCP_MSG_LOAD_BALANCE
 Feb 02 14:19:47.456 [DBUG]Receive CCP message: CCP_MSG_LOAD_BALANCE
 Feb 02 14:19:47.456 [DBUG]Send CCP message to all: CCP_MSG_KEEPALIVE from 80-1 at MASTER

次に、show cluster info flow-mobility counters コマンドの出力例を示します。


> show cluster info flow-mobility counters
EID movement notification received  : 0
EID movement notification processed : 0
Flow owner moving requested         : 0

show cluster info auto-join コマンドについては、次の出力を参照してください。


> show cluster info auto-join
Unit will try to join cluster in 253 seconds.
Quit reason: Received control message DISABLE
 
> show cluster info auto-join       
Unit will try to join cluster when quit reason is cleared.
Quit reason: Master has application down that slave has up.
 
> show cluster info auto-join        
Unit will try to join cluster when quit reason is cleared.
Quit reason: Chassis-blade health check failed.
 
> show cluster info auto-join        
Unit will try to join cluster when quit reason is cleared.
Quit reason: Service chain application became down.
 
> show cluster info auto-join
Unit will try to join cluster when quit reason is cleared.
Quit reason: Unit is kicked out from cluster because of Application health check failure.
 
> show cluster info auto-join
Unit join is pending (waiting for the smart license entitlement: ent1)
 
> show cluster info auto-join
Unit join is pending (waiting for the smart license export control flag)

Command	説明
show cluster	クラスタ全体の集約データを表示します。

show cluster rule hits

クラスタのすべてのノードから、アクセスコントロールポリシーおよびプレフィルタポリシーのすべての評価済みルールのルールヒット情報を集約形式で表示するには、show cluster rule hits コマンドを使用します。

show cluster rule hits [ raw]

構文の説明


raw	（任意）.csv 形式でルールヒット情報を表示します。

コマンドデフォルト

クラスタのすべてのノードから、すべてのルールのルールヒット情報を表示します。

コマンド履歴


リリース	変更内容
6.4	このコマンドが導入されました。

使用上のガイドライン

ルールヒット情報は、アクセスコントロールルールとプレフィルタルールのみを対象としています。

例

次に、クラスタの各ノードからのルールヒット情報を分離形式で表示する例を示します。


> show cluster rule hits
RuleID               Hit Count           First Hit Time(UTC)     Last Hit Time(UTC)       
--------------------------------------------------------------------------------------
268435264            1                   06:54:44 Mar 8 2019     06:54:44 Mar 8 2019     
268435265            1                   06:54:58 Mar 8 2019     06:54:58 Mar 8 2019     
268435270            1                   06:54:53 Mar 8 2019     06:54:53 Mar 8 2019     
268435271            1                   06:55:01 Mar 8 2019     06:55:01 Mar 8 2019     
268435260            1                   06:55:17 Mar 8 2019     06:55:17 Mar 8 2019     
268435261            1                   06:55:19 Mar 8 2019     06:55:19 Mar 8 2019

Command	説明
cluster exec show rule hits	クラスタの各ノードから、アクセスコントロールポリシーおよびプレフィルタポリシーのすべての評価済みルールのルールヒット情報を分離形式で表示します。
cluster exec clear rule hits	クラスタ内のすべてのノードから、アクセスコントロールポリシーおよびプレフィルタポリシーのすべての評価済みルールのルールヒット情報をクリアし、ゼロにリセットします。
show rule hits	アクセスコントロールポリシーおよびプレフィルタポリシーのすべての評価済みルールのルールヒット情報を表示します。
clear rule hits	アクセスコントロールポリシーおよびプレフィルタポリシーのすべての評価済みルールのルールヒット情報をクリアし、ゼロにリセットします。

show community-list

特定のコミュニティリストによって許可されたルートを表示するには、show community-list コマンドを使用します。

show community-list [ community_list_name]

構文の説明


`community_list_name`	（オプション）コミュニティリストの名前。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、show community-list コマンドの出力例を示します。


> show community-list

Named Community expanded list comm2
    permit 10
Named Community standard list excomm1
    permit internet 100 no-export no-advertise

show conn

指定した接続タイプの接続状態を表示するには、show conn コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

show conn [ vrf { name | global }] [ count | [ all ] [ detail ] [ data-rate-filter { lt | eq | gt } value }] ] [ long ] [ state state_type ] [ flow-rule ] [ inline-set ] [ protocol { tcp | udp | sctp }] [ address src_ip [- src_ip ] [ netmask mask ]] [ port src_port [- src_port ]] [ address dest_ip [- dest_ip ] [ netmask mask ]] [ port dest_port [- dest_port ]] [ state state_type ] [ zone [ zone_name ]] [ data-rate ]

構文の説明


address {`src_ip` \| `dest_ip`}	（任意）指定した送信元または宛先 IPv4 アドレスあるいは IPv6 アドレスとの接続を表示します。範囲を指定するには、IP アドレスをダッシュ（-）で区切ります。たとえば、10.1.1.1-10.1.1.5 のように区切ります。
all	（任意）通過トラフィックの接続に加えて、デバイスへの接続とデバイスからの接続を表示します。
count	（任意）アクティブな接続の数を表示します。
detail	（任意）変換タイプとインターフェイスの情報を含め、接続の詳細を表示します。
data-rate-filter {lt \| eq \| gt}`value`	（オプション）データレート値（1 秒あたりのバイト数）に基づいてフィルタリングされた接続を表示します。次に例を示します。 `data-rate-filter gt 123`
flow-rule	（任意）フロールールの接続を表示します。
inline-set	（任意）インラインセットの接続を表示します。
long	（任意）接続をロングフォーマットで表示します。
netmask `mask`	（任意）指定された IP アドレスで使用するサブネットマスクを指定します。
port {`src_port` \| `dest_port`}	（任意）指定した送信元ポートまたは宛先ポートとの接続を表示します。範囲を指定するには、ポート番号をダッシュ（-）で区切ります。たとえば、1000-2000 のように区切ります。
protocol {tcp \| udp \| sctp}	（任意）接続プロトコルを指定します。
state `state_type`	（任意）接続状態タイプを指定します。接続状態のタイプに使用できるキーワードについては、使用方法のセクションの表を参照してください。
zone [`zone_name`]	（オプション）ゾーンの接続を表示します。long キーワードと detail キーワードは、接続が構築されたプライマリインターフェイスと、トラフィックの転送に使用される現在のインターフェイスを表示します。
`[` vrf `{` `name` `\|` global`}]`	Virtual Route Forwarding（VRF）（仮想ルータとも呼ばれる）を有効にすると、vrf `name` キーワードを使用してコマンドを特定の仮想ルータに制限できます。コマンドをグローバル仮想ルータに限定するには、vrf global を指定します。このキーワードを省略すると、コマンドはすべての仮想ルータに適用されます。
data-rate	（オプション）データレートトラッキングステータスが有効になっているか無効になっているかを表示します。

コマンドデフォルト

デフォルトでは、すべての通過接続が表示されます。デバイスへの管理接続も表示するには、all キーワードを使用する必要があります。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。
6.4	egress_optimization 接続状態タイプが追加されました。
6.5	デッド接続検出（DCD）イニシエータ/レスポンダプローブカウントが、DCD 対応接続に関する show conn detail の出力に追加されました。
6.6	次の変更が導入されました。 vrf キーワードが追加されました。接続データレートトラッキングステータスが追加されました。ユーザー指定のデータレート値によって接続をフィルタ処理するために、`show conn detail` コマンドに data-rate-filter キーワードが追加されました。 show conn detail コマンド出力の packet id パラメータが Connection lookup keyid に変更されました。
6.7	TCP フローが TLS サーバー証明書の取得に使用されることを示すため、コマンド出力に B フラグが追加されました。
7.2	コマンド出力に対する N フラグが拡張され、エレファントフロー接続とそれらに対して実行されるアクションを示す 3、4、および 5 が含まれています。
7.3	QUIC プロトコルの Q フラグが追加されました。

使用上のガイドライン

show conn コマンドは、アクティブな TCP 接続および UDP 接続の数を表示し、さまざまなタイプの接続に関する情報を提供します。接続のテーブル全体を参照するには、show conn all コマンドを使用します。このコマンドを使用して、特定の QoS ルール ID によってレート制限されているライブ接続を検索できます。

（注）

脅威に対する防御デバイスでセカンダリ接続できるようにピンホールを作成すると、show conn コマンドではこのピンホールが不完全な接続として表示されます。この不完全な接続をクリアするには、clear conn コマンドを使用します。

次の表に、show conn state コマンドを使用して指定できる接続タイプを示します。複数の接続タイプを指定する場合、キーワードの区切りにはカンマを使用します。ただし、スペースは必要ありません。次に、アップ状態の RPC 接続、H.323 接続、および SIP 接続に関する情報を表示する例を示します。


> show conn state up,rpc,h323,sip

表 5. 接続状態のタイプ
キーワード	表示される接続タイプ
up	アップ状態の接続
conn_inbound	このキーワードは使用しないでください。インバウンド接続が正しく表示されません。
ctiqbe	CTIQBE 接続
data_in	着信データ接続
data_out	発信データ接続
egress_optimization	出力最適化（パフォーマンスを向上させる機能）の対象となる接続についての情報を表示します。このコマンドは、Cisco TAC のアドバイスに従って使用します。このコマンドは、フラグ F （forward フローのみが出力最適化の対象）、R （reverse フローのみが対象）、または FR （forward フローと reverse フローの両方が対象）を使用します。
finin	FIN 着信接続
finout	FIN 発信接続
h225	H.225 接続
h323	H.323 接続
http_get	HTTP get 接続
mgcp	MGCP 接続
nojava	Java アプレットへのアクセスを拒否する接続
rpc	RPC 接続
service_module	SSM によってスキャンされる接続
sip	SIP 接続
skinny	SCCP 接続
smtp_data	SMTP メールデータ接続
sqlnet_fixup_data	SQL*Net データインスペクションエンジン接続
tcp_embryonic	TCP 初期接続
vpn_orphan	孤立した VPN トンネルフロー

detail オプションを使用すると、次の表で定義されている接続フラグを使用して、変換タイプとインターフェイスに関する情報が表示されます。

表 6. 接続フラグ
Flag	説明
a	SYN に対するイニシエータ ACK を待機
A	SYN に対するレスポンダ ACK を待機
b	TCP ステートバイパスまたは固定
B	サーバー証明書の TCP プローブ
C	コンピュータテレフォニーインターフェイスクイックバッファエンコーディング（CTIQBE）メディア接続。
c	集中クラスタ
d	dump
D	DNS
E	外部バック接続。これは、内部ホストから開始されている必要があるセカンダリデータ接続です。たとえば、内部クライアントが PASV コマンドを発行し、外部サーバが受け入れた後、脅威に対する防御は FTP を使用してこのフラグが設定された外部バック接続を事前割り当てします。内部クライアントがサーバに接続しようとすると、脅威に対する防御はこの接続試行を拒否します。外部サーバーだけが事前割り当て済みのセカンダリ接続を使用できます。
e	半分散
f	イニシエータ FIN
F	レスポンダ FIN
g	メディアゲートウェイコントロールプロトコル（MGCP）接続
G	group G フラグは、接続がグループの一部であることを示します。制御接続および関連するすべてのセカンダリ接続を指定するために、GRE および FTP Strict 検査によって設定されます。制御接続が切断されると、関連するすべてのセカンダリ接続も切断されます。
h	H.225
H	H.323
i	不完全な TCP 接続または UDP 接続
I	イニシエータデータ
j	GTP データ
J	GTP
k	Skinny Client Control Protocol（SCCP）メディア接続
K	GTP t3 応答
L	カプセル化を解除する外部フロー
m	SIP メディア接続
M	SMTP データ
n	GUP（Gatekeeper Update Protocol）
N	Snort によって検査されます。 Snort がダウンした場合にシステムが接続を維持するように設定されている場合（デフォルトでは有効になっています）、N フラグには数値が含まれます。詳細については、configure snort コマンドを参照してください。 1：Snort がダウンした場合、この接続は維持されます。 2：Snort がダウンしましたが、この接続は維持されました。この接続は Snort によって検査されなくなります。 3：接続がエレファントフローに関連していることを示します。 4：エレファントフローの Snort インスペクションがバイパスされました。 5：エレファントフローに動的レート制限ポリシー（10% 削減）が適用されました。
o	オフロードされたフロー。
O	レスポンダデータ
p	パッセンジャフロー
P	内部バック接続。これは、内部ホストから開始されている必要があるセカンダリデータ接続です。たとえば、内部クライアントが PORT コマンドを発行し、外部サーバーが受け入れた後、脅威に対する防御デバイスは FTP を使用してこのフラグが設定された内部バック接続を事前割り当てします。外部サーバーがクライアントに接続しようとすると、デバイスはこの接続試行を拒否します。内部クライアントだけが事前割り当て済みのセカンダリ接続を使用できます。
q	SQL*Net データ
Q	QUIC プロトコル。
r	イニシエータが確認応答した FIN。このフラグは、イニシエータの FIN がレスポンダによって確認されたときに表示されます。
R	レスポンダが確認応答した TCP 接続の FIN。このフラグは、レスポンダの FIN がイニシエータによって確認されたときに表示されます。
R	UDP RPC. show conn コマンド出力の各行は 1 つの接続（TCP または UDP）を表すため、1 行に 1 つの R フラグだけが存在します。
t	SIP 一時接続。 UDP 接続の場合、値 t は接続が 1 分後にタイムアウトすることを示しています。
T	SIP 接続。 UDP 接続の場合、値 T は、timeout sip コマンドを使用して指定した値に従って接続がタイムアウトすることを示しています。
U	up
v	M3UA 接続
V	VPN の孤立
W	WAAS
w	Firepower 9300 でのシャーシ間クラスタリングの場合、別のシャーシ上のバックアップオーナーでのフローを識別します。
X	サービスモジュールにより検査
×	1 セッションあたり
y	クラスタリングの場合、バックアップスタブフローを識別します。
あり	クラスタリングの場合、ディレクタスタブフローを識別します。
z	クラスタリングの場合、フォワーダスタブフローを識別します。
Z	ScanSafe リダイレクション

（注）

DNS サーバーを使用する接続の場合、show conn コマンドの出力で、接続の送信元ポートが DNS サーバーの IP アドレスに置き換えられることがあります。

複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル（送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル）が同じものである場合、それらのセッションに対しては接続が 1 つだけ作成されます。DNS ID は app_id で追跡され、各 app_id のアイドルタイマーは独立して実行されます。

app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答が脅威に対する防御デバイスを通過できるのは、限られた期間内だけであり、リソースの継続使用はできません。ただし、show conn コマンドを入力すると、DNS 接続のアイドルタイマーが新しい DNS セッションによってリセットされているように見えます。これは共有 DNS 接続の性質によるものであり、仕様です。

（注）

接続の非アクティブ期間（デフォルトは 1:00:00）中に TCP トラフィックがまったく発生しなかった場合は、接続が終了し、対応する接続フラグエントリも表示されなくなります。

LAN-to-LAN トンネルまたはネットワーク拡張モードトンネルがドロップし、回復しない場合は、孤立したトンネルフローが数多く発生します。このようなフローはトンネルのダウンによって切断されませんが、これらのフローを介して通過を試みるすべてのデータがドロップされます。show conn コマンドの出力では、このような孤立したフローを V フラグで示します。

バージョン 6.2.0.2 および 6.2.3 以降で count オプションを使用すると、次の表で定義されているステータスを使用して、接続数に関する情報が表示されます。

表 7. 接続状況（Connection Status）
ステータス（Status）	説明
enabled	現在 preserve-connection が有効になっている接続数。
in effect	現在 preserve-connection が実行されている接続数。
most enabled	保持された接続の最大数。
most in effect	同時に保持された接続の最大数。

接続データレートトラッキング機能の現在の状態（有効または無効）を表示するには、data-rate キーワードを使用します。data-rate filter キーワードを使用して、データレート値（1 秒あたりのバイト数）を基に接続をフィルタ処理します。接続データをフィルタリングするには、比較演算子（より小さい、等しい、より大きい）を使用します。出力には、順方向と逆方向の両方のフローについて、アクティブな接続と 2 つのデータレート値（瞬時（1 秒）および最大データレート値）が表示されます。

例

次に、show conn コマンドの出力例を示します。次に、内部ホスト 10.1.1.15 から 10.10.49.10 の外部 Telnet サーバーへの TCP セッション接続の例を示します。B フラグが存在しないため、接続は内部から開始されています。「U」、「I」および「O」フラグは、接続がアクティブであり、着信データと発信データを受信したことを示します。


> show conn
54 in use, 123 most used
TCP out 10.10.49.10:23 in 10.1.1.15:1026 idle 0:00:22, bytes 1774, flags UIO
UDP out 10.10.49.10:31649 in 10.1.1.15:1028 idle 0:00:14, bytes 0, flags D-
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:5060, idle 0:00:24, bytes 1940435, flags UTIOB
TCP dmz 10.10.10.50:49764 inside 192.168.1.21:5060, idle 0:00:42, bytes 2328346, flags UTIOB
TCP dmz 10.10.10.51:50196 inside 192.168.1.22:2000, idle 0:00:04, bytes 31464, flags UIB
TCP dmz 10.10.10.51:52738 inside 192.168.1.21:2000, idle 0:00:09, bytes 129156, flags UIOB
TCP dmz 10.10.10.50:49764 inside 192.168.1.21:0, idle 0:00:42, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):49736 inside 192.168.1.21:0, idle 0:01:32, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:00:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:01:34, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:02:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:03:34, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:04:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:05:34, bytes 0, flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:06:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:07:34, bytes 0, flags Ti

次に、show conn count コマンドの出力例を示します。


> show conn count
30 in use, 3194964 most used
Cluster:
        fwd connections: 1 in use, 52 most used
        dir connections: 7 in use, 43826206 most used
        centralized connections: 0 in use, 15 most used
Inspect Snort:
        preserve-connection: 100 enabled, 80 in effect, 400 most enabled, 300 most in effect

次に、show conn detail コマンドの出力例を示します。次に、外部ホスト 10.10.49.10 から内部ホスト 10.1.1.15 への UDP 接続の例を示します。D フラグは、DNS 接続であることを示しています。1028 は、接続上の DNS ID です。


> show conn detail
2 in use, 39 most used
Inspect Snort:
        preserve-connection: 2 enabled, 0 in effect, 39 most enabled, 0 most in effect
Flags: A - awaiting responder ACK to SYN, a - awaiting initiator ACK to SYN,
       b - TCP state-bypass or nailed,
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, e - semi-distributed,
       F - initiator FIN, f - responder FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - initiator data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, L - decap tunnel, M - SMTP data, m - SIP media
       N - inspected by Snort (1 - preserve-connection enabled, 2 - preserve-connection in effect)
       n - GUP, O - responder data, o - offloaded,
       P - inside back connection, p - passenger flow
       q - SQL*Net data, R - initiator acknowledged FIN,
       R - UDP SUNRPC, r - responder acknowledged FIN,
       T - SIP, t - SIP transient, U - up,
       V - VPN orphan, v - M3UA W - WAAS,
       w - secondary domain backup,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow

TCP out: 151.101.128.134/443 in: 192.168.1.9/51570,
    flags UfrxIO N1, idle 39s, uptime 10m39s, timeout 10m0s, bytes 4698, xlate id 0x2b8a6ec9b140
  Initiator: 192.168.1.9, Responder: 151.101.128.134
  Connection lookup keyid: 23610071

TCP out: 151.101.120.134/443 in: 192.168.1.9/51568,
    flags UfrxIO N1, idle 39s, uptime 10m40s, timeout 10m0s, bytes 5564, xlate id 0x2b8a6ec9ad40
  Initiator: 192.168.1.9, Responder: 151.101.120.134
 Connection lookup keyid: 23388003

次に、show conn コマンドの出力例を示します。V フラグで示されているとおり、孤立したフローが存在します。


> show conn
16 in use, 19 most used
TCP out 192.168.110.251:7393 in 192.168.150.252:21 idle 0:00:00, bytes 1048, flags UOVB
TCP out 192.168.110.251:21137 in 192.168.150.252:21 idle 0:00:00, bytes 1048, flags UIOB

孤立したフローがあるこのような接続へのレポートを制限するには、次の例で示すように、show conn state コマンドに vpn_orphan オプションを追加します。


> show conn state vpn_orphan
14 in use, 19 most used
TCP out 192.168.110.251:7393 in 192.168.150.252:5013, idle 0:00:00, bytes 2841019, flags UOVB

クラスタリングの場合、接続フローをトラブルシュートするには、最初にすべてのユニットの接続を一覧表示します。一覧表示するには、マスターユニットで cluster exec show conn コマンドを入力します。ディレクタ（Y）、バックアップ（y）、およびフォワーダ（z）のフラグを持つフローを探します。次の例には、3 つのすべてのデバイスでの 172.18.124.187:22 から 192.168.103.131:44727 への SSH 接続が示されています。脅威に対する防御1 には z フラグがあり、この接続のフォワーダであることを表しています。脅威に対する防御3 には Y フラグがあり、この接続のディレクタであることを表しています。脅威に対する防御2 には特別なフラグはなく、これがオーナーであることを表しています。アウトバウンド方向では、この接続のパケットは脅威に対する防御2 の内部インターフェイスに入り、外部インターフェイスから出ていきます。インバウンド方向では、この接続のパケットは脅威に対する防御1 および脅威に対する防御3 の外部インターフェイスに入り、クラスタ制御リンクを介して脅威に対する防御2 に転送され、次に脅威に対する防御2 の内部インターフェイスから出ていきます。


> cluster exec show conn
FTD1(LOCAL):**************************************************
18 in use, 22 most used
Cluster stub connections: 0 in use, 5 most used
TCP outside  172.18.124.187:22 inside  192.168.103.131:44727, 
idle 0:00:00, bytes 37240828, flags z
FTD2:*********************************************************
12 in use, 13 most used
Cluster stub connections: 0 in use, 46 most used
TCP outside  172.18.124.187:22 inside  192.168.103.131:44727, 
idle 0:00:00, bytes 37240828, flags UIO
FTD3:*********************************************************
10 in use, 12 most used
Cluster stub connections: 2 in use, 29 most used
TCP outside  172.18.124.187:22 inside  192.168.103.131:44727, 
idle 0:00:03, bytes 0, flags  Y

脅威に対する防御2 での show conn detail の出力は、最新のフォワーダが脅威に対する防御1 であったことを示しています。


> show conn detail
12 in use, 13 most used
Cluster stub connections: 0 in use, 46 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
       b - TCP state-bypass or nailed, 
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, e - semi-distributed,
       F - outside FIN, f - inside FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, L - LISP triggered flow owner mobility,
       M - SMTP data, m - SIP media, n - GUP
       O - outbound data, o - offloaded,
       P - inside back connection,
       Q - Diameter, q - SQL*Net data,
       R - outside acknowledged FIN,
       R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
       V - VPN orphan, W - WAAS,
       w - secondary domain backup,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow 
TCP outside: 172.18.124.187/22 inside: 192.168.103.131/44727,
    flags UIO , idle 0s, uptime 25s, timeout 1h0m, bytes 1036044, 
cluster sent/rcvd bytes 0/1032983, cluster sent/rcvd total bytes 0/1080779, owners (1,255)
Traffic received at interface outside
        Locally received: 0 (0 byte/s)
        From most recent forwarder FTD1: 1032983 (41319 byte/s)
Traffic received at interface inside
        Locally received: 3061 (122 byte/s)

detail キーワードを使用すると、デッド接続検出（DCD）プローブの情報が表示されます。この情報は、発信側と応答側で接続がプローブされた頻度を示します。たとえば、DCD 対応接続の接続詳細は次のようになります。


TCP dmz: 10.5.4.11/5555 inside: 10.5.4.10/40299,
    flags UO , idle 1s, uptime 32m10s, timeout 1m0s, bytes 11828, 
cluster sent/rcvd bytes 0/0, owners (0,255)
  Traffic received at interface dmz
        Locally received: 0 (0 byte/s)
  Traffic received at interface inside
        Locally received: 11828 (6 byte/s)
  Initiator: 10.5.4.10, Responder: 10.5.4.11
  DCD probes sent: Initiator 5, Responder 5

次の例では、接続データレートトラッキング機能のステータスを表示する方法について示します。

ciscoasa# show conn data-rate
Connection data rate tracking is currently enabled.

次の例では、指定したデータレートに基づいて接続をフィルタリングする方法について示します。

firepower# show conn detail data-rate-filter ?
eq  Enter this keyword to show conns with data-rate equal to specified value
gt  Enter this keyword to show conns with data-rate greater than specified value
lt Enter this keyword to show conns with data-rate less than specified value
firepower# show conn detail data-rate-filter gt ?
<0-4294967295> Specify the data rate value in bytes per second
firepower# show conn detail data-rate-filter gt 123 | grep max rate
max rate: 3223223/399628 bytes/sec
max rate: 3500123/403260 bytes/sec

B フラグを使用した show conn と show conn detail の出力例を次に示します。B フラグは、TCP フローを使用して TLS1.3 サーバー証明書を取得することを示します。TLS 1.3 証明書の要求がクライアントから脅威に対する防御接続に取得されると、TLS 1.3 サーバーと脅威に対する防御の間に別の接続が確立されます。結果として、脅威に対する防御とクライアントの間に 1 つの接続が確立され、TLS 1.3 サーバーと脅威に対する防御の間には別の接続が確立されます。


>show conn
1 in use, 3 most used
Inspect Snort:
       preserve-connection: 1 enabled, 0 in effect, 1 most enabled, 0 most in effect
 TCP outside  33.33.33.2:80 inside  1.1.1.2:35226, idle 0:00:00, bytes 246324931, flags UIOBN1

> show conn detail
1 in use, 3 most used
Inspect Snort:
       preserve-connection: 1 enabled, 0 in effect, 1 most enabled, 0 most in effect
Flags: A - awaiting responder ACK to SYN, a - awaiting initiator ACK to SYN,
       b - TCP state-bypass or nailed,
       B - TCP probe for server certificate
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, e - semi-distributed,
       F - initiator FIN, f - responder FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - initiator data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, L - decap tunnel, M - SMTP data, m - SIP media
       N - inspected by Snort (1 - preserve-connection enabled, 2 - preserve-connection in effect)
       n - GUP, O - responder data, o - offloaded,
       P - inside back connection, p - passenger flow
       q - SQL*Net data, R - initiator acknowledged FIN,
       R - UDP SUNRPC, r - responder acknowledged FIN,
       T - SIP, t - SIP transient, U - up,
       V - VPN orphan, v - M3UA W - WAAS,
       w - secondary domain backup,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow
 
TCP outside: 33.33.33.2/80 inside: 1.1.1.2/35226,
    flags UIOBN1, idle 0s, uptime 12s, timeout 1h0m, bytes 698500915
  Initiator: 1.1.1.2, Responder: 33.33.33.2
  Connection lookup keyid: 865399

次に、show conn detail コマンドの出力例を示します。この例では N4 が表示され、エレファントフローに対する Snort インスペクションがバイパスされたことが示されています。


> show conn detail
0 in use, 19 most used
Inspect Snort:
preserve-connection: 0 enabled, 0 in effect, 1 most enabled, 0 most in effect
Flags: A - awaiting responder ACK to SYN, a - awaiting initiator ACK to SYN,
       B - TCP probe for server certificate,
       b - TCP state-bypass or nailed,
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, e - semi-distributed,
       F - initiator FIN, f - responder FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - initiator data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, L - decap tunnel, M - SMTP data, m - SIP media
       N - inspected by Snort (1 - preserve-connection enabled, 2 - preserve-connection in effect,
           3 - elephant-flow, 4 - elephant-flow bypassed, 5 - elephant-flow throttled)
       n - GUP, O - responder data, o - offloaded,
       P - inside back connection, p - passenger flow
       q - SQL*Net data, R - initiator acknowledged FIN,
       R - UDP SUNRPC, r - responder acknowledged FIN,
       T - SIP, t - SIP transient, U - up,
       V - VPN orphan, v - M3UA W - WAAS,
       w - secondary domain backup,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow

TCP outside_https: 172.16.4.1/80 inside_https: 172.16.77.1/38992,
    flags UIO N1N4, idle 0s, uptime 2m24s, timeout 1h0m, bytes 1891172595
  Initiator: 172.16.77.1, Responder: 172.16.4.1
  Connection lookup keyid: 1556755610

この例では出力に N5 が表示され、エレファントフローに動的なレート制限ポリシー（10% 削減）が適応されたことが示されています。


> show conn detail
0 in use, 19 most used
Inspect Snort:
preserve-connection: 0 enabled, 0 in effect, 1 most enabled, 0 most in effect
Flags: A - awaiting responder ACK to SYN, a - awaiting initiator ACK to SYN,
       B - TCP probe for server certificate,
       b - TCP state-bypass or nailed,
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, e - semi-distributed,
       F - initiator FIN, f - responder FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - initiator data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, L - decap tunnel, M - SMTP data, m - SIP media
       N - inspected by Snort (1 - preserve-connection enabled, 2 - preserve-connection in effect,
           3 - elephant-flow, 4 - elephant-flow bypassed, 5 - elephant-flow throttled)
       n - GUP, O - responder data, o - offloaded,
       P - inside back connection, p - passenger flow
       q - SQL*Net data, R - initiator acknowledged FIN,
       R - UDP SUNRPC, r - responder acknowledged FIN,
       T - SIP, t - SIP transient, U - up,
       V - VPN orphan, v - M3UA W - WAAS,
       w - secondary domain backup,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow

TCP outside_https: 172.16.4.1/80 inside_https: 172.16.77.1/38822,
    flags UIO N1N5, qos-rule-id 20000, idle 0s, uptime 4m8s, timeout 1h0m, bytes 585732628
  Initiator: 172.16.77.1, Responder: 172.16.4.1
  Connection lookup keyid: 1933458538

コマンド	説明
clear conn	接続をクリアします。
clear conn data-rate	保存されている現在の最大データレートをクリアします。

show console-output

現在キャプチャされているコンソール出力を表示するには、show console-output コマンドを使用します。

show console-output

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、show console-output コマンドの出力例を示します。


> show console-output
Message #1 : Message #2 : Setting the offload CPU count to 0
Message #3 :
Compiled on Fri 20-May-16 13:36 PDT by builders
Message #4 :
Total NICs found: 14
Message #5 : i354 rev03 Gigabit Ethernet @ irq255 dev 20 index 08 MAC: e865.49b8.97f1
Message #6 : ivshmem rev03 Backplane Data Interface     @ index 09 MAC: 0000.0001.0002
Message #7 : en_vtun rev00 Backplane Control Interface  @ index 10 MAC: 0000.0001.0001
Message #8 : en_vtun rev00 Backplane Int-Mgmt Interface     @ index 11 MAC: 0000.0001.0003
Message #9 : en_vtun rev00 Backplane Ext-Mgmt Interface     @ index 12 MAC: 0000.0000.0000
Message #10 : en_vtun rev00 Backplane Tap Interface     @ index 13 MAC: 0000.0100.0001
Message #11 : Running Permanent Message 
#12 : Activation Key: Message 
#13 : 0x00000000 Message 
#14 : 0x00000000 Message 
#15 : 0x00000000 Message 
#16 : 0x00000000 Message 
#17 : 0x00000000 Message #18 :
Message #19 : The Running Activation Key is not valid, using default settings:
Message #20 :
(...output truncated...)

show coredump

パケットエンジンのコアダンプ生成の設定を表示するには、show coredump コマンドを入力します。

show coredump

コマンド履歴


リリース	変更内容
6.2.1	このコマンドが導入されました。

使用上のガイドライン

パケットエンジンのコアダンプ生成は、デフォルトで有効になっています。

このコマンドは、Firepower 2100 シリーズのみで使用できます。サポートされていないプラットフォームでこのコマンドを入力すると、次のメッセージが返されます。


This command is not available on this platform.

例

次に、パケットエンジンのコアダンプの生成が有効になっている例を示します。


> show coredump

Process Type: Coredump State:
packet-engine enabled

Command	説明
configure coredump packet-engine	パケットエンジンのコアダンプ生成を有効または無効にします。

show counters

プロトコルスタックカウンタを表示するには、show counters コマンドを使用します。

show counters [ all | summary | top N] [ description] [ detail] [ protocol protocol_name [: counter_name]] [ threshold N]

構文の説明


all	フィルタの詳細を表示します。
:`counter_name`	カウンタを名前で指定します。
description	さまざまなカウンタと説明を表示します。
detail	詳細なカウンタ情報を表示します。
protocol `protocol_name`	指定したプロトコルのカウンタを表示します。オプションのリストを表示するには、「?」と入力します。
summary	カウンタの要約を表示します。
threshold `N`	指定したしきい値以上のカウンタのみを表示します。指定できる範囲は 1 ～ 4294967295 です。
top `N`	指定したしきい値以上のカウンタを表示します。指定できる範囲は 1 ～ 4294967295 です。

コマンドデフォルト

デフォルトは show counters summary detail threshold 1 です。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、デフォルトの情報を表示する例を示します。


> show counters
Protocol     Counter                                       Value   Context
IP           IN_PKTS                                      785064   Summary
IP           OUT_PKTS                                      19196   Summary
IP           OUT_DROP_DWN                                 177099   Summary
IP           TO_ARP                                       785064   Summary
TCP          OUT_PKTS                                      38378   Summary
TCP          SESS_CTOD                                     19189   Summary
TCP          OUT_CLSD                                      19189   Summary
TCP          HASH_ADD                                      19189   Summary
TCP          SND_SYN                                       19189   Summary
SSLERR       BAD_SIGNATURE                                     3   Summary
SSLDEV       NEW_CTX                                           3   Summary
VPIF         BAD_VALUE                                       673   Summary
VPIF         NOT_FOUND                                 106843325   Summary


Command	説明
clear counters	プロトコルスタックカウンタをクリアします。

show cpu

CPU の使用状況についての情報を表示するには、show cpu コマンドを使用します。

show cpu [ detailed | external | profile [ dump] | system [ processor_num]]

show cpu core [ all | core_id]

show cpu usage [ detailed | core [ all | core_id] ]

構文の説明


core [all \| `core_id`]	各コアの CPU 統計情報を表示します。すべてのコアを表示するか（デフォルト）、番号でコアを指定できます。デバイスで使用可能なコア番号を表示するには、パラメータなしでキーワードを使用します。コア番号は 0 から始まります。 show cpu core コマンドと show cpu usage core コマンドは、同じ情報を提供します。
detailed	（オプション）CPU の内部使用に関する詳細な情報を表示します。
external	（オプション）外部プロセスに関する CPU 使用状況を表示します。
profile [dump]	（オプション）CPU プロファイリングデータを表示します。プロファイリングデータのダンプを表示するには、dump キーワードを含めます。
system [`processor_num`]	（オプション）システム全体に関連した情報を表示します。必要に応じて、プロセッサ番号を指定して特定のプロセッサの情報を表示できます。CPU と呼ばれる使用可能なプロセッサの数を表示するには、キーワードを指定せずにこのコマンドを使用します。プロセッサ番号は 0 から始まります。したがって、出力に 8 つの CPU があることが示されている場合、システムに対して有効な数値は 0 〜 7 になります。
usage	（任意）CPU 使用状況を表示します。これがデフォルトのオプションです。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

CPU 使用状況は、5 秒ごとの負荷の近似値を使用し、この概算値をさらに以降の 2 つの移動平均に適用することによって算出されます。

show cpu profile dump コマンドを cpu profile activate コマンドとともに使用して、CPU 問題のトラブルシューティング時に TAC が使用する情報を収集できます。show cpu profile dump コマンドの出力は、16 進形式で表示されます。

detailed ビューと core ビューでは、全体的な CPU 使用率が低いときにコアの使用率がゼロになっていることは珍しくありません。

Threat Defense Virtual の場合、show cpu コマンドは、VM に割り当てられた CPU の数が vCPU プラットフォームライセンスの制限に基づいて許可された制限内にあるかどうかも示します。ステータスは、Compliant、Noncompliant: Over-provisioned、または Noncompliant: Under-provisioned のいずれかになります。この情報は正確ではない可能性があります。

例

次に、CPU 使用状況を表示する例を示します。


> show cpu
CPU utilization for 5 seconds = 18%; 1 minute: 18%; 5 minutes: 18%

次に、CPU の使用状況に関する情報を表示する例を示します。


> show cpu detailed
Break down of per-core data path versus control point cpu usage:
Core         5 sec            1 min            5 min
Core 0       0.0 (0.0 + 0.0)  3.3 (0.0 + 3.3)  2.4 (0.0 + 2.4)
Current control point elapsed versus the maximum control point elapsed for:
      5 seconds = 99.0%; 1 minute: 99.8%; 5 minutes: 95.9%
CPU utilization of external processes for:
      5 seconds = 0.2%; 1 minute: 0.0%; 5 minutes: 0.0%
Total CPU utilization for:
      5 seconds = 0.2%; 1 minute: 3.3%; 5 minutes: 2.5%

（注）

「Current control point elapsed versus the maximum control point elapsed for」という文は、コントロールポイントの現在の負荷が、定義された期間内に検出された最大負荷と比較されることを意味します。これは絶対値ではなく比率です。5 秒間隔に対して 99% という数値は、コントロールポイントの現在の負荷が、その 5 秒間隔における最大負荷の 99% であることを意味します。負荷が常に増加し続ける場合、負荷は常に 100% になります。ただし、最大絶対値が定義されていないため、実際の CPU には引き続き多くの空き容量がある可能性があります。

次に、システムレベルの CPU 使用状況を表示する例を示します。最初の行の「(2 CPU)」という表示に注目してください。これはデバイス上のプロセッサの数です。


> show cpu system 
Linux 3.10.62-ltsi-WR6.0.0.27_standard (ftd1.example.com)        10/20/16        _x86_64_   (2 CPU)

Time         CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
15:48:26     all   50.36    0.00   10.04    0.78    0.00    0.03    0.00    0.00    0.00   38.79

次の表で、show cpu system 出力の各フィールドについて説明します。

表 8. Show CPU System のフィールド
フィールド	説明
Time	該当する数値が確認された時刻。
CPU	プロセッサの数。
%user	ユーザレベル（アプリケーション）で実行中に生じた CPU 使用率のパーセンテージ。
%nice	高い優先度で実行中に生じた CPU 使用率のパーセンテージ。
%sys	システムレベル（カーネル）で実行中に生じた CPU 使用率のパーセンテージ。これには、サービスの割り込みや softirqs で経過する時間は含まれません。softirq（ソフトウェアの割り込み）は、複数の CPU で同時に実行できる最大 32 個の列挙されたソフトウェア割り込みの 1 つです。
%iowait	システムに未処理のディスク I/O 要求があったときに、CPU がアイドル状態だった時間の割合（パーセンテージ）。
%irq	割り込みを行うために CPU が費やした時間の割合（パーセンテージ）。
%soft	softirqs を行うために CPU が費やした時間の割合（パーセンテージ）。
%steal	ハイパーバイザが別の仮想プロセッサを実行しているときに、仮想 CPU が強制的な待機で費やした時間の割合（パーセンテージ）
%guest	仮想プロセッサを実行するために CPU が費やした時間の割合（パーセンテージ）。
％gnice	仮想プロセッサに高い優先度を付与するゲストレベルでの実行中に生じた CPU 使用率のパーセンテージ。
%idle	CPU がアイドル状態で、システムに未処理のディスク I/O 要求がなかった時間の割合（パーセンテージ）。

次の例では、プロファイラをアクティブ化して、デフォルトである 1000 個のサンプルを格納するように指示します。次に、show cpu profile コマンドは、プロファイリングが進行中であることを示します。いくらかの時間が経過してから、次の show cpu profile コマンドは、プロファイリングが完了したことを示します。最後に、show cpu profile dump コマンドを使用して結果を取得します。出力をコピーし、シスコテクニカルサポートに提出します。完全な出力を得るには、SSH セッションをログに記録する必要があります。


> cpu profile activate
Activated CPU profiling for 1000 samples.
Use "show cpu profile" to display the progress or "show cpu profile dump" to interrupt
profiling and display the incomplete results.
> show cpu profile
CPU profiling started: 16:13:48.279 UTC Thu Oct 20 2016
CPU profiling currently in progress:
    Core 0: 501 out of 1000 samples collected.
    CP: 586 out of 1000 samples collected.
Use "show cpu profile dump" to see the results after it is complete or to interrupt
profiling and display the incomplete results.
> show cpu profile
CPU profiling started: 16:13:48.279 UTC Thu Oct 20 2016
CPU Profiling has stopped.
    Core 0 done with 1000 samples
    CP done with 1000 samples
Use "show cpu profile dump" to see the results.
> show cpu profile dump
(...output omitted...)

show crashinfo

フラッシュメモリに格納されたクラッシュファイルの内容を表示するには、show crashinfo コマンドを入力します。

show crashinfo [ console | module number | save | webvpn [ detailed]]

構文の説明


console	（オプション）crashinfo コンソール出力のステータスを表示します。
module `number`	（オプション）指定されたモジュールから取得したクラッシュ情報を表示します。モジュールは番号で示されます（例：1）。
save	（オプション）クラッシュ情報をフラッシュメモリに保存するようにデバイスが設定されているかどうかを表示します。
webvpn [detailed]	（任意）脅威に対する防御のクラッシュリカバリダンプを表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

クラッシュファイルがテストクラッシュから生成された（crashinfo test コマンドで生成された）場合、クラッシュファイルの最初の文字列は「: Saved_Test_Crash」であり、最後の文字列は「: End_Test_Crash」です。クラッシュファイルが実際のクラッシュから生成されたる場合、クラッシュファイルの最初の行の文字列は「: Saved_Crash」で、最後の文字列は「: End_Crash」です（これには、crashinfo force page-fault または crashinfo force watchdog コマンドの使用によるクラッシュが含まれます）。

FIPS 140-2 に準拠していることにより、キーやパスワードなどのクリティカルセキュリティパラメータをクリプト境界（シャーシ）の外側に配布することが禁止されています。アサートまたはチェックヒープのエラーによってデバイスがクラッシュしたとき、コンソールにダンプされるスタック領域やメモリ領域には、機密データが含まれていることがあります。この出力は、FIPS モードでは表示されないようにする必要があります。

例

次に、crashinfo 情報がない場合の例を示します。


> show crashinfo
------------------ show crashinfo module 1 ------------------
INFO: This module has no crashinfo available.

次に、現在のクラッシュ情報コンフィギュレーションを表示する例を示します。


> show crashinfo save
crashinfo save enable

次に、crashinfo コンソール出力のステータスの例を示します。


> show crashinfo console
crashinfo console enable

次に、クラッシュファイルテストの出力例を示しますこのテストでは、脅威に対する防御デバイスは実際にはクラッシュしません。このテストで提供されるのは、シミュレートされたサンプルファイルです。


> crashinfo test
> show crashinfo
: Saved_Test_Crash
Thread Name: ci/console (Old pc 0x001a6ff5 ebp 0x00e88920)
Traceback:
0: 00323143
1: 0032321b
2: 0010885c
(...Remaining output truncated...)

show crypto accelerator load-balance

ハードウェア暗号化アクセラレータ MIB からのアクセラレータ固有のロードバランシング情報を表示するには、show crypto accelerator load-balance コマンドを使用します。

show crypto accelerator load-balance [ ipsec | ssl | detail [ ipsec | ssl]]

構文の説明


detail	（任意）詳細情報を表示します。このオプションの後に、ipsec または ssl キーワードを含めることができます。
ipsec	（任意）暗号化アクセラレータ IPSec ロードバランシングの詳細を表示します。
ssl	（任意）暗号化アクセラレータ SSL ロードバランシングの詳細を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、グローバルな暗号化アクセラレータのロードバランシング統計情報を表示する例を示します。


> show crypto accelerator load-balance

                  Crypto IPSEC Load Balancing Stats:
                  ==================================

Engine      Crypto Cores             IPSEC Sessions          Active Session
                                                             Distribution (%)
======     ==============      ===========================   ================
  0        IPSEC 1, SSL 1      Total:     0  Active:     0         0.0%

Commands Completed       1 second         5 second         60 second
==================       ========         ========         =========
 Engine 0 (load)            0.0%             0.0%             0.0%

Encrypted Data           1 second         5 second         60 second
==================       ========         ========         =========
 Engine 0 (load)            0.0%             0.0%             0.0%

Decrypted Data           1 second         5 second         60 second
==================       ========         ========         =========
 Engine 0 (load)            0.0%             0.0%             0.0%

Engine 0 Per Core Load Balancing Stats:
========================================

Commands Completed       1 second         5 second        60 second
==================       ========         ========         =========
 IPSec ring 0   (load)      0.0%             0.0%             0.0%

Encrypted Data           1 second         5 second         60 second
==================       ========         ========         =========
 IPSec ring 0   (load)      0.0%             0.0%             0.0%

Decrypted Data           1 second         5 second        60 second
==================       ========         ========         =========
 IPSec ring 0   (load)      0.0%             0.0%             0.0%

                  Crypto SSL Load Balancing Stats:
                  ==================================

Engine      Crypto Cores             SSL Sessions            Active Session
                                                             Distribution (%)
======     ==============      ===========================   ================
  0        IPSEC 1, SSL 1      Total:     0  Active:     0         0.0%

Commands Completed       1 second         5 second         60 second
==================       ========         ========         =========
 Engine 0 (load)            0.0%             0.0%             0.0%

Encrypted Data           1 second         5 second         60 second
==================       ========         ========         =========
 Engine 0 (load)            0.0%             0.0%             0.0%

Decrypted Data           1 second         5 second         60 second
==================       ========         ========         =========
 Engine 0 (load)            0.0%             0.0%             0.0%

Engine 0 Per Core Load Balancing Stats:
========================================

Commands Completed       1 second         5 second        60 second
==================       ========         ========         =========
 Admin ring 0   (load)      0.0%             0.0%             0.0%

Encrypted Data           1 second         5 second         60 second
==================       ========         ========         =========
 Admin ring 0   (load)      0.0%             0.0%             0.0%

Decrypted Data           1 second         5 second        60 second
==================       ========         ========         =========
 Admin ring 0   (load)      0.0%             0.0%             0.0%

show crypto accelerator statistics

ハードウェアクリプトアクセラレータ MIB からグローバルおよびアクセラレータ固有の統計情報を表示するには、show crypto accelerator statistics コマンドを使用します。

show crypto accelerator statistics

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

出力統計情報は、次のように定義されます。

Accelerator 0 はソフトウェアベースの暗号エンジンの統計情報を示します。

Accelerator 1 はハードウェアベースの暗号エンジンの統計情報を示します。

RSA 統計情報には、デフォルトでソフトウェアで実行される、2048 ビットキーの RSA 処理が表示されます。つまり、2048 ビットキーがある場合、IKE/SSL VPN は、IPsec/SSL ネゴシエーションフェーズ中にソフトウェアで RSA 処理を実行します。実際の IPsec/SSL トラフィックは、引き続きハードウェアを使用して処理されます。これにより、同時に開始された同時セッションが数多くある場合、CPU の高使用となります。このため、RSA キー処理が複数発生し、CPU の高使用となる可能性があります。このようにして CPU の高使用状態となった場合は、1024 ビットキーを使用して、ハードウェアで RSA キー処理を実行する必要があります。このためには、アイデンティティ証明書を再度登録する必要があります。リリース 8.3(2) 以降では、5510 から 5550 のプラットフォームで crypto engine large-mod-accel コマンドを使用して、ハードウェアでこれらの処理を実行することもできます。

2048 ビットの RSA キーを使用しており、ソフトウェアで RSA 処理が実行されている場合は、CPU プロファイリングを使用して、CPU の高使用状況の原因となっている関数を特定できます。通常、bn_* 関数と BN_* 関数は RSA に使用される大規模なデータセットでの数学的処理であり、ソフトウェアでの RSA 処理中に CPU の使用状況を確認する場合に最も役立ちます。次に例を示します。


@@@@@@@@@@@@@@@@@@................................ 36.50% : _bn_mul_add_words
@@@@@@@@@......................................... 19.75% : _bn_sqr_comba8

Diffie-Hellman 統計情報には、ソフトウェアで 1024 より大きいモジュラスサイズの暗号処理が実行されたことが表示されます（DH5（Diffie-Hellman グループ 5 が 1536 を使用しています）など）。この場合、2048 ビットキー証明書はソフトウェアで処理されます。このため、数多くのセッションが実行されるときに CPU の高使用状況となります。

DSA 統計情報には、2 つのフェーズでのキー生成が表示されます。最初のフェーズは、アルゴリズムパラメータの選択です。このパラメータは、システムの他のユーザーと共有することがあります。2 番めのフェーズは、1 人のユーザー用の秘密キーと公開キーの算出です。

SSL 統計情報には、ハードウェアクリプトアクセラレータへの SSL トランザクションで使用される、プロセッサ集約的な公開キーの暗号化アルゴリズムに関するレコードが表示されます。

RNG 統計情報には、キーとして使用する同じ乱数のセットを自動的に生成できる送信元とレシーバに関するレコードが表示されます。

例

次に、グローバルなクリプトアクセラレータの統計情報を表示する例を示します。


> show crypto accelerator statistics

Crypto Accelerator Status
-------------------------
[Capacity]
   Supports hardware crypto: True
   Supports modular hardware crypto: False
   Max accelerators: 1
   Max crypto throughput: 100 Mbps
   Max crypto connections: 750
[Global Statistics]
   Number of active accelerators: 1
   Number of non-operational accelerators: 0
   Input packets: 700
   Input bytes: 753488
   Output packets: 700
   Output error packets: 0
   Output bytes: 767496
[Accelerator 0]
   Status: Active
   Software crypto engine
   Slot: 0
   Active time: 167 seconds
   Total crypto transforms: 7
   Total dropped packets: 0
   [Input statistics]
      Input packets: 0
      Input bytes: 0
      Input hashed packets: 0
      Input hashed bytes: 0
      Decrypted packets: 0
      Decrypted bytes: 0
   [Output statistics]
      Output packets: 0
      Output bad packets: 0
      Output bytes: 0
      Output hashed packets: 0
      Output hashed bytes: 0
      Encrypted packets: 0
      Encrypted bytes: 0
   [Diffie-Hellman statistics]
      Keys generated: 0
      Secret keys derived: 0
   [RSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
      Encrypted packets: 0
      Encrypted bytes: 0
      Decrypted packets: 0
      Decrypted bytes: 0
   [DSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
   [SSL statistics]
      Outbound records: 0
      Inbound records: 0
   [RNG statistics]
      Random number requests: 98
      Random number request failures: 0
[Accelerator 1]
   Status: Active
   Encryption hardware device : Cisco ASA-55x0 on-board accelerator
(revision 0x0)
                             Boot microcode   : CNlite-MC-Boot-Cisco-1.2
                             SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
                             IPsec microcode  : CNlite-MC-IPSECm-MAIN-2.03
   Slot: 1
   Active time: 170 seconds
   Total crypto transforms: 1534
   Total dropped packets: 0
   [Input statistics]
      Input packets: 700
      Input bytes: 753544
      Input hashed packets: 700
      Input hashed bytes: 736400
      Decrypted packets: 700
      Decrypted bytes: 719944
   [Output statistics]
      Output packets: 700
      Output bad packets: 0
      Output bytes: 767552
      Output hashed packets: 700
      Output hashed bytes: 744800
      Encrypted packets: 700
      Encrypted bytes: 728352
   [Diffie-Hellman statistics]
      Keys generated: 97
      Secret keys derived: 1
   [RSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
      Encrypted packets: 0
      Encrypted bytes: 0
      Decrypted packets: 0
      Decrypted bytes: 0
   [DSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
   [SSL statistics]
      Outbound records: 0
      Inbound records: 0
   [RNG statistics]
      Random number requests: 1
      Random number request failures: 0

次の表は出力について示しています。


出力	説明
Capacity	このセクションは、脅威に対する防御デバイスがサポートできる暗号化アクセラレーションに関連しています。
Supports hardware crypto	（True/False）脅威に対する防御デバイスはハードウェア暗号化アクセラレーションをサポートできます。
Supports modular hardware crypto	（True/False）サポートされている任意のハードウェアクリプトアクセラレータを個別のプラグインカードまたはモジュールとして挿入できます。
Max accelerators	脅威に対する防御デバイスでサポートされるハードウェア暗号化アクセラレータの最大数。
Mac crypto throughput	デバイスの最大定格 VPN スループット。
Max crypto connections	デバイスのサポート対象 VPN トンネルの最大数。
Global Statistics	このセクションは、デバイスの複合ハードウェアクリプトアクセラレータに関連しています。
Number of active accelerators	アクティブなハードウェアアクセラレータの数。アクティブなハードウェアアクセラレータが初期化されており、crypto コマンドの処理に使用可能です。
Number of non-operational accelerators	非アクティブなハードウェアアクセラレータの数。非アクティブなハードウェアアクセラレータが検出されました。初期化が完了していないか、障害が発生して使用できなくなっています。
Input packets	すべてのハードウェアクリプトアクセラレータで処理される着信パケットの数。
Input bytes	処理される着信パケット内のデータのバイト数。
Output packets	すべてのハードウェアクリプトアクセラレータで処理される発信パケットの数。
Output error packets	エラーが検出された、すべてのハードウェア暗号アクセラレータで処理される発信パケットの数。
Output bytes	処理される発信パケット内のデータのバイト数。
Accelerator 0	各セクションは、クリプトアクセラレータに関連しています。最初のセクション（Accelerator 0）は、常に、ソフトウェアクリプトエンジンです。ハードウェアアクセラレータではありませんが、脅威に対する防御はこのソフトウェアクリプトエンジンを使用して、特定のクリプトタスクを実行します。ここには、その統計情報が表示されます。Accelerators 1 以上は、常に、ハードウェアクリプトアクセラレータです。
Status（ステータス）	アクセラレータのステータス。アクセラレータが初期化されているか、アクティブか、あるいは失敗したかを示します。
Software crypto engine	アクセラレータのタイプとファームウェアバージョン（該当する場合）。
スロット	アクセラレータのスロット番号（該当する場合）。
Active time	アクセラレータがアクティブ状態であった時間の長さ。
Total crypto transforms	アクセラレータによって実行された crypto コマンドの合計数。
Total dropped packets	エラーのためアクセラレータによってドロップされたパケットの合計数。
Input statistics	このセクションは、アクセラレータで処理された入力トラフィックに関連しています。入力トラフィックは、複合か認証、またはその両方を行う必要がある暗号文と見なされます。
Input packets	アクセラレータによって処理された入力パケットの数。
Input bytes	アクセラレータによって処理された入力バイト数。
Input hashed packets	アクセラレータがハッシュを実行したパケットの数。
Input hashed bytes	アクセラレータがハッシュを実行したバイト数。
Decrypted packets	アクセラレータが対称復号化を実行したパケットの数。
Decrypted bytes	アクセラレータが対称復号化を実行したバイト数。
Output statistics	このセクションは、アクセラレータで処理された出力トラフィックに関連しています。入力トラフィックは、暗号化かハッシュ、またはその両方を実行する必要があるクリアテキストと見なされます。
Output packets	アクセラレータによって処理された出力パケットの数。
Output bad packets	エラーが検出された、アクセラレータで処理された出力パケットの数。
Output bytes	アクセラレータによって処理された出力バイト数。
Output hashed packets	アクセラレータが出力ハッシュを実行したパケットの数。
Output hashed bytes	アクセラレータが出力ハッシュを実行したバイト数。
Encyrpted packets	アクセラレータが対称暗号化を実行したパケットの数。
Encyrpted bytes	アクセラレータが対称暗号化を実行したバイト数。
Diffie-Hellman statistics	このセクションは、Diffie-Hellman のキー交換処理に関連しています。
Keys generated	アクセラレータによって生成された Diffie-Hellman キーセットの数。
Secret keys derived	アクセラレータによって生成された Diffie-Hellman 共有秘密の数。
RSA statistics	このセクションは、RSA 暗号処理に関連しています。
Keys generated	アクセラレータによって生成された RSA キーセットの数。
Signatures	アクセラレータによって実行された RSA シグニチャ処理の数。
Verifications	アクセラレータによって実行された RSA シグニチャ確認の数。
Encrypted packets	アクセラレータが RSA 暗号化を実行したパケットの数。
Decrypted packets	アクセラレータが RSA 復号化を実行したパケットの数。
Decrypted bytes	アクセラレータが RSA 復号化を実行したデータのバイト数。
DSA statistics	このセクションは、DSA 処理に関連しています。DSA はバージョン 8.2 以上ではサポートされないため、この統計情報は表示されません。
Keys generated	アクセラレータによって生成された DSA キーセットの数。
Signatures	アクセラレータによって実行された DSA シグニチャ処理の数。
Verifications	アクセラレータによって実行された DSA シグニチャ確認の数。
SSL statistics	このセクションは、SSL レコード処理に関連しています。
Outbound records	アクセラレータによって暗号化され、認証された SSL レコードの数。
Inbound records	アクセラレータによって復号化され、認証された SSL レコードの数。
RNG statistics	このセクションは、乱数生成に関連しています。
Random number requests	アクセラレータに対する乱数の要求の数。
Random number request failures	アクセラレータに対する乱数要求のうち、失敗した要求の数。

IPsec フローオフロードをサポートするプラットフォームでは、出力にはオフロードフローの統計が表示されますが、グローバルカウンタには、デバイス上のすべてのアクセラレータエンジンのオフロードフローと非オフロードフローの合計が表示されます。


> show crypto accelerator statistics 
 
Crypto Accelerator Status
-------------------------
[Capability]
   Supports hardware crypto: True
   Supported TLS Offload Mode: HARDWARE
   Supports modular hardware crypto: False
   Max accelerators: 3
   Max crypto throughput: 3000 Mbps
   Max crypto connections: 3000
[Global Statistics]
   Number of active accelerators: 2
   Number of non-operational accelerators: 0
   Input packets: 108
   Input bytes: 138912
   Output packets: 118
   Output error packets: 0
   Output bytes: 142329
 
[Accelerator 0]
   Status: OK
   Software crypto engine
   Slot: 0
   Active time: 489 seconds
   Total crypto transforms: 2770
   Total dropped packets: 0
   [Input statistics]
      Input packets: 0
      Input bytes: 19232
      Input hashed packets: 0
      Input hashed bytes: 0
      Decrypted packets: 0
      Decrypted bytes: 19232
   [Output statistics]
      Output packets: 0
      Output bad packets: 0
      Output bytes: 18784
      Output hashed packets: 0
      Output hashed bytes: 0
      Encrypted packets: 0
      Encrypted bytes: 18784
   [Diffie-Hellman statistics]
      Keys generated: 0
      Secret keys derived: 0
   [RSA statistics]
      Keys generated: 1
      Signatures: 1
      Verifications: 1
      Encrypted packets: 1
      Encrypted bytes: 28
      Decrypted packets: 1
      Decrypted bytes: 256
   [ECDSA statistics]
      Keys generated: 13
      Signatures: 12
      Verifications: 15
   [EDDSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
   [SSL statistics]
      Outbound records: 0
      Inbound records: 0
   [RNG statistics]
      Random number requests: 0
      Random number request failures: 0
   [HMAC statistics]
      HMAC requests: 54
 
[Accelerator 1]
   Status: OK
   Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
                             AE microcode        : CNN5x-MC-AE-MAIN-0007
                             SE SSL microcode    : CNN5x-MC-SE-SSL-0018
   Slot: 1
   Active time: 497 seconds
   Total crypto transforms: 2910
   Total dropped packets: 0
   [Input statistics]
      Input packets: 4
      Input bytes: 13056
      Input hashed packets: 0
      Input hashed bytes: 0
      Decrypted packets: 4
      Decrypted bytes: 6528
   [Output statistics]
      Output packets: 14
      Output bad packets: 0
      Output bytes: 20786
      Output hashed packets: 0
      Output hashed bytes: 0
      Encrypted packets: 14
      Encrypted bytes: 10393
   [Offloaded Input statistics]
      Input packets: 106
      Input bytes: 115328
      Input hashed packets: 0
      Input hashed bytes: 0
      Decrypted packets: 107
      Decrypted bytes: 112992
   [Offloaded Output statistics]
      Output packets: 107
      Output bytes: 116416
      Output hashed packets: 0
      Output hashed bytes: 0
      Encrypted packets: 107
      Encrypted bytes: 112992
   Total dropped packets: 0
   [Diffie-Hellman statistics]
      Keys generated: 194
      Secret keys derived: 1
   [RSA statistics]
      Keys generated: 0
      Signatures: 2
      Verifications: 1
      Encrypted packets: 3
      Encrypted bytes: 162
      Decrypted packets: 2
      Decrypted bytes: 512
   [ECDSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
   [EDDSA statistics]
      Keys generated: 0
      Signatures: 0
      Verifications: 0
   [SSL statistics]
      Outbound records: 14
      Inbound records: 4
   [RNG statistics]
      Random number requests: 34
      Random number request failures: 0
   [HMAC statistics]
      HMAC requests: 26

show crypto accelerator usage

このコマンドを使用すると、すべてのコアにおける TLS 暗号化アクセラレーションコア使用率と平均使用率を表示できます。このコマンドは、すべてのハードウェアプラットフォームで使用できるわけではありません。

TLS 暗号化アクセラレーションのガイドラインと制限事項については、『Management Center Configuration Guide』を参照してください。

show crypto accelerator usage [ detail ]

構文の説明


detail	（オプション）管理対象デバイスに Threat Defenseコンテナインスタンスがある場合に役立つ、詳細情報を表示します。

コマンド履歴


リリース	変更内容
6.6	このコマンドが導入されました。

使用上のガイドライン

各コアのコア使用率と平均使用率を表示します。ハードウェアモデルによっては、このコマンドを使用できない場合や、異なる統計情報が表示される場合があります。

例

次に、TLS 暗号化アクセラレーションのコア使用率を表示する例を示します。


> show crypto accelerator usage
Crypto engine 0: 64 ADMIN SE cores, utilization 18.8%
Crypto engine 1: 64 ADMIN SE cores, utilization 17.2%
Total 128 ADMIN SE cores, utilization18%
Crypto engine 0: 64 ADMIN AE cores, utilization 0%
Crypto engine 1: 64 ADMIN AE cores, utilization 0%
Total 128 ADMIN AE cores, utilization0%

次に、詳細な使用状況情報を表示する例を示します。

 show crypto accelerator usage detail
Crypto engine 0: 64 IPSec/SSL crypto cores, utilization 18.8%
Crypto engine 1: 64 IPSec/SSL crypto cores, utilization 17.2%
Total 128 IPSec/SSL cryto cores, utilization 18%
Crypto engine 0: 64 Asymmetric crypto cores, utilization 0%
Crypto engine 1: 64 Asymmetric crypto cores, utilization 0%
Total 128 Asymmetric crypto cores, utilization 0%

show crypto ca certificates

特定のトラストポイントに関連した証明書、またはシステムにインストールされたすべての証明書を表示するには、show crypto ca certificates コマンドを使用します。

show crypto ca certificates [ trustpointname]

構文の説明


`trustpointname`	（任意）トラストポイントの名前。名前を指定しない場合は、脅威に対する防御デバイスにインストールされているすべての証明書が表示されます。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、show crypto ca certificates コマンドの出力例を示します。


>show crypto ca certificates tp1
CA Certificate
    Status: Available
    Certificate Serial Number 2957A3FF296EF854FD0D6732FE25B45
    Certificate Usage: Signature
    Issuer:
        CN = ms-root-sha-06-2004
        OU = rootou
        O = cisco
        L = franklin
        ST - massachusetts
        C = US
        EA = a@b.con
   Subject: 
        CN = ms-root-sha-06-2004
        OU = rootou
        O = cisco
        L = franklin
        ST = massachusetts
        C = US
        EA = example.com
   CRL Distribution Point
        ldap://w2kadvancedsrv/CertEnroll/ms-root-sha-06-2004.crl
   Validity Date:
        start date: 14:11:40 UTC Jun 26 2004
        end date: 14:01:30 UTC Jun 4 2022
   Associated Trustpoints: tp2 tp1

show crypto ca crls

キャッシュされたすべての証明書失効リスト（CRL）を表示、または指定したトラストポイントにキャッシュされたすべての CRL を表示するには、show crypto ca crl コマンドを使用します。

show crypto ca crls [ trustpool | trustpoint trustpointname]

構文の説明


trustpoint `trustpointname`	（任意）トラストポイントの名前。名前を指定しない場合は、脅威に対する防御デバイスにキャッシュされているすべての CRL が表示されます。
trustpool	すべての trustpool 関連の CRL を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、show crypto ca crl コマンドの出力例を示します。


> show crypto ca crl trustpoint tp1
CRL Issuer Name:
    cn=ms-sub1-ca-5-2004,ou=Franklin DevTest,o=Cisco
Systems,l=Franklin,st=MA,c=US,ea=user@example.com
    LastUpdate: 19:45:53 UTC Dec 24 2004
    NextUpdate: 08:05:53 UTC Jan 1 2005
    Retrieved from CRL Distribution Point:
      http://win2k-ad2.frk-ms-pki.cisco.com/CertEnroll/ms-sub1-ca-5-2004.crl
    Associated Trustpoints: tp1

show crypto ca trustpoints

CA トラストポイントを表示するには、show crypto ca trustpoints コマンドを使用します。

show crypto ca trustpoints [ trustpoint_name]

構文の説明


`trustpoint_name`	（任意）表示するトラストポイントの名前。

コマンドデフォルト

トラストポイントを指定しない場合は、すべてのトラストポイントが表示されます。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、CA トラストポイントを表示する例を示します。


> show crypto ca trustpoints
Trustpoint ftd-self:
    Configured for self-signed certificate generation.

show crypto ca trustpool

trustpool を構成する証明書を表示するには、show crypto ca trustpool コマンドを使用します。

show crypto ca trustpool [ detail | policy]

構文の説明


detail	（オプション）証明書の詳細を表示します。
policy	（オプション）設定された trustpool ポリシーを表示します。

コマンドデフォルト

このコマンドは、すべての trustpool を省略形式で表示します。detail オプションを指定した場合は、追加の情報が含まれます。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

show crypto ca trustpool コマンドの出力には、各証明書のフィンガープリントの値が含まれます。これらの値は削除操作で必要です。

例

次に、trustpool 内の証明書を表示する方法の例を示します。


> show crypto ca trustpool
CA Certificate
Status: Available
Certificate Serial Number: 6c386c409f4ff4944154635da520ed4c
Certificate Usage: Signature
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: cn=bxb2008-root
dc=bdb2008
dc=mycompany
dc=com
Subject Name:
cn=bxb2008-root
dc=bxb2008
dc=cisco
dc=com
Validity Date:
start date:17:21:06 EST Jan 14 2009
end date:17:31:06 EST Jan 14 2024
CA Certificate
Status: Available
Certificate Serial Number: 58d1c756000000000059
Certificate Usage: Signature
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=bxb2008-root
dc=bxb2008
dc=mycompany
dc=com
Subject Name:
cn=BXB2008SUB1-CA
dc=bxb2008
dc=cisco
dc=com
OCSP AIA:
URL: http://bxb2008-1.bxb2008.mycompany.com/ocsp
CRL Distribution Points:
(1) http://bxb2008-1.bxb2008.mycompany.com/CertEnroll/bxb2008-root.crl
Validity Date:
start date:11:54:34 EST May 18 2009
end date:12:04:34 EST May 18 2011

次に、trustpool ポリシーを表示する方法の例を示します。


> show crypto ca trustpool policy
800 trustpool certificates installed
Trustpool auto import statistics:
	Last import result: SUCCESS
	Next scheduled import at 22:00:00 Tues Jul 21 2015
Trustpool Policy
Trustpool revocation checking is disabled
CRL cache time: 123 seconds
CRL next update field: required and forced
Automatic import of trustpool certificates is enabled
Automatic import URL: http://www.thawte.com
Download time: 22:00:00
Policy overrides:
map: map1
match:issuer-name eq cn=Mycompany Manufacturing CA
match:issuer-name eq cn=Mycompany CA
action:skip revocation-check
map: map2
match: issuer-name eq cn=mycompany Manufacturing CA
match: issuer-name eq cn=mycompany CA2
action: allowed expired certificates

show crypto debug-condition

IPsec および ISAKMP のデバッグメッセージに関して、現在設定されているフィルタ、一致しない状態、およびエラー状態を表示するには、グローバルコンフィギュレーションモードで show crypto debug-condition コマンドを使用します。

show crypto debug-condition

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、フィルタリング条件を表示する例を示します。


> show crypto debug-condition
Crypto conditional debug is turned ON
IKE debug context unmatched flag:  OFF
IPsec debug context unmatched flag:  ON
IKE peer IP address filters:
1.1.1.0/24   2.2.2.2
IKE user name filters:
my_user

show crypto ikev1

インターネットキーエクスチェンジバージョン 1（IKEv1）に関する情報を表示するには、show crypto ikev1 コマンドを使用します。

show crypto ikev1 { ipsec-over-tcp | sa [ detail] | stats}

構文の説明


ipsec-over-tcp	IPSec over TCP データを表示します。
sa [detail]	IKEv1 ランタイムセキュリティアソシエーション（SA）データベースに関する情報を表示します。SA データベースに関する詳細出力を表示するには、detail キーワードを含めます。
stats	IKEv1 統計情報を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、SA データベースに関する詳細情報を表示する例を示します。detail キーワードを含めない場合、IKE Peer、Type、Dir、Rky、および State 列だけが表示されます。


> show crypto ikev1 sa detail
IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
1 209.165.200.225 User  Resp  No   AM_Active  3des    SHA   preshrd 86400

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
2 209.165.200.226 User  Resp  No   AM_ACTIVE  3des    SHA   preshrd 86400

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
3 209.165.200.227 User  Resp  No   AM_ACTIVE  3des    SHA   preshrd 86400

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
4 209.165.200.228 User  Resp  No   AM_ACTIVE  3des    SHA   preshrd 86400

次に、IPSec over TCP データを表示する例を示します。


> show crypto ikev1 ipsec-over-tcp
Global IKEv1 IPSec over TCP Statistics
--------------------------------
Embryonic connections: 0
Active connections: 0
Previous connections: 0
Inbound packets: 0
Inbound dropped packets: 0
Outbound packets: 0
Outbound dropped packets: 0
RST packets: 0
Recevied ACK heart-beat packets: 0
Bad headers: 0
Bad trailers: 0
Timer failures: 0
Checksum errors: 0
Internal errors: 0

次に、グローバル IKEv1 統計情報を表示する例を示します。


> show crypto ikev1 stats
Global IKEv1 Statistics
  Active Tunnels:              0
  Previous Tunnels:            0
  In Octets:                   0
  In Packets:                  0
  In Drop Packets:             0
  In Notifys:                  0
  In P2 Exchanges:             0
  In P2 Exchange Invalids:     0
  In P2 Exchange Rejects:      0
  In P2 Sa Delete Requests:    0
  Out Octets:                  0
  Out Packets:                 0
  Out Drop Packets:            0
  Out Notifys:                 0
  Out P2 Exchanges:            0
  Out P2 Exchange Invalids:    0
  Out P2 Exchange Rejects:     0
  Out P2 Sa Delete Requests:   0
  Initiator Tunnels:           0
  Initiator Fails:             0
  Responder Fails:             0
  System Capacity Fails:       0
  Auth Fails:                  0
  Decrypt Fails:               0
  Hash Valid Fails:            0
  No Sa Fails:                 0

IKEV1 Call Admission Statistics
  Max In-Negotiation SAs:                 50
  In-Negotiation SAs:                      0
  In-Negotiation SAs Highwater:            0
  In-Negotiation SAs Rejected:             0

show crypto ikev2

インターネットキーエクスチェンジバージョン 2（IKEv2）に関する情報を表示するには、show crypto ikev2 コマンドを使用します。

show crypto ikev2 { sa [ detail] | stats}

構文の説明


sa [detail]	IKEv2 ランタイムセキュリティアソシエーション（SA）データベースに関する情報を表示します。SA データベースに関する詳細出力を表示するには、detail キーワードを含めます。
stats	IKEv2 統計情報を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、SA データベースに関する詳細情報を表示する例を示します。


> show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id            Local             Remote              Status   Role
671069399            10.0.0.0/500      10.255.255.255/500  READY    INITIATOR
      Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/188 sec
      Session-id: 1
      Status Description: Negotiation done
      Local spi: 80173A0373C2D403       Remote spi: AE8AEFA1B97DBB22
      Local id: asa
      Remote id: asa1
      Local req mess id: 8              Remote req mess id: 7
      Local next mess id: 8             Remote next mess id: 7
      Local req queued: 8               Remote req queued: 7
      Local window: 1                   Remote window: 1
      DPD configured for 10 seconds, retry 2
      NAT-T is not detected
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0x242a3da5/0xe6262034
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-GCM, keysize: 128, esp_hmac: N/A
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

次に、IKEv2 統計情報を表示する例を示します。


> show crypto ikev2 stats
Global IKEv2 Statistics
  Active Tunnels:                          0
  Previous Tunnels:                        0
  In Octets:                               0
  In Packets:                              0
  In Drop Packets:                         0
  In Drop Fragments:                       0
  In Notifys:                              0
  In P2 Exchange:                          0
  In P2 Exchange Invalids:                 0
  In P2 Exchange Rejects:                  0
  In IPSEC Delete:                         0
  In IKE Delete:                           0
  Out Octets:                              0
  Out Packets:                             0
  Out Drop Packets:                        0
  Out Drop Fragments:                      0
  Out Notifys:                             0
  Out P2 Exchange:                         0
  Out P2 Exchange Invalids:                0
  Out P2 Exchange Rejects:                 0
  Out IPSEC Delete:                        0
  Out IKE Delete:                          0
  SAs Locally Initiated:                   0
  SAs Locally Initiated Failed:            0
  SAs Remotely Initiated:                  0
  SAs Remotely Initiated Failed:           0
  System Capacity Failures:                0
  Authentication Failures:                 0
  Decrypt Failures:                        0
  Hash Failures:                           0
  Invalid SPI:                             0
  In Configs:                              0
  Out Configs:                             0
  In Configs Rejects:                      0
  Out Configs Rejects:                     0
  Previous Tunnels:                        0
  Previous Tunnels Wraps:                  0
  In DPD Messages:                         0
  Out DPD Messages:                        0
  Out NAT Keepalives:                      0
  IKE Rekey Locally Initiated:             0
  IKE Rekey Remotely Initiated:            0
  CHILD Rekey Locally Initiated:           0
  CHILD Rekey Remotely Initiated:          0

IKEV2 Call Admission Statistics
  Max Active SAs:                   No Limit
  Max In-Negotiation SAs:                250
  Cookie Challenge Threshold:          Never
  Active SAs:                              0
  In-Negotiation SAs:                      0
  Incoming Requests:                       0
  Incoming Requests Accepted:              0
  Incoming Requests Rejected:              0
  Outgoing Requests:                       0
  Outgoing Requests Accepted:              0
  Outgoing Requests Rejected:              0
  Rejected Requests:                       0
  Rejected Over Max SA limit:              0
  Rejected Low Resources:                  0
  Rejected Reboot In Progress:             0
  Cookie Challenges:                       0
  Cookie Challenges Passed:                0
  Cookie Challenges Failed:                0

show crypto ipsec df-bit

指定されたインターフェイスの IPsec パケットの IPsec do-not-fragment（DF ビット）ポリシーを表示するには、show crypto ipsec df-bit コマンドを使用します。同じ意味を持つ show ipsec df-bit コマンドも使用できます。

show crypto ipsec df-bit interface

構文の説明


`interface`	インターフェイス名を指定します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

dｆビットの設定によって、カプセル化されたヘッダーの do-not-fragment（DF）ビットのシステムによる処理方法が決まります。IP ヘッダー内の DF ビットにより、デバイスがパケットをフラグメント化できるかどうかが決定されます。この設定に基づき、システムは暗号の適用時に外側の IPsec ヘッダーに対するクリアテキストパケットの DF ビットの設定をクリアするか、設定するか、コピーするかのいずれかを実行します。

例

次に、inside というインターフェイスの IPsec DF ビットポリシーを表示する例を示します。


> show crypto ipsec df-bit inside
df-bit inside copy

show crypto ipsec fragmentation

IPsec パケットのフラグメンテーションポリシーを表示するには、show crypto ipsec fragmentation コマンドを使用します。同じ意味を持つ show ipsec fragmentation コマンドも使用できます。

show crypto ipsec fragmentation interface

構文の説明


`interface`	インターフェイス名を指定します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

VPN に対するパケットを暗号化する際、システムはパケット長をアウトバウンドインターフェイスの MTU と比較します。パケットの暗号化が MTU を超える場合は、パケットをフラグメント化する必要があります。このコマンドは、パケットを暗号化した後（after-encryption）、または暗号化する前（before-encryption）にシステムがパケットをフラグメント化するかどうかを表示します。暗号化前のパケットのフラグメント化は、事前フラグメント化とも呼ばれ、暗号化パフォーマンス全体を向上させるため、システムのデフォルト動作になっています。

例

次に、inside というインターフェイスの IPsec フラグメンテーションポリシーを表示する例を示します。


> show crypto ipsec fragmentation inside
fragmentation inside before-encryption

show crypto ipsec policy

OSPFv3 に設定されている IPsec セキュアソケット API（SS API）セキュリティポリシーを表示するには、show crypto ipsec policy コマンドを使用します。このコマンドの代替形式である show ipsec policy を使用することもできます。

show crypto ipsec policy

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、OSPFv3 認証と暗号方式ポリシーを表示する例を示します。


> show crypto ipsec policy
Crypto IPsec client security policy data

Policy name:      OSPFv3-1-256
Policy refcount:  1
Policy flags:     0x00000000
SA handles:       sess 268382208 (0xfff3000) / in 55017 (0xd6e9) / out 90369 (0x16101)
Inbound  ESP SPI:        256 (0x100)
Outbound ESP SPI:        256 (0x100)
Inbound  ESP Auth Key:   1234567890123456789012345678901234567890
Outbound ESP Auth Key:   1234567890123456789012345678901234567890
Inbound  ESP Cipher Key: 12345678901234567890123456789012
Outbound ESP Cipher Key: 12345678901234567890123456789012
Transform set:    esp-aes esp-sha-hmac

show crypto ipsec sa

IPsec SA のリストを表示するには、show crypto ipsec sa コマンドを使用します。このコマンドの代替形式である show ipsec sa を使用することもできます。

構文の説明


assigned-address	（オプション）割り当てられたアドレスの IPsec SA を表示します。
detail	（任意）表示されているものに対する詳細なエラー情報を表示します。
entry	（オプション）IPsec SA をピアアドレスの順に表示します。
identity	（オプション）IPsec SA を ID の順に表示します。ESP は含まれません。これは簡略化された形式です。
inactive	（オプション）非アクティブな IPsec SA を表示します。
map `map-name`	（オプション）指定されたクリプトマップの IPsec SA を表示します。
peer `peer-addr`	（オプション）指定されたピア IP アドレスの IPsec SA を表示します。
spi	（オプション）SPI の IPsec SA を表示します。
summary	（オプション）IPsec SA の概要をタイプ別に表示します。
user	（オプション）ユーザーの IPsec SA を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、OSPFv3 として識別されるトンネルを含む IPsec SA を表示する例を示します。


> show crypto ipsec sa
interface: outside2
    Crypto map tag: def, local addr: 10.132.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (172.20.0.21/255.255.255.255/0/0)
      current_peer: 172.20.0.21
      dynamic allocated peer ip: 10.135.1.5

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1145, #pkts decrypt: 1145, #pkts verify: 1145
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 2, #pre-frag failures: 1, #fragments created: 10
      #PMTUs sent: 5, #PMTUs rcvd: 2, #decapstulated frags needing reassembly: 1
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.132.0.17, remote crypto endpt.: 172.20.0.21

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: DC15BF68

    inbound esp sas:
      spi: 0x1E8246FC (511854332)
         transform: esp-3des esp-md5-hmac
         in use settings ={L2L, Transport, Manual key, (OSPFv3), }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 548
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xDC15BF68 (3692412776)
         transform: esp-3des esp-md5-hmac
         in use settings ={L2L, Transport, Manual key, (OSPFv3), }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 548
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: def, local addr: 10.132.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

（注）

IPSec SA ポリシーに、フラグメンテーションは IPsec 処理の前に発生すると明記されている場合、フラグメンテーション統計情報は、フラグメンテーション前の統計情報です。SA ポリシーに、フラグメンテーションは IPsec 処理の後に発生すると明記されている場合、フラグメンテーション後の統計情報が表示されます。

次に、def という名前のクリプトマップの IPsec SA を表示する例を示します。


> show crypto ipsec sa map def
cryptomap: def
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
      current_peer: 10.132.0.21
      dynamic allocated peer ip: 90.135.1.5

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1146, #pkts decrypt: 1146, #pkts verify: 1146
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: DC15BF68

    inbound esp sas:
      spi: 0x1E8246FC (511854332)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 480
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xDC15BF68 (3692412776)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 480
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
      current_peer: 10.135.1.8
      dynamic allocated peer ip: 0.0.0.0

      #pkts encaps: 73672, #pkts encrypt: 73672, #pkts digest: 73672
      #pkts decaps: 78824, #pkts decrypt: 78824, #pkts verify: 78824
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 73672, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3B6F6A35

    inbound esp sas:
      spi: 0xB32CF0BD (3006066877)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 4, crypto-map: def
         sa timing: remaining key lifetime (sec): 263
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x3B6F6A35 (997157429)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 4, crypto-map: def
         sa timing: remaining key lifetime (sec): 263
         IV size: 8 bytes
         replay detection support: Y

次に、キーワード entry に関する IPsec SA の例を示します。


> show crypto ipsec sa entry
peer address: 10.132.0.21
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
      current_peer: 10.132.0.21
      dynamic allocated peer ip: 90.135.1.5

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: DC15BF68

    inbound esp sas:
      spi: 0x1E8246FC (511854332)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 429
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xDC15BF68 (3692412776)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 429
         IV size: 8 bytes
         replay detection support: Y

peer address: 10.135.1.8
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
      current_peer: 10.135.1.8
      dynamic allocated peer ip: 0.0.0.0

      #pkts encaps: 73723, #pkts encrypt: 73723, #pkts digest: 73723
      #pkts decaps: 78878, #pkts decrypt: 78878, #pkts verify: 78878
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 73723, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3B6F6A35

    inbound esp sas:
      spi: 0xB32CF0BD (3006066877)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 4, crypto-map: def
         sa timing: remaining key lifetime (sec): 212
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x3B6F6A35 (997157429)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 4, crypto-map: def
         sa timing: remaining key lifetime (sec): 212
         IV size: 8 bytes
         replay detection support: Y

次に、キーワード entry detail を使用した IPsec SA の例を示します。


> show crypto ipsec sa entry detail
peer address: 10.132.0.21
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
      current_peer: 10.132.0.21
      dynamic allocated peer ip: 90.135.1.5

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1148, #pkts decrypt: 1148, #pkts verify: 1148
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pkts no sa (send): 0, #pkts invalid sa (rcv): 0
      #pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
      #pkts invalid prot (rcv): 0, #pkts verify failed: 0
      #pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
      #pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
      #pkts replay failed (rcv): 0
      #pkts internal err (send): 0, #pkts internal err (rcv): 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: DC15BF68

    inbound esp sas:
      spi: 0x1E8246FC (511854332)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 322
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xDC15BF68 (3692412776)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 3, crypto-map: def
         sa timing: remaining key lifetime (sec): 322
         IV size: 8 bytes
         replay detection support: Y

peer address: 10.135.1.8
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
      current_peer: 10.135.1.8
      dynamic allocated peer ip: 0.0.0.0

      #pkts encaps: 73831, #pkts encrypt: 73831, #pkts digest: 73831
      #pkts decaps: 78989, #pkts decrypt: 78989, #pkts verify: 78989
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 73831, #pkts comp failed: 0, #pkts decomp failed: 0
      #pkts no sa (send): 0, #pkts invalid sa (rcv): 0
      #pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
      #pkts invalid prot (rcv): 0, #pkts verify failed: 0
      #pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
      #pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
      #pkts replay failed (rcv): 0
      #pkts internal err (send): 0, #pkts internal err (rcv): 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3B6F6A35

    inbound esp sas:
      spi: 0xB32CF0BD (3006066877)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 4, crypto-map: def
         sa timing: remaining key lifetime (sec): 104
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x3B6F6A35 (997157429)
         transform: esp-3des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 4, crypto-map: def
         sa timing: remaining key lifetime (sec): 104
         IV size: 8 bytes
         replay detection support: Y

次に、キーワード identity を使用した IPsec SA の例を示します。


> show crypto ipsec sa identity
interface: outside2
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
      current_peer: 10.132.0.21
      dynamic allocated peer ip: 90.135.1.5

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: DC15BF68

    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
      current_peer: 10.135.1.8
      dynamic allocated peer ip: 0.0.0.0

      #pkts encaps: 73756, #pkts encrypt: 73756, #pkts digest: 73756
      #pkts decaps: 78911, #pkts decrypt: 78911, #pkts verify: 78911
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 73756, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3B6F6A35

次に、キーワード identity および detail を使用した IPsec SA の例を示します。


> show crypto ipsec sa identity detail
interface: outside2
    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
      current_peer: 10.132.0.21
      dynamic allocated peer ip: 90.135.1.5

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pkts no sa (send): 0, #pkts invalid sa (rcv): 0
      #pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
      #pkts invalid prot (rcv): 0, #pkts verify failed: 0
      #pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
      #pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
      #pkts replay failed (rcv): 0
      #pkts internal err (send): 0, #pkts internal err (rcv): 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: DC15BF68

    Crypto map tag: def, local addr: 172.20.0.17

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
      current_peer: 10.135.1.8
      dynamic allocated peer ip: 0.0.0.0

      #pkts encaps: 73771, #pkts encrypt: 73771, #pkts digest: 73771
      #pkts decaps: 78926, #pkts decrypt: 78926, #pkts verify: 78926
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 73771, #pkts comp failed: 0, #pkts decomp failed: 0
      #pkts no sa (send): 0, #pkts invalid sa (rcv): 0
      #pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
      #pkts invalid prot (rcv): 0, #pkts verify failed: 0
      #pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
      #pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
      #pkts replay failed (rcv): 0
      #pkts internal err (send): 0, #pkts internal err (rcv): 0

      local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3B6F6A35

show crypto ipsec stats

IPSec 統計情報のリストを表示するには、show crypto ipsec stats コマンドを使用します。

show crypto ipsec stats

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、IPSec 統計情報を表示する例を示します。


> show crypto ipsec stats

IPsec Global Statistics
-----------------------
Active tunnels: 2
Previous tunnels: 9
Inbound
    Bytes: 4933013
    Decompressed bytes: 4933013
    Packets: 80348
    Dropped packets: 0
    Replay failures: 0
    Authentications: 80348
    Authentication failures: 0
    Decryptions: 80348
    Decryption failures: 0
    Decapsulated fragments needing reassembly: 0
Outbound
    Bytes: 4441740
    Uncompressed bytes: 4441740
    Packets: 74029
    Dropped packets: 0
    Authentications: 74029
    Authentication failures: 0
    Encryptions: 74029
    Encryption failures: 0
	Fragmentation successes: 3
		Pre-fragmentation successes:2
		Post-fragmentation successes: 1
	Fragmentation failures: 2
		Pre-fragmentation failures:1
		Post-fragmentation failures: 1
	Fragments created: 10
	PMTUs sent: 1
	PMTUs recvd: 2
Protocol failures: 0
Missing SA failures: 0
System capacity failures: 0

show crypto isakmp

IKEv1 と IKEv2 の両方の ISAKMP 情報を表示するには、show crypto isakmp コマンドを使用します。

show crypto isakmp { sa [ detail] | stats}

構文の説明


sa [detail]	ランタイムセキュリティアソシエーション（SA）データベースに関する情報を表示します。SA データベースに関する詳細出力を表示するには、detail キーワードを含めます。
stats	IKEv1 および IKEv2 統計情報を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

show crypto isakmp コマンドは、同等の show crypto ikev1 および show crypto ikev2 コマンドの出力を組み合わせたものです。

次に、SA 情報を読む際のヒントを示します。

Rky は No または Yes です。Yes の場合は、キー再生成が発生しており、キー再生成が完了するまで、2 番目に一致する SA は異なる状態になります。
Role はイニシエータまたはレスポンダの状態です。これは SA のステートマシンの現在の状態を示します。
State：トンネルがアップしデータが受け渡しされている場合、値は MM_ACTIVE または AM_ACTIVE のいずれかになります。

例

次に、SA データベースに関する詳細情報を表示する例を示します。


> show crypto isakmp sa detail

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
1 209.165.200.225 User  Resp  No   AM_Active  3des    SHA   preshrd 86400

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
2 209.165.200.226 User  Resp  No   AM_ACTIVE  3des    SHA   preshrd 86400

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
3 209.165.200.227 User  Resp  No   AM_ACTIVE  3des    SHA   preshrd 86400

IKE Peer	  Type  Dir   Rky  State      Encrypt Hash  Auth    Lifetime
4 209.165.200.228 User  Resp  No   AM_ACTIVE  3des    SHA   preshrd 86400

次の例では ISAKMP 統計情報が表示されます。IKEv1 と IKEv2 は別々に表示されます。


> show crypto isakmp stats

Global IKEv1 Statistics
  Active Tunnels:              136
  Previous Tunnels:            0
  In Octets:                   0
  In Packets:                  0
  In Drop Packets:             0
  In Notifys:                  0
  In P2 Exchanges:             0
  In P2 Exchange Invalids:     0
  In P2 Exchange Rejects:      0
  In P2 Sa Delete Requests:    0
  Out Octets:               1344
  Out Packets:                 8
  Out Drop Packets:            0
  Out Notifys:                 0
  Out P2 Exchanges:            0
  Out P2 Exchange Invalids:    0
  Out P2 Exchange Rejects:     0
  Out P2 Sa Delete Requests:   0
  Initiator Tunnels:           2
  Initiator Fails:             2
  Responder Fails:             0
  System Capacity Fails:       0
  Auth Fails:                  0
  Decrypt Fails:               0
  Hash Valid Fails:            0
  No Sa Fails:                 0

IKEV1 Call Admission Statistics
  Max In-Negotiation SAs:                 50
  In-Negotiation SAs:                      0
  In-Negotiation SAs Highwater:            0
  In-Negotiation SAs Rejected:             0
In Drop Packets: 925

Global IKEv2 Statistics
  Active Tunnels:                          132
  Previous Tunnels:                        132
  In Octets:                               195471
  In Packets:                              1854
  In Drop Packets:                         925
  In Drop Fragments:                       0
  In Notifys:                              0
  In P2 Exchange:                          132
  In P2 Exchange Invalids:                 0
  In P2 Exchange Rejects:                  0
  In IPSEC Delete:                         0
  In IKE Delete:                           0
  Out Octets:                              119029
  Out Packets:                             796
  Out Drop Packets:                        0
  Out Drop Fragments:                      0
  Out Notifys:                             264
  Out P2 Exchange:                         0
Out P2 Exchange Invalids:                0
  Out P2 Exchange Rejects:                 0
  Out IPSEC Delete:                        0
  Out IKE Delete:                          0
  SAs Locally Initiated:                   0
  SAs Locally Initiated Failed:            0
  SAs Remotely Initiated:                  0
  SAs Remotely Initiated Failed:           0
  System Capacity Failures:                0
  Authentication Failures:                 0
  Decrypt Failures:                        0
  Hash Failures:                           0
  Invalid SPI:                             0
  In Configs:                              0
  Out Configs:                             0
  In Configs Rejects:                      0
  Out Configs Rejects:                     0
  Previous Tunnels:                        0
  Previous Tunnels Wraps:                  0
  In DPD Messages:                         0
  Out DPD Messages:                        0
  Out NAT Keepalives:                      0
  IKE Rekey Locally Initiated:             0
  IKE Rekey Remotely Initiated:            0
  CHILD Rekey Locally Initiated:           0
  CHILD Rekey Remotely Initiated:          0

IKEV2 Call Admission Statistics
  Max Active SAs:                   No Limit
  Max In-Negotiation SAs:                300
  Cookie Challenge Threshold:            150
  Active SAs:                              0
  In-Negotiation SAs:                      0
  Incoming Requests:                       0
  Incoming Requests Accepted:              0
  Incoming Requests Rejected:              0
  Outgoing Requests:                       0
  Outgoing Requests Accepted:              0
  Outgoing Requests Rejected:              0
  Rejected Requests:                       0
  Rejected Over Max SA limit:              0
  Rejected Low Resources:                  0
  Rejected Reboot In Progress:             0
  Cookie Challenges:                       0
  Cookie Challenges Passed:                0
  Cookie Challenges Failed:                0

show crypto key mypubkey

ECDSA キーまたは RSA キーのキー名、使用法、および楕円曲線サイズを表示するには、show crypto key mypubkey コマンドを使用します。

show crypto key mypubkey { ecdsa | rsa}

構文の説明


ecdsa	ECDSA 公開キーを表示します。
rsa	RSA 公開キーを表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、RSA 公開キーを表示する例を示します。


> show crypto key mypubkey rsa
Key pair was generated at: 18:19:26 UTC May 26 2016
Key name: <Default-RSA-Key>
 Usage: General Purpose Key
 Modulus Size (bits): 1024
 Key Data:

  30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00c0bf77
  d651ead6 fca31c72 12064272 36f699b9 e971e198 1503ba6b f0112b63 97252a26
  38827d83 cd71863e b8962da5 bb905a47 666452a1 9eb1a36e dd8aab00 0e4493f1
  4422bf09 4bcfcb95 a83d38a9 7b9caba6 83c9b5b2 cff251f8 a0422a68 3690c9e5
  0cbbe83b 1a8b2460 1f83b43b a9b06912 7cc9f7f9 f596b81e e2a7bde7 8f020301
  0001
>

show crypto protocol statistics

クリプトアクセラレータ MIB のプロトコル固有の統計情報を表示するには、show crypto protocol statistics コマンドを使用します。

show crypto protocol statistics protocol

構文の説明


`protocol`	統計情報を表示するプロトコルの名前を指定します。プロトコルの選択肢は次のとおりです。 ikev1 ：インターネットキーエクスチェンジバージョン 1。 ikev2 ：インターネットキーエクスチェンジバージョン 2。 ipsec ：IP セキュリティフェーズ 2 プロトコル。 ssl ：セキュアソケットレイヤ。 ssh ：セキュアシェルプロトコル。 srtp ：Secure Real-time Transport Protocol。 other ：新規プロトコル用に予約済み。 all ：現在サポートされているすべてのプロトコル。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、すべてのプロトコルのクリプトアクセラレータ統計情報を表示する例を示します。


> show crypto protocol statistics all
[IKEv1 statistics]
   Encrypt packet requests: 46
   Encapsulate packet requests: 46
   Decrypt packet requests: 40
   Decapsulate packet requests: 40
   HMAC calculation requests: 91
   SA creation requests: 1
   SA rekey requests: 3
   SA deletion requests: 3
   Next phase key allocation requests: 2
   Random number generation requests: 0
   Failed requests: 0
[IKEv2 statistics]
   Encrypt packet requests: 0
   Encapsulate packet requests: 0
   Decrypt packet requests: 0
   Decapsulate packet requests: 0
   HMAC calculation requests: 0
   SA creation requests: 0
   SA rekey requests: 0
   SA deletion requests: 0
   Next phase key allocation requests: 0
   Random number generation requests: 0
   Failed requests: 0
[IPsec statistics]
   Encrypt packet requests: 700
   Encapsulate packet requests: 700
   Decrypt packet requests: 700
   Decapsulate packet requests: 700
   HMAC calculation requests: 1400
   SA creation requests: 2
   SA rekey requests: 0
   SA deletion requests: 0
   Next phase key allocation requests: 0
   Random number generation requests: 0
   Failed requests: 0
[SSL statistics]
   Encrypt packet requests: 0
   Encapsulate packet requests: 0
   Decrypt packet requests: 0
   Decapsulate packet requests: 0
   HMAC calculation requests: 0
   SA creation requests: 0
   SA rekey requests: 0
   SA deletion requests: 0
   Next phase key allocation requests: 0
   Random number generation requests: 0
   Failed requests: 0
[SSH statistics are not supported]
[SRTP statistics are not supported]
[Other statistics]
   Encrypt packet requests: 0
   Encapsulate packet requests: 0
   Decrypt packet requests: 0
   Decapsulate packet requests: 0
   HMAC calculation requests: 0
   SA creation requests: 0
   SA rekey requests: 0
   SA deletion requests: 0
   Next phase key allocation requests: 0
   Random number generation requests: 99
   Failed requests: 0
>

show crypto sockets

暗号セキュアソケット情報を表示するには、show crypto sockets コマンドを使用します。

show crypto sockets

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

例

次に、暗号セキュアソケット情報を表示する例を示します。


> show crypto sockets
Number of Crypto Socket connections 1

       Gi0/1  Peers: (local): 2001:1::1
                     (remote): ::
              Local Ident (addr/plen/port/prot): (2001:1::1/64/0/89)
              Remote Ident (addr/plen/port/prot): (::/0/0/89)
              IPsec Profile: "CSSU-UTF"
              Socket State: Open
              Client: "CSSU_App(UTF)" (Client State: Active)

       Crypto Sockets in Listen state:

次の表で、show crypto sockets コマンド出力のフィールドについて説明します。


フィールド	説明
Number of Crypto Socket connections	システム内の暗号ソケットの数。
Socket State	この状態は、アクティブな IPsec セキュリティアソシエーション（SA）が存在することを意味する Open か、またはアクティブな IPsec SA が存在しないことを意味する Closed のどちらかです。
クライアント	アプリケーションの名前とその状態。
Flags	このフィールドが「shared」になっている場合、ソケットは複数のトンネルインターフェイスで共有されます。
Crypto Sockets in Listen state	暗号 IPsec プロファイルの名前。

show crypto ssl

脅威に対する防御デバイス上のアクティブな SSL セッションに関する情報を表示するには、show crypto ssl コマンドを使用します。

show crypto ssl [ cache | ciphers | errors [ trace] | mib [ 64] | objects]

構文の説明


cache	（オプション）SSL セッションキャッシュの統計情報を表示します。
ciphers	（オプション）使用可能な SSL 暗号を表示します。
errors	（オプション）SSL エラーを表示します。
trace	（オプション）SSL エラートレース情報を表示します。
mib	（オプション）SSL MIB の統計情報を表示します。
64	（オプション）SSL MIB 64-bit カウンタの統計情報を表示します。
objects	（オプション）SSL オブジェクトの統計情報を表示します。

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、現在の SSLv3 以上のセッションに関する情報を表示します。情報には、有効になっている暗号の順序、無効化された暗号、使用されている SSL トラストポイント、証明書認証が有効かどうかが含まれます。

例

次に、show ssl コマンドの出力例を示します。


> show crypto ssl

Accept connections using SSLv3 or greater and negotiate to TLSv1 or greater
Start connections using TLSv1 and negotiate to TLSv1 or greater
SSL DH Group: group2 (1024-bit modulus)
SSL ECDH Group: group19 (256-bit EC)

SSL trust-points:
  Self-signed (RSA 2048 bits RSA-SHA256) certificate available
  Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabled

SSL セッションキャッシュの統計情報を表示するには、show crypto ssl cache コマンドを使用します。


> show crypto ssl cache

SSL session cache statistics:
  Maximum cache size:          100    Current cache size:           0
  Cache hits:                    0    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               0    Accepts successful:           0
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0
SSL VPNLB session cache statistics:
  Maximum cache size:           10    Current cache size:           0
  Cache hits:                    0    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               0    Accepts successful:           0
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0
SSLDEV session cache statistics:
  Maximum cache size:           20    Current cache size:           0
  Cache hits:                    0    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               0    Accepts successful:           0
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0
DTLS session cache statistics:
  Maximum cache size:          100    Current cache size:           0
  Cache hits:                    0    Cache misses:                 0
  Cache timeouts:                0    Cache full:                   0
  Accept attempts:               0    Accepts successful:           0
  Accept renegotiates:           0
  Connect attempts:              0    Connects successful:          0
  Connect renegotiates:          0

SSL 暗号リストを表示するには、show crypto ssl cipher コマンドを使用します。


> show crypto ssl cipher

Current cipher configuration:
default (medium):
  ECDHE-ECDSA-AES256-GCM-SHA384
  ECDHE-RSA-AES256-GCM-SHA384
  DHE-RSA-AES256-GCM-SHA384
  AES256-GCM-SHA384
  ECDHE-ECDSA-AES256-SHA384
  ECDHE-RSA-AES256-SHA384
  DHE-RSA-AES256-SHA256
  AES256-SHA256
  ECDHE-ECDSA-AES128-GCM-SHA256
  ECDHE-RSA-AES128-GCM-SHA256
  DHE-RSA-AES128-GCM-SHA256
  AES128-GCM-SHA256
  ECDHE-ECDSA-AES128-SHA256
  ECDHE-RSA-AES128-SHA256
  DHE-RSA-AES128-SHA256
  AES128-SHA256
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
  DES-CBC3-SHA
tlsv1 (medium):
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
  DES-CBC3-SHA
tlsv1.1 (medium):
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
  DES-CBC3-SHA
tlsv1.2 (medium):
  ECDHE-ECDSA-AES256-GCM-SHA384
  ECDHE-RSA-AES256-GCM-SHA384
  DHE-RSA-AES256-GCM-SHA384
  AES256-GCM-SHA384
  ECDHE-ECDSA-AES256-SHA384
  ECDHE-RSA-AES256-SHA384
  DHE-RSA-AES256-SHA256
  AES256-SHA256
  ECDHE-ECDSA-AES128-GCM-SHA256
  ECDHE-RSA-AES128-GCM-SHA256
  DHE-RSA-AES128-GCM-SHA256
  AES128-GCM-SHA256
  ECDHE-ECDSA-AES128-SHA256
  ECDHE-RSA-AES128-SHA256
  DHE-RSA-AES128-SHA256
  AES128-SHA256
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
  DES-CBC3-SHA
dtlsv1 (medium):
  DHE-RSA-AES256-SHA
  AES256-SHA
  DHE-RSA-AES128-SHA
  AES128-SHA
  DES-CBC3-SHA

show ctiqbe

脅威に対する防御デバイスで確立された CTIQBE セッションに関する情報を表示するには、show ctiqbe コマンドを使用します。

show ctiqbe

コマンド履歴


リリース	変更内容
6.2	このコマンドが導入されました。

例

次の条件における show ctiqbe コマンドの出力例を示します。デバイスでセットアップされているアクティブ CTIQBE セッションは 1 つだけです。そのセッションは、ローカルアドレス 10.0.0.99 の内部 CTI デバイス（たとえば、Cisco IP SoftPhone）と 172.29.1.77 の外部 Cisco CallManager の間で確立されています。ここで、TCP ポート 2748 は、Cisco CallManager です。このセッションのハートビート間隔は 120 秒です。


> show ctiqbe

Total: 1
        LOCAL           FOREIGN         STATE   HEARTBEAT
---------------------------------------------------------------
1       10.0.0.99/1117  172.29.1.77/2748        1       120
        ----------------------------------------------
        RTP/RTCP: PAT xlates: mapped to 172.29.1.99(1028 - 1029)
        ----------------------------------------------
        MEDIA: Device ID 27     Call ID 0
               Foreign 172.29.1.99      (1028 - 1029)
               Local   172.29.1.88      (26822 - 26823)
        ----------------------------------------------

CTI デバイスは、すでに CallManager に登録されています。デバイスの内部アドレスおよび RTP 受信ポートは 172.29.1.99 の UDP ポート 1028 に PAT 変換されています。RTCP 受信ポートは UDP 1029 に PAT 変換されています。

「RTP/RTCP: PAT xlates:」で始まる行は、内部 CTI デバイスが外部 CallManager に登録され、CTI デバイスのアドレスとポートがその外部インターフェイスに PAT 変換されている場合に限り表示されます。この行は、CallManager が内部インターフェイス上に位置する場合、または内部 CTI デバイスのアドレスとポートが、CallManager が使用しているのと同じ外部インターフェイスに NAT 変換されている場合は、表示されません。

この出力は、コールがこの CTI デバイスと 172.29.1.88 にある別の電話機の間に確立されていることを示します。他の電話機の RTP および RTCP 受信ポートは、UDP 26822 および 26823 です。脅威に対する防御デバイスは 2 番目の電話機と CallManager に関連する CTIQBE セッションレコードを維持できないため、他の電話機は、CallManager と同じインターフェイス上にあります。CTI デバイス側のアクティブコールレッグは、Device ID 27 および Call ID 0 で確認できます。

show ctl-provider

ユニファイドコミュニケーションで使用される CTL プロバイダーの設定を表示するには、show ctl-provider コマンドを使用します。

show ctl-provider [ name]

構文の説明


`name`	（オプション）この CTL プロバイダーのみの情報を表示します。

コマンド履歴


リリース	変更内容
6.3	このコマンドが導入されました。

例

次に、CTL プロバイダーの設定を表示する例を示します。


> show ctl-provider 
!
ctl-provider my-ctl
 client interface inside address 192.168.1.55
 client interface inside address 192.168.1.56
 client username admin password gWe.oMSKmeGtelxS encrypted
 export certificate ccm-proxy
!

show curpriv

診断 CLI セッションの現在のユーザー権限を表示するには、show curpriv コマンドを使用します。

show curpriv

コマンド履歴


リリース	変更内容
6.1	このコマンドが導入されました。

使用上のガイドライン

show curpriv コマンドは、現在の特権レベルを表示します。特権レベルの数値が小さいほど、特権レベルが低いことを示しています。

この情報は、configure user コマンドで定義されたユーザーには適用されません。これらは system support diagnotistic-cli セッション内のユーザーの権限です。これらの権限は変更できません。

例

次に、ログインしているユーザーの権限を表示する例を示します。これらの権限は診断 CLI に適用され、configure コマンドを使用する機能には適用されません。enable_1 ユーザーの権限は設定できません。これらの権限は、Basic と Config の両方の権限で同じです。


> show curpriv
Username : enable_1
Current privilege level : 15
Current Mode/s : P_PRIV P_CONF

Command	説明
clear crypto accelerator statistics	暗号アクセラレータ MIB にあるグローバルおよびアクセラレータ固有の統計情報をクリアします。
clear crypto protocol statistics	暗号アクセラレータ MIB にあるプロトコル固有の統計情報をクリアします。
show crypto protocol statistics	暗号アクセラレータ MIB からプロトコル固有の統計情報を表示します。

Command	説明
clear crypto accelerator statistics	暗号アクセラレータ MIB にあるグローバルおよびアクセラレータ固有の統計情報をクリアします。
clear crypto protocol statistics	暗号アクセラレータ MIB にあるプロトコル固有の統計情報をクリアします。
show crypto protocol statistics	暗号アクセラレータ MIB からプロトコル固有の統計情報を表示します。

Command	説明
debug crypto condition	IPsec および ISAKMP デバッグメッセージのフィルタリング条件を設定します。
debug crypto condition error	フィルタリング条件が指定されているかどうかのデバッグメッセージを表示します。
debug crypto condition unmatched	フィルタリングに十分なコンテキスト情報が含まれていない IPsec および ISAKMP のデバッグメッセージを表示します。

Command	説明
clear isakmp sa	IKE ランタイム SA データベースをクリアします。
show running-config isakmp	アクティブな ISAKMP コンフィギュレーションをすべて表示します。

Command	説明
clear ipsec sa	指定されたパラメータに基づいて、IPsec SA またはカウンタをクリアします。
show ipsec sa	指定されたパラメータに基づいて IPsec SA を表示します。
show ipsec sa summary	IPsec SA の要約を表示します。

Command	説明
clear cpu profile	CPU プロファイリングデータをクリアします。
cpu profile activate	CPU プロファイリングをアクティベートします。
show counters	プロトコルスタックカウンタを表示します。

Command	説明
clear crashinfo	クラッシュファイルの内容を削除します。
crashinfo force	脅威に対する防御デバイスを強制的にクラッシュさせます。
crashinfo test	脅威に対する防御デバイスでフラッシュメモリ内のファイルにクラッシュ情報を保存できるかどうかをテストします。

Command	説明
show crypto ikev2 sa	IKEv2 ランタイム SA データベースを表示します。
show running-config crypto isakmp	アクティブな ISAKMP コンフィギュレーションをすべて表示します。

Command	説明
show crypto ikev1 sa	IKEv1 ランタイム SA データベースを表示します。
show running-config crypto isakmp	アクティブな ISAKMP コンフィギュレーションをすべて表示します。

Command	説明
show ipv6 ospf interface	OSPFv3 インターフェイスに関する情報を表示します。
show crypto sockets	セキュアなソケット情報を表示します。

Command	説明
clear crypto isakmp sa	IKE ランタイム SA データベースをクリアします。
show running-config crypto isakmp	アクティブな ISAKMP コンフィギュレーションをすべて表示します。

コマンド	説明
inspect ctiqbe	CTIQBE アプリケーションインスペクションをイネーブルにします。
show service-policy	サービスポリシーの情報と統計を表示します。
show conn	さまざまな接続タイプの接続状態を表示します。

Cisco Secure Firewall Threat Defense コマンド リファレンス

偏向のない言語

翻訳について

検索結果

章のタイトル： show c

show c

show capture

構文の説明

コマンド履歴

使用上のガイドライン

例

関連コマンド

show cert-update

コマンド履歴

例

関連コマンド

show checkheaps

コマンド履歴

例

show checksum

コマンド履歴

使用上のガイドライン

例

show chunkstat

コマンド履歴

例

関連コマンド

show clns

構文の説明

コマンド履歴

例

関連コマンド

show cluster

構文の説明

コマンド履歴

例

関連コマンド

show cluster history

構文の説明

コマンド デフォルト

コマンド履歴

使用上のガイドライン

例

関連コマンド

show cluster info

構文の説明

コマンド履歴

使用上のガイドライン

例

関連コマンド

show cluster rule hits

構文の説明

コマンド デフォルト

コマンド履歴

使用上のガイドライン

例

関連コマンド

show community-list

構文の説明

コマンド履歴

例

show conn

構文の説明

コマンド デフォルト

コマンド履歴

使用上のガイドライン

例

関連コマンド

show console-output

コマンド履歴

例

show coredump

コマンド履歴

使用上のガイドライン

例

関連コマンド

show counters

構文の説明

コマンド デフォルト

コマンド履歴

コマンドデフォルト

コマンドデフォルト

コマンドデフォルト

コマンドデフォルト

コマンドデフォルト

コマンドデフォルト