Cisco ASA シリーズコマンドリファレンス、S コマンド

by user

on 28 марта 2017

Category: Documents

>> Downloads: 97

713

views

Report

Comments

Description

Download Cisco ASA シリーズコマンドリファレンス、S コマンド

Transcript

Cisco ASA シリーズコマンドリファレンス、S コマンド

Cisco ASA シリーズコマンドリファレンス、
S コマンド
更新：14/11/05
Cisco Systems, Inc.
www.cisco.com
シスコは世界各国 200 箇所にオフィスを開設しています。
住所、電話番号、FAX 番号は
以下のシスコ Web サイトをご覧ください。
www.cisco.com/go/offices.
Text Part Number: なし、オンライン専用
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および
推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製
品の使用は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡
ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public
domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコ
およびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する
保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと
する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わな
いものとします。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S.and other countries.To view a list of Cisco trademarks, go to this
URL: www.cisco.com/go/trademarks .Third-party trademarks mentioned are the property of their respective owners.The use of the word partner does not imply a partnership
relationship between Cisco and any other company.(1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、
ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際の IP アドレスおよび電話番号が使用されていたとし
ても、それは意図的なものではなく、偶然の一致によるものです。
Cisco ASA シリーズコマンドリファレンス、S コマンド
© 2014 Cisco Systems, Inc. All rights reserved.
CH A P T E R
1
same-security-traffic コマンド～ shape
コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-1
第1章
same-security-traffic コマンド～ shape コマンド
same-security-traffic
same-security-traffic
同じセキュリティレベルのインターフェイス間での通信を許可するか、またはトラフィックが
同じインターフェイスに出入りできるようにするには、グローバルコンフィギュレーション
モードで same-security-traffic コマンドを使用します。同じセキュリティレベルのトラフィック
をディセーブルにするには、このコマンドの no 形式を使用します。
same-security-traffic permit {inter-interface | intra-interface}
no same-security-traffic permit {inter-interface | intra-interface}
構文の説明
inter-interface
同じセキュリティレベルを持つ異なるインターフェイス間での通信
を許可します。
intra-interface
同じインターフェイスに入って同じインターフェイスから出る通信を
許可します。
デフォルト
このコマンドは、デフォルトでディセーブルになっています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
7.0(1)
変更内容
7.2(1)
intra-interface キーワードを使用すると、IPsec トラフィックだけでは
なく、すべてのトラフィックが同じインターフェイスに出入りできる
ようになりました。
このコマンドが追加されました。
同じセキュリティレベルのインターフェイス間での通信を許可すると（same-security-traffic
inter-interface コマンドを使用してイネーブルにします）、次の利点があります。
•
101 より多い数の通信インターフェイスを設定できます。各インターフェイスで異なるレベ
ルを使用する場合は、レベルごと（0 ～ 100）に 1 つのインターフェイスのみを設定できます。
•
アクセスリストなしで、すべての同じセキュリティレベルのインターフェイス間で自由に
トラフィックを送受信できます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-2
トランスペ
アレント
シングル
第1章
same-security-traffic コマンド～ shape コマンド
same-security-traffic
same-security-traffic intra-interface コマンドを使用すると、トラフィックが同じインターフェイ
スに入って同じインターフェイスから出ることができます。この動作は、通常は許可されていま
せん。この機能は、あるインターフェイスに入り、その後同じインターフェイスからルーティング
される VPN トラフィックの場合に役立ちます。この場合、VPN トラフィックは暗号化解除された
り、別の VPN 接続のために再度暗号化されたりする場合があります。たとえば、ハブアンドス
ポーク VPN ネットワークがあり、ASA がハブ、リモート VPN ネットワークがスポークの場合、あ
るスポークが別のスポークと通信するためには、トラフィックは ASA に入ってから他のスポー
クに再度ルーティングされる必要があります。
（注）
例
same-security-traffic intra-interface コマンドによって許可されるすべてのトラフィックには、
引き続きファイアウォールルールが適用されます。リターントラフィックが ASA を通過できな
い原因となるため、非対称なルーティング状態にしないよう注意してください。
次に、同じセキュリティレベルのインターフェイス間での通信をイネーブルにする例を示し
ます。
ciscoasa(config)# same-security-traffic permit inter-interface
次に、トラフィックが同じインターフェイスに入って同じインターフェイスから出られるよう
にする例を示します。
ciscoasa(config)# same-security-traffic permit intra-interface
関連コマンド
コマンド
show running-config
same-security-traffic
説明
same-security-traffic コンフィギュレーションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-3
第1章
same-security-traffic コマンド～ shape コマンド
sasl-mechanism
sasl-mechanism
LDAP クライアントを LDAP サーバに対して認証するための Simple Authentication and Security
Layer（SASL）メカニズムを指定するには、AAA サーバホストコンフィギュレーションモードで
sasl-mechanism コマンドを使用します。SASL 認証メカニズムのオプションは、digest-md5 およ
び kerberos です。
認証メカニズムをディセーブルにするには、このコマンドの no 形式を使用します。
sasl-mechanism {digest-md5 | kerberos server-group-name}
no sasl-mechanism {digest-md5 | kerberos server-group-name}
（注）
構文の説明
VPN ユーザにとっては、ASA が LDAP サーバへのクライアントプロキシとして動作するため、
ここでの LDAP クライアントとは ASA を意味しています。
digest-md5
ASA は、ユーザ名とパスワードから計算された MD5 値を使用して応答
します。
kerberos
ASA は、Generic Security Services Application Programming Interface
（GSSAPI）Kerberos メカニズムを使用してユーザ名とレルムを送信する
ことによって応答します。
server-group-name
最大 64 文字の Kerberos AAA サーバグループを指定します。
デフォルトの動作や値はありません。ASA は、認証パラメータをプレーンテキストで LDAP
サーバに渡します。
デフォルト
（注）
コマンドモード
SASL を設定していない場合は、ldap-over-ssl コマンドを使用して、SSL によって LDAP 通信を
保護することを推奨します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
AAA サーバホストコンフィ
ギュレーション
コマンド履歴
リリース
7.1(1)
•
Yes
•
Yes
•
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-4
トランスペ
アレント
シングル
Yes
マルチ
コンテキストシステム
•
Yes
—
第1章
same-security-traffic コマンド～ shape コマンド
sasl-mechanism
使用上のガイドライン
ASA が SASL メカニズムを使用して LDAP サーバに対する認証を行うよう指定するには、この
コマンドを使用します。
ASA と LDAP サーバの両方で、複数の SASL 認証メカニズムをサポートできます。SASL 認証を
ネゴシエートする場合、ASA はサーバに設定されている SASL メカニズムのリストを取得して、
ASA とサーバの両方に設定されているメカニズムのうち最も強力な認証メカニズムを設定しま
す。Kerberos メカニズムは、Digest-MD5 メカニズムよりも強力です。たとえば、LDAP サーバと
ASA の両方でこれら 2 つのメカニズムがサポートされている場合、ASA では、より強力な
Kerberos メカニズムが選択されます。
各メカニズムは独立して設定されるため、SASL メカニズムをディセーブルにするには、ディ
セーブルにする各メカニズムに対して別々に no コマンドを入力する必要があります。明示的に
ディセーブルにしないメカニズムは引き続き有効です。たとえば、両方の SASL メカニズムを
ディセーブルにするには、次の両方のコマンドを入力する必要があります。
no sasl-mechanism digest-md5
no sasl-mechanism kerberos server-group-name
例
次に、AAA サーバホストコンフィギュレーションモードで、名前が ldapsvr1、IP アドレスが
10.10.0.1 の LDAP サーバに対する認証のために SASL メカニズムをイネーブルにする例を示し
ます。この例では、SASL digest-md5 認証メカニズムがイネーブルにされています。
ciscoasa(config)# aaa-server ldapsvr1 protocol ldap
ciscoasa(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
ciscoasa(config-aaa-server-host)# sasl-mechanism digest-md5
次に、SASL Kerberos 認証メカニズムをイネーブルにして、Kerberos AAA サーバとして
kerb-servr1 を指定する例を示します。
ciscoasa(config)# aaa-server ldapsvr1 protocol ldap
ciscoasa(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
ciscoasa(config-aaa-server-host)# sasl-mechanism kerberos kerbsvr1
関連コマンド
コマンド
ldap-over-ssl
説明
server-type
LDAP サーバベンダーに Microsoft または Sun のいずれか
を指定します。
SSL が LDAP クライアントとサーバの間の接続を保護す
ることを指定します。
ldap attribute-map（グローバル
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングす
コンフィギュレーションモード）るために、LDAP 属性マップを作成して名前を付けます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-5
第1章
same-security-traffic コマンド～ shape コマンド
sast
sast
CTL レコードに作成する SAST 証明書の数を指定するには、CTL ファイルコンフィギュレー
ションモードで sast コマンドを使用します。CTL ファイル内の SAST 証明書の数をデフォルト
値の 2 に戻すには、このコマンドの no 形式を使用します。
sast number_sasts
no sast number_sasts
構文の説明
number_sasts
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
作成する SAST キーの数を指定します。デフォルト値は 2 です。指定でき
る最大数は 5 です。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
CTL ファイルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
8.0(4)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
CTL ファイルは、System Administrator Security Token（SAST）によって署名されます。
電話プロキシは CTL ファイルを生成するため、CTL ファイル自体を署名するための SAST キー
を作成する必要があります。このキーは、ASA で生成できます。SAST は、自己署名証明書として
作成されます。
通常、CTL ファイルには複数の SAST が含まれています。ある SAST が回復可能でない場合は、後
でもう 1 つの SAST を使用してファイルを署名できます。
次に、sast コマンドを使用して、CTL ファイルに 5 つの SAST 証明書を作成する例を示します。
例
ciscoasa(config-ctl-file)# sast 5
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-6
第1章
same-security-traffic コマンド～ shape コマンド
sast
関連コマンド
コマンド
説明
ctl-file（グローバル）
電話プロキシコンフィギュレーション用に作成する CTL ファイル、また
はフラッシュメモリから解析するための CTL ファイルを指定します。
ctl-file
（Phone-Proxy）
phone-proxy
電話プロキシコンフィギュレーションで使用する CTL ファイルを指定
します。
電話プロキシインスタンスを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-7
第1章
same-security-traffic コマンド～ shape コマンド
scansafe
scansafe
コンテキストに対してクラウド Web セキュリティインスペクションをイネーブルにするには、
コンテキストコンフィギュレーションモードで scansafe コマンドを使用します。クラウド Web
セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。
scansafe [license key]
no scansafe [license key]
構文の説明
license key
コマンドデフォルト
デフォルトでは、システムコンフィギュレーションに入力されたライセンスがコンテキストで
使用されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
このコンテキストの認証キーを入力します。キーを指定しない場合は、
システムコンフィギュレーションで設定されているライセンスがこ
のコンテキストで使用されます。ASA は、要求がどの組織からのもの
かを示すために、認証キーをクラウド Web セキュリティプロキシ
サーバに送信します。認証キーは 16 バイトの 16 進数です。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
9.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
マルチコンテキストモードでは、コンテキストごとにクラウド Web セキュリティを許可する必
要があります。
例
次に、デフォルトのライセンスを使用してコンテキスト 1 でクラウド Web セキュリティをイ
ネーブルにし、ライセンスキーの上書きを使用してコンテキスト 2 でクラウド Web セキュリ
ティをイネーブルにする設定の例を示します。
!System Context
!
scansafe general-options
server primary ip 180.24.0.62 port 8080
retry-count 5
license 366C1D3F5CE67D33D3E9ACEC265261E5
!
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-8
第1章
same-security-traffic コマンド～ shape コマンド
scansafe
context one
allocate-interface GigabitEthernet0/0.1
allocate-interface GigabitEthernet0/1.1
allocate-interface GigabitEthernet0/3.1
scansafe
config-url disk0:/one_ctx.cfg
!
context two
allocate-interface GigabitEthernet0/0.2
allocate-interface GigabitEthernet0/1.2
allocate-interface GigabitEthernet0/3.2
scansafe license 366C1D3F5CE67D33D3E9ACEC26789534
config-url disk0:/two_ctx.cfg
!
関連コマンド
コマンド
説明
class-map type inspect ホワイトリストに記載されたユーザとグループのインスペクション
scansafe
クラスマップを作成します。
default user group
ASA にアクセスするユーザの ID を ASA が特定できない場合、デフォ
ルトのユーザ名またはグループ、あるいはその両方を指定します。
http[s] (parameters)
インスペクションポリシーマップのサービスタイプとして HTTP ま
たは HTTPS を指定します。
inspect scansafe
クラスのトラフィックに対するクラウド Web セキュリティインスペ
クションをイネーブルにします。
license
要求の送信元の組織を示すため、ASA がクラウド Web セキュリティ
プロキシサーバに送信する認証キーを設定します。
match user group
ホワイトリストのユーザまたはグループを照合します。
policy-map type
inspect scansafe
インスペクションポリシーマップを作成すると、ルールのために必要
なパラメータを設定し、任意でホワイトリストを識別できます。
retry-count
再試行回数値を入力します。この値は、アベイラビリティをチェックす
るために、クラウド Web セキュリティプロキシサーバをポーリング
する前に ASA が待機する時間です。
scansafe
general-options
汎用クラウド Web セキュリティサーバオプションを設定します。
server {primary |
backup}
プライマリまたはバックアップクラウド Web セキュリティプロキシ
サーバの完全修飾ドメイン名または IP アドレスを設定します。
show conn scansafe
大文字の Z フラグに示されたようにすべてのクラウド Web セキュリ
ティ接続を表示します。
show scansafe server
サーバが現在のアクティブサーバ、バックアップサーバ、または到達
不能のいずれであるか、サーバのステータスを表示します。
show scansafe statistics 合計と現在の HTTP 接続を表示します。
user-identity monitor AD エージェントから指定したユーザまたはグループ情報をダウン
ロードします。
whitelist
トラフィックのクラスでホワイトリストアクションを実行します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-9
第1章
same-security-traffic コマンド～ shape コマンド
scansafe general-options
scansafe general-options
クラウド Web セキュリティプロキシサーバとの通信を設定するには、グローバルコンフィ
ギュレーションモードで scansafe general-options コマンドを使用します。サーバコンフィギュ
レーションを削除するには、このコマンドの no 形式を使用します。
scansafe general-options
no scansafe general-options
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
9.0(1)
•
トランスペ
アレント
シングル
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
クラウド Web セキュリティのプライマリプロキシサーバとバックアッププロキシサーバを設
定できます。
例
次に、プライマリサーバを設定する例を示します。
scansafe general-options
server primary ip 180.24.0.62 port 8080
retry-count 5
license 366C1D3F5CE67D33D3E9ACEC265261E5
関連コマンド
コマンド
説明
class-map type inspect ホワイトリストに記載されたユーザとグループのインスペクション
scansafe
クラスマップを作成します。
default user group
ASA にアクセスするユーザの ID を ASA が特定できない場合、デフォ
ルトのユーザ名またはグループ、あるいはその両方を指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-10
第1章
same-security-traffic コマンド～ shape コマンド
scansafe general-options
コマンド
http[s] (parameters)
説明
inspect scansafe
クラスのトラフィックに対するクラウド Web セキュリティインスペ
クションをイネーブルにします。
license
要求の送信元の組織を示すため、ASA がクラウド Web セキュリティ
プロキシサーバに送信する認証キーを設定します。
match user group
ホワイトリストのユーザまたはグループを照合します。
policy-map type
inspect scansafe
インスペクションポリシーマップを作成すると、ルールのために必要
なパラメータを設定し、任意でホワイトリストを識別できます。
retry-count
再試行回数値を入力します。この値は、アベイラビリティをチェックす
るために、クラウド Web セキュリティプロキシサーバをポーリング
する前に ASA が待機する時間です。
scansafe
マルチコンテキストモードでは、コンテキストごとにクラウド Web
セキュリティを許可します。
server {primary |
backup}
プライマリまたはバックアップクラウド Web セキュリティプロキシ
サーバの完全修飾ドメイン名または IP アドレスを設定します。
show conn scansafe
大文字の Z フラグに示されたようにすべてのクラウド Web セキュリ
ティ接続を表示します。
show scansafe server
サーバが現在のアクティブサーバ、バックアップサーバ、または到達
不能のいずれであるか、サーバのステータスを表示します。
インスペクションポリシーマップのサービスタイプとして HTTP ま
たは HTTPS を指定します。
show scansafe statistics 合計と現在の HTTP 接続を表示します。
user-identity monitor AD エージェントから指定したユーザまたはグループ情報をダウン
ロードします。
whitelist
トラフィックのクラスでホワイトリストアクションを実行します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-11
第1章
same-security-traffic コマンド～ shape コマンド
scep-enrollment enable
scep-enrollment enable
トンネルグループの Simple Certificate Enrollment Protocol をイネーブルまたはディセーブルに
するには、トンネルグループ一般属性モードで scep-enrollment enable コマンドを使用します。
このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用し
ます。
scep-enrollment enable
no scep-enrollment enable
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトでは、このコマンドはトンネルグループコンフィギュレーションに存在しません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
トンネルグループ一般属性
コンフィギュレーション
コマンド履歴
使用上のガイドライン
リリース
8.4(1)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
この機能がサポートされるのは、リリース 3.0 以降の Cisco AnyConnect Secure Mobility Client の
みです。
ASA は、AnyConnect とサードパーティ認証局の間の SCEP 要求のプロキシとして動作すること
ができます。認証局がプロキシとして動作する場合に必要なのは、ASA にアクセス可能であるこ
とのみです。ASA のこのサービスが機能するには、ASA が登録要求を送信する前に、ユーザが
AAA でサポートされているいずれかの方法を使用して認証されている必要があります。また、
ホストスキャンおよびダイナミックアクセスポリシーを使用して、登録資格のルールを適用す
ることもできます。
ASA では、AnyConnect SSL または IKEv2 VPN セッションでのみこの機能をサポートしていま
す。これは、IOS CS、Windows Server 2003 CA、および Windows Server 2008 CA を含む、すべての
SCEP 準拠認証局をサポートしています。
クライアントレス（ブラウザベース）でのアクセスは SCEP プロキシをサポートしていませんが、
WebLaunch（クライアントレス起動 AnyConnect）はサポートしています。
ASA では、証明書のポーリングはサポートしていません。
ASA はこの機能に対するロードバランシングをサポートしています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-12
第1章
same-security-traffic コマンド～ shape コマンド
scep-enrollment enable
例
次に、グローバルコンフィギュレーションモードで、remotegrp というリモートアクセストンネ
ルグループを作成し、グループポリシー用の SCEP をイネーブルにする例を示します。
ciscoasa(config)# tunnel-group remotegrp type remote-access
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-general)# scep-enrollment enable
INFO: 'authentication aaa certificate' must be configured to complete setup of this
option.
関連コマンド
コマンド
crypto ikev2 enable
説明
scep-forwarding-url
グループポリシー用の SCEP 認証局を登録します。
secondary-pre-fill-username
clientless
証明書が SCEP プロキシの WebLaunch のサポートに使用でき
ない場合は、共通のセカンダリパスワードを使用します。
IPsec ピアが通信するインターフェイスで IKEv2 ネゴシエー
ションをイネーブルにします。
secondary-authentication-server- 証明書が使用できないときにはユーザ名を指定します。
group
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-13
第1章
same-security-traffic コマンド～ shape コマンド
scep-forwarding-url
scep-forwarding-url
グループポリシー用の SCEP 認証局を登録するには、グループポリシーコンフィギュレーショ
ンモードで scep-forwarding-url コマンドを使用します。
このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用し
ます。
scep-forwarding-url {none | value [URL]}
no scep-forwarding-url
構文の説明
none
グループポリシーの認証局を指定しません。
URL
認証局の SCEP URL を指定します。
value
この機能をクライアントレス接続でイネーブルにします。
デフォルト
デフォルトでは、このコマンドは存在しません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
グループポリシーコンフィ
ギュレーション
コマンド履歴
リリース
8.4(1)
•
Yes
—
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
このコマンドは、サードパーティのデジタル証明書をサポートするグループポリシーごとに 1
回入力します。
例
次に、グローバルコンフィギュレーションモードで、FirstGroup という名前のグループポリシー
を作成し、グループポリシーの認証局を登録する例を示します。
ciscoasa(config)# group-policy FirstGroup internal
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# scep-forwarding-url value http://ca.example.com:80/
Attempting to retrieve the CA/RA certificate(s) using the URL.Please wait ...
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-14
第1章
same-security-traffic コマンド～ shape コマンド
scep-forwarding-url
関連コマンド
コマンド
crypto ikev2 enable
説明
scep-enrollment enable
トンネルグループに対して Simple Certificate Enrollment
Protocol をイネーブルにします。
secondary-pre-fill-username
clientless
証明書が SCEP プロキシの WebLaunch のサポートに使用でき
ない場合は、共通のセカンダリパスワードを使用します。
IPsec ピアが通信するインターフェイスで IKEv2 ネゴシエー
ションをイネーブルにします。
secondary-authentication-server- 証明書が使用できないときにはユーザ名を指定します。
group
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-15
第1章
same-security-traffic コマンド～ shape コマンド
secondary
secondary
フェールオーバーグループにおいて、セカンダリユニットに対してより高いプライオリティを
付与するには、フェールオーバーグループコンフィギュレーションモードで secondary コマン
ドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
secondary
no secondary
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
フェールオーバーグループに primary または secondary が指定されていない場合は、フェール
オーバーグループはデフォルトで primary に設定されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
フェールオーバーグループ
コンフィギュレーション
コマンド履歴
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
—
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
プライマリまたはセカンダリプライオリティをフェールオーバーグループに割り当てることに
よって、両方のユニットが同時（ユニットのポーリングタイム内）に起動したときにフェールオー
バーグループがアクティブになるユニットを指定します。あるユニットがもう一方のユニットよ
りも先にブートした場合、両方のフェールオーバーグループがそのユニットでアクティブになり
ます。もう一方のユニットがオンラインになったとき、2 番目のユニットをプライオリティの高い
ユニットとして所有するフェールオーバーグループは、そのフェールオーバーグループが
preempt コマンドで設定されているか、no failover active コマンドを使用して手動でもう一方の
ユニットに強制されない限り、2 番目のユニットではアクティブになりません。
例
次に、プライマリユニットのフェールオーバーグループ 1 をより高いプライオリティに設定し、
セカンダリユニットのフェールオーバーグループ 2 をより高いプライオリティに設定する例を
示します。どのフェールオーバーグループも preempt コマンドを使用して設定されているため、
これらのグループは、優先するユニットが使用可能になったときにそのユニット上で自動的に
アクティブになります。
ciscoasa(config)# failover group 1
ciscoasa(config-fover-group)# primary
ciscoasa(config-fover-group)# preempt 100
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-16
第1章
same-security-traffic コマンド～ shape コマンド
secondary
ciscoasa(config-fover-group)# exit
ciscoasa(config)# failover group 2
ciscoasa(config-fover-group)# secondary
ciscoasa(config-fover-group)# preempt 100
ciscoasa(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012
ciscoasa(config-fover-group)# exit
ciscoasa(config)#
関連コマンド
コマンド
failover group
説明
preempt
優先するユニットが使用可能になったときに、フェールオーバーグ
ループをそのユニット上で強制的にアクティブにします。
primary
プライマリユニットに、セカンダリユニットよりも高いプライオリ
ティを付与します。
Active/Active フェールオーバーのためのフェールオーバーグループ
を定義します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-17
第1章
same-security-traffic コマンド～ shape コマンド
secondary-authentication-server-group
secondary-authentication-server-group
二重認証がイネーブルの場合にセッションに関連付けるセカンダリ認証サーバグループを指定
するには、トンネルグループ一般属性モードで secondary-authentication-server-group コマンド
を使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使
用します。
secondary-authentication-server-group [interface_name] {none | LOCAL | groupname
[LOCAL]} [use-primary-username]}
no secondary-authentication-server-group
構文の説明
interface_name
デフォルト
デフォルト値は none です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）IPsec トンネルが終端するインターフェイスを指定しま
す。
LOCAL
（オプション）通信障害によりサーバグループにあるすべてのサーバ
が非アクティブになった場合に、ローカルユーザデータベースに対
する認証を要求します。サーバグループ名が LOCAL または NONE
の場合、ここでは LOCAL キーワードを使用しないでください。
none
（オプション）サーバグループ名を NONE と指定して、認証が不要で
あることを示します。
groupname [LOCAL]
事前に設定済みの認証サーバまたはサーバグループを指定します。
LOCAL グループを指定することもできます。
use-primary-username プライマリユーザ名をセカンダリ認証のユーザ名として使用します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
トンネルグループ一般属性
コンフィギュレーション
トランスペ
ルーテッドアレント
シングル
• Yes
—
• Yes
マルチ
コンテキストシステム
—
—
コマンド履歴
リリース
8.2(1)
使用上のガイドライン
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。
secondary-authentication-server-group コマンドは、セカンダリ AAA サーバグループを指定し
ます。SDI サーバグループはセカンダリサーバグループにできません。
変更内容
このコマンドが追加されました。
use-primary-username キーワードが設定されている場合は、ログインダイアログボックスで 1 つ
のユーザ名のみが要求されます。
ユーザ名がデジタル証明書から抽出される場合は、プライマリユーザ名だけが認証に使用され
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-18
第1章
same-security-traffic コマンド～ shape コマンド
secondary-authentication-server-group
例
次に、グローバルコンフィギュレーションモードで、remotegrp という名前のリモートアクセス
トンネルグループを作成して、接続のプライマリサーバグループとしてグループ sdi_server の
使用を指定し、セカンダリ認証サーバグループとしてグループ ldap_server を指定する例を示し
ます。
ciscoasa(config)# tunnel-group remotegrp type remote-access
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-webvpn)# authentication-server-group sdi_server
ciscoasa(config-tunnel-webvpn)# secondary-authentication-server-group ldap_server
ciscoasa(config-tunnel-webvpn)#
関連コマンド
コマンド
pre-fill-username
説明
show running-config
tunnel-group
指定されたトンネルグループコンフィギュレーションを表示し
ます。
tunnel-group
general-attributes
名前付きのトンネルグループの一般属性を指定します。
username-from-certificate
認可時のユーザ名として使用する証明書内のフィールドを指定し
ます。
ユーザ名の事前充填機能をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-19
第1章
same-security-traffic コマンド～ shape コマンド
secondary-color
secondary-color
WebVPN ログイン、ホームページ、およびファイルアクセスページのセカンダリカラーを設定
するには、webvpn コンフィギュレーションモードで secondary-color コマンドを使用します。色
をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no
形式を使用します。
secondary-color [color]
no secondary-color
構文の説明
color
（オプション）色を指定します。カンマ区切りの RGB 値、HTML の色
値、または色の名前（HTML で認識される場合）を使用できます。
•
RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値
で入力します。このカンマ区切りのエントリは、他の 2 色と組み合
わせる各色の明度レベルを示します。
•
HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表して
います。
•
名前の最大長は 32 文字です。
デフォルト
デフォルトのセカンダリカラーは HTML の #CCCCFF（薄紫色）です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
webvpn コンフィギュレー
ション
コマンド履歴
リリース
7.0(1)
•
Yes
•
Yes
—
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
使用に推奨される RGB 値の数は 216 個です。これは、数学的にあり得る数よりはるかに少ない
ものです。多くのディスプレイは 256 色しか処理できず、そのうちの 40 色は MAC と PC とでは
異なった表示になります。最適な結果を得るために、公開されている RGB テーブルをチェック
してください。RGB テーブルをオンラインで検索するには、検索エンジンで RGB と入力します。
例
次に、HTML の色値 #5F9EAO（灰青色）を設定する例を示します。
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# secondary-color #5F9EAO
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-20
第1章
same-security-traffic コマンド～ shape コマンド
secondary-color
関連コマンド
コマンド
title-color
説明
ログインページ、ホームページ、およびファイルアクセスページの
WebVPN タイトルバーの色を設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-21
第1章
same-security-traffic コマンド～ shape コマンド
secondary-pre-fill-username
secondary-pre-fill-username
クライアントレスまたは AnyConnect 接続の二重認証で使用するクライアント証明書からユー
ザ名を抽出できるようにするには、トンネルグループ webvpn 属性モードで
secondary-pre-fill-username コマンドを使用します。コンフィギュレーションから属性を削除す
るには、このコマンドの no 形式を使用します。
secondary-pre-fill-username {clientless | ssl-client} [hide]
secondary-pre-fill-username {clientless | ssl-client} hide [use-primary-password |
use-common-password [type_num] password]
no secondary-no pre-fill-username
構文の説明
clientless
この機能をクライアントレス接続でイネーブルにします。
hide
認証に使用するユーザ名を VPN ユーザに非表示にします。
password
パスワードストリングを入力します。
ssl-client
この機能を AnyConnect VPN クライアント接続でイネーブルにします。
type_num
次のいずれかのオプションを入力します。
•
入力するパスワードがプレーンテキストの場合は 0。
•
入力するパスワードが暗号化されている場合は 8。パスワードは、
入力時にアスタリスクで表示されます。
use-common-password ユーザにプロンプトを表示せずに、使用する共通の 2 次認証パスワー
ドを指定します。
use-primary-password ユーザにプロンプトを表示せずに、2 次認証に 1 次認証パスワードを
再使用します。
デフォルト
この機能は、デフォルトでディセーブルになっています。hide キーワードを指定せずにこのコマ
ンドを入力すると、抽出したユーザ名が VPN ユーザに表示されます。use-primary-password と
use-common-password のいずれのキーワードも指定しないと、ユーザにはパスワードプロンプ
トが表示されます。type_num のデフォルト値は 8 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
トンネルグループ webvpn 属 • Yes
性コンフィギュレーション
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-22
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
第1章
same-security-traffic コマンド～ shape コマンド
secondary-pre-fill-username
コマンド履歴
リリース
8.2(1)
8.3(2)
使用上のガイドライン
変更内容
このコマンドが追加されました。
[use-primary-password | use-common-password [type_num] password]
がコマンドに追加されました。
この機能をイネーブルにするには、トンネルグループ一般属性モードで
secondary-username-from-certificate コマンドを入力する必要もあります。
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。
secondary-pre-fill-username コマンドは、secondary-username-from-certificate コマンドで指定
された証明書フィールドから抽出されたユーザ名を、セカンダリユーザ名またはパスワード認
証のユーザ名として使用できるようにします。2 回目の認証で証明書からのユーザ名の事前充填
機能を使用するには、両方のコマンドを設定する必要があります。
（注）
クライアントレス接続と SSL クライアント接続は、相互排他的なオプションではありません。1 つ
のコマンドラインで指定できるのはいずれか 1 つのみですが、同時に両方をイネーブルにでき
ます。
2 番目の名を非表示にして、プライマリまたは共通のパスワードを使用する場合は、ユーザ体験
は単一認証と似ています。プライマリまたは共通のパスワードを使用すると、デバイス証明書を
使用したデバイスの認証がシームレスなユーザ体験になります。
use-primary-password キーワードは、すべての認証のセカンダリパスワードとしてプライマリ
パスワードを使用することを指定します。
use-common-password キーワードは、すべての 2 次認証に共通のセカンダリパスワードを使用
することを指定します。エンドポイントにインストールされているデバイス証明書に BIOS ID
またはその他の ID が含まれている場合は、2 次認証要求では、事前に入力された BIOS ID をセカ
ンダリユーザ名として使用して、そのトンネルグループでのすべての認証に対して設定された
共通のパスワードを使用できます。
例
次の例では、remotegrp という名前の IPsec リモートアクセストンネルグループを作成して、接
続がブラウザベースである場合に、エンドポイントのデジタル証明書の名前を、認証または認可
クエリーに使用する名前として再使用することを指定します。
ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp webvpn-attributes
ciscoasa(config-tunnel-webvpn)# secondary-pre-fill-username clientless
次の例では、前のコマンドと同じ機能を実行しますが、抽出されたユーザ名をユーザに非表示に
します。
ciscoasa(config-tunnel-webvpn)# secondary-pre-fill-username clientless hide
次の例では、AnyConnect 接続だけに適用される点を除いて、前のコマンドと同じ機能を実行し
ます。
ciscoasa(config-tunnel-webvpn)# secondary-pre-fill-username ssl-client hide
次の例では、ユーザ名を非表示にして、ユーザにプロンプトを表示せずに、2 次認証に 1 次認証パ
スワードを再使用します。
ciscoasa(config-tunnel-webvpn)# secondary-pre-fill-username ssl-client hide
use-primary-password
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-23
第1章
same-security-traffic コマンド～ shape コマンド
secondary-pre-fill-username
次の例では、ユーザ名を非表示にして、入力するパスワードを 2 次認証に使用します。
ciscoasa(config-tunnel-webvpn)# secondary-pre-fill-username ssl-client hide
use-common-password **********
関連コマンド
コマンド
pre-fill-username
説明
show running-config
tunnel-group
指定されたトンネルグループコンフィギュレーションを表示し
ます。
tunnel-group
general-attributes
名前付きのトンネルグループの一般属性を指定します。
username-from-certificate
認可時のユーザ名として使用する証明書内のフィールドを指定し
ます。
ユーザ名の事前充填機能をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-24
第1章
same-security-traffic コマンド～ shape コマンド
secondary-text-color
secondary-text-color
WebVPN ログイン、ホームページ、およびファイルアクセスページのテキストのセカンダリテ
キストカラーを設定するには、webvpn モードで secondary-text-color コマンドを使用します。色
をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no
形式を使用します。
secondary-text-color [black | white]
no secondary-text-color
構文の説明
auto
text-color コマンドの設定に基づいて、黒または白が選択されます。つ
まり、プライマリカラーが黒の場合、この値は白になります。
black
デフォルトのセカンダリテキストカラーは黒です。
white
テキストの色を白に変更できます。
デフォルト
デフォルトのセカンダリテキストカラーは黒です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
webvpn
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
次に、セカンダリテキストカラーを白に設定する例を示します。
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# secondary-text-color white
関連コマンド
コマンド
text-color
説明
ログインページ、ホームページ、およびファイルアクセスページの
WebVPN タイトルバーのテキストの色を設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-25
第1章
same-security-traffic コマンド～ shape コマンド
secondary-username-from-certificate
secondary-username-from-certificate
クライアントレス接続または AnyConnect（SSL クライアント）接続において、二重認証の 2 つ目
のユーザ名として使用する証明書のフィールドを指定するには、トンネルグループ一般属性
モードで secondary-username-from-certificate コマンドを使用します。
属性をコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式
を使用します。
secondary-username-from-certificate {primary-attr [secondary-attr] | use-entire-name |
use-script}
no secondary-username-from-certificate
構文の説明
primary-attr
証明書から認可クエリーのユーザ名を取得するために使用する属性
を指定します。pre-fill-username がイネーブルになっている場合、取得
された名前は認証クエリーでも使用できます。
secondary-attr
（オプション）デジタル証明書から認証または認可クエリーのユーザ
名を取得するためにプライマリ属性とともに使用する追加の属性を
指定します。pre-fill-username がイネーブルになっている場合、取得さ
れた名前は認証クエリーでも使用できます。
use-entire-name
ASA では、完全なサブジェクト DN（RFC1779）を使用して、デジタル
証明書から認可クエリーの名前を取得する必要があることを指定し
ます。
use-script
ASDM によって生成されたスクリプトファイルを使用して、ユーザ
名として使用する DN フィールドを証明書から抽出することを指定
します。
デフォルト
この機能はデフォルトでディセーブルであり、二重認証がイネーブルの場合にのみ有効です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
トンネルグループ一般属性
コンフィギュレーション
コマンド履歴
リリース
8.2(1)
•
マルチ
—
—
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-26
Yes
トランスペ
アレント
シングル
•
Yes
コンテキストシステム
—
第1章
same-security-traffic コマンド～ shape コマンド
secondary-username-from-certificate
使用上のガイドライン
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。
二重認証がイネーブルの場合、このコマンドでは、証明書の 1 つ以上のフィールドがユーザ名と
して使用するフィールドとして選択されます。secondary-username-from-certificate コマンド
は、セキュリティアプライアンスに、指定した証明書フィールドを 2 回目のユーザ名/パスワー
ド認証のための 2 つ目のユーザ名として使用するように強制します。
2 回目のユーザ名/パスワード認証または認可のために、証明書からのユーザ名の事前充填機能
で、取得されたユーザ名を使用するには、トンネルグループ webvpn 属性モードで
pre-fill-username コマンドおよび secondary-pre-fill-username コマンドも設定する必要があり
ます。つまり、2 回目のユーザ名の事前充填機能を使用するには、両方のコマンドを設定する必要
があります。
プライマリ属性およびセカンダリ属性の有効値は、次のとおりです。
（注）
属性
C
定義
CN
Common Name（一般名）：人、システム、その他のエンティティの名前。
セカンダリ属性としては使用できません。
DNQ
ドメイン名修飾子。
EA
E-mail Address（電子メールアドレス）。
GENQ
Generational Qualifier（世代修飾子）。
GN
Given Name（名）。
I
Initials（イニシャル）。
L
Locality（地名）：組織が置かれている市または町。
N
Name（名前）
O
Organization（組織）：会社、団体、機関、連合、その他のエンティティの
名前。
OU
Organizational Unit（組織ユニット）：組織（O）内のサブグループ。
SER
Serial Number（シリアル番号）。
SN
Surname（姓）。
SP
State/Province（州または都道府県）：組織が置かれている州または都道
府県。
T
Title（タイトル）。
UID
User Identifier（ユーザ ID）。
UPN
User Principal Name（ユーザプリンシパル名）。
use-entire-name
DN 名全体を使用します。セカンダリ属性としては使用できません。
use-script
ASDM によって生成されたスクリプトファイルを使用します。
Country（国名）：2 文字の国名略語。国名コードは、ISO 3166 国名略語に
準拠しています。
secondary-authentication-server-group コマンドを secondary-username-from-certificate コマン
ドとともに指定した場合は、プライマリユーザ名のみが認証に使用されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-27
第1章
same-security-traffic コマンド～ shape コマンド
secondary-username-from-certificate
例
次に、グローバルコンフィギュレーションモードで、remotegrp という名前のリモートアクセス
トンネルグループを作成し、プライマリ属性として CN（一般名）、セカンダリ属性として OU を
使用して、デジタル証明書から認可クエリーの名前を取得するように指定する例を示します。
ciscoasa(config)# tunnel-group remotegrp type remote-access
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-general)# username-from-certificate CN
ciscoasa(config-tunnel-general)# secondary-username-from-certificate OU
ciscoasa(config-tunnel-general)#
次に、トンネルグループ属性を変更してユーザ名の事前充填を設定する例を示します。
username-from-certificate {use-entire-name | use-script | <primary-attr>} [secondary-attr]
secondary-username-from-certificate {use-entire-name | use-script | <primary-attr>}
[secondary-attr] ; used only for double-authentication
関連コマンド
コマンド
pre-fill-username
説明
secondary-pre-fill-username
クライアントレス接続または AnyConnect クライアント接続
において、ユーザ名抽出をイネーブルにします。
username-from-certificate
認可時のユーザ名として使用する証明書内のフィールドを
指定します。
show running-config
tunnel-group
指定されたトンネルグループコンフィギュレーションを表
示します。
secondary-authentication-servergroup
セカンダリ AAA サーバグループを指定します。ユーザ名が
デジタル証明書から抽出される場合は、プライマリユーザ
名だけが認証に使用されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-28
ユーザ名の事前充填機能をイネーブルにします。
第1章
same-security-traffic コマンド～ shape コマンド
secure-unit-authentication
secure-unit-authentication
セキュアユニット認証をイネーブルにするには、グループポリシーコンフィギュレーション
モードで secure-unit-authentication enable コマンドを使用します。セキュアユニット認証を
ディセーブルにするには、secure-unit-authentication disable コマンドを使用します。実行コン
フィギュレーションからセキュアユニット認証属性を削除するには、このコマンドの no 形式を
使用します。
secure-unit-authentication {enable | disable}
no secure-unit-authentication
構文の説明
disable
セキュアユニット認証をディセーブルにします。
enable
セキュアユニット認証をイネーブルにします。
デフォルト
セキュアユニット認証はディセーブルです。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グループポリシーコンフィ
ギュレーション
コマンド履歴
リリース
7.0(1)
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
セキュアユニット認証では、ハードウェアクライアントが使用するトンネルグループに認証
サーバグループが設定されている必要があります。
プライマリ ASA でセキュアユニット認証が必要な場合は、必ず、どのバックアップサーバに対
しても同様にセキュアユニット認証を設定してください。
no オプションを指定すると、他のグループポリシーからセキュアユニット認証の値を継承でき
ます。
セキュアユニット認証では、VPN ハードウェアクライアントがトンネルを開始するたびにクラ
イアントに対してユーザ名/パスワード認証を要求することによって、セキュリティが強化され
ます。この機能をイネーブルにすると、ハードウェアクライアントではユーザ名とパスワードが
保存されません。
（注）
この機能をイネーブルにした場合に VPN トンネルを確立するには、ユーザがユーザ名とパス
ワードを入力する必要があります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-29
第1章
same-security-traffic コマンド～ shape コマンド
secure-unit-authentication
例
次に、FirstGroup という名前のグループポリシーに対して、セキュアユニット認証をイネーブル
にする例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# secure-unit-authentication enable
関連コマンド
コマンド
ip-phone-bypass
説明
leap-bypass
イネーブルの場合、VPN ハードウェアクライアントの背後に
ある無線デバイスからの LEAP パケットがユーザ認証の前に
VPN トンネルを通過できます。これにより、シスコワイヤレ
スアクセスポイントデバイスを使用するワークステーショ
ンで LEAP 認証を確立できるようになります。その後、ユーザ
認証ごとに再度認証を行います。
user-authentication
ハードウェアクライアントの背後にいるユーザに対して、接
続前に ASA に識別情報を示すように要求します。
ユーザ認証を行わずに IP 電話に接続できるようにします。セ
キュアユニット認証は有効なままです。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-30
第1章
same-security-traffic コマンド～ shape コマンド
security-group
security-group
Cisco TrustSec で使用できるようにセキュリティグループをセキュリティオブジェクトグルー
プに追加するには、オブジェクトグループセキュリティコンフィギュレーションモードで
security-group コマンドを使用します。セキュリティグループを削除するには、このコマンドの
no 形式を使用します。
security-group {tag sgt# | name sg_name}
no security-group {tag sgt# | name sg_name}
構文の説明
tag sgt#
セキュリティグループオブジェクトをインラインタグとして指定し
ます。セキュリティタイプがタグの場合は、1 ～ 65533 の数字を入力し
ます。
SGT は、ISE による IEEE 802.1X 認証、Web 認証、または MAC 認証バイ
パス（MAB）を通してデバイスに割り当てられます。セキュリティグ
ループの名前は ISE 上で作成され、セキュリティグループをわかりや
すい名前で識別できるようになります。セキュリティグループテーブ
ルによって、SGT がセキュリティグループ名にマッピングされます。
name sg_name
セキュリティグループオブジェクトを名前付きオブジェクトとして
指定します。セキュリティタイプが名前の場合は、32 バイトの文字列
を、大文字と小文字を区別して入力します。sg_name には、[a-z]、[A-Z]、
[0-9]、[!@#$%^&()-_{}.] など、あらゆる文字を使用できます。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
オブジェクトグループセ
キュリティコンフィギュ
レーション
コマンド履歴
リリース
9.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-31
第1章
same-security-traffic コマンド～ shape コマンド
security-group
使用上のガイドライン
作成したセキュリティグループオブジェクトグループは、Cisco TrustSec をサポートする機能
で使用できます。そのグループを拡張 ACL に入れると、たとえばアクセスルールで使用できる
ようになります。
Cisco TrustSec と統合されているときは、ASA は ISE からセキュリティグループの情報をダウン
ロードします。ISE はアイデンティティリポジトリとしても動作し、Cisco TrustSec タグからユー
ザアイデンティティへのマッピングと、Cisco TrustSec タグからサーバリソースへのマッピング
を行います。セキュリティグループアクセスリストのプロビジョニングおよび管理は、中央集
中型で ISE 上で行います。
ただし、ASA には、グローバルには定義されていない、ローカライズされたネットワークリソー
スが存在することがあり、そのようなリソースにはローカルセキュリティグループとローカラ
イズされたセキュリティポリシーが必要です。ローカルセキュリティグループには、ISE からダ
ウンロードされた、ネストされたセキュリティグループを含めることができます。ASA は、ロー
カルと中央のセキュリティグループを統合します。
ASA 上でローカルセキュリティグループを作成するには、ローカルセキュリティオブジェク
トグループを作成します。1 つのローカルセキュリティオブジェクトグループに、1 つ以上のネ
ストされたセキュリティオブジェクトグループまたはセキュリティ ID またはセキュリティグ
ループ名を入れることができます。ユーザは、ASA 上に存在しない新しいセキュリティ ID また
はセキュリティグループ名を作成することもできます。
ASA 上で作成したセキュリティオブジェクトグループは、ネットワークリソースへのアクセス
の制御に使用できます。セキュリティオブジェクトグループを、アクセスグループやサービス
ポリシーの一部として使用できます。
例
次に、セキュリティグループオブジェクトを設定する例を示します。
ciscoasa(config)# object-group security mktg-sg
ciscoasa(config)# security-group name mktg
ciscoasa(config)# security-group tag 1
次に、セキュリティグループオブジェクトを設定する例を示します。
ciscoasa(config)# object-group security mktg-sg-all
ciscoasa(config)# security-group name mktg-managers
ciscoasa(config)# group-object mktg-sg // nested object-group
関連コマンド
コマンド
object-group security
説明
セキュリティグループオブジェクトを作成します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-32
第1章
same-security-traffic コマンド～ shape コマンド
security-group-tag value
security-group-tag value
VPN セッションに対してローカルユーザデータベースおよびグループポリシー内のセキュリ
ティグループタギング属性を設定するには、グループポリシーコンフィギュレーションモード
で security-group-tag value コマンドを使用します。セキュリティグループタギング属性を削除
するには、このコマンドの no 形式を使用します。
security-group-tag value sgt
no security-group-tag value sgt
構文の説明
sgt
コマンドデフォルト
このコマンドのデフォルト形式は、security-group-tag none です。これは、この属性セットにセ
キュリティグループタグが存在しないことを意味します。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
セキュリティグループタグ番号を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グループポリシーコンフィ
ギュレーション
コマンド履歴
使用上のガイドライン
リリース
9.3(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
—
変更内容
このコマンドが追加されました。
ASA バージョン 9.3(1) は、VPN セッションのセキュリティグループタギングを完全にサポート
しています。セキュリティグループタグ（SGT）は、外部 AAA サーバを使用して、またはローカ
ルユーザデータベースのコンフィギュレーションによって、VPN セッションに割り当てること
ができます。このタグは、レイヤ 2 イーサネット経由で Cisco TrustSec システムに伝播できるよ
うになります。セキュリティグループタグは、グループポリシーで、また AAA サーバが SGT を
提供できない場合のローカルユーザにとって有用です。
AAA サーバからの属性に VPN ユーザに割り当てる SGT が存在しない場合、ASA はデフォルト
グループポリシー内の SGT を使用します。グループポリシー内に SGT が存在しない場合は、タ
グ 0x0 が割り当てられます。
サーバに接続しているリモートユーザが行う一般的な手順
1.
ユーザが ASA に接続します。
2.
ASA が ISE に AAA 情報を要求します（この中に SGT が含まれている可能性があります）。
ASA は、トンネルされたユーザのトラフィックの IP アドレスも割り当てます。
3.
ASA は、AAA 情報を使用してトンネルを認証および作成します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-33
第1章
same-security-traffic コマンド～ shape コマンド
security-group-tag value
4.
ASA は、AAA 情報からの SGT および割り当てられた IP アドレスを使用して、レイヤ 2 ヘッ
ダーに SGT を追加します。
5.
SGT を含むパケットが Cisco TrustSec ネットワーク内の次のピアデバイスに渡されます。
次に、名前付きグループポリシーまたはローカルユーザ名属性セットに SGT 属性を設定する例
を示します。
例
ciscoasa(config-group-policy)# security-group-tag value 101
関連コマンド
コマンド
show asp table cts
sgt-map
説明
show cts sgt-map
制御パスの IP アドレスセキュリティグループテーブルマネージャ
エントリを表示します。
データパスに保持されている IP アドレスセキュリティグループの
テーブルマップデータベースから IP アドレスセキュリティグルー
プのテーブルマップエントリを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-34
第1章
same-security-traffic コマンド～ shape コマンド
security-level
security-level
インターフェイスのセキュリティレベルを設定するには、インターフェイスコンフィギュレー
ションモードで security-level コマンドを使用します。セキュリティレベルをデフォルトに設定
するには、このコマンドの no 形式を使用します。セキュリティレベルを指定すると、高いセキュ
リティレベルのネットワークと低いセキュリティレベルのネットワークとの間の通信に追加
の保護が設定され、高いセキュリティレベルのネットワークが低いセキュリティレベルのネッ
トワークから保護されます。
security-level number
no security-level
構文の説明
number
デフォルト
デフォルトのセキュリティレベルは 0 です。
0（最低）～ 100（最高）の整数。
インターフェイスに「inside」という名前を指定して、明示的にセキュリティレベルを設定しない
と、ASA によってセキュリティレベルが 100 に設定されます（nameif コマンドを参照）。このレ
ベルは必要に応じて変更できます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
インターフェイスコンフィ
ギュレーション
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが、nameif コマンドのキーワードからインターフェイス
コンフィギュレーションモードのコマンドに変更されました。
レベルによって、次の動作が制御されます。
•
ネットワークアクセス：デフォルトで、高いセキュリティレベルのインターフェイスから低
いセキュリティレベルのインターフェイスへの通信（発信）は暗黙的に許可されます。高い
セキュリティレベルのインターフェイス上のホストは、低いセキュリティレベルのイン
ターフェイス上のすべてのホストにアクセスできます。インターフェイスにアクセスリス
トを適用することによって、アクセスを制限できます。
同じセキュリティレベルのインターフェイス間では、同じセキュリティレベル以下の他の
インターフェイスへのアクセスが暗黙的に許可されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-35
第1章
same-security-traffic コマンド～ shape コマンド
security-level
•
インスペクションエンジン：一部のインスペクションエンジンは、セキュリティレベルに依
存します。同じセキュリティレベルのインターフェイス間では、インスペクションエンジン
は発信と着信のいずれのトラフィックに対しても適用されます。
– NetBIOS インスペクションエンジン：発信接続に対してのみ適用されます。
– OraServ インスペクションエンジン：ホストのペア間に OraServ ポートへの制御接続が
存在する場合は、ASA 経由での着信データ接続のみが許可されます。
•
フィルタリング：HTTP（S）および FTP フィルタリングは、（高いレベルから低いレベルへの）
発信接続にのみ適用されます。
同じセキュリティレベルのインターフェイス間では、発信と着信のいずれのトラフィック
もフィルタリングできます。
•
NAT コントロール：NAT コントロールをイネーブルにする場合、高いセキュリティレベル
のインターフェイス（inside）上のホストから低いセキュリティレベルのインターフェイス
（outside）上のホストにアクセスするときは、内部インターフェイスのホストに NAT を設定
する必要があります。
NAT コントロールをイネーブルにしない場合、または同じセキュリティレベルのインター
フェイス間においては、すべてのインターフェイス間で NAT を使用することも、使用しない
こともできます。外部インターフェイスに NAT を設定する場合は、特別なキーワードが必要
になることがあります。
•
established コマンド：このコマンドを使用すると、高いレベルのホストから低いレベルのホ
ストへの接続がすでに確立されている場合、低いセキュリティレベルのホストから高いセ
キュリティレベルのホストへの戻り接続が許可されます。
同じセキュリティレベルのインターフェイス間では、発信と着信の両方の接続に対して
established コマンドを設定できます。
通常、同じセキュリティレベルのインターフェイス間では通信できません。同じセキュリティ
レベルのインターフェイス間で通信する場合は、same-security-traffic コマンドを参照してくだ
さい。101 を超える通信インターフェイスを作成する必要がある場合や、2 つのインターフェイ
ス間のトラフィックに同じ保護機能を適用する必要がある場合（同程度のセキュリティが必要
な 2 つの部門がある場合など）に、2 つのインターフェイスに同じレベルを割り当てて、それらの
インターフェイス間での通信を許可できます。
インターフェイスのセキュリティレベルを変更する場合、既存の接続がタイムアウトするのを
待たずに新しいセキュリティ情報を使用するときは、clear local-host コマンドを使用して接続を
クリアできます。
例
次に、2 つのインターフェイスのセキュリティレベルを 100 と 0 に設定する例を示します。
ciscoasa(config)# interface gigabitethernet0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface gigabitethernet0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-36
第1章
same-security-traffic コマンド～ shape コマンド
security-level
関連コマンド
コマンド
clear local-host
説明
interface
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
nameif
インターフェイス名を設定します。
vlan
サブインターフェイスに VLAN ID を割り当てます。
すべての接続をリセットします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-37
第1章
same-security-traffic コマンド～ shape コマンド
send response
send response
RADIUS の Accounting-Response Start および Accounting-Response Stop メッセージを RADIUS の
Accounting-Request Start および Stop メッセージの送信元に送信するには、RADIUS アカウン
ティングパラメータコンフィギュレーションモードで send response コマンドを使用します。
このモードには、inspect radius-accounting コマンドを使用してアクセスします。
このオプションは、デフォルトでディセーブルになっています。
send response
no send response
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
RADIUS アカウンティング
パラメータコンフィギュ
レーション
コマンド履歴
例
リリース
7.2(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、RADIUS アカウンティングで応答を送信する例を示します。
hostname(config)# policy-map type inspect radius-accounting ra
ciscoasa(config-pmap)# send response
ciscoasa(config-pmap-p)# send response
関連コマンド
コマンド
inspect
radius-accounting
説明
parameters
インスペクションポリシーマップのパラメータを設定します。
RADIUS アカウンティングのインスペクションを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-38
第1章
same-security-traffic コマンド～ shape コマンド
seq-past-window
seq-past-window
パストウィンドウシーケンス番号（TCP 受信ウィンドウの適切な境界を越える受信 TCP パケッ
トのシーケンス番号）を持つパケットに対するアクションを設定するには、tcp マップコンフィ
ギュレーションモードで seq-past-window コマンドを使用します。値をデフォルトに戻すには、
このコマンドの no 形式を使用します。このコマンドは、set connection advanced-options コマン
ドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
seq-past-window {allow | drop}
no seq-past-window
構文の説明
allow
パストウィンドウシーケンス番号を持つパケットを許可します。この
アクションは、queue-limit コマンドが 0（ディセーブル）に設定されて
いる場合に限り許可されます。
drop
パストウィンドウシーケンス番号を持つパケットをドロップします。
デフォルト
デフォルトのアクションでは、パストウィンドウシーケンス番号を持つパケットはドロップさ
れます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
TCP マップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
7.2(4)/8.0(4)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
TCP 正規化をイネーブルにするには、モジュラポリシーフレームワークを次のように使用し
ます。
1.
tcp-map：TCP 正規化アクションを指定します。
a. seq-past-window：tcp マップコンフィギュレーションモードでは、seq-past-window コマ
ンドおよびその他数多くのコマンドを入力できます。
2.
class-map：TCP 正規化を実行するトラフィックを指定します。
3.
policy-map：各クラスマップに関連付けるアクションを指定します。
a. class：アクションを実行するクラスマップを指定します。
b. set connection advanced-options：作成した TCP マップを指定します。
4.
service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当て
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-39
第1章
same-security-traffic コマンド～ shape コマンド
seq-past-window
次に、パストウィンドウシーケンス番号を持つパケットを許可するように ASA を設定する例を
示します。
例
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# seq-past-window allow
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match any
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
ciscoasa(config)#
関連コマンド
コマンド
class-map
説明
policy-map
サービスポリシー内でトラフィックに適用するアクションを指定し
ます。
queue-limit
順序が不正なパケットの制限を設定します。
set connection
advanced-options
TCP 正規化をイネーブルにします。
service-policy
サービスポリシーをインターフェイスに適用します。
show running-config
tcp-map
TCP マップコンフィギュレーションを表示します。
tcp-map
TCP マップを作成して、TCP マップコンフィギュレーションモード
にアクセスできるようにします。
サービスポリシーに対してトラフィックを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-40
第1章
same-security-traffic コマンド～ shape コマンド
serial-number
serial-number
登録時に、ASA のシリアル番号を証明書に含めるには、クリプト CA トラストポイントコンフィ
ギュレーションモードで serial-number コマンドを使用します。デフォルト設定に戻すには、こ
のコマンドの no 形式を使用します。
serial-number
no serial-number
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルト設定では、シリアル番号は含まれません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
クリプト CA トラストポイン
トコンフィギュレーション
コマンド履歴
例
リリース
7.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、トラストポイント central のクリプト CA トラストポイントコンフィギュレーションモード
を開始して、トラストポイント central の登録要求に ASA のシリアル番号を含める例を示します。
ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# serial-number
関連コマンド
コマンド
crypto ca trustpoint
説明
トラストポイントコンフィギュレーションモードを開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-41
第1章
same-security-traffic コマンド～ shape コマンド
server (pop3s, imap4s, smtps)
server (pop3s, imap4s, smtps)
デフォルトの電子メールプロキシサーバを指定するには、該当する電子メールプロキシコン
フィギュレーションモードで server コマンドを使用します。コンフィギュレーションから属性
を削除するには、このコマンドの no バージョンを使用します。ASA は、ユーザがサーバを指定せ
ずに電子メールプロキシに接続した場合、デフォルトの電子メールサーバに要求を送信しま
す。デフォルトのサーバを設定せず、ユーザもサーバを指定しない場合、ASA ではエラーが返さ
れます。
server {ipaddr or hostname}
no server
構文の説明
hostname
デフォルトの電子メールプロキシサーバの DNS 名。
ipaddr
デフォルトの電子メールプロキシサーバの IP アドレス。
デフォルト
デフォルトでは、デフォルトの電子メールプロキシサーバはありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
例
コンテキストシステム
•
Yes
—
—
•
Yes
Imap4s コンフィギュレーション • Yes
•
Yes
—
—
•
Yes
Yes
•
Yes
—
—
•
Yes
リリース
7.0(1)
•
変更内容
このコマンドが追加されました。
次に、10.1.1.7 という IP アドレスを持つ POP3S 電子メールサーバを設定する例を示します。
ciscoasa(config)# pop3s
ciscoasa(config-pop3s)# server 10.1.1.7
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-42
マルチ
Pop3s コンフィギュレーション • Yes
smtps コンフィギュレーション
コマンド履歴
トランスペ
アレント
シングル
第1章
same-security-traffic コマンド～ shape コマンド
server （ssh pubkey-chain）
server （ssh pubkey-chain）
オンボードのセキュアコピー（SCP）クライアントの SSH サーバおよびそのキーを ASA データ
ベースに対して手動で追加または削除するには、ssh pubkey-chain コンフィギュレーションモー
ドで server コマンドを使用します。サーバおよびそのホストキーを削除するには、このコマンド
の no 形式を使用します。
server ip_address
no server ip_address
構文の説明
ip_address
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
SSH サーバの IP アドレスを指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ssh pubkey-chain コンフィ
ギュレーション
コマンド履歴
使用上のガイドライン
リリース
9.1(5)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
オンボード SCP クライアントを使用して、ASA との間でファイルをコピーできます。ASA には、
接続先の各 SCP サーバの SSH ホストキーが保存されます。必要に応じて ASA データベースで
サーバおよびそのキーを手動で追加したり、削除したりできます。
サーバごとに、SSH ホストの key-string（公開キー）または key-hash（ハッシュ値）を指定できます。
例
次に、10.86.94.170 のサーバに対してすでにハッシュされたホストキーを追加する例を示します。
ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.86.94.170
ciscoasa(config-ssh-pubkey-server)# key-hash sha256
65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:
2e:19
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-43
第1章
same-security-traffic コマンド～ shape コマンド
server （ssh pubkey-chain）
次に、10.7.8.9 のサーバに対してホストストリングキーを追加する例を示します。
ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit
関連コマンド
コマンド
copy
説明
key-hash
ハッシュ SSH ホストキーを入力します。
key-string
公開 SSH ホストキーを入力します。
ssh pubkey-chain
ASA データベースでサーバおよびそのキーを手動で追加したり、削除
したりします。
ASA との間でファイルをコピーします。
ssh stricthostkeycheck オンボードのセキュアコピー（SCP）クライアントに対する SSH ホス
トキーチェックをイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-44
第1章
same-security-traffic コマンド～ shape コマンド
server authenticate-client
server authenticate-client
TLS ハンドシェイク時における ASA での TLS クライアントの認証をイネーブルにするには、TLS
プロキシコンフィギュレーションモードで server authenticate-client コマンドを使用します。
クライアント認証をバイパスするには、このコマンドの no 形式を使用します。
server authenticate-client
no server authenticate-client
構文の説明
このコマンドには、引数またはキーワードがあります。
デフォルト
このコマンドは、デフォルトでイネーブルです。つまり、ASA とのハンドシェイク時に、TLS クラ
イアントは、証明書の提示を要求されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
TLS プロキシコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
8.0(4)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
TLS プロキシハンドシェイク時にクライアント認証が必要であるかどうかを制御するには、
server authenticate-client コマンドを使用します。イネーブルの場合（デフォルト）、セキュリティ
アプライアンスは TLS クライアントに証明書要求 TLS ハンドシェイクメッセージを送信し、
TLS クライアントは証明書の提示を要求されます。
クライアント認証をディセーブルにするには、このコマンドの no 形式を使用します。TLS クラ
イアント認証のディセーブルは、ASA が CUMA クライアントや、Web ブラウザなどのクライア
ント証明書を送信できないクライアントと相互運用する必要がある場合に適しています。
例
次に、クライアント認証をディセーブルにした TLS プロキシインスタンスを設定する例を示し
ます。
ciscoasa(config)# tls-proxy mmp_tls
ciscoasa(config-tlsp)# no server authenticate-client
ciscoasa(config-tlsp)# server trust-point cuma_server_proxy
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-45
第1章
same-security-traffic コマンド～ shape コマンド
server authenticate-client
関連コマンド
コマンド
tls-proxy
説明
TLS プロキシインスタンスを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-46
第1章
same-security-traffic コマンド～ shape コマンド
server backup
server backup
バックアップクラウド Web セキュリティプロキシサーバを設定するには、scansafe 汎用オプ
ションコンフィギュレーションモードで server backup コマンドを使用します。サーバを削除
するには、このコマンドの no 形式を使用します。
server backup {ip ip_address | fqdn fqdn} [port port]
no server backup [ip ip_address | fqdn fqdn] [port port]
構文の説明
ip ip_address
サーバの IP アドレスを指定します。
fqdn fqdn
サーバの完全修飾ドメイン名（FQDN）を指定します。
port port
（オプション）デフォルトでは、クラウド Web セキュリティプロキシ
サーバは HTTP と HTTPS の両方のトラフィックにポート 8080 を使用し
ます。指示されている場合以外は、この値を変更しないでください。
コマンドデフォルト
デフォルトのポートは 8080 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
scansafe 汎用オプションコン • Yes
フィギュレーション
コマンド履歴
使用上のガイドライン
リリース
9.0(1)
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
Cisco Cloud Web Security サービスに登録すると、プライマリクラウド Web セキュリティプロキ
シサーバとバックアッププロキシサーバが割り当てられます。プライマリサーバを設定するに
は、server primary コマンドを参照してください。これらのサーバは、アベイラビリティをチェッ
クするために定期的にポーリングされます。ASA がクラウド Web セキュリティプロキシサー
バに到達することができない場合（SYN/ACK パケットがプロキシサーバから到着しない場合な
ど）、プロキシサーバは TCP スリーウェイハンドシェイクを介してポーリングされて、アベイラ
ビリティがチェックされます。設定した試行回数（デフォルトは 5）後に、プロキシサーバが使用
不可の場合、サーバは到達不能として宣言され、バックアッププロキシサーバがアクティブに
なります。
継続ポーリングによってプライマリサーバが連続する 2 回の再試行回数の期間にアクティブで
あることが示されると、ASA はバックアップサーバからプライマリクラウド Web セキュリ
ティプロキシサーバに自動的にフォールバックします。このポーリング間隔を変更するには、
retry-count コマンドを使用します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-47
第1章
same-security-traffic コマンド～ shape コマンド
server backup
プロキシサーバが到達可能で
ないトラフィック状態
サーバタイムアウトの計算
例
接続タイムアウトの結果
トラフィックが多い
クライアントのハーフオープ（30 + 30）= 60 秒
ンの接続のタイムアウト +
ASA TCP 接続タイムアウト
単一接続の失敗
クライアントのハーフオープ（30 +（（5-1）x（30）））= 150 秒
ンの接続のタイムアウト +（（再
試行しきい値 - 1）x（ASA TCP
接続タイムアウト））
アイドル：接続は送信されて
いません
15 分 +（（再試行しきい値）x
900 +（5 x（30））= 1050 秒
（ASA TCP 接続タイムアウト））
次に、プライマリサーバとバックアップサーバを設定する例を示します。
scansafe general-options
server primary ip 10.24.0.62 port 8080
server backup ip 10.10.0.7 port 8080
retry-count 7
license 366C1D3F5CE67D33D3E9ACEC265261E5
関連コマンド
コマンド
説明
class-map type inspect ホワイトリストに記載されたユーザとグループのインスペクション
scansafe
クラスマップを作成します。
default user group
ASA にアクセスするユーザの ID を ASA が特定できない場合、デフォ
ルトのユーザ名またはグループ、あるいはその両方を指定します。
http[s] (parameters)
インスペクションポリシーマップのサービスタイプとして HTTP ま
たは HTTPS を指定します。
inspect scansafe
クラスのトラフィックに対するクラウド Web セキュリティインスペ
クションをイネーブルにします。
license
要求の送信元の組織を示すため、ASA がクラウド Web セキュリティ
プロキシサーバに送信する認証キーを設定します。
match user group
ホワイトリストのユーザまたはグループを照合します。
policy-map type
inspect scansafe
インスペクションポリシーマップを作成すると、ルールのために必要
なパラメータを設定し、任意でホワイトリストを識別できます。
retry-count
再試行回数値を入力します。この値は、アベイラビリティをチェックす
るために、クラウド Web セキュリティプロキシサーバをポーリング
する前に ASA が待機する時間です。
scansafe
マルチコンテキストモードでは、コンテキストごとにクラウド Web
セキュリティを許可します。
scansafe
general-options
汎用クラウド Web セキュリティサーバオプションを設定します。
show conn scansafe
大文字の Z フラグに示されたようにすべてのクラウド Web セキュリ
ティ接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-48
第1章
same-security-traffic コマンド～ shape コマンド
server backup
コマンド
show scansafe server
説明
サーバが現在のアクティブサーバ、バックアップサーバ、または到達
不能のいずれであるか、サーバのステータスを表示します。
show scansafe statistics 合計と現在の HTTP 接続を表示します。
user-identity monitor AD エージェントから指定したユーザまたはグループ情報をダウン
ロードします。
whitelist
トラフィックのクラスでホワイトリストアクションを実行します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-49
第1章
same-security-traffic コマンド～ shape コマンド
server primary
server primary
プライマリクラウド Web セキュリティプロキシサーバを設定するには、scansafe 汎用オプショ
ンコンフィギュレーションモードで server primary コマンドを使用します。サーバを削除する
には、このコマンドの no 形式を使用します。
server primary {ip ip_address | fqdn fqdn} [port port]
no server primary [ip ip_address | fqdn fqdn] [port port]
構文の説明
ip ip_address
サーバの IP アドレスを指定します。
fqdn fqdn
サーバの完全修飾ドメイン名（FQDN）を指定します。
port port
（オプション）デフォルトでは、クラウド Web セキュリティプロキシ
サーバは HTTP と HTTPS の両方のトラフィックにポート 8080 を使用し
ます。指示されている場合以外は、この値を変更しないでください。
コマンドデフォルト
デフォルトのポートは 8080 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
scansafe 汎用オプションコン • Yes
フィギュレーション
コマンド履歴
使用上のガイドライン
リリース
9.0(1)
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
Cisco Cloud Web Security サービスに登録すると、プライマリクラウド Web セキュリティプロキ
シサーバとバックアッププロキシサーバが割り当てられます。バックアップサーバを設定する
には、server backup コマンドを参照してください。これらのサーバは、アベイラビリティを
チェックするために定期的にポーリングされます。ASA がクラウド Web セキュリティプロキシ
サーバに到達することができない場合（SYN/ACK パケットがプロキシサーバから到着しない場
合など）、プロキシサーバは TCP スリーウェイハンドシェイクを介してポーリングされて、アベ
イラビリティがチェックされます。設定した試行回数（デフォルトは 5）後に、プロキシサーバが
使用不可の場合、サーバは到達不能として宣言され、バックアッププロキシサーバがアクティ
ブになります。
継続ポーリングによってプライマリサーバが連続する 2 回の再試行回数の期間にアクティブで
あることが示されると、ASA はバックアップサーバからプライマリクラウド Web セキュリ
ティプロキシサーバに自動的にフォールバックします。このポーリング間隔を変更するには、
retry-count コマンドを使用します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-50
第1章
same-security-traffic コマンド～ shape コマンド
server primary
プロキシサーバが到達可能で
ないトラフィック状態
サーバタイムアウトの計算
例
接続タイムアウトの結果
トラフィックが多い
クライアントのハーフオープ（30 + 30）= 60 秒
ンの接続のタイムアウト +
ASA TCP 接続タイムアウト
単一接続の失敗
クライアントのハーフオープ（30 +（（5-1）x（30）））= 150 秒
ンの接続のタイムアウト +（（再
試行しきい値 - 1）x（ASA TCP
接続タイムアウト））
アイドル：接続は送信されて
いません
15 分 +（（再試行しきい値）x
900 +（5 x（30））= 1050 秒
（ASA TCP 接続タイムアウト））
次に、プライマリサーバとバックアップサーバを設定する例を示します。
scansafe general-options
server primary ip 10.24.0.62 port 8080
server backup ip 10.10.0.7 port 8080
retry-count 7
license 366C1D3F5CE67D33D3E9ACEC265261E5
関連コマンド
コマンド
説明
class-map type inspect ホワイトリストに記載されたユーザとグループのインスペクション
scansafe
クラスマップを作成します。
default user group
ASA にアクセスするユーザの ID を ASA が特定できない場合、デフォ
ルトのユーザ名またはグループ、あるいはその両方を指定します。
http[s] (parameters)
インスペクションポリシーマップのサービスタイプとして HTTP ま
たは HTTPS を指定します。
inspect scansafe
クラスのトラフィックに対するクラウド Web セキュリティインスペ
クションをイネーブルにします。
license
要求の送信元の組織を示すため、ASA がクラウド Web セキュリティ
プロキシサーバに送信する認証キーを設定します。
match user group
ホワイトリストのユーザまたはグループを照合します。
policy-map type
inspect scansafe
インスペクションポリシーマップを作成すると、ルールのために必要
なパラメータを設定し、任意でホワイトリストを識別できます。
retry-count
再試行回数値を入力します。この値は、アベイラビリティをチェックす
るために、クラウド Web セキュリティプロキシサーバをポーリング
する前に ASA が待機する時間です。
scansafe
マルチコンテキストモードでは、コンテキストごとにクラウド Web
セキュリティを許可します。
scansafe
general-options
汎用クラウド Web セキュリティサーバオプションを設定します。
server {primary |
backup}
プライマリまたはバックアップクラウド Web セキュリティプロキシ
サーバの完全修飾ドメイン名または IP アドレスを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-51
第1章
same-security-traffic コマンド～ shape コマンド
server primary
コマンド
show conn scansafe
説明
show scansafe server
サーバが現在のアクティブサーバ、バックアップサーバ、または到達
不能のいずれであるか、サーバのステータスを表示します。
大文字の Z フラグに示されたようにすべてのクラウド Web セキュリ
ティ接続を表示します。
show scansafe statistics 合計と現在の HTTP（S）接続を表示します。
user-identity monitor AD エージェントから指定したユーザまたはグループ情報をダウン
ロードします。
whitelist
トラフィックのクラスでホワイトリストアクションを実行します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-52
第1章
same-security-traffic コマンド～ shape コマンド
server trust-point
server trust-point
TLS ハンドシェイク時に提示するプロキシトラストポイント証明書を指定するには、TLS サー
バコンフィギュレーションモードで server trust-point コマンドを使用します。
server trust-point proxy_trustpoint
構文の説明
proxy_trustpoint
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
crypto ca trustpoint コマンドによって定義されるトラストポイントを指
定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
TLS プロキシコンフィギュ
レーション
コマンド履歴
リリース
8.0(4)
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
トラストポイントでは、自己署名証明書、認証局に登録されている証明書、またはインポートさ
れたクレデンシャルの証明書を使用できます。server trust-point コマンドは、グローバル ssl
trust-point コマンドよりも優先されます。
server trust-point コマンドは、TLS ハンドシェイク時に提示するプロキシトラストポイント証
明書を指定します。証明書は、ASA が所有している必要があります（ID 証明書）。証明書には、自
己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明
書を使用できます。
接続を開始できる各エンティティに対して TLS プロキシインスタンスを作成します。TLS 接続
を開始するエンティティは、TLS クライアントのロールを担います。TLS プロキシにはクライア
ントプロキシとサーバプロキシが厳密に定義されているため、いずれのエンティティからも接
続が開始される可能性がある場合には、2 つの TLS プロキシインスタンスを定義する必要があ
ります。
（注）
電話プロキシとともに使用する TLS プロキシインスタンスを作成する場合、サーバのトラスト
ポイントは、CTL ファイルインスタンスによって作成される内部電話プロキシトラストポイン
トです。トラストポイント名は、internal_PP_<ctl-file_instance_name> の形式となります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-53
第1章
same-security-traffic コマンド～ shape コマンド
server trust-point
例
次に、server trust-point コマンドを使用して、TLS ハンドシェイク時に提示するプロキシトラス
トポイント証明書を指定する例を示します。
ciscoasa(config-tlsp)# server trust-point ent_y_proxy
関連コマンド
コマンド
説明
client（TLS プロキシ） TLS プロキシインスタンスのトラストポイント、キーペア、および暗号
スイートを設定します。
client trust-point
TLS ハンドシェイク中に提示するプロキシトラストポイント証明書を
指定します。
ssl trust-point
インターフェイスの SSL 証明書を表す証明書トラストポイントを指定
します。
tls-proxy
TLS プロキシインスタンスを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-54
第1章
same-security-traffic コマンド～ shape コマンド
server-port
server-port
ホストの AAA サーバポートを設定するには、AAA サーバホストモードで server-port コマン
ドを使用します。指定されているサーバポートを削除するには、このコマンドの no 形式を使用
します。
server-port port-number
no server-port port-number
構文の説明
port-number
デフォルト
デフォルトのサーバポートは次のとおりです。
コマンドモード
•
SDI：5500
•
LDAP：389
•
Kerberos：88
•
NT：139
•
TACACS+：49
0 ～ 65535 の範囲のポート番号。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
AAA サーバグループ
コマンド履歴
例
リリース
7.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、srvgrp1 という名前の SDI AAA サーバでサーバポート番号 8888 を使用するように設定す
る例を示します。
ciscoasa(config)# aaa-server srvgrp1 protocol sdi
ciscoasa(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10
ciscoasa(config-aaa-server-host)# server-port 8888
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-55
第1章
same-security-traffic コマンド～ shape コマンド
server-port
関連コマンド
コマンド
aaa-server host
説明
ホスト固有の AAA サーバパラメータを設定します。
clear configure aaa-server AAA サーバのコンフィギュレーションをすべて削除します。
show running-config
すべての AAA サーバ、特定のサーバグループ、特定のグループ内の
aaa-server
特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表
示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-56
第1章
same-security-traffic コマンド～ shape コマンド
server-separator
server-separator
電子メールサーバ名および VPN サーバ名のデリミタとして文字を指定するには、該当する電子
メールプロキシモードで server-separator コマンドを使用します。デフォルト（「:」）に戻すには、
このコマンドの no 形式を使用します。
server-separator {symbol}
no server-separator
構文の説明
symbol
デフォルト
デフォルトは「@」（アットマーク）です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
電子メールサーバ名および VPN サーバ名を区切る文字。「@」（アット
マーク）、「|」（パイプ）、「:」（コロン）、「#」（ハッシュ）、「,」（カンマ）、また
は「;」（セミコロン）を選択できます。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
pop3s
•
Yes
—
•
Yes
—
—
Imap4s
•
Yes
—
•
Yes
—
—
Smtps
•
Yes
—
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
使用上のガイドライン
サーバの区切り文字には、名前の区切り文字とは異なる文字を使用する必要があります。
例
次に、パイプ（|）を IMAP4S サーバの区切り文字として設定する例を示します。
ciscoasa(config)# imap4s
ciscoasa(config-imap4s)# server-separator |
関連コマンド
コマンド
name-separator
説明
電子メールおよび VPN のユーザ名とパスワードを区切ります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-57
第1章
same-security-traffic コマンド～ shape コマンド
server-type
server-type
LDAP サーバモデルを手動で設定するには、AAA サーバホストコンフィギュレーションモード
で server-type コマンドを使用します。ASA では、次のサーバモデルがサポートされています。
•
Microsoft Active Directory
•
Sun Microsystems JAVA System Directory Server（以前の Sun ONE Directory Server）
•
LDAPv3 に準拠した一般的な LDAP ディレクトリサーバ（パスワード管理なし）
このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
server-type {auto-detect | microsoft | sun | generic | openldap | novell}
no server-type {auto-detect | microsoft | sun | generic | openldap | novell}
構文の説明
auto-detect
ASA で自動検出によって LDAP サーバタイプを決定することを指定し
ます。
generic
Sun および Microsoft の LDAP ディレクトリサーバ以外の LDAP v3 準拠
のディレクトリサーバを指定します。一般的な LDAP サーバでは、パス
ワード管理はサポートされません。
microsoft
LDAP サーバが Microsoft Active Directory であることを指定します。
openldap
LDAP サーバが OpenLDAP サーバであることを指定します。
novell
LDAP サーバが Novell サーバであることを指定します。
sun
LDAP サーバが Sun Microsystems JAVA System Directory Server であるこ
とを指定します。
デフォルト
デフォルトでは、自動検出によってサーバタイプの決定が試みられます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
AAA サーバホストコンフィ
ギュレーション
コマンド履歴
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
7.1(1)
変更内容
8.0(2)
OpenLDAP および Novell サーバタイプのサポートが追加されました。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-58
トランスペ
アレント
シングル
第1章
same-security-traffic コマンド～ shape コマンド
server-type
使用上のガイドライン
（注）
ASA は LDAP バージョン 3 をサポートしており、Sun Microsystems JAVA System Directory
Server、Microsoft Active Directory、およびその他の LDAPv3 ディレクトリサーバと互換性があり
ます。
•
Sun：Sun ディレクトリサーバにアクセスするために ASA に設定されている DN は、その
サーバ上のデフォルトパスワードポリシーにアクセスできる必要があります。DN として、
ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨し
ます。または、デフォルトパスワードポリシーに ACI を設定できます。
Microsoft：Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、
LDAP over SSL を設定する必要があります。
• Generic：パスワード管理機能はサポートされていません。
•
デフォルトで、ASA では、Microsoft ディレクトリサーバ、Sun LDAP ディレクトリサーバ、また
は一般的な LDAPv3 サーバのいずれに接続しているかが自動検出されます。ただし、自動検出で
LDAP サーバタイプを決定できない場合で、サーバが Microsoft または Sun のサーバであること
が明らかである場合は、server-type コマンドを使用して、サーバを Microsoft または Sun
Microsystems の LDAP サーバとして手動で設定できます。
例
次に、AAA サーバホストコンフィギュレーションモードで、IP アドレス 10.10.0.1 の LDAP
サーバ ldapsvr1 のサーバタイプを設定する例を示します。この最初の例では、Sun Microsystems
LDAP サーバを設定しています。
ciscoasa(config)# aaa-server ldapsvr1 protocol ldap
ciscoasa(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
ciscoasa(config-aaa-server-host)# server-type sun
次に、ASA で自動検出を使用してサーバタイプを決定することを指定する例を示します。
ciscoasa(config)# aaa-server ldapsvr1 protocol LDAP
ciscoasa(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1
ciscoasa(config-aaa-server-host)# server-type auto-detect
関連コマンド
コマンド
ldap-over-ssl
説明
sasl-mechanism
LDAP クライアントとサーバの間の SASL 認証を設定し
ます。
SSL が LDAP クライアントとサーバの間の接続を保護す
ることを指定します。
ldap attribute-map（グローバル
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングす
コンフィギュレーションモード）るために、LDAP 属性マップを作成して名前を付けます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-59
第1章
same-security-traffic コマンド～ shape コマンド
service
service
拒否された TCP 接続のリセットをイネーブルにするには、グローバルコンフィギュレーション
モードで service コマンドを使用します。リセットをディセーブルにするには、このコマンドの no
形式を使用します。
service {resetinbound [interface interface_name] | resetoutbound [interface interface_name] |
resetoutside}
no service {resetinbound [interface interface_name] | resetoutbound [interface interface_name]
| resetoutside}
service sw-reset-button
no service sw-reset-button
構文の説明
interface
interface_name
指定したインターフェイスのリセットをイネーブルまたはディセーブルにし
ます。
resetinbound
ASA の通過を試み、アクセスリストまたは AAA 設定に基づいて ASA によっ
て拒否されたすべての着信 TCP セッションに TCP リセットを送信します。
ASA は、アクセスリストまたは AAA によって許可されても、既存の接続に属
しておらず、ステートフルファイアウォールによって拒否されたパケットの
リセットも送信します。同じセキュリティレベルのインターフェイス間のト
ラフィックも影響を受けます。このオプションがイネーブルになっていない
場合は、ASA は拒否されたパケットを、何も通知せずに廃棄します。インター
フェイスを指定しない場合、この設定はすべてのインターフェイスに適用さ
れます。
resetoutbound
ASA の通過を試み、アクセスリストまたは AAA 設定に基づいて ASA によっ
て拒否されたすべての発信 TCP セッションに TCP リセットを送信します。
ASA は、アクセスリストまたは AAA によって許可されても、既存の接続に属
しておらず、ステートフルファイアウォールによって拒否されたパケットの
リセットも送信します。同じセキュリティレベルのインターフェイス間のト
ラフィックも影響を受けます。このオプションがイネーブルになっていない
場合は、ASA は拒否されたパケットを、何も通知せずに廃棄します。このオプ
ションは、デフォルトでイネーブルになっています。たとえば、トラフィック
ストーム時に CPU の負荷を軽減するためなどに発信リセットをディセーブ
ルにできます。
resetoutside
最もセキュリティレベルの低いインターフェイスで終端し、アクセスリスト
または AAA 設定に基づいて ASA によって拒否された TCP パケットのリ
セットをイネーブルにします。ASA は、アクセスリストまたは AAA によって
許可されても、既存の接続に属しておらず、ステートフルファイアウォール
によって拒否されたパケットのリセットも送信します。このオプションをイ
ネーブルにしなかった場合、ASA は拒否されたパケットを何も通知せずに廃
棄します。インターフェイス PAT では、resetoutside キーワードを使用するこ
とを推奨します。このキーワードを使用すると、外部 SMTP または FTP サー
バからの IDENT を ASA で終了できます。これらの接続をアクティブにリ
セットすることによって、30 秒のタイムアウト遅延を回避できます。
sw-reset-button
ソフトウェアリセットボタンを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-60
第1章
same-security-traffic コマンド～ shape コマンド
service
デフォルト
デフォルトでは、すべてのインターフェイスで service resetoutbound がイネーブルになってい
ます。service sw-reset-button は、デフォルトでイネーブルになっています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
7.1(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
interface キーワードおよび resetoutbound コマンドが追加されました。
使用上のガイドライン
アイデンティティ要求（IDENT）接続をリセットする必要がある場合は、着信トラフィックに対
して明示的にリセットを送信できます。拒否されたホストに TCP RST（TCP ヘッダーのリセット
フラグ）を送信すると、RST によって着信 IDENT プロセスが停止されるため、IDENT がタイムア
ウトするのを待機する必要がなくなります。外部ホストは IDENT がタイムアウトするまで SYN
を継続的に再送信するため、IDENT がタイムアウトするのを待機するとトラフィックの速度低
下の原因となる可能性があります。そのため、service resetinbound コマンドによってパフォーマ
ンスが向上する可能性があります。
例
次に、inside インターフェイスを除くすべてのインターフェイスで発信リセットをディセーブル
にする例を示します。
ciscoasa(config)# no service resetoutbound
ciscoasa(config)# service resetoutbound interface inside
次に、DMZ インターフェイスを除くすべてのインターフェイスで着信リセットをイネーブルに
する例を示します。
ciscoasa(config)# service resetinbound
ciscoasa(config)# no service resetinbound interface dmz
次に、outside インターフェイスが終端となる接続でリセットをイネーブルにする例を示します。
ciscoasa(config)# service resetoutside
関連コマンド
コマンド
show running-config
service
説明
サービスコンフィギュレーションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-61
第1章
same-security-traffic コマンド～ shape コマンド
service（CTL プロバイダー）
service（CTL プロバイダー）
証明書信頼リストプロバイダーがリッスンするポートを指定するには、CTL プロバイダーコン
フィギュレーションモードで service コマンドを使用します。設定を削除するには、このコマン
ドの no 形式を使用します。
service port listening_port
no service port listening_port
構文の説明
port listening_port
デフォルト
デフォルトのポートは 2444 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
クライアントにエクスポートする証明書を指定します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
CTL プロバイダーコンフィ
ギュレーション
コマンド履歴
リリース
8.0(2)
Yes
•
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
CTL プロバイダーがリッスンするポートを指定するには、CTL プロバイダーコンフィギュレー
ションモードで service コマンドを使用します。ポートは、クラスタ内の CallManager サーバに
よってリッスンされているポートである必要があります（[CallManager administration] ページの
[Enterprise Parameters] で設定）。デフォルトのポートは 2444 です。
例
次に、CTL プロバイダーインスタンスを作成する例を示します。
ciscoasa(config)# ctl-provider
ciscoasa(config-ctl-provider)#
ciscoasa(config-ctl-provider)#
ciscoasa(config-ctl-provider)#
ciscoasa(config-ctl-provider)#
my_ctl
client interface inside 172.23.45.1
client username CCMAdministrator password XXXXXX encrypted
export certificate ccm_proxy
ctl install
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-62
第1章
same-security-traffic コマンド～ shape コマンド
service（CTL プロバイダー）
関連コマンド
コマンド
client
説明
ctl
CTL クライアントの CTL ファイルを解析し、トラストポイントをイ
ンストールします。
ctl-provider
CTL プロバイダーモードで CTL プロバイダーインスタンスを設定
します。
export
クライアントにエクスポートする証明書を指定します。
tls-proxy
TLS プロキシインスタンスを定義し、最大セッション数を設定しま
す。
CTL プロバイダーへの接続が許可されるクライアントを指定し、クラ
イアント認証用のユーザ名とパスワードも指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-63
第1章
same-security-traffic コマンド～ shape コマンド
service（オブジェクトサービス）
service（オブジェクトサービス）
サービスオブジェクトのプロトコルおよびオプションの属性を定義するには、オブジェクト
サービスコンフィギュレーションモードで service コマンドを使用します。定義を削除するに
は、このコマンドの no 形式を使用します。
service {protocol | {tcp | udp} [source operator number] [destination operator number] |
{icmp | icmp6} [icmp_type [icmp_code]]}
no service {protocol | {tcp | udp} [source operator number] [destination operator number] |
{icmp | icmp6} [icmp_type [icmp_code]]}
構文の説明
destination operator
number
（オプション）tcp プロトコルおよび udp プロトコルの場合、宛先ポー
トの名前または番号を 0 ～ 65535 の範囲で指定します。サポートされ
る名前のリストについては、CLI ヘルプを参照してください。演算子は
次のとおりです。
•
eq：ポート番号に等しい。
•
gt：ポート番号より大きい。
•
lt：ポート番号より小さい。
•
neq：ポート番号と等しくない。
•
range：ポート範囲。2 つの番号は、range 1024 4500 のようにスペー
スで区切って指定します。
{icmp | icmp6} [icmp_
type [icmp_code]]
サービスタイプが ICMP または ICMP バージョン 6 接続用であること
を指定します。任意で ICMP タイプを名前または番号（0 ～ 255）で指定
できます（使用可能なオプションの ICMP タイプ名については、CLI ヘ
ルプを参照）。タイプを指定する場合、任意で 1 ～ 255 の間の ICMP
コードを含めることができます。
protocol
プロトコル名または番号（0 ～ 255）を指定します。サポートされる名前
のリストについては、CLI ヘルプを参照してください。
source operator number （オプション）tcp プロトコルおよび udp プロトコルの場合、送信元
ポートの名前または番号を 0 ～ 65535 の範囲で指定します。サポート
される名前のリストについては、CLI ヘルプを参照してください。演算
子は destination のものと同じです。
tcp
サービスタイプが TCP 接続用であることを指定します。
udp
デフォルト
サービスタイプが UDP 接続用であることを指定します。
デフォルトの動作や値はありません。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-64
第1章
same-security-traffic コマンド～ shape コマンド
service（オブジェクトサービス）
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
オブジェクトサービスコン
フィギュレーション
コマンド履歴
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
リリース
8.3(1)
変更内容
9.0(1)
ICMP コードのサポートが追加されました。
マルチ
コンテキストシステム
•
Yes
—
このコマンドが追加されました。
ACL（access-list コマンド）や NAT（nat コマンド）など、コンフィギュレーションの他の部分では
サービスオブジェクトを名前で使用できます。
既存のサービスオブジェクトを別のプロトコルおよびポートを使用して設定した場合、新しい
コンフィギュレーションでは既存のプロトコルとポートが新しいプロトコルとポートに置き換
わります。
例
次に、SSH トラフィックのサービスオブジェクトを作成する例を示します。
ciscoasa(config)# service object SSH
ciscoasa(config-service-object)# service tcp destination eq ssh
次に、EIGRP トラフィックのサービスオブジェクトを作成する例を示します。
ciscoasa(config)# service object EIGRP
ciscoasa(config-service-object)# service eigrp
次に、ポート 0 ～ 1024 から HTTPS へのトラフィックに対してサービスオブジェクトを作成す
る例を示します。
ciscoasa(config)# service object HTTPS
ciscoasa(config-service-object)# service tcp source range 0 1024 destination eq https
関連コマンド
コマンド
clear configure object
説明
object-group service
サービスオブジェクトを設定します。
show running-config
object service
現在のサービスオブジェクトコンフィギュレーションを表示します。
作成されたすべてのオブジェクトをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-65
第1章
same-security-traffic コマンド～ shape コマンド
service call-home
service call-home
Call Home サービスをイネーブルにするには、グローバルコンフィギュレーションモードで
service call-home コマンドを使用します。Call Home サービスをディセーブルにするには、このコ
マンドの no 形式を使用します。
service call-home
no service call-home
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトで、サービス Call Home コマンドはディセーブルです。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
8.2(2)
•
トランスペ
アレント
シングル
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
次に、Call Home サービスをイネーブルにする例を示します。
例
ciscoasa(config)# service call-home
次に、Call Home サービスをディセーブルにする例を示します。
hostname(config)# no service call-home
関連コマンド
コマンド
説明
call-home（グローバルコンフィギュ
レーション）
call-home test
Call Home コンフィギュレーションモードを開始し
ます。
show call-home
Call Home コンフィギュレーション情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-66
Call Home テストメッセージを手動で送信します。
第1章
same-security-traffic コマンド～ shape コマンド
service password-recovery
service password-recovery
パスワードの回復をイネーブルにするには、グローバルコンフィギュレーションモードで
service password-recovery コマンドを使用します。パスワードの回復をディセーブルにするに
は、このコマンドの no 形式を使用します。パスワードの回復はデフォルトでイネーブルですが、
不正なユーザがパスワードの回復メカニズムを使用して ASA を侵害できないようにするため
にディセーブルにすることができます。
service password-recovery
no service password-recovery
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
パスワードの回復は、デフォルトでイネーブルです。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
ASA 5500 シリーズ適応型セキュリティアプライアンスでは、パスワードを忘れた場合、起動時に
プロンプトが表示されたときに端末のキーボードで Esc キーを押して、ROMMON で ASA を起動
できます。次に、コンフィギュレーションレジスタを変更することによって、スタートアップコン
フィギュレーションを無視するように ASA を設定します（config-register コマンドを参照）。たと
えば、コンフィギュレーションレジスタがデフォルトの 0x1 の場合、confreg 0x41 コマンドを入力
して値を 0x41 に変更します。ASA がリロードされると、デフォルトのコンフィギュレーションが
ロードされ、デフォルトのパスワードを使用して特権 EXEC モードを開始できます。その後、ス
タートアップコンフィギュレーションを実行コンフィギュレーションにコピーしてスタートアッ
プコンフィギュレーションをロードし、パスワードをリセットします。最後に、コンフィギュレー
ションレジスタを元の設定に戻して、以前と同様に起動するように ASA を設定します。たとえば、
グローバルコンフィギュレーションモードで config-register 0x1 コマンドを入力します。
PIX 500 シリーズセキュリティアプライアンスでは、起動時にプロンプトが表示されたときに
端末のキーボードで Esc キーを押して、モニタモードで ASA を起動します。その後、PIX パス
ワードツールを ASA にダウンロードして、すべてのパスワードおよび aaa authentication コマ
ンドを消去します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-67
第1章
same-security-traffic コマンド～ shape コマンド
service password-recovery
ASA 5500 シリーズ適応型セキュリティアプライアンスでは、no service password-recovery コマ
ンドを使用すると、ユーザが ROMMON を開始することを防止でき、コンフィギュレーションも
変更されないままとすることができます。ユーザが ROMMON を開始すると、ユーザは、ASA に
よって、すべてのフラッシュファイルシステムを消去するように求められます。ユーザは、最初
に消去を実行しないと、ROMMON を開始できません。ユーザがフラッシュファイルシステムを
消去しない場合、ASA はリロードします。パスワードの回復は ROMMON の使用と既存のコン
フィギュレーションを維持することに依存しているため、フラッシュファイルシステムを消去
することによってパスワードを回復できなくなります。ただし、パスワードを回復できなくする
ことで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりす
ることがなくなります。この場合に、システムを動作状態に回復するには、新しいイメージとバッ
クアップコンフィギュレーションファイル（使用可能な場合）をロードします。service
password-recovery コマンドは、コンフィギュレーションファイルに情報提供の目的でのみ表示
されます。CLI プロンプトでこのコマンドを入力すると、設定は NVRAM に保存されます。設定を
変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なる
バージョンで新規コンフィギュレーションをロードしても、設定は変更されません。ASA が起動
時にスタートアップコンフィギュレーションを無視するように設定されている（パスワードの回
復の準備として）場合に、パスワードの回復をディセーブルにすると、ASA によって設定が変更さ
れ、通常どおりにスタートアップコンフィギュレーションが起動されます。フェールオーバーを
使用し、スタートアップコンフィギュレーションを無視するようにスタンバイユニットが設定さ
れている場合は、no service password recovery コマンドでスタンバイユニットに複製したときにコ
ンフィギュレーションレジスタに同じ変更が加えられます。
PIX 500 シリーズセキュリティアプライアンスでは、no service password-recovery コマンドを
使用すると、ユーザは、PIX パスワードツールによって、すべてのフラッシュファイルシステム
を消去するように求められます。ユーザは、最初に消去を実行しないと、PIX パスワードツール
を使用できません。ユーザがフラッシュファイルシステムを消去しない場合、ASA はリロード
します。パスワードの回復は既存のコンフィギュレーションを維持することに依存しているた
め、フラッシュファイルシステムを消去することによってパスワードを回復できなくなりま
す。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを
表示したり、別のパスワードを挿入したりすることがなくなります。この場合に、システムを動
作状態に回復するには、新しいイメージとバックアップコンフィギュレーションファイル（使
用可能な場合）をロードします。
例
次に、ASA 5500 シリーズのパスワードの回復をディセーブルにする例を示します。
ciscoasa(config)# no service password-recovery
WARNING: Executing "no service password-recovery" has disabled the password recovery
mechanism and disabled access to ROMMON.The only means of recovering from lost or
forgotten passwords will be for ROMMON to erase all file systems including configuration
files and images.You should make a backup of your configuration and have a mechanism to
restore images from the ROMMON command line.
次に、ASA 5500 シリーズで、起動時に ROMMON を開始するタイミングとパスワードの回復操
作を完了する例を示します。
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
Use ?for help.
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-68
第1章
same-security-traffic コマンド～ shape コマンド
service password-recovery
Do you wish to change this configuration?y/n [n]: n
rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
Loading disk0:/ASA_7.0.bin... Booting...
###################
...
Ignoring startup configuration as instructed by configuration register.
Type help or '?' for a list of available commands.
ciscoasa> enable
Password:
ciscoasa# configure terminal
ciscoasa(config)# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9
892 bytes copied in 6.300 secs (148 bytes/sec)
ciscoasa(config)# enable password NewPassword
ciscoasa(config)# config-register 0x1
関連コマンド
コマンド
config-register
説明
enable password
イネーブルパスワードを設定します。
password
ログインパスワードを設定します。
リロード時にスタートアップコンフィギュレーションを無視するよ
うに ASA を設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-69
第1章
same-security-traffic コマンド～ shape コマンド
service-object
service-object
TCP、UDP、または TCP-UDP として事前定義されていないサービスまたはサービスオブジェク
トをサービスオブジェクトグループに追加するには、オブジェクトグループサービスコンフィ
ギュレーションモードで service-object コマンドを使用します。サービスを削除するには、この
コマンドの no 形式を使用します。
service-object {protocol | {tcp | udp | tcp-udp} [source operator number]
[destination operator number] | {icmp | icmp6} [icmp_type [icmp_code]] | object name}
no service-object {protocol | {tcp | udp | tcp-udp} [source operator number]
[destination operator number] | {icmp | icmp6} [icmp_type [icmp_code]] | object name}
構文の説明
destination operator
number
（オプション）tcp、udp、または tcp-udp プロトコルの場合、宛先ポート
の名前または番号を 0 ～ 65535 の範囲で指定します。サポートされる
名前のリストについては、CLI ヘルプを参照してください。演算子は次
のとおりです。
•
eq：ポート番号に等しい。
•
gt：ポート番号より大きい。
•
lt：ポート番号より小さい。
•
neq：ポート番号と等しくない。
•
range：ポート範囲。2 つの番号は、range 1024 4500 のようにスペー
スで区切って指定します。
{icmp | icmp6} [icmp_
type [icmp_code]]
サービスタイプが ICMP または ICMP バージョン 6 接続用であること
を指定します。任意で ICMP タイプを名前または番号（0 ～ 255）で指定
できます（使用可能なオプションの ICMP タイプ名については、CLI ヘ
ルプを参照）。タイプを指定する場合、任意で 1 ～ 255 の間の ICMP
コードを含めることができます。
protocol
プロトコル名または番号（0 ～ 255）を指定します。サポートされる名前
のリストについては、CLI ヘルプを参照してください。
source operator number （オプション）tcp、udp、または tcp-udp プロトコルの場合、送信元ポー
トの名前または番号を 0 ～ 65535 の範囲で指定します。サポートされ
る名前のリストについては、CLI ヘルプを参照してください。演算子は
destination のものと同じです。
tcp
サービスタイプが TCP 接続用であることを指定します。
デフォルト
tcp-udp
サービスタイプが TCP または UDP 接続用であることを指定します。
udp
サービスタイプが UDP 接続用であることを指定します。
デフォルトの動作や値はありません。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-70
第1章
same-security-traffic コマンド～ shape コマンド
service-object
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
オブジェクトグループサービ • Yes
スコンフィギュレーション
コマンド履歴
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
—
リリース
8.0(1)
変更内容
8.3(1)
object キーワードが、サービスオブジェクト（object service コマンド）を
サポートするために追加されました。
9.0(1)
ICMP コードのサポートが追加されました。
このコマンドが追加されました。
使用上のガイドライン
object-group service コマンドを使用してサービスオブジェクトグループを作成した場合、グ
ループ全体に対してプロトコルタイプを事前定義していなければ、service-object コマンドを使
用して、複数のサービスおよびサービスオブジェクト（ポートを含む）をさまざまなプロトコル
のグループに追加できます。object-group service [tcp | udp | tcp-udp] コマンドを使用して特定の
プロトコルタイプに対してサービスオブジェクトグループを作成した場合、port-object コマン
ドを使用してオブジェクトグループに指定できるのは宛先ポートのみです。
例
次に、TCP と UDP の両方のサービスを同じサービスオブジェクトグループに追加する例を示
します。
ciscoasa(config)# object-group service
ciscoasa(config-service-object-group)#
ciscoasa(config-service-object-group)#
ciscoasa(config-service-object-group)#
ciscoasa(config-service-object-group)#
ciscoasa(config-service-object-group)#
CommonApps
service-object
service-object
service-object
service-object
service-object
tcp destination eq ftp
tcp-udp destination eq www
tcp destination eq h323
tcp destination eq https
udp destination eq ntp
次に、複数のサービスオブジェクトを 1 つのサービスオブジェクトグループに追加する例を示
します。
hostname(config)# service object SSH
hostname(config-service-object)# service tcp destination eq ssh
hostname(config)# service object EIGRP
hostname(config-service-object)# service eigrp
hostname(config)# service object HTTPS
hostname(config-service-object)# service tcp source range 0 1024 destination eq https
ciscoasa(config)# object-group service
ciscoasa(config-service-object-group)#
ciscoasa(config-service-object-group)#
ciscoasa(config-service-object-group)#
Group1
service-object object SSH
service-object object EIGRP
service-object object HTTPS
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-71
第1章
same-security-traffic コマンド～ shape コマンド
service-object
関連コマンド
コマンド
clear configure
object-group
説明
network-object
ネットワークオブジェクトグループにネットワークオブジェクトを
追加します。
object service
サービスオブジェクトを追加します。
object-group
コンフィギュレーションを最適化するためのオブジェクトグループ
を定義します。
port-object
サービスオブジェクトグループにポートオブジェクトを追加します。
show running-config
object-group
現在のオブジェクトグループを表示します。
すべての object-group コマンドをコンフィギュレーションから削除し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-72
第1章
same-security-traffic コマンド～ shape コマンド
service sw-reset-button
service sw-reset-button
ASA 5506-X および ASA 5508-X シリーズのセキュリティアプライアンスでリセットボタンを
イネーブルにするには、グローバルコンフィギュレーションモードで service sw-reset-button コ
マンドを使用します。リセットボタンをディセーブルにするには、このコマンドの no 形式を使
用します。
service sw-reset-button
no service sw-reset-button
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
service sw-reset-button は、デフォルトでイネーブルになっています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
例
リリース
9.3(2)
•
トランスペ
アレント
シングル
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、ソフトウェアリセットボタンをイネーブルにする例を示します。
ciscoasa(config)# service sw-reset-button
ciscoasa# show sw-reset-button
Software Reset Button is configured.
次に、ソフトウェアリセットボタンをディセーブルにする例を示します。
ciscoasa(config)# no service sw-reset-button
ciscoasa(config)# show sw-reset-button
Software Reset Button is not configured.
関連コマンド
コマンド
show running-config
service
説明
サービスコンフィギュレーションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-73
第1章
same-security-traffic コマンド～ shape コマンド
service-policy（クラス）
service-policy（クラス）
別のポリシーマップの下に階層型ポリシーマップを適用するには、クラスコンフィギュレー
ションモードで service-policy コマンドを使用します。サービスポリシーをディセーブルにする
には、このコマンドの no 形式を使用します。階層型ポリシーは、シェーピングされたトラフィッ
クのサブセットに対してプライオリティキューイングを実行する場合に QoS トラフィック
シェーピングでのみサポートされています。
service-policy policymap_name
no service-policy policymap_name
構文の説明
policymap_name
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
policy-map コマンドで設定したポリシーマップ名を指定します。
priority コマンドを含むレイヤ 3/4 ポリシーマップのみを指定でき
ます。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
クラスコンフィギュレー
ション
コマンド履歴
使用上のガイドライン
リリース
7.2(4)/8.0(4)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
階層型プライオリティキューイングは、トラフィックシェーピングキューをイネーブルにするイ
ンターフェイスで使用します。シェーピングされるトラフィックのサブセットに優先順位を付け
ることができます。標準プライオリティキュー（priority-queue コマンド）は使用しません。
階層型プライオリティキューイングでは、モジュラポリシーフレームワークを使用して次のタ
スクを実行します。
1.
class-map：プライオリティキューイングを実行するトラフィックを指定します。
2.
policy-map（プライオリティキューイングの場合）：各クラスマップに関連付けるアクショ
ンを指定します。
a. class：アクションを実行するクラスマップを指定します。
b. priority：クラスマップのプライオリティキューイングをイネーブルにします。ポリシー
マップを階層的に使用する場合は、このポリシーマップに priority コマンドだけを含め
ることができます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-74
第1章
same-security-traffic コマンド～ shape コマンド
service-policy（クラス）
3.
policy-map（トラフィックシェーピングの場合）：class-default クラスマップに関連付けるア
クションを指定します。
a. class class-default：アクションを実行する class-default クラスマップを指定します。
b. shape：トラフィックシェーピングをクラスマップに適用します。
c. service-policy：プライオリティキューイングをシェーピングされたトラフィックのサブ
セットに適用できるように、priority コマンドを設定したプライオリティキューイング
ポリシーマップを呼び出します。
4.
例
service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当て
ます。
次に、outside インターフェイスのすべてのトラフィックでトラフィックシェーピングをイネー
ブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリ
ティを付ける例を示します。
ciscoasa(config)# class-map TG1-voice
ciscoasa(config-cmap)# match tunnel-group tunnel-grp1
ciscoasa(config-cmap)# match dscp ef
ciscoasa(config)# policy-map priority-sub-policy
ciscoasa(config-pmap)# class TG1-voice
ciscoasa(config-pmap-c)# priority
ciscoasa(config-pmap-c)# policy-map shape_policy
ciscoasa(config-pmap)# class class-default
ciscoasa(config-pmap-c)# shape
ciscoasa(config-pmap-c)# service-policy priority-sub-policy
ciscoasa(config-pmap-c)# service-policy shape_policy interface outside
関連コマンド
コマンド
説明
class（ポリシーマップ）ポリシーマップにクラスマップを指定します。
clear configure
サービスポリシーのコンフィギュレーションをクリアします。
service-policy
clear service-policy
サービスポリシーの統計情報をクリアします。
policy-map
クラスマップに対して実行するアクションを指定します。
priority
プライオリティキューイングをイネーブルにします。
service-policy（グローバインターフェイスにポリシーマップを適用します。
ル）
shape
トラフィックシェーピングをイネーブルにします。
show running-config
実行コンフィギュレーションに設定されているサービスポリシーを
service-policy
表示します。
show service-policy
サービスポリシーの統計情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-75
第1章
same-security-traffic コマンド～ shape コマンド
service-policy（グローバル）
service-policy（グローバル）
すべてのインターフェイスでグローバルに、または特定のインターフェイスでポリシーマップを
アクティブにするには、グローバルコンフィギュレーションモードで service-policy コマンドを
使用します。サービスポリシーをディセーブルにするには、このコマンドの no 形式を使用しま
す。インターフェイスでポリシーのセットをイネーブルにするには、service-policy コマンドを使
用します。
service-policy policymap_name [global | interface intf ] [fail-close]
no service-policy policymap_name [global | interface intf ] [fail-close]
構文の説明
fail-close
IPv6 トラフィックをサポートしていないアプリケーションインスペ
クションによってドロップされた IPv6 トラフィックに対して syslog
（767001）を生成します。デフォルトでは、syslog が生成されません。
global
すべてのインターフェイスにポリシーマップを適用します。
interface intf
特定のインターフェイスにポリシーマップを適用します。
policymap_name
policy-map コマンドで設定したポリシーマップ名を指定します。レイ
ヤ 3/4 ポリシーマップのみを指定できます。インスペクションポリ
シーマップ（policy-map type inspect）は指定できません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
•
Yes
•
Yes
•
Yes
リリース
7.0(1)
変更内容
9.0(1)
fail-close キーワードが追加されました。
コンテキストシステム
•
Yes
—
このコマンドが追加されました。
サービスポリシーをイネーブルにするには、モジュラポリシーフレームワークを使用します。
1.
class-map：プライオリティキューイングを実行するトラフィックを指定します。
2.
policy-map：各クラスマップに関連付けるアクションを指定します。
a. class：アクションを実行するクラスマップを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-76
マルチ
第1章
same-security-traffic コマンド～ shape コマンド
service-policy（グローバル）
b. commands for supported features：特定のクラスマップについて、QoS、アプリケーション
インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、
TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可
能なコマンドの詳細については、CLI 設定ガイドを参照してください。
3.
service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当て
ます。
インターフェイスサービスポリシーは、特定の機能に対するグローバルサービスポリシーより
優先されます。たとえば、インスペクションのグローバルポリシーがあり、TCP 正規化のインター
フェイスポリシーがある場合、インターフェイスに対してインスペクションと TCP 正規化の両
方が適用されます。ただし、インスペクションのグローバルポリシーがあり、インスペクションの
インターフェイスポリシーもある場合、そのインターフェイスにはインターフェイスポリシー
のインスペクションのみが適用されます。
デフォルトでは、すべてのデフォルトアプリケーションインスペクショントラフィックに一致
するグローバルポリシーがコンフィギュレーションに含まれ、すべてのインスペクションがト
ラフィックにグローバルに適用されます。適用できるグローバルポリシーは 1 つだけなので、グ
ローバルポリシーを変更する場合は、デフォルトのポリシーを編集するか、デフォルトのポリ
シーをディセーブルにして新しいポリシーを適用します。
デフォルトサービスポリシーには、次のコマンドが含まれています。
service-policy global_policy global
例
次に、outside インターフェイスで inbound_policy ポリシーマップをイネーブルにする例を示し
ます。
ciscoasa(config)# service-policy inbound_policy interface outside
次のコマンドは、デフォルトグローバルポリシーをディセーブルにし、他のすべてのASA イン
ターフェイスで新しいポリシー new_global_policy をイネーブルにします。
ciscoasa(config)# no service-policy global_policy global
ciscoasa(config)# service-policy new_global_policy global
関連コマンド
コマンド
clear configure
service-policy
説明
clear service-policy
サービスポリシーの統計情報をクリアします。
サービスポリシーのコンフィギュレーションをクリアします。
service-policy（クラス）別のポリシーマップの下に階層型ポリシーを適用します。
show running-config
実行コンフィギュレーションに設定されているサービスポリシーを
service-policy
表示します。
show service-policy
サービスポリシーの統計情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-77
第1章
same-security-traffic コマンド～ shape コマンド
session
session
ASA からモジュール（IPS SSP や CSC SSM など）への Telnet セッションを確立して、モジュール
CLI にアクセスするには、特権 EXEC モードで session コマンドを使用します。
session id
構文の説明
モジュール ID を指定します。
id
•
物理モジュール：1（スロット番号 1 の場合）
•
ソフトウェアモジュール、ASA FirePOWER：sfr
•
ソフトウェアモジュール、IPS：ips
•
ソフトウェアモジュール、ASA CX：cxsc
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
7.0(1)
変更内容
8.6(1)
IPS SSP ソフトウェアモジュールに対して ips モジュール ID が追加さ
れました。
9.1(1)
ASA CX モジュールのサポートが追加されました（cxsc キーワード）。
9.2(1)
ASA FirePOWER モジュールのサポートが追加されました（sfr キー
ワード）。
このコマンドが追加されました。
このコマンドは、モジュールがアップ状態である場合にのみ使用できます。状態情報について
は、show module コマンドを参照してください。
セッションを終了するには、exit と入力するか、または Ctrl+Shift+6 を押してから x キーを押し
ます。
次のハードウェアモジュールでは session 1 コマンドを使用できないことに注意してください。
•
ASA CX
•
ASA FirePOWER
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-78
第1章
same-security-traffic コマンド～ shape コマンド
session
例
次に、スロット 1 のモジュールへのセッションを確立する例を示します。
ciscoasa# session 1
Opening command session with slot 1.
Connected to slot 1.Escape character sequence is 'CTRL-^X'.
関連コマンド
コマンド
debug session-command
説明
セッションのデバッグメッセージを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-79
第1章
same-security-traffic コマンド～ shape コマンド
session console
session console
ASA からソフトウェアモジュール（IPS SSP ソフトウェアモジュールなど）への仮想コンソール
セッションを確立するには、特権 EXEC モードで session console コマンドを使用します。このコ
マンドは、コントロールプレーンがダウンしているために session コマンドを使用して Telnet
セッションを確立できない場合に便利です。
session id console
構文の説明
id
モジュール ID を指定します。
•
ASA FirePOWER モジュール：sfr
•
IPS モジュール：ips
•
ASA CX モジュール：cxsc
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
8.6(1)
変更内容
9.1(1)
ASA CX モジュールのサポートが追加されました（cxsc キーワード）。
9.2(1)
ASA FirePOWER モジュールのサポートが追加されました（sfr キー
ワード）。
このコマンドが追加されました。
セッションを終了するには、Ctrl-Shift-6 を押してから x キーを押します。
このコマンドは、Ctrl+Shift+6、x がターミナルサーバのプロンプトに戻るエスケープシーケン
スであるターミナルサーバとともに使用しないでください。Ctrl+Shift+6、x は、モジュールコン
ソールをエスケープし ASA プロンプトに戻るシーケンスでもあります。したがって、この状況
でモジュールコンソールを終了しようとすると、代わりにターミナルサーバプロンプトに戻り
ます。ASA にターミナルサーバを再接続すると、モジュールコンソールセッションがまだアク
ティブなままであり、ASA プロンプトに戻ることができません。ASA プロンプトにコンソール
を戻すには、直接シリアル接続を使用する必要があります。
代わりに session コマンドを使用します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-80
第1章
same-security-traffic コマンド～ shape コマンド
session console
例
次に、IPS モジュールへのコンソールセッションを作成する例を示します。
ciscoasa# session ips console
Establishing console session with slot 1
Opening console session with module ips.
Connected to module ips.Escape character sequence is 'CTRL-SHIFT-6 then x'.
sensor login: service
Password: test
関連コマンド
コマンド
session
説明
show module log console
コンソールログ情報を表示します。
モジュールへの Telnet セッションを開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-81
第1章
same-security-traffic コマンド～ shape コマンド
session do
session do
ASA からモジュールへの Telnet セッションを確立し、コマンドを実行するには、特権 EXEC モー
ドで session do コマンドを使用します。
session id do command
構文の説明
id
command
モジュール ID を指定します。
•
物理モジュール：1（スロット番号 1 の場合）
•
ソフトウェアモジュール、ASA FirePOWER：sfr
•
ソフトウェアモジュール、IPS：ips
•
ソフトウェアモジュール、ASA CX：cxsc
モジュールでコマンドを実行します。サポートされるコマンドは次の
とおりです。
•
setup host ip ip_address/mask,gateway_ip：管理 IP アドレスおよび
ゲートウェイを設定します。
•
get-config：モジュールコンフィギュレーションを取得します。
•
password-reset：モジュールパスワードをデフォルトにリセットし
ます。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
ルーテッド
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
7.1(1)
変更内容
8.6(1)
IPS SSP ソフトウェアモジュールに対して ips モジュール ID が追加さ
れました。
8.4(4.1)
ASA CX モジュールのサポートが追加されました。
9.2(1)
sfr キーワードの追加により、ASA FirePOWER モジュールのサポート
が追加されました。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-82
トランスペ
アレント
シングル
第1章
same-security-traffic コマンド～ shape コマンド
session do
使用上のガイドライン
このコマンドは、モジュールがアップ状態である場合にのみ使用できます。状態情報について
は、show module コマンドを参照してください。
セッションを終了するには、exit と入力するか、または Ctrl+Shift+6 を押してから X キーを押し
ます。
例
次に、管理 IP アドレスを 10.1.1.2/24 に、デフォルトゲートウェイを 10.1.1.1 に設定する例を示し
ます。
ciscoasa# session 1 do setup host ip 10.1.1.2/24,10.1.1.1
関連コマンド
コマンド
debug session-command
説明
セッションのデバッグメッセージを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-83
第1章
same-security-traffic コマンド～ shape コマンド
session ip
session ip
モジュール（IPS SSP や CSC SSM など）にロギング IP アドレスを設定するには、特権 EXEC モー
ドで session ip コマンドを使用します。
session id ip {address address mask | gateway address}
構文の説明
id
address address
モジュール ID を指定します。
•
物理モジュール：1（スロット番号 1 の場合）
•
ソフトウェアモジュール、IPS：ips
syslog サーバアドレスを設定します。
gateway address
ゲートウェイを syslog サーバに設定します。
mask
サブネットマスクを設定します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
7.1(1)
変更内容
8.4(4.1)
ASA CX モジュールのサポートが追加されました。
8.6(1)
IPS SSP ソフトウェアモジュールに対して ips モジュール ID が追加さ
れました。
このコマンドが追加されました。
このコマンドは、モジュールがアップ状態である場合にのみ使用できます。状態情報について
は、show module コマンドを参照してください。
セッションを終了するには、exit と入力するか、または Ctrl+Shift+6 を押してから X キーを押し
ます。
例
次に、スロット 1 のモジュールへのセッションを確立する例を示します。
ciscoasa# session 1 ip address
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-84
第1章
same-security-traffic コマンド～ shape コマンド
session ip
関連コマンド
コマンド
debug session-command
説明
セッションのデバッグメッセージを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-85
第1章
same-security-traffic コマンド～ shape コマンド
session-limit
session-limit
同時接続 MDM プロキシセッションの最大数を設定します。config-mdm-proxy モードで使用し
ます。このコマンドの no 形式で、設定済みの制限値を指定する必要があります。
session-limit session-limit
no session-limit session-limit
構文の説明
session-limit
デフォルト
デフォルトのセッション制限は 1000 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
同時接続 MDM セッションの最大数を設定し
ます。有効な範囲は 1 ～ 10000 で、デフォルト
は 1000 です。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
config-mdm-proxy
コマンド履歴
リリース
9.3(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
MDM プロキシサービス用のコマンドが追加されました。
次に、MDM プロキシサービスに対してセッション制限を 5000 に設定する例を示します。
例
ciscoasa (config)# mdm-proxy
ciscoasa (config-mdm-proxy)# session-limit 5000
関連コマンド
コマンド
mdm-proxy
説明
show running-config
mdm-proxy
現在の MDM プロキシコンフィギュレーションを表示します。
config-mdm-proxy モードを開始し、MDM プロキシサービスを
設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-86
第1章
same-security-traffic コマンド～ shape コマンド
session-timeout
session-timeout
MDM プロキシの登録およびチェックインセッションの最大継続時間（秒）を設定します。
config-mdm-proxy モードで使用します。このコマンドの no 形式で、設定済みのタイムアウトを
指定する必要があります。
session-timeout [enrollment seconds] [checkin seconds]
no session-timeout [enrollment seconds] [checkin seconds]
構文の説明
seconds
デフォルト
デフォルトのセッションタイムアウトは 300 秒です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
MDM の登録およびチェックインセッションの
最大継続時間（秒）。有効な範囲は、60 ～ 600 で
す。デフォルト値は 300 秒です。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
config-mdm-proxy
コマンド履歴
例
リリース
9.3(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
—
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
MDM プロキシサービス用のコマンドが追加されました。
次に、MDM プロキシのチェックインセッションのセッションタイムアウトを 600 秒に設定す
る例を示します。
ciscoasa (config)# mdm-proxy
ciscoasa (config-mdm-proxy)# session-timeout checkin 600
関連コマンド
コマンド
mdm-proxy
説明
show running-config
mdm-proxy
現在の MDM プロキシコンフィギュレーションを表示します。
config-mdm-proxy モードを開始し、MDM プロキシサービスを
設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-87
第1章
same-security-traffic コマンド～ shape コマンド
set as-path
set as-path
BGP ルートの自律システムパスを変更するには、ルートマップコンフィギュレーションモード
で set as-path コマンドを使用します。自律システムパスを変更しないようにするには、このコマ
ンドの no 形式を使用します。
set as-path {tag | prepend as-path-string}
no set as-path {tag | prepend as-path-string}
as-path-string
構文の説明
AS_PATH 属性に付加する自律システムの番号。この引数の値の範囲
は、1 ～ 65535 の有効な自律システム番号です。複数の値を入力できま
す。最大 10 個の AS 番号を入力できます。
自律システムの番号形式の詳細については、router bgp コマンドを参
照してください。
prepend
ルートマップにより照合されたルートの自律システムパスに、キー
ワード prepend に続いて文字列を付加します。BGP のインバウンド
ルートマップおよびアウトバウンドルートマップに適用します。
tag
ルートのタグを自律システムパスに変換します。BGP にルートを再配
布するときのみ適用されます。
デフォルト
自律システムパスは変更されません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
最適なパス選択に影響を与える唯一のグローバル BGP メトリックは、自律システムパス長で
す。自律システムパスの長さを変えることで、BGP スピーカーは遠くのピアによる最適なパス
選択に影響を与えます。
タグを自律システムパスに変換することで、このコマンドの set as-path tag のバリエーション
により、自律システム長を変更できます。set as-path prepend のバリエーションを使用すれば、任
意の自律システムパス文字列を BGP ルートに「付加」できます。通常、ローカルな自律システム
番号は複数回追加され、AS パス長が増します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-88
第1章
same-security-traffic コマンド～ shape コマンド
set as-path
シスコが採用している 4 バイト自律システム番号は、自律システム番号の正規表現のマッチン
グおよび出力表示形式のデフォルトとして asplain（たとえば、65538）を使用していますが、RFC
5396 に記載されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方
で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを
asdot 形式に変更するには、bgp asnotation dot コマンドに続けて、clear bgp * コマンドを実行し、
現在の BGP セッションをすべてハードリセットします。
例
次に、再配布されたルートのタグを自律システムパスに変換する例を示します。
ciscoasa(config)# route-map set-as-path-from-tag
ciscoasa(config-route-map)# set as-path tag
ciscoasa(config-route-map)# router bgp 100
ciscoasa(config-router)# address-family ipv4
ciscoasa(config-router-af)# redistribute ospf 109 route-map set-as-path-from-tag
次に、10.108.1.1 にアドバタイズされたすべてのルートに 100 100 100 を付加する例を示します。
ciscoasa(config)# route-map set-as-path
ciscoasa(config-route-map)# match as-path 1
ciscoasa(config-route-map)# set as-path prepend 100 100 100
ciscoasa(config-route-map)# router bgp 100
ciscoasa(config-router)# address-family ipv4
ciscoasa(config-router-af)# neighbor 10.108.1.1 route-map set-as-path out
関連コマンド
コマンド
clear bgp
説明
bgp asnotation dot
デフォルトの表示を変更し、ボーダーゲートウェイプロトコル
（BGP）4 バイト自律システム番号の正規表現一致形式を、asplain 形式
（10 進数の値）からドット付き表記にします。
ハードまたはソフトの再設定を使用して BGP 接続をリセットします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-89
第1章
same-security-traffic コマンド～ shape コマンド
set automatic-tag
set automatic-tag
自動的にタグ値を計算するには、ルートマップコンフィギュレーションモードで set
automatic-tag コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形
式を使用します。
set automatic-tag
no set automatic-tag
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドは、デフォルトでディセーブルになっています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
タグを設定する場合は、match 句を使用する必要があります（permit everything を指している場合
でも）。
あるルーティングプロトコルから別のルーティングプロトコルにルートを再配布する条件を
定義するには、route-map グローバルコンフィギュレーションコマンドと、match および set
route-map コンフィギュレーションコマンドを使用します。route-map コマンドごとに、それに
関連した match および set コマンドのリストがあります。match コマンドは、一致基準、つまり現
在の route-map コマンドについて再配布を許可する条件を指定します。set コマンドには、set 処
理、つまり match コマンドで指定した基準を満たしている場合に実行する特定の再配布アク
ションを指定します。no route-map コマンドは、ルートマップを削除します。
set route-map コンフィギュレーションコマンドを使用すると、ルートマップのすべての一致基
準が満たされたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、
すべての set 処理が実行されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-90
第1章
same-security-traffic コマンド～ shape コマンド
set automatic-tag
例
次に、ボーダーゲートウェイプロトコル（BGP）で学習されたルートのタグ値が自動的に計算さ
れるように Cisco ASA ソフトウェアを設定する例を示します。
ciscoasa(config-route-map)# route-map tag
ciscoasa(config-route-map)# match as-path 10
iscoasa(config-route-map)# set automatic-tag
ciscoasa(config-route-map)# router bgp 100
ciscoasa(config-router)# address-family ipv4
ciscoasa(config-router-af)# table-map tag
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-91
第1章
same-security-traffic コマンド～ shape コマンド
set community
set community
BGP コミュニティ属性を設定するには、set community ルートマップコンフィギュレーション
コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set community {community-number [additive] | [well-known-community] [additive] | none}
no set community
additive
community-number
構文の説明
none
well-known-community
（オプション）既存のコミュニティにコミュニティを追加します。
そのコミュニティ番号を指定します。有効な値は、1 ～ 4294967200、
no-export、または no-advertise です。
（オプション）ルートマップを渡すプレフィックスからコミュニティ
属性を削除します。
（オプション）次のキーワードを使用することにより、ウェルノウンコ
ミュニティを指定できます。
•
internet
•
local-as
•
no-advertise
•
no-export
デフォルト
BGP コミュニティ属性は存在しません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルートマップコンフィギュ
レーション
トランスペ
ルーテッドアレント
シングル
• Yes
—
• Yes
マルチ
コンテキストシステム
• Yes
—
コマンド履歴
リリース
9.2(1)
使用上のガイドライン
タグを設定する場合は、match 句を使用する必要があります（「permit everything」リストを指して
いる場合でも）。
変更内容
このコマンドが追加されました。
あるルーティングプロトコルから別のルーティングプロトコルにルートを再配布する条件を
定義するには、route-map グローバルコンフィギュレーションコマンドと、match および set
route-map コンフィギュレーションコマンドを使用します。route-map コマンドごとに、それに
関連した match および set コマンドのリストがあります。match コマンドは、一致基準（現在の
route-map コマンドで再配布が許可される条件）を指定します。set コマンドは、set 処理（match
コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション）を
指定します。no route-map コマンドは、ルートマップを削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-92
第1章
same-security-traffic コマンド～ shape コマンド
set community
set ルートマップコンフィギュレーションコマンドは、ルートマップのすべての一致基準が満
たされたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべて
の set 処理が実行されます。
例
次の例では、自律システムパスアクセスリスト 1 を通過するルートのコミュニティが 109 に設
定されます。自律システムパスアクセスリスト 2 を通過するルートのコミュニティは、
no-export（これらのルートがどの eBGP ピアにもアドバタイズされない）に設定されます。
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
関連コマンド
コマンド
match as-path
set community
match as-path
set community
set community
match as-path
set community
10
1
109
20
2
no-export
説明
アクセスリストによって指定された BGP 自律システムパスを照合し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-93
第1章
same-security-traffic コマンド～ shape コマンド
set connection
set connection
ポリシーマップ内のトラフィッククラスに対して接続制限を指定するには、クラスコンフィ
ギュレーションモードで set connection コマンドを使用します。これらの指定を削除して、無制
限の接続数を許可するには、このコマンドの no 形式を使用します。
set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n]
[per-client-max n] [random-sequence-number {enable | disable}]}
no set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n]
[per-client-max n] [random-sequence-number {enable | disable}]}
構文の説明
conn-max n
許可する TCP または UDP 同時接続最大数を 0 ～ 2000000 の範
囲で設定します。デフォルトは 0 で、この場合は接続数が制限さ
れません。たとえば、TCP または UDP の同時接続を許可するよう
に 2 つのサーバが設定されている場合、接続制限数は、設定され
ている各サーバに別々に適用されます。クラスに設定された場
合、この引数では、クラス全体で許可される同時接続最大数が制
限されます。この場合、1 つの攻撃ホストがすべての接続を使い
果たし、クラスにおいてアクセスリストに一致する他のホスト
が使用できる接続がなくなる可能性があります。
embryonic-conn-max n
許可する同時初期接続最大数を 0 ～ 2000000 の範囲で設定しま
す。デフォルトは 0 で、この場合は接続数が制限されません。
per-client-embryonic-max n
クライアントごとに許可する同時初期接続最大数を 0 ～
2000000 の範囲で設定します。クライアントは、ASA から（新規接
続を作成する）接続の初期パケットを送信するホストとして定義
されます。access-list が class-map とともに使用され、この機能の
トラフィックが照合される場合、初期接続制限は、アクセスリス
トに一致するすべてのクライアントの累積初期接続数ではなく、
ホストごとに適用されます。デフォルトは 0 で、この場合は接続
数が制限されません。このキーワードは、管理クラスマップでは
使用できません。
per-client-max n
クライアントごとに許可する同時接続最大数を 0 ～ 2000000 の
範囲で設定します。クライアントは、ASA から（新規接続を作成
する）接続の初期パケットを送信するホストとして定義されま
す。access-list が class-map とともに使用され、この機能のトラ
フィックが照合される場合、接続制限は、アクセスリストに一致
するすべてのクライアントの累積接続数ではなく、ホストごとに
適用されます。デフォルトは 0 で、この場合は接続数が制限され
ません。このキーワードは、管理クラスマップでは使用できませ
ん。クラスに設定された場合、このキーワードでは、クラスにおい
てアクセスリストに一致する各ホストに許可される同時接続最
大数が制限されます。
random-sequence-number
{enable | disable}
TCP シーケンス番号ランダム化をイネーブルまたはディセーブ
ルにします。このキーワードは、管理クラスマップでは使用でき
ません。詳細については、「使用上のガイドライン」の項を参照し
てください。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-94
第1章
same-security-traffic コマンド～ shape コマンド
set connection
デフォルト
conn-max、embryonic-conn-max、per-client-embryonic-max、および per-client-max の各パラメー
タの n のデフォルト値は、0（接続数の制限なし）です。
シーケンス番号ランダム化は、デフォルトでイネーブルです。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
クラスコンフィギュレー
ション
コマンド履歴
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
7.0(1)
変更内容
7.1(1)
per-client-embryonic-max キーワードおよび per-client-max キーワードが追
加されました。
8.0(2)
このコマンドが、ASAへの管理トラフィックにおいて、レイヤ 3/4 管理クラス
マップでも使用できるようになりました。conn-max キーワードおよび
embryonic-conn-max キーワードだけが使用可能です。
9.0(1)
最大接続数が 65535 から 2000000 に増えました。
このコマンドが追加されました。
使用上のガイドライン
モジュラポリシーフレームワークを使用してこのコマンドを設定します。最初に、class-map コ
マンド（通過トラフィック）または class-map type management コマンド（管理トラフィック）を使
用して、タイムアウトを適用するトラフィックを定義します。次に、policy-map コマンドを入力し
てポリシーを定義し、class コマンドを入力してクラスマップを参照します。クラスコンフィギュ
レーションモードで、set connection コマンドを入力できます。最後に、service-policy コマンドを
使用して、インターフェイスにポリシーマップを適用します。モジュラポリシーフレームワーク
の動作の詳細については、CLI 設定ガイドを参照してください。
（注）
ASA モデル上の CPU コア数によっては、同時接続および初期接続の最大数が、各コアによる接続
の管理方法が原因で、設定されている数を超える場合があります。最悪の場合、ASA は最大 n-1 の
追加接続および初期接続を許可します。ここで、n はコアの数です。たとえば、モデルに 4 つのコア
があり、6 つの同時接続および 4 つの初期接続を設定した場合は、各タイプで 3 つの追加接続を使
用できます。ご使用のモデルのコア数を確認するには、show cpu core コマンドを入力します。
TCP 代行受信の概要
初期接続の数を制限することで、DoS 攻撃（サービス拒絶攻撃）から保護されます。ASA では、ク
ライアントあたりの制限値と初期接続の制限を利用して TCP 代行受信を開始します。代行受信
によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から
内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完
了していない接続要求のことです。TCP 代行受信では、SYN クッキーアルゴリズムを使用して
TCP SYN フラッディング攻撃を防ぎます。SYN フラッディング攻撃は、通常はスプーフィング
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-95
第1章
same-security-traffic コマンド～ shape コマンド
set connection
された IP アドレスから送信されてくる一連の SYN パケットで構成されています。SYN パケッ
トのフラッディングが定常的に生じると、SYN キューが一杯になる状況が続き、接続要求に対し
てサービスを提供できなくなります。接続の初期接続しきい値を超えると、ASA はサーバのプロ
キシとして動作し、クライアント SYN 要求に対する SYN-ACK 応答を生成します。ASA がクラ
イアントから ACK を受信すると、クライアントを認証し、サーバへの接続を許可できます。
TCP シーケンスのランダム化
それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで
生成され、もう 1 つはサーバで生成されます。ASA は、着信と発信の両方向で通過する TCP SYN
の ISN をランダム化します。
保護されたホストの ISN をランダム化することにより、攻撃者が新しい接続で次の ISN を予測
できないようにして、新規セッションが乗っ取られるのを防ぎます。
TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次に例を示し
ます。
•
別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラ
フィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要
がない場合。
•
ASA で eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダ
ム化により、MD5 チェックサムは分解されます。
•
ASA で接続のシーケンス番号をランダム化しないようにする必要がある WAAS デバイスを
使用する場合。
次に、set connection コマンドを使用して、同時接続最大数を 256 に設定し、TCP シーケンス番号
ランダム化をディセーブルにする例を示します。
例
ciscoasa(config)# policy-map localpolicy1
ciscoasa(config-pmap)# class local_server
ciscoasa(config-pmap-c)# set connection conn-max 256 random-sequence-number disable
ciscoasa(config-pmap-c)#
複数のパラメータを指定してこのコマンドを入力することも、各パラメータを個別のコマンド
として入力することもできます。ASA は、コマンドを実行コンフィギュレーション内で 1 行に結
合します。たとえば、クラスコンフィギュレーションモードで次の 2 つのコマンドを入力すると
します。
ciscoasa(config-pmap-c)# set connection conn-max 600
ciscoasa(config-pmap-c)# set connection embryonic-conn-max 50
show running-config policy-map コマンドの出力には、2 つのコマンドの結果が単一の結合コマ
ンドとして表示されます。
set connection conn-max 600 embryonic-conn-max 50
関連コマンド
コマンド
class
説明
clear configure
policy-map
すべてのポリシーマップコンフィギュレーションを削除します。ただ
し、例外として、ポリシーマップが service-policy コマンドで使用されて
いる場合、そのポリシーマップは削除されません。
トラフィックの分類に使用するクラスマップを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-96
第1章
same-security-traffic コマンド～ shape コマンド
set connection
policy-map
ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上の
アクションのアソシエーションです。
show running-config 現在のすべてのポリシーマップコンフィギュレーションを表示します。
policy-map
show service-policy
サービスポリシー設定を表示します。set connection コマンドを含むポ
リシーを表示するには、set connection キーワードを使用します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-97
第1章
same-security-traffic コマンド～ shape コマンド
set connection advanced-options
set connection advanced-options
TCP 正規化をカスタマイズするには、クラスコンフィギュレーションモードで set connection
advanced-options コマンドを使用します。TCP 正規化オプションを削除するには、このコマンドの
no 形式を使用します。
set connection advanced-options tcp_mapname
no set connection advanced-options tcp_mapname
構文の説明
tcp_mapname
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
tcp-map コマンドで作成された TCP マップの名前。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
クラスコンフィギュレー
ション
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
—
変更内容
このコマンドが追加されました。
TCP マップを使用して TCP 正規化をカスタマイズするには、モジュラポリシーフレームワーク
を使用します。
1.
tcp-map：TCP 正規化アクションを指定します。
2.
class-map：TCP 正規化アクションを実行するトラフィックを指定します。
3.
policy-map：クラスマップに関連付けるアクションを指定します。
a. class：アクションを実行するクラスマップを指定します。
b. set connection advanced options：TCP マップをクラスマップに適用します。
4.
例
service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当て
ます。
次に、set connection advanced-options コマンドを使用して、localmap という名前の TCP マップの
使用を指定する例を示します。
ciscoasa(config)# access-list http-server permit tcp any host 10.1.1.1
ciscoasa(config)# class-map http-server
ciscoasa(config-cmap)# match access-list http-server
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-98
第1章
same-security-traffic コマンド～ shape コマンド
set connection advanced-options
ciscoasa(config-cmap)# exit
ciscoasa(config)# tcp-map localmap
ciscoasa(config)# policy-map global_policy global
ciscoasa(config-pmap)# description This policy map defines a policy concerning connection
to http server.
ciscoasa(config-pmap)# class http-server
ciscoasa(config-pmap-c)# set connection advanced-options localmap
ciscoasa(config-pmap-c)#
関連コマンド
コマンド
class
説明
class-map
クラスマップコンフィギュレーションモードで match コマンドを 1 つ
だけ（tunnel-group および default-inspection-traffic を除く）発行し、一致
基準を指定することによって、トラフィッククラスを設定します。
clear configure
policy-map
すべてのポリシーマップコンフィギュレーションを削除します。ただ
し、ポリシーマップが service-policy コマンド内で使用されている場合、
そのポリシーマップは削除されません。
policy-map
ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上
のアクションのアソシエーションです。
トラフィックの分類に使用するクラスマップを指定します。
show running-config 現在のポリシーマップコンフィギュレーションをすべて表示します。
policy-map
tcp-map
TCP マップを作成します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-99
第1章
same-security-traffic コマンド～ shape コマンド
set connection advanced-options tcp-state-bypass
set connection advanced-options tcp-state-bypass
TCP ステートバイパスをイネーブルにするには、クラスコンフィギュレーションモードで set
connection advanced-options コマンドを使用します。クラスコンフィギュレーションモードに
は、ポリシーマップコンフィギュレーションモードからアクセスできます。TCP ステートバイ
パスをディセーブルにするには、このコマンドの no 形式を使用します。
set connection advanced-options tcp-state-bypass
no set connection advanced-options tcp-state-bypass
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトで、TCP ステートバイパスはディセーブルです。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
クラスコンフィギュレー
ション
コマンド履歴
使用上のガイドライン
リリース
8.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
TCP ステートバイパスをイネーブルにするには、モジュラポリシーフレームワークを使用し
ます。
1.
class-map：TCP ステートバイパスを実行するトラフィックを指定します。
2.
policy-map：クラスマップに関連付けるアクションを指定します。
a. class：アクションを実行するクラスマップを指定します。
b. set connection advanced options tcp-state-bypass：クラスマップに TCP ステートバイパ
スを適用します。
3.
service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当て
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-100
第1章
same-security-traffic コマンド～ shape コマンド
set connection advanced-options tcp-state-bypass
異なるデバイス経由での発信および着信フローの許可
デフォルトで、ASA を通過するすべてのトラフィックは、適応型セキュリティアルゴリズムを
使用して検査され、セキュリティポリシーに基づいて許可またはドロップされます。ASA では、
各パケットの状態（新規接続であるか、または確立済み接続であるか）がチェックされ、そのパ
ケットをセッション管理パス（新規接続の SYN パケット）、ファストパス（確立済みの接続）、ま
たはコントロールプレーンパス（高度なインスペクション）に割り当てることによって、ファイ
アウォールのパフォーマンスが最大化されます。
高速パスの既存の接続に一致する TCP パケットは、セキュリティポリシーのあらゆる面の再検
査を受けることなく ASA を通過できます。この機能によってパフォーマンスは最大になりま
す。ただし、SYN パケットを使用してファストパスにセッションを確立する方法、およびファス
トパスで行われるチェック（TCP シーケンス番号など）が、非対称ルーティングソリューション
の障害となる場合があります。これは、接続の発信フローと着信フローの両方が同じ ASA を通
過する必要があるためです。
たとえば、ある新しい接続が ASA 1 に開始されるとします。SYN パケットはセッション管理パス
を通過し、接続のエントリが高速パステーブルに追加されます。この接続の後続のパケットが
ASA 1 を通過する場合、パケットは高速パスのエントリと一致して、通過します。しかし、後続の
パケットが ASA 2 に到着すると、SYN パケットがセッション管理パスを通過していないために、
高速パスにはその接続のエントリがなく、パケットはドロップされます。
アップストリームルータに非対称ルーティングが設定されており、トラフィックが 2 つの ASA
を通過することがある場合は、特定のトラフィックに対して TCP ステートバイパスを設定でき
ます。TCP ステートバイパスは、高速パスでのセッションの確立方法を変更し、高速パスのイン
スペクションをディセーブルにします。この機能では、UDP 接続の処理と同様の方法で TCP ト
ラフィックが処理されます。指定されたネットワークと一致した非 SYN パケットが ASA に入っ
た時点で高速パスエントリが存在しない場合、高速パスで接続を確立するために、そのパケット
はセッション管理パスを通過します。いったん高速パスに入ると、トラフィックは高速パスのイ
ンスペクションをバイパスします。
サポートされていない機能
TCP ステートバイパスを使用するときは、次の機能はサポートされません。
•
アプリケーション検査：アプリケーション検査では、着信および発信トラフィックの両方が
同じ ASA を通過する必要があるため、TCP ステートバイパスではアプリケーション検査は
サポートされません。
•
AAA 認証セッション：ユーザがある ASA で認証される場合、他の ASA 経由で戻るトラ
フィックは、その ASA でユーザが認証されていないため、拒否されます。
•
TCP 代行受信、最大初期接続制限、TCP シーケンス番号ランダム化：ASA では接続の状態が
追跡されないため、これらの機能は適用されません。
•
TCP 正規化：TCP ノーマライザはディセーブルです。
•
SSM 機能：TCP ステートバイパスと、IPS や CSC などの SSM 上で実行されるアプリケー
ションを使用することはできません。
NAT の注意事項
変換セッションは ASA ごとに個別に確立されるので、TCP ステートバイパストラフィック用
に両方の ASA でスタティック NAT を設定してください。ダイナミック NAT を使用すると、
ASA 1 でのセッションに選択されるアドレスが、ASA 2 でのセッションに選択されるアドレスと
異なります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-101
第1章
same-security-traffic コマンド～ shape コマンド
set connection advanced-options tcp-state-bypass
接続タイムアウトの注意事項
特定の接続に 2 分間トラフィックがない場合、接続はタイムアウトします。このデフォルトは、
set connection timeout tcp コマンドを使用して上書きできます。通常の TCP 接続は、デフォルト
で 60 分後にタイムアウトします。
例
次に、TCP ステートバイパスのコンフィギュレーション例を示します。
ciscoasa(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
ciscoasa(config)# class-map tcp_bypass
ciscoasa(config-cmap)# description "TCP traffic that bypasses stateful firewall"
ciscoasa(config-cmap)# match access-list tcp_bypass
ciscoasa(config-cmap)# policy-map tcp_bypass_policy
ciscoasa(config-pmap)# class tcp_bypass
ciscoasa(config-pmap-c)# set connection advanced-options tcp-state-bypass
ciscoasa(config-pmap-c)# service-policy tcp_bypass_policy outside
関連コマンド
コマンド
class
説明
class-map
サービスポリシーで使用するクラスマップを作成します。
policy-map
クラスマップと 1 つ以上のアクションを関連付けるポリシーマップを
設定します。
service-policy
インターフェイスにポリシーマップを割り当てます。
set connection
timeout
接続タイムアウトを設定します。
ポリシーマップにクラスマップを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-102
第1章
same-security-traffic コマンド～ shape コマンド
set connection decrement-ttl
set connection decrement-ttl
ポリシーマップ内のトラフィッククラスにおいて存続可能時間の値をデクリメントするには、
クラスコンフィギュレーションモードで set connection decrement-ttl コマンドを使用します。
存続可能時間をデクリメントしない場合は、このコマンドの no 形式を使用します。
set connection decrement-ttl
no set connection decrement-ttl
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトで、ASA では、存続可能時間はデクリメントされません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
クラスコンフィギュレー
ション
コマンド履歴
リリース
7.2(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
このコマンド、および icmp unreachable コマンドは、ASA をホップの 1 つとして表示する ASA
経由の traceroute を可能とするために必要です。
例
次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定し
ます。
ciscoasa(config)# policy-map localpolicy1
ciscoasa(config-pmap)# class local_server
ciscoasa(config-pmap-c)# set connection decrement-ttl
ciscoasa(config-pmap-c)# exit
ciscoasa(config)# icmp unreachable rate-limit 50 burst-size 6
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-103
第1章
same-security-traffic コマンド～ shape コマンド
set connection decrement-ttl
関連コマンド
コマンド
class
説明
icmp unreachable
ICMP 到達不能メッセージが ASA を通過可能なレートを制御します。
policy-map
ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上
のアクションのアソシエーションです。
トラフィック分類に使用するクラスマップを指定します。
show running-config 現在のポリシーマップコンフィギュレーションをすべて表示します。
policy-map
show service-policy
サービスポリシー設定を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-104
第1章
same-security-traffic コマンド～ shape コマンド
set connection timeout
set connection timeout
ポリシーマップ内のトラフィッククラスに対して接続タイムアウトを指定するには、クラスコ
ンフィギュレーションモードで set connection timeout コマンドを使用します。タイムアウトを
削除するには、このコマンドの no 形式を使用します。
set connection timeout {[embryonic hh:mm:ss] [idle hh:mm:ss [reset]] [half-closed hh:mm:ss]
[dcd [retry_interval [max_retries]]]}
no set connection timeout {[embryonic hh:mm:ss] [idle hh:mm:ss [reset]] [half-closed hh:mm:ss]
[dcd [retry_interval [max_retries]]]}
構文の説明
dcd
デッド接続検出（DCD）をイネーブルにします。DCD では、デッド接続を検
出して、トラフィックをまだ処理できる接続を期限切れにすることなく、
そのデッド接続を期限切れにすることができます。DCD は、アイドル状態
でも有効な接続を維持する場合に設定します。TCP 接続がタイムアウト
すると、ASA は、エンドホストに DCD プローブを送信して接続の有効性
を判断します。最大再試行回数を超えてもエンドホストの一方が応答しな
い場合、ASA はその接続を解放します。両方のエンドホストが応答して接
続の有効性が確認されると、ASA はアクティビティタイムアウトを現在
時刻に更新し、それに応じてアイドルタイムアウトを再スケジュールし
ます。
embryonic
hh:mm:ss
TCP 初期（ハーフオープン）接続が閉じられるまでのタイムアウト期間を
0:0:5 ～ 1193:0:0 の範囲で設定します。デフォルト値は 0:0:30 です。値を 0
に設定することもできます。これは、接続がタイムアウトになることはな
いことを意味します。初期接続とは、スリーウェイハンドシェイクが完了
していない TCP 接続です。
half-closed
hh:mm:ss
ハーフクローズ接続が閉じられるまでのアイドルタイムアウト期間を、
9.1(1) 以前の場合は 0:5:0 ～ 1193:0:0 の範囲、9.1(2) 以降の場合は 0:0:30 ～
1193:0: 0 の範囲で設定します。デフォルト値は 0:10:0 です。値を 0 に設定す
ることもできます。これは、接続がタイムアウトになることはないことを
意味します。ハーフクローズの接続は DCD の影響を受けません。また、
ASA は、ハーフクローズ接続を切断するときにリセットパケットを送信
しません。
idle hh:mm:ss
あるプロトコルの確立済み接続が閉じられるまでのアイドルタイムアウ
ト期間を設定します。有効な範囲は 0:0:1 ～ 1193:0:0 です。
max_retries
DCD において、何回連続して再試行に失敗すると接続がデッドであると
見なされるかを設定します。最小値は 1、最大値は 255 です。デフォルトは
5 です。
reset
TCP トラフィックに対してのみ、アイドル接続が削除された後に両方の
エンドシステムに対して TCP RST パケットを送信します。
retry_interval
DCD プローブに応答がない場合に次のプローブを送信するまでの
hh:mm:ss 形式の間隔を 0:0:1 ～ 24:0:0 の範囲で指定します。デフォルト値
は 0:0:15 です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-105
第1章
same-security-traffic コマンド～ shape コマンド
set connection timeout
timeout コマンドを使用してデフォルトをグローバルに変更していない場合、デフォルトは次の
とおりです。
デフォルト
コマンドモード
•
デフォルトの embryonic タイムアウトは 30 秒です。
•
デフォルトの half-closed アイドルタイムアウトは 10 分です。
•
デフォルトの dcd max_retries の値は 5 です。
•
デフォルトの dcd retry_interval の値は 15 秒です。
•
デフォルトの idle タイムアウトは 1 時間です。
•
デフォルトの udp アイドルタイムアウトは 2 分です。
•
デフォルトの icmp アイドルタイムアウトは 2 秒です。
•
デフォルトの esp および ha アイドルタイムアウトは 30 秒です。
•
その他すべてのプロトコルでは、デフォルトのアイドルタイムアウトは 2 分です。
•
タイムアウトにならないようにするには、0:0:0 を入力します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
クラスコンフィギュレー
ション
コマンド履歴
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
7.0(1)
変更内容
7.2(1)
DCD のサポートが追加されました。
8.2(2)
tcp キーワードが、すべてのプロトコルのアイドルタイムアウトを制御する
idle に代わって廃止されました。
9.1(2)
half-closed の最小値が小さくなり、30 秒（0:0:30）になりました。
このコマンドが追加されました。
モジュラポリシーフレームワークを使用してこのコマンドを設定します。最初に、class-map コ
マンドを使用して、タイムアウトを適用するトラフィックを定義します。次に、policy-map コマン
ドを入力してポリシーを定義し、class コマンドを入力してクラスマップを参照します。クラスコ
ンフィギュレーションモードで、set connection timeout コマンドを入力できます。最後に、
service-policy コマンドを使用して、インターフェイスにポリシーマップを適用します。モジュラ
ポリシーフレームワークの動作の詳細については、CLI 設定ガイドを参照してください。
show service-policy コマンドには、DCD からのアクティビティ量を示すためのカウンタが含ま
れます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-106
第1章
same-security-traffic コマンド～ shape コマンド
set connection timeout
例
次に、すべてのトラフィックの接続タイムアウトを設定する例を示します。
ciscoasa(config)# class-map CONNS
ciscoasa(config-cmap)# match any
ciscoasa(config-cmap)# policy-map CONNS
ciscoasa(config-pmap)# class CONNS
ciscoasa(config-pmap-c)# set connection timeout idle 2:0:0 embryonic 0:40:0 half-closed
0:20:0 dcd
ciscoasa(config-pmap-c)# service-policy CONNS interface outside
複数のパラメータを使用して set connection コマンドを入力するか、各パラメータを別々のコマン
ドとして入力できます。ASA は、コマンドを実行コンフィギュレーション内で 1 行に結合します。
たとえば、クラスコンフィギュレーションモードで次の 2 つのコマンドを入力するとします。
ciscoasa(config-pmap-c)# set connection timeout idle 2:0:0
ciscoasa(config-pmap-c)# set connection timeout embryonic 0:40:0
この場合、show running-config policy-map コマンドの出力には、2 つのコマンドの結果が次の単
一の結合コマンドとして表示されます。
set connection timeout tcp 2:0:0 embryonic 0:40:0
関連コマンド
コマンド
class
説明
clear configure
policy-map
すべてのポリシーマップコンフィギュレーションを削除します。ただ
し、ポリシーマップが service-policy コマンド内で使用されている場合、
そのポリシーマップは削除されません。
policy-map
ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上の
アクションのアソシエーションです。
set connection
接続の値を設定します。
トラフィックの分類に使用するクラスマップを指定します。
show running-config 現在のポリシーマップコンフィギュレーションをすべて表示します。
policy-map
show service-policy
DCD およびその他のサービスアクティビティのカウンタを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-107
第1章
same-security-traffic コマンド～ shape コマンド
set local-preference
set local-preference
自律システム（AS）パスにプリファレンス値を指定するには、ルートマップコンフィギュレー
ションモードで set local-preference コマンドを使用します。エントリを削除するには、このコマ
ンドの no 形式を使用します。
set local-preference number-value
no set local-preference number-value
構文の説明
number-value
デフォルト
プリファレンス値は 100 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
プリファレンス値。0 ～ 4294967295 の整数。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
プリファレンスは、ローカル自律システム内のすべてのルータにのみ送信されます。
あるルーティングプロトコルから別のルーティングプロトコルにルートを再配布する条件を
定義するには、route-map グローバルコンフィギュレーションコマンドと、match および set
route-map コンフィギュレーションコマンドを使用します。route-map コマンドごとに、それに
関連した match および set コマンドのリストがあります。match コマンドは、一致基準、つまり現
在の route-map コマンドについて再配布を許可する条件を指定します。set コマンドには、set 処
理、つまり match コマンドで指定した基準を満たしている場合に実行する特定の再配布アク
ションを指定します。 no route-map コマンドは、ルートマップを削除します。
set route-map コンフィギュレーションコマンドを使用すると、ルートマップのすべての一致基
準が満たされたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、
すべての set 処理が実行されます。
bgp default local-preference コマンドを使用して、デフォルトのプリファレンス値を変更でき
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-108
第1章
same-security-traffic コマンド～ shape コマンド
set local-preference
例
次に、アクセスリスト 1 に含まれるすべてのルートに対して、ローカルプリファレンスを 100 に
設定する例を示します。
ciscoasa(config-route-map)# route-map map-preference
ciscoasa(config-route-map)# match as-path 1
ciscoasa(config-route-map)# set local-preference 100
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-109
第1章
same-security-traffic コマンド～ shape コマンド
set metric
set metric
ルートマップ内の OSPF およびその他のダイナミックルーティングプロトコルのルートのメ
トリック値を設定するには、ルートマップコンフィギュレーションモードで set metric コマン
ドを使用します。OSPF およびその他のダイナミックルーティングプロトコルのメトリック値
をデフォルトに戻すには、このコマンドの no 形式を使用します。
set metric metric-value | [bandwidth delay reliability loading mtu]
no set metric metric-value | [bandwidth delay reliability loading mtu]
構文の説明
bandwidth
ルートの EIGRP 帯域幅（kbps）。有効値の範囲は、0 ～ 4294967295 で
す。
delay
EIGRP ルート遅延（10 マイクロ秒単位）。有効値の範囲は、0 ～
4294967295 です。
loading
0 ～ 255 の数値で表される、ルートの有効な EIGRP 帯域幅。値 255 は、
100% のロードを意味します。
metric-value
数値で表される、OSPF およびその他のダイナミックルーティングプ
ロトコル（EIGRP 以外）のルートのメトリック値。有効値の範囲は、0 ～
4294967295 です。
mtu
EIGRP のルートの最小 MTU サイズ（バイト単位）。有効値の範囲は、0
～ 4294967295 です。
reliability
0 ～ 255 の数値で表される、EIGRP のパケット伝送の成功確率。値 255
は 100% の信頼性を意味し、0 は信頼性がないことを意味します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
•
Yes
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
7.0(1)
変更内容
8.2(5)
ルートマップ内の EIGRP をサポートするために、引数 bandwidth、
delay、reliability、loading、および mtu が追加されました。
9.0(1)
マルチコンテキストモードがサポートされています。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-110
トランスペ
アレント
シングル
第1章
same-security-traffic コマンド～ shape コマンド
set metric
使用上のガイドライン
no set metric コマンドを使用すると、OSPF およびその他のダイナミックルーティングプロトコ
ルのメトリック値をデフォルトに戻すことができます。このコンテキストでは、metric-value 引
数は 0 ～ 4294967295 の整数です。
例
次に、OSPF ルーティングのルートマップを設定する例を示します。
ciscoasa(config)# route-map
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
route-map maptag1 permit 8
set metric 5
match metric 5
maptag1 permit 8
set metric 5
match metric 5
show route-map
次に、ルートマップ内の EIGRP のメトリック値を設定する例を示します。
ciscoasa(config)# access-list route-out line 1 standard permit 10.1.1.0 255.255.255.0
ciscoasa(config)# route-map rmap permit 10
ciscoasa(config-route-map)# set metric 10000 60 100 1 1500
ciscoasa(config-route-map)# show route-map rmap
route-map rmap, permit, sequence 10
Match clauses:
ip address (access-lists): route-out
Set clauses:
metric 10000 60 100 1 1500
ciscoasa(config-route-map)# show running-config route-map
route-map rmap permit 10
match ip address route-out
set metric 10000 60 100 1 1500
関連コマンド
コマンド
match interface
説明
match ip next-hop
指定したアクセスリストのいずれかによって渡されるネクストホッ
プルータアドレスを持つルートを配布します。
route-map
あるルーティングプロトコルから別のルーティングプロトコルに
ルートを再配布する条件を定義します。
指定したいずれかのインターフェイスの外部にネクストホップを持
つルートを配布します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-111
第1章
same-security-traffic コマンド～ shape コマンド
set metric（BGP、OSPF、RIP）
set metric（BGP、OSPF、RIP）
ルーティングプロトコルのメトリック値を設定するには、ルートマップコンフィギュレーショ
ンモードで set metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマ
ンドの no 形式を使用します。
set metric metric-value
no set metric
構文の説明
metric-value
デフォルト
動的に学習されたメトリック値。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
メトリック値または帯域幅（K ビット /秒単位）。0 ～ 4294967295 の整数
値です。この引数は、Enhanced Interior Gateway Routing Protocol（EIGRP）
を除くすべてのルーティングプロトコルに適用されます。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
デフォルト値を変更する前に、シスコのテクニカルサポート担当者に問い合わせてください。
あるルーティングプロトコルから別のルーティングプロトコルにルートを再配布する条件を
定義するには、route-map グローバルコンフィギュレーションコマンドと、match および
set route-map コンフィギュレーションコマンドを使用します。route-map コマンドごとに、それ
に関連した match および set コマンドのリストがあります。match コマンドは、一致基準（現在の
route-map コマンドで再配布が許可される条件）を指定します。set コマンドは、set 処理（match
コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション）を
指定します。no route-map コマンドは、ルートマップを削除します。
set route-map コンフィギュレーションコマンドは、ルートマップのすべての一致基準が満たさ
れたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべての set
処理が実行されます。
例
次に、ルーティングプロトコルのメトリック値を 100 に設定する例を示します。
ciscoasa(config-route-map)# route-map set-metric 100
ciscoasa(config-route-map)# set metric 100
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-112
第1章
same-security-traffic コマンド～ shape コマンド
set metric-type
set metric-type
OSPF メトリックルートのタイプを指定するには、ルートマップコンフィギュレーションモード
で set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使
用します。
set metric-type{type-1 | type-2}
no set metric-type
構文の説明
type-1
指定された自律システムの外部にある OSPF メトリックルートのタ
イプを指定します。
type-2
指定された自律システムの外部にある OSPF メトリックルートのタ
イプを指定します。
デフォルト
デフォルトは、type-2 です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
ルートマップコンフィギュ
レーション
コマンド履歴
例
•
Yes
—
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
7.0(1)
変更内容
9.0(1)
マルチコンテキストモードがサポートされています。
—
このコマンドが追加されました。
次に、OSPF ルーティングのルートマップを設定する例を示します。
ciscoasa(config)# route-map
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
ciscoasa(config-route-map)#
route-map maptag1 permit 8
set metric 5
set metric-type type-2
match metric 5
ciscoasa(config-route-map)#
ciscoasa(config)#
maptag1 permit 8
set metric 5
match metric 5
set metric-type type-2
show route-map
exit
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-113
第1章
same-security-traffic コマンド～ shape コマンド
set metric-type
関連コマンド
コマンド
match interface
説明
route-map
あるルーティングプロトコルから別のルーティングプロトコルに
ルートを再配布する条件を定義します。
set metric
ルートマップの宛先ルーティングプロトコルのメトリック値を指定
します。
指定したいずれかのインターフェイスの外部にネクストホップを持
つ、すべてのルートを配布します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-114
第1章
same-security-traffic コマンド～ shape コマンド
set metric-type internal
set metric-type internal
ネクストホップの内部ゲートウェイプロトコル（IGP）のメトリックと照合するために外部 BGP
（eBGP）ネイバーにアドバタイズされたプレフィックスに Multi Exit Discriminator（MED）を設定す
るには、ルートマップコンフィギュレーションモードで set metric-type internal コマンドを使用し
ます。デフォルトに戻すには、このコマンドの no 形式を使用します。
set metric-type internal
no set metric-type internal
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドデフォルト
このコマンドは、デフォルトでディセーブルになっています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
このコマンドを指定すると、BGP はルートのネクストホップと関連付けられた IGP メトリック
に対応する MED 値をアドバタイズします。このコマンドは、生成された内部 BGP（iBGP）生成
ルートおよび eBGP 生成ルートに適用されます。
このコマンドを使用すると、共通の自律システム内の複数の BGP スピーカーが 1 つの特定のプレ
フィックスに対して異なる MED 値をアドバタイズできます。また、IGP メトリックが変更された
場合、BGP によって 10 分ごとにルートが再アドバタイズされることに注意してください。
あるルーティングプロトコルから別のルーティングプロトコルにルートを再配布する条件を
定義するには、route-map グローバルコンフィギュレーションコマンドと、match および set
route-map コンフィギュレーションコマンドを使用します。route-map コマンドごとに、それに
関連した match および set コマンドのリストがあります。match コマンドは、一致基準（現在の
route-map コマンドで再配布が許可される条件）を指定します。set コマンドは、set 処理（match
コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション）を
指定します。no route-map コマンドは、ルートマップを削除します。
set route-map コンフィギュレーションコマンドは、ルートマップのすべての一致基準が満たさ
れたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべての set
処理が実行されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-115
第1章
same-security-traffic コマンド～ shape コマンド
set metric-type internal
（注）
例
このコマンドは、ボーダーゲートウェイプロトコル（BGP）へのルートの再配布ではサポートさ
れていません。
次に、ネイバー 172.16.2.3 へのすべてのアドバタイズ済みルートの MED 値を、ネクストホップの
対応する IGP メトリックに設定する例を示します。
ciscoasa(config)# router bgp 109
ciscoasa(config-router)# address-family ipv4
ciscoasa(config-router-af)# network 172.16.0.0
ciscoasa(config-router-af)# neighbor 172.16.2.3 remote-as 200
ciscoasa(config-router-af)# neighbor 172.16.2.3 route-map setMED out
ciscoasa(config-route-map)# route-map setMED permit 10
ciscoasa(config-route-map)# match as-path as-path-acl
ciscoasa(config-route-map)# set metric-type internal
ciscoasa(config-route-map)# ip as-path access-list as-path-acl permit .*
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-116
第1章
same-security-traffic コマンド～ shape コマンド
set ip next-hop BGP
set ip next-hop BGP
ポリシールーティングにおいてルートマップの match 句を通過するパケットの出力先を示すに
は、ルートマップコンフィギュレーションモードで set ip next-hop コマンドを使用します。エント
リを削除するには、このコマンドの no 形式を使用します。
set ip next-hop ip-address [... ip-address] [peer-address]
no set ip next-hop ip-address [... ip-address] [peer-address]
構文の説明
ip-address
パケットが出力される出力先ネクストホップの IP アドレス。隣接ルー
タである必要はありません。
peer-address
（オプション）ネクストホップを BGP ピアアドレスに設定します。
デフォルト
このコマンドは、デフォルトでディセーブルになっています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
コマンド構文の省略記号（...）は、コマンド入力で ip-address 引数に複数の値を含めることができ
ることを示します。
ポリシールーティングパケットに関する条件を定義するには、ip policy route-map インター
フェイスコンフィギュレーションコマンド、route-map グローバルコンフィギュレーションコ
マンド、match および set コンフィギュレーションコマンドを使用します。ip policy route-map コ
マンドは、名前でルートマップを識別します。route-map コマンドごとに、それに関連した
match および set コマンドのリストがあります。match コマンドは、一致基準（ポリシールーティ
ングが発生する条件）を指定します。set コマンドは、set 処理（match コマンドによって強制され
る基準が満たされた場合に実行される特定のルーティングアクション）を指定します。
set next-hop コマンドで指定された最初のネクストホップがダウン状態になると、任意で指定さ
れた IP アドレスが使用されます。
BGP ピアのインバウンドルートマップで peer-address キーワードを指定し、set next-hop
command コマンドを使用すると、受信した一致するルートのネクストホップをネイバーピアア
ドレスに設定し、サードパーティのネクストホップを上書きします。したがって、同じルートマッ
プを複数の BGP ピアに適用すると、サードパーティのネクストホップを上書きできます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-117
第1章
same-security-traffic コマンド～ shape コマンド
set ip next-hop BGP
BGP ピアのアウトバウンドルートマップで peer-address キーワードを指定し、set next-hop コ
マンドを使用すると、アドバタイズされた一致するルートのネクストホップをローカルルータ
のピアアドレスに設定し、ネクストホップ計算をディセーブルにします。他のルートではなく、
一部のルートにネクストホップを設定できるので、set next-hop コマンドは、（ネイバー単位の）
neighbor next-hop-self コマンドよりも詳細に設定できます。neighbor next-hop-self コマンドは、
そのネイバーに送信されたすべてのルートにネクストホップを設定します。
set 句は互いに組み合わせて使用できます。set 句は次の順で評価されます。
（注）
例
1.
set next-hop
2.
set interface
3.
set default next-hop
4.
set default interface
反映されたルートの一般的な設定エラーを回避するために、BGP ルートリフレクタクライアン
トに適用するルートマップで set next-hop コマンドを使用しないでください。
次の例では、3 台のルータが同じ LAN 上にあります（IP アドレス 10.1.1.1、10.1.1.2、および
10.1.1.3）。それぞれが異なる自律システム（AS）です。set ip next-hop peer-address コマンドは、ルー
トマップと一致する、リモート自律システム 100 内のルータ（10.1.1.3）からリモート自律システ
ム 300 内のルータ（10.1.1.1）へのトラフィックが、LAN への相互接続上で自律システム 100 内の
ルータ（10.1.1.1）に直接送信されるのではなく、ルータ bgp 200 を通過するように指定します。
ciscoasa(config)# router bgp 200
ciscoasa(config-router)# address-family ipv4
ciscoasa(config-router-af)# neighbor 10.1.1.3 remote-as 300
ciscoasa(config-router-af)# neighbor 10.1.1.3 route-map set-peer-address out
ciscoasa(config-router-af)# neighbor 10.1.1.1 remote-as 100
ciscoasa(config-route-af)# route-map set-peer-address permit 10
ciscoasa(config-route-map)# set ip next-hop peer-address
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-118
第1章
same-security-traffic コマンド～ shape コマンド
set origin（BGP）
set origin（BGP）
BGP 送信元コードを設定するには、ルートマップコンフィギュレーションモードで set origin
コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set origin {igp | egp autonomous-system-number | incomplete}
no set origin {igp | egp autonomous-system-number | incomplete}
構文の説明
autonomous-system- リモート自律システム番号。この引数の値の範囲は、1 ～ 65535 の有効な
number
自律システム番号です。
egp
外部ゲートウェイプロトコル（EGP）のローカルシステム。
igp
内部ゲートウェイプロトコル（IGP）のリモートシステム。
incomplete
不明な継承。
デフォルト
ルートの起点は、メイン IP ルーティングテーブルのルートのパス情報に基づいています。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
ルートマップコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
ルートの起点を設定する場合は、match 句を使用する必要があります（「permit everything」リスト
を指している場合でも）。ルートを BGP に再配布するときの特定の起点を設定するには、このコ
マンドを使用します。ルートが再配布されると、通常、起点は incomplete として記録され、BGP
テーブルでは ? で識別されます。
あるルーティングプロトコルから別のルーティングプロトコルにルートを再配布する条件を
定義するには、route-map グローバルコンフィギュレーションコマンドと、match および
set route-map コンフィギュレーションコマンドを使用します。route-map コマンドごとに、それ
に関連した match および set コマンドのリストがあります。match コマンドは、一致基準（現在の
route-map コマンドで再配布が許可される条件）を指定します。set コマンドは、set 処理（match
コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション）を
指定します。no route-map コマンドは、ルートマップを削除します。
set route-map コンフィギュレーションコマンドは、ルートマップのすべての一致基準が満たさ
れたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべての set
処理が実行されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-119
第1章
same-security-traffic コマンド～ shape コマンド
set origin（BGP）
例
次に、ルートマップを IGP に渡すルートの起点を設定する例を示します。
ciscoasa(config-route-map)# route-map set_origin
ciscoasa(config-route-map)# match as-path 10
ciscoasa(config-route-map)# set origin igp
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-120
第1章
same-security-traffic コマンド～ shape コマンド
set weight
set weight
ルーティングテーブルの BGP 重みを指定するには、ルートマップコンフィギュレーション
モードで set weight コマンドを使用します。エントリを削除するには、このコマンドの no 形式を
使用します。
set weight number
no set weight number
構文の説明
number
デフォルト
重みは指定のルートマップによって変更されません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
重み値。0 ～ 65535 の範囲の整数に設定できます。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ルートマップコンフィギュ
レーション
コマンド履歴
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
実行された重みは、最初に一致した自律システム（AS）パスに基づいています。自律システムパス
が一致したときに表示された重みは、グローバルな neighbor コマンドによって割り当てられた重
みを上書きします。つまり、set weight route-map コンフィギュレーションコマンドで割り当てら
れた重みは、neighbor weight コマンドを使用して割り当てられた重みを上書きします。
例
次に、自律システムパスアクセスリストと一致するルートの BGP 重みを 200 に設定する例を
示します。
ciscoasa(config-route-map)# route-map set-weight
ciscoasa(config-route-map)# match as-path as_path_acl
iscoasa(config-route-map)# set weight 200
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-121
第1章
same-security-traffic コマンド～ shape コマンド
setup
setup
対話形式のプロンプトを使用して ASA の最小限のコンフィギュレーションを設定するには、グ
ローバルコンフィギュレーションモードで setup コマンドを入力します。
setup
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.4(1)
ASA 5510 以降のルーテッドモードでは、設定されたインターフェイスは、
「inside」インターフェイスではなく管理スロット / ポートインターフェイスに
なりました。ASA 5505 の場合、設定されたインターフェイスは「inside」イン
ターフェイスではなく VLAN 1 インターフェイスです。
9.0(1)
デフォルトコンフィギュレーションプロンプトが変更され、セットアップ
プロセスを終了するための Ctrl + Z がイネーブルになりました。
このコマンドが追加されました。
フラッシュメモリにスタートアップコンフィギュレーションがない場合は、起動時にセット
アッププロンプトが自動的に表示されます。
setup コマンドによって、ASDM 接続を確立するための最小コンフィギュレーションが順を追っ
て示されます。このコマンドは、コンフィギュレーションがないか、コンフィギュレーションが
部分的にしかないユニット向けに設計されたものです。工場出荷時のコンフィギュレーション
をサポートするモデルを使用している場合は、setup コマンドではなく工場出荷時のコンフィ
ギュレーションを使用することを推奨します（デフォルトのコンフィギュレーションに戻すに
は、configure factory-default コマンドを使用します）。
setup コマンドには、「management」という名前が付けられたインターフェイスが必要です。
setup コマンドを入力すると、表 1-1 の情報の入力を求められます。表示されたパラメータにコ
ンフィギュレーションがすでに存在する場合は、そのコンフィギュレーションが角カッコで囲
まれて表示されるため、その値をデフォルトとして受け入れるか、または新しい値を入力してそ
の値を上書きできます。使用可能なプロンプトは、モデルによって異なる場合があります。シス
テムの setup コマンドには、これらのプロンプトのサブセットが含まれています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-122
第1章
same-security-traffic コマンド～ shape コマンド
setup
表 1-1
setup のプロンプト
プロンプト
説明
Pre-configure Firewall
now through
interactive prompts
[yes]?
yes または no を入力します。yes と入力すると、セットアップが続行され
ます。no を入力すると、セットアップが停止し、グローバルコンフィ
ギュレーションプロンプト（ciscoasa(config)#）が表示されます。
Firewall Mode
[Routed]:
routed または transparent を入力します。
Enable password:
イネーブルパスワードを入力します（パスワードは、3 文字以上であ
る必要があります）。
Allow password
recovery [yes]?
yes または no を入力します。
Clock (UTC):
このフィールドには何も入力できません。UTC 時間がデフォルトで使
用されます。
Year:
4 桁の年（2005 など）を入力します。年の範囲は 1993 ～ 2035 です。
Month:
月名の先頭の 3 文字（9 月の場合は Sep など）を使用して月を入力しま
す。
Day:
日付（1 ～ 31）を入力します。
Time:
時間、分、および秒を 24 時間形式で入力します。たとえば、午後 8 時 54
分 44 秒の場合は、20:54:44 と入力します。
Host name:
コマンドラインプロンプトに表示するホスト名を入力します。
Domain name:
ASA を実行するネットワークのドメイン名を入力します。
IP address of host
running Device
Manager:
ASDM にアクセスする必要があるホストの IP アドレスを入力します。
Use this configuration
and save to flash
(yes)?
yes または no を入力します。yes を入力すると、inside インターフェイ
スがイネーブルになり、要求されたコンフィギュレーションがフラッ
シュパーティションに書き込まれます。
no を入力すると、セットアッププロンプトが、最初の質問から繰り返
されます。
Pre-configure Firewall now through interactive prompts [yes]?
セットアップを終了する場合は Ctrl + Z を入力し、プロンプトを繰り
返す場合は yes を入力します。
例
次に、setup コマンドを完了する例を示します。
ciscoasa(config)# setup
Pre-configure Firewall now through interactive prompts [yes]?yes
Firewall Mode [Routed]: routed
Enable password [<use current password>]: writer
Allow password recovery [yes]?yes
Clock (UTC):
Year: 2005
Month: Nov
Day: 15
Time: 10:0:0
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-123
第1章
same-security-traffic コマンド～ shape コマンド
setup
Host name: tech_pubs
Domain name: example.com
IP address of host running Device Manager: 10.1.1.1
The following configuration will be used:
Enable password: writer
Allow password recovery: yes
Clock (UTC): 20:54:44 Sep 17 2005
Firewall Mode: Routed
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: tech_pubs
Domain name: example.com
IP address of host running Device Manager: 10.1.1.1
Use this configuration and write to flash?yes
関連コマンド
コマンド
configure
factory-default
説明
デフォルトのコンフィギュレーションに戻します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-124
第1章
same-security-traffic コマンド～ shape コマンド
sfr
sfr
トラフィックを ASA FirePOWER モジュールにリダイレクトするには、クラスコンフィギュ
レーションモードで sfr コマンドを使用します。リダイレクトを削除するには、このコマンドの
no 形式を使用します。
sfr {fail-close | fail-open} [monitor-only]
no sfr {fail-close | fail-open} [monitor-only]
構文の説明
fail-close
モジュールが使用できない場合にトラフィックをブロックするように
ASA を設定します。
fail-open
モジュールが使用できない場合に、ASA ポリシーのみを適用してトラ
フィックの通過を許可するように ASA を設定します。
monitor-only
トラフィックの読み取り専用コピーをモジュールに送信します（パッ
シブモード）。キーワードを指定しない場合、トラフィックはインライ
ンモードで送信されます。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
クラスコンフィギュレー
ション
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
クラスコンフィギュレーションモードにアクセスするには、policy-map コマンドを入力します。
ASA に sfr コマンドを設定する前または後に、FireSIGHT 管理センターを使用してモジュールに
セキュリティポリシーを設定します。
sfr コマンドを設定するには、まず、class-map コマンド、policy-map コマンド、および class コマ
ンドを設定する必要があります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-125
第1章
same-security-traffic コマンド～ shape コマンド
sfr
トラフィックフロー
ASA FirePOWER モジュールは、ASA から個別のアプリケーションを実行します。ただし、そのア
プリケーションは ASA のトラフィックフローに統合されます。ASA でトラフィックのクラスに
対して sfr コマンドを適用すると、次のように、トラフィックは ASA およびモジュールを経由し
ます。
1.
トラフィックは ASA に入ります。
2.
着信 VPN トラフィックが復号化されます。
3.
ファイアウォールポリシーが適用されます。
4.
バックプレーンを介して ASA FirePOWER モジュールにトラフィックが送信されます。
5.
モジュールはそのセキュリティポリシーをトラフィックに適用し、適切なアクションを実
行します。
6.
インラインモードでは、有効なトラフィックがバックプレーンを介してASA に返送されま
す。ASA FirePOWER モジュールがセキュリティポリシーに従ってトラフィックをブロック
することがあり、そのトラフィックは渡されません。パッシブモードではトラフィックが戻
されず、モジュールはトラフィックをブロックできません。
7.
発信 VPN トラフィックが暗号化されます。
8.
トラフィックが ASA から出ます。
ASA の機能との互換性
ASA には、HTTP インスペクションを含む多数の高度なアプリケーションインスペクション機
能があります。ただし、ASA FirePOWER モジュールには ASA よりも高度な HTTP インスペク
ション機能があり、その他のアプリケーションについても、アプリケーション使用状況のモニタ
リングや制御などの機能が追加されています。
ASA FirePOWER モジュールの機能を最大限に活用するには、ASA FirePOWER モジュールに送
信するトラフィックに関する次のガイドラインを参照してください。
•
HTTP トラフィックに対して ASA インスペクションを設定しないでください。
•
クラウド Web セキュリティ（ScanSafe）インスペクションを設定しないでください。同じト
ラフィックに対して ASA FirePOWER インスペクションとクラウド Web セキュリティイン
スペクションの両方を設定した場合、ASA では ASA FirePOWER インスペクションのみが実
行されます。
•
ASA 上の他のアプリケーションインスペクションは ASA FirePOWER モジュールと互換性
があり、これにはデフォルトインスペクションも含まれます。
•
Mobile User Security（MUS）サーバをイネーブルにしないでください。これは、ASA
FirePOWER モジュールとの間に互換性がありません。
•
フェールオーバーをイネーブルにすると、ASA のフェールオーバーが発生した場合、既存の
ASA FirePOWER フローはすべて新しい ASA に転送されます。新しい ASA 内の ASA
FirePOWER モジュールはその時点から先のトラフィックのインスペクションを開始し、古
いインスペクション状態は転送されません。
モニタ専用モード
モニタ専用モードでのトラフィックフローは、インラインモードの場合と同じです。異なるの
は、ASA FirePOWER モジュールがトラフィックを ASA に戻さないという点だけです。代わり
に、モジュールは、セキュリティポリシーをトラフィックに適用し、インラインモードの場合に
行われる処理（イベントでトラフィックに「would have dropped」というマークが付けられるなど）
を通知します。この情報をトラフィック分析に使用し、インラインモードが適切かどうかを判断
できます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-126
第1章
same-security-traffic コマンド～ shape コマンド
sfr
（注）
例
ASA 上でモニタ専用モードと通常のインラインモードの両方を同時に設定できません。セキュ
リティポリシーの 1 つのタイプのみが許可されます。マルチコンテキストモードで、一部のコ
ンテキストにモニタ専用モードを設定し、他のコンテキストに通常のインラインモードを設定
することはできません。
次に、すべての HTTP トラフィックを ASA FirePOWER モジュールに迂回させ、何らかの理由で
このモジュールに障害が発生した場合にはすべての HTTP トラフィックをブロックする例を示
します。
ciscoasa(config)# access-list ASASFR permit tcp any any eq port 80
ciscoasa(config)# class-map my-sfr-class
ciscoasa(config-cmap)# match access-list ASASFR
ciscoasa(config-cmap)# policy-map my-sfr-policy
ciscoasa(config-pmap)# class my-sfr-class
ciscoasa(config-pmap-c)# sfr fail-close
ciscoasa(config-pmap-c)# service-policy my-cx-policy global
次に、10.1.1.0 ネットワークおよび 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを ASA
FirePOWER モジュールに迂回させ、何らかの理由でこのモジュールに障害が発生してもすべて
のトラフィックの通過を許可する例を示します。
ciscoasa(config)# access-list my-sfr-acl permit ip any 10.1.1.0 255.255.255.0
ciscoasa(config)# access-list my-sfr-acl2 permit ip any 10.2.1.0 255.255.255.0
ciscoasa(config)# class-map my-sfr-class
ciscoasa(config-cmap)# match access-list my-sfr-acl
ciscoasa(config)# class-map my-sfr-class2
ciscoasa(config-cmap)# match access-list my-sfr-acl2
ciscoasa(config-cmap)# policy-map my-sfr-policy
ciscoasa(config-pmap)# class my-sfr-class
ciscoasa(config-pmap-c)# sfr fail-open
ciscoasa(config-pmap)# class my-sfr-class2
ciscoasa(config-pmap-c)# sfr fail-open
ciscoasa(config-pmap-c)# service-policy my-sfr-policy interface outside
関連コマンド
コマンド
class
説明
class-map
ポリシーマップ用にトラフィックを識別します。
hw-module module reload
モジュールをリロードします。
hw-module module reset
リセットを実行してから、モジュールをリロードします。
hw-module module shutdown
モジュールをシャットダウンします。
policy-map
ポリシーを設定します。これは、1 つのトラフィッククラ
スと 1 つ以上のアクションのアソシエーションです。
show asp table classify domain sfr
トラフィックを ASA FirePOWER モジュールに送信する
ために作成された NP ルールを表示します。
show module
モジュールのステータスを表示します。
show running-config policy-map
現在のポリシーマップコンフィギュレーションをすべて
表示します。
show service-policy
サービスポリシー統計情報を表示します。
sw-module module sfr reload
ソフトウェアモジュールをリロードします。
トラフィック分類に使用するクラスマップを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-127
第1章
same-security-traffic コマンド～ shape コマンド
sfr
コマンド
sw-module module sfr reset
説明
sw-module module sfr recover
ソフトウェアモジュールブートイメージをインストール
します。
sw-module module sfr shutdown
ソフトウェアモジュールをシャットダウンします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-128
ソフトウェアモジュールをリセットします。
第1章
same-security-traffic コマンド～ shape コマンド
shape
shape
QoS トラフィックシェーピングをイネーブルにするには、クラスコンフィギュレーションモー
ドで shape コマンドを使用します。ASA などの、ファストイーサネットを使用してパケットを高
速に送信するデバイスが存在し、そのデバイスがケーブルモデムなどの低速デバイスに接続さ
れている場合、ケーブルモデムがボトルネックとなり、ケーブルモデムでパケットが頻繁にド
ロップされます。さまざまな回線速度を持つネットワークを管理するために、低い固定レートで
パケットを送信するように ASA を設定できます。これをトラフィックシェーピングと呼びま
す。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
（注）
トラフィックシェーピングは、ASA 5505、5510、5520、5540、および 5550 のみでサポートされま
す。（ASA 5500-X などの）マルチコアモデルでは、シェーピングをサポートしていません。
shape average rate [burst_size]
no shape average rate [burst_size]
構文の説明
average rate
一定期間におけるトラフィックの平均レート（ビット /秒）を 64000 ～
154400000 の範囲で設定します。8000 の倍数の値を指定します。期間
の計算方法の詳細については、「使用上のガイドライン」の項を参照し
てください。
burst_size
一定期間において送信可能な平均バーストサイズ（ビット単位）を
2048 ～ 154400000 の範囲で設定します。128 の倍数の値を指定します。
burst_size を指定しない場合、デフォルト値は指定した平均レートでの
4 ミリ秒のトラフィックに相当する値になります。たとえば、平均レー
トが 1000000 ビット /秒の場合、4 ミリ秒では 1000000 * 4/1000 = 4000
になります。
デフォルト
burst_size を指定しない場合、デフォルト値は指定した平均レートでの 4 ミリ秒のトラフィック
に相当する値になります。たとえば、平均レートが 1000000 ビット /秒の場合、4 ミリ秒では
1000000 * 4/1000 = 4000 になります。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
クラスコンフィギュレー
ション
コマンド履歴
リリース
7.2(4)/8.0(4)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-129
第1章
same-security-traffic コマンド～ shape コマンド
shape
使用上のガイドライン
トラフィックシェーピングをイネーブルにするには、モジュラポリシーフレームワークを使用
します。
1.
policy-map：class-default クラスマップに関連付けるアクションを指定します。
a. class class-default：アクションを実行する class-default クラスマップを指定します。
b. shape：トラフィックシェーピングをクラスマップに適用します。
c. （オプション）service-policy：シェーピングされたトラフィックのサブセットに対してプ
ライオリティキューイングを適用できるように、priority コマンドを設定した異なるポ
リシーマップを呼び出します。
2.
service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当て
ます。
トラフィックシェーピングの概要
トラフィックシェーピングは、デバイスとリンクの速度を一致させることで、ジッタや遅延の原因
になる可能性のあるパケット損失、可変遅延、およびリンク飽和を制御するために使用されます。
•
トラフィックシェーピングは、物理インターフェイスのすべての発信トラフィック、または
ASA 5505 の場合は VLAN 上のすべての発信トラフィックに適用する必要があります。特定
のタイプのトラフィックにはトラフィックシェーピングを設定できません。
•
トラフィックシェーピングは、パケットがインターフェイスで送信する準備ができている
場合に実装されます。そのため、レートの計算は、IPsec ヘッダーや L2 ヘッダーなどの潜在的
なすべてのオーバーヘッドを含む、送信されるパケットの実際のサイズに基づいて実行され
ます。
•
シェーピングされるトラフィックには、through-the-box トラフィックと from-the-box トラ
フィックの両方が含まれます。
•
シェープレートの計算は、標準トークンバケットアルゴリズムに基づいて行われます。
トークンバケットサイズは、バーストサイズ値の 2 倍です。トークンバケットの詳細につ
いては、CLI 設定ガイドを参照してください。
•
バースト性のトラフィックが指定されたシェープレートを超えると、パケットはキューに
入れられて、後で送信されます。次に、シェーピングキューのいくつかの特性について説明
します（階層型プライオリティキューイングの詳細については、priority コマンドを参照し
てください）。
– キューのサイズは、シェープレートに基づいて計算されます。キューは、1500 バイトの
パケットとして 200 ミリ秒に相当するシェープレートトラフィックを保持できます。最
小キューサイズは 64 です。
– キューの制限に達すると、パケットはキューの末尾からドロップされます。
– OSPF Hello パケットなどの一部の重要なキープアライブパケットは、ドロップされま
せん。
– 時間間隔は、time_interval = burst_size / average_rate によって求められます。時間間隔が
長くなるほど、シェープトラフィックのバースト性は高くなり、リンクのアイドル状態
が長くなる可能性があります。この効果は、次のような誇張した例を使うとよく理解で
きます。
平均レート = 1000000
バーストサイズ = 1000000
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-130
第1章
same-security-traffic コマンド～ shape コマンド
shape
この例では、時間間隔は 1 秒であり、これは、100 Mbps の FE リンクでは 1 Mbps のトラ
フィックを時間間隔 1 秒の最初の 10 ミリ秒内にバースト送信できることを意味し、残り
の 990 ミリ秒間はアイドル状態になって、次の時間間隔になるまでパケットを送信でき
ません。したがって、音声トラフィックのように遅延が問題になるトラフィックがある
場合は、バーストサイズを平均レートと比較して小さくし、時間間隔を短くする必要が
あります。
QoS 機能の相互作用のしくみ
ASA で必要な場合は、個々の QoS 機能を単独で設定できます。ただし、普通は、たとえば一部の
トラフィックを優先させて、他のトラフィックによって帯域幅の問題が発生しないようにする
ために、複数の QoS 機能を ASA に設定します。
次に、インターフェイスごとにサポートされる機能の組み合わせを示します。
•
標準プライオリティキューイング（特定のトラフィックについて）+ ポリシング（その他のト
ラフィックについて）
同じトラフィックのセットに対して、プライオリティキューイングとポリシングを両方設
定することはできません。
•
トラフィックシェーピング（1 つのインターフェイス上のすべてのトラフィック）+ 階層型
プライオリティキューイング（トラフィックのサブセット）。
同じインターフェイスに対して、トラフィックシェーピングと標準プライオリティキューイン
グを設定することはできません。階層型プライオリティキューイングのみを設定できます。たと
えば、グローバルポリシーに標準プライオリティキューイングを設定して、特定のインター
フェイスにトラフィックシェーピングを設定する場合、最後に設定した機能は拒否されます。こ
れは、グローバルポリシーがインターフェイスポリシーと重複するためです。
通常、トラフィックシェーピングをイネーブルにした場合、同じトラフィックに対してはポリシ
ングをイネーブルにしません。ただし、このような設定は ASA では制限されていません。
例
次に、outside インターフェイスのすべてのトラフィックでトラフィックシェーピングをイネー
ブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリ
ティを付ける例を示します。
ciscoasa(config)# class-map TG1-voice
ciscoasa(config-cmap)# match tunnel-group tunnel-grp1
ciscoasa(config-cmap)# match dscp ef
ciscoasa(config)# policy-map priority-sub-policy
ciscoasa(config-pmap)# class TG1-voice
ciscoasa(config-pmap-c)# priority
ciscoasa(config-pmap-c)# policy-map shape_policy
ciscoasa(config-pmap)# class class-default
ciscoasa(config-pmap-c)# shape
ciscoasa(config-pmap-c)# service-policy priority-sub-policy
ciscoasa(config-pmap-c)# service-policy shape_policy interface outside
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-131
第1章
same-security-traffic コマンド～ shape コマンド
shape
関連コマンド
コマンド
class
説明
police
QoS ポリシングをイネーブルにします。
policy-map
サービスポリシーのトラフィックに適用するアクションを指定します。
priority
QoS プライオリティキューイングをイネーブルにします。
ポリシーマップ内でアクションを実行するクラスマップを指定します。
service-policy（クラス）階層型ポリシーマップを適用します。
service-policy（グローバサービスポリシーをインターフェイスに適用します。
ル）
show service-policy
QoS 統計情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
1-132
CH A P T E R
2
show aaa kerberos コマンド～ show asdm
sessions コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-1
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa kerberos
show aaa kerberos
ASA にキャッシュされたすべての Kerberos チケットを表示するには、webvpn コンフィギュレー
ションモードで show aaa kerberos コマンドを使用します。
show aaa kerberos [username user | host ip | hostname]
構文の説明
host
表示するホストを指定します。
hostname
ホスト名を指定します。
ip
ホストの IP アドレスを指定します。
username
表示するユーザを指定します。
デフォルト
このコマンドにはデフォルトはありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
webvpn コンフィギュレー
ション
コマンド履歴
使用上のガイドライン
例
リリース
8.4(1)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
ASA にキャッシュされたすべての Kerberos チケットを表示するには、webvpn コンフィギュレー
ションモードで show aaa kerberos コマンドを使用します。username および host キーワードを
使用して、特定のユーザまたはホストの Kerberos チケットを表示します。
以下に、show aaa kerberos コマンドの使用例を示します。
ciscoasa(config)# show aaa kerberos
Default Principal
Valid Starting Expires
Service Principal
[email protected]
06/29/10 17:33:00 06/30/10 17:33:00 asa$/[email protected]
[email protected]
06/29/10 17:33:00 06/30/10 17:33:00
http/[email protected]
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-2
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa kerberos
関連コマンド
コマンド
clear aaa kerberos
説明
clear configure
aaa-server
すべての AAA コマンドステートメントをコンフィギュレー
ションから削除します。
show running-config
aaa-server
すべての AAA サーバ、特定のサーバグループ、特定のグループ
内の特定のサーバ、または特定のプロトコルの AAA サーバ統計
情報を表示します。
ASA でキャッシュされたすべての Kerberos チケットをクリアし
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-3
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa local user
show aaa local user
現在ロックされているユーザ名のリストを表示するか、またはユーザ名の詳細を表示するには、
グローバルコンフィギュレーションモードで aaa local user コマンドを使用します。
show aaa local user [locked]
構文の説明
locked
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）現在ロックされているユーザ名のリストを表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
オプションのキーワード locked を省略すると、ASA によって、すべての AAA ローカルユーザの
失敗試行およびロックアウトステータスの詳細が表示されます。
username オプションを使用して単一のユーザを指定するか、all オプションを使用してすべての
ユーザを指定できます。
このコマンドは、ロックアウトされているユーザのステータスだけに影響します。
管理者をデバイスからロックアウトすることはできません。
例
次に、show aaa local user コマンドを使用して、すべてのユーザ名のロックアウトステータスを
表示する例を示します。
次に、制限を 5 回に設定した後に show aaa local user コマンドを使用して、すべての AAA ローカ
ルユーザの失敗した認証試行回数およびロックアウトステータスの詳細を表示する例を示し
ます。
ciscoasa(config)# aaa local authentication attempts max-fail 5
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts
Locked User
6
Y
test
2
N
mona
1
N
cisco
4
N
newuser
ciscoasa(config)#
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-4
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa local user
次に、制限を 5 回に設定した後に lockout キーワードを指定して show aaa local user コマンドを
使用し、ロックアウトされている AAA ローカルユーザのみの失敗した認証試行回数およびロッ
クアウトステータスの詳細を表示する例を示します。
ciscoasa(config)# aaa local authentication attempts max-fail 5
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts
Locked User
6
Y
test
ciscoasa(config)#
関連コマンド
コマンド
説明
aaa local authentication ユーザが何回誤ったパスワードを入力するとロックアウトされるか
attempts max-fail
を示す最大回数を設定します。
clear aaa local user
ロックアウトステータスを変更しないで、失敗試行回数を 0 にリ
fail-attempts
セットします。
clear aaa local user
指定したユーザまたはすべてのユーザのロックアウトステータスを
lockout
クリアして、それらのユーザの失敗試行カウンタを 0 に設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-5
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa-server
show aaa-server
AAA サーバの AAA サーバ統計情報を表示するには、特権 EXEC モードで show aaa-server コマ
ンドを使用します。
show aaa-server [LOCAL | groupname [host hostname] | protocol protocol]
構文の説明
LOCAL
（オプション）ローカルユーザデータベースの統計情報を表示します。
groupname
（オプション）グループ内のサーバの統計情報を表示します。
host hostname
（オプション）グループ内の特定のサーバの統計情報を表示します。
protocol protocol
（オプション）以下からプロトコルを指定して、サーバの統計情報を表
示します。
•
kerberos
•
ldap
•
nt
•
radius
•
sdi
•
tacacs+
デフォルト
デフォルトで、すべての AAA サーバ統計情報が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
コンテキストシステム
•
Yes
—
リリース
7.1(1)
変更内容
8.0(2)
aaa-server active コマンドまたは fail コマンドを使用して手動でステー
タスが変更されたかどうかがサーバステータスに表示されるようにな
りました。
http-form プロトコルが追加されました。
次に、show aaa-server コマンドの出力例を示します。
ciscoasa(config)# show aaa-server group1 host 192.68.125.60
Server Group: group1
Server Protocol: RADIUS
Server Address: 192.68.125.60
Server port: 1645
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-6
マルチ
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa-server
Server status: ACTIVE.Last transaction (success) at 11:10:08 UTC
Number of pending requests
20
Average round trip time
4ms
Number of authentication requests 20
Number of authorization requests 0
Number of accounting requests
0
Number of retransmissions
1
Number of accepts
16
Number of rejects
4
Number of challenges
5
Number of malformed responses
0
Number of bad authenticators
0
Number of timeouts
0
Number of unrecognized responses 0
Fri Aug 22
次の表に、show aaa-server コマンドのフィールドの説明を示します。
フィールド
説明
Server Group
aaa-server コマンドによって指定されたサーバグループ名。
Server Protocol
aaa-server コマンドによって指定されたサーバグループの
サーバプロトコル。
Server Address
AAA サーバの IP アドレス。
Server port
ASAおよび AAA サーバによって使用される通信ポート。
RADIUS 認証ポートは、authentication-port コマンドを使用
して指定できます。RADIUS アカウンティングポートは、
accounting-port コマンドを使用して指定できます。非
RADIUS サーバでは、ポートは server-port コマンドによっ
て設定されます。
Server status
サーバのステータス。次のいずれかの値が表示されます。
•
ACTIVE：ASA はこの AAA サーバと通信します。
•
FAILED：ASA はこの AAA サーバと通信できません。こ
の状態になったサーバは、設定されているポリシーに応
じて一定期間この状態のままとなった後、再アクティブ
化されます。
ステータスの後に「(admin initiated)」と表示されている場合、
このサーバは、aaa-server active コマンドまたは fail コマン
ドを使用して手動で障害発生状態にされたか、または再アク
ティブ化されています。
最終トランザクション日時を次の形式で示します。
Last transaction ({success | failure}) at time timezone
date
ASA がサーバと通信したことがない場合は、次のメッセージ
が表示されます。
Last transaction at Unknown
Number of pending requests
現在進行中の要求数。
Average round trip time
サーバとのトランザクションを完了するまでにかかる平均
時間。
Number of authentication requests
ASA によって送信された認証要求数。タイムアウト後の再送
信は、この値には含まれません。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-7
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show aaa-server
フィールド
説明
Number of authorization requests
認可要求数。この値は、コマンド認可、コンピュータを通過す
るトラフィック（TACACS+ サーバの場合）の認可、トンネル
グループでイネーブルにされた WebVPN および IPsec 認可
機能が原因の認可要求を指します。タイムアウト後の再送信
は、この値には含まれません。
Number of accounting requests
アカウンティング要求数。タイムアウト後の再送信は、この
値には含まれません。
Number of retransmissions
内部タイムアウト後にメッセージが再送信された回数。この
値は、Kerberos および RADIUS サーバ（UDP）にのみ適用され
ます。
Number of accepts
成功した認証要求数。
Number of rejects
拒否された要求数。この値には、エラー状態、および実際にク
レデンシャルが AAA サーバから拒否された場合の両方が含
まれます。
Number of challenges
最初にユーザ名とパスワードの情報を受信した後に、AAA
サーバがユーザに対して追加の情報を要求した回数。
Number of malformed responses
該当なし。将来的な使用のために予約されています。
Number of bad authenticators
次のいずれかが発生した回数。
•
RADIUS パケットの「authenticator」ストリングが破損し
ている（まれなケース）。
•
ASA の共有秘密キーと RADIUS サーバの共有秘密キー
が一致しない。この問題を修正するには、正しいサーバ
キーを入力します。
この値は、RADIUS にのみ適用されます。
Number of timeouts
ASA が、AAA サーバが応答しない、または動作が不正である
ことを検出し、オフラインであると見なした回数。
Number of unrecognized responses 認識できない応答またはサポートしていない応答を ASA が
AAA サーバから受信した回数。たとえば、サーバからの
RADIUS パケットコードが不明なタイプ（既知の
「access-accept」、「access-reject」、「access-challenge」または
「accounting-response」以外のタイプ）である場合です。通常、
これは、サーバからの RADIUS 応答パケットが破損している
ことを意味していますが、まれなケースです。
関連コマンド
コマンド
show running-config
aaa-server
説明
clear aaa-server
statistics
AAA サーバ統計情報をクリアします。
指定したサーバグループ内のすべてのサーバ、または特定のサーバの
統計情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-8
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show access-list
show access-list
アクセスリストのヒットカウンタおよびタイムスタンプ値を表示するには、特権 EXEC モード
で show access-list コマンドを使用します。
show access-list id_1 [...[id_2]] [brief]
構文の説明
brief
（オプション）アクセスリスト ID、ヒットカウント、および最終ルール
ヒットのタイムスタンプをすべて 16 進形式で表示します。
id_1
既存のアクセスリストを識別する名前または文字セット。
id_2
（オプション）既存のアクセスリストを識別する名前または文字セット。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
8.0(2)
変更内容
8.3(1)
ACL タイムスタンプを表示するよう ACE 表示パターンを変更しました。
brief キーワードのサポートが追加されました。
1 つのコマンドに複数のアクセスリスト識別子を入力することによって、一度に複数のアクセ
スリストを表示できます。
brief キーワードを指定して、アクセスリストヒットカウント、ID、およびタイムスタンプ情報
を 16 進形式で表示できます。16 進形式で表示されるコンフィギュレーション ID は、3 列に表示
され、Syslog 106023 および 106100 で使用されるものと同じ ID です。
クラスタリングのガイドライン
ASA クラスタリングを使用する場合、トラフィックが単一のユニットにより受信された場合で
も、クラスタリングのダイレクタロジックにより、その他のユニットは ACL のヒットカウント
を示す場合があります。これは予期された動作です。クライアントから直接パケットを受信しな
かったユニットは、所有者要求に応じてクラスタ制御リンクを介して転送されたパケットを受
信することがあるため、ユニットはパケットを受信ユニットに戻す前に ACL をチェックするこ
とがあります。このため、トラフィックがユニットを通過しなかった場合でも ACL ヒットカウ
ントが増分されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-9
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show access-list
例
次に、16 進形式で指定されたアクセスポリシー（ヒットカウントがゼロではない ACE）に関する
簡単な情報の例を示します。最初の 2 列には、ID が 16 進形式で表示され、3 番目の列にはヒットカ
ウントがリストされ、4 番目の列には、タイムスタンプ値が 16 進形式で表示されます。ヒットカウ
ントの値は、トラフィックがルールにヒットした回数を表します。タイムスタンプ値は、最終ヒッ
トの時刻を報告します。ヒットカウントがゼロの場合、情報は表示されません。
次に、show access-list コマンドの出力例を示します。これは、「IN」方向の outside インターフェイ
スに適用される、アクセスリスト名「test」を示します。
ciscoasa# show access-list test
access-list test; 3 elements; name hash: 0xcb4257a3
access-list test line 1 extended permit icmp any any (hitcnt=0) 0xb422e9c2
access-list test line 2 extended permit object-group TELNET-SSH object-group S1
object-group D1 0x44ae5901
access-list test line 2 extended permit tcp 100.100.100.0 255.255.255.0 10.10.10.0
255.255.255.0 eq telnet (hitcnt=1) 0xca10ca21
access-list test line 2 extended permit tcp 100.100.100.0 255.255.255.0 10.10.10.0
255.255.255.0 eq ssh(hitcnt=1) 0x5b704158
次に、object-group-search グループがイネーブルになっていない場合の show access-list コマン
ドの出力例を示します。
ciscoasa# show access-list KH-BLK-Tunnel
access-list KH-BLK-Tunnel; 9 elements
access-list KH-BLK-Tunnel line 1 extended permit ip object-group KH-LAN object-group
BLK-LAN 0x724c956b
access-list KH-BLK-Tunnel line 1 extended permit ip 192.168.97.0 255.255.255.0
192.168.4.0 255.255.255.0 (hitcnt=10) 0x30fe29a6
access-list KH-BLK-Tunnel line 1 extended permit ip 13.13.13.0 255.255.255.0
192.168.4.0 255.255.255.0 (hitcnt=4) 0xc6ef2338
access-list KH-BLK-Tunnel line 1 extended permit ip 192.168.97.0 255.255.255.0
14.14.14.0 255.255.255.0 (hitcnt=2) 0xce8596ec
access-list KH-BLK-Tunnel line 1 extended permit ip 13.13.13.0 255.255.255.0 14.14.14.0
255.255.255.0 (hitcnt=0) 0x9a2f1c4d
access-list KH-BLK-Tunnel line 2 extended permit ospf interface pppoe1 host 87.139.87.200
(hitcnt=0) 0xb62d5832
access-list KH-BLK-Tunnel line 3 extended permit ip interface pppoe1 any (hitcnt=0)
0xa2c9ed34
access-list KH-BLK-Tunnel line 4 extended permit ip host 1.1.1.1 any (hitcnt=0) 0xd06f7e6b
access-list KH-BLK-Tunnel line 5 extended deny ip 1.1.0.0 255.255.0.0 any (hitcnt=0)
0x9d979934
access-list KH-BLK-Tunnel line 6 extended permit ip 1.1.1.0 255.255.255.0 any (hitcnt=0)
0xa52a0761
次に、object-group-search グループがイネーブルになっている場合の show access-list コマンド
の出力例を示します。
ciscoasa# show access-list KH-BLK-Tunnel
access-list KH-BLK-Tunnel; 6 elements
access-list KH-BLK-Tunnel line 1 extended
BLK-LAN(2)(hitcount=16) 0x724c956b
access-list KH-BLK-Tunnel line 2 extended
(hitcnt=0) 0xb62d5832
access-list KH-BLK-Tunnel line 3 extended
0xa2c9ed34
access-list KH-BLK-Tunnel line 4 extended
access-list KH-BLK-Tunnel line 5 extended
0x9d979934
access-list KH-BLK-Tunnel line 6 extended
0xa52a0761
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-10
permit ip object-group KH-LAN(1) object-group
permit ospf interface pppoe1 host 87.139.87.200
permit ip interface pppoe1 any (hitcnt=0)
permit ip host 1.1.1.1 any (hitcnt=0) 0xd06f7e6b
deny ip 1.1.0.0 255.255.0.0 any (hitcnt=0)
permit ip 1.1.1.0 255.255.255.0 any (hitcnt=0)
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show access-list
次に、Telnet トラフィックが通過する際の show access-list brief コマンドの出力例を示します。
ciscoasa (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
ca10ca21 44ae5901 00000001 4a68aa7e
次に、SSH トラフィックが通過する際の show access-list brief コマンドの出力例を示します。
ciscoasa (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
ca10ca21 44ae5901 00000001 4a68aa7e
5b704158 44ae5901 00000001 4a68aaa9
次に、show access-list コマンドの出力例を示します。これは、ACL 最適化がイネーブルになって
いる、「IN」方向の outside インターフェイスに適用される、アクセスリスト名「test」を示します。
ciscoasa# show access-list test
access-list test; 3 elements; name hash: 0xcb4257a3
access-list test line 1 extended permit icmp any any (hitcnt=0) 0xb422e9c2
access-list test line 2 extended permit object-group TELNET-SSH object-group S1
object-group D1 0x44ae5901
access-list test line 2 extended permit tcp object-group S1(1) object-group D1(2) eq
telnet (hitcnt=1) 0x7b1c1660
access-list test line 2 extended permit tcp object-group S1(1) object-group D1(2) eq ssh
(hitcnt=1) 0x3666f922
次に、Telnet トラフィックが通過する際の show access-list brief コマンドの出力例を示します。
ciscoasa (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
7b1c1660 44ae5901 00000001 4a68ab51
次に、SSH トラフィックが通過する際の show access-list brief コマンドの出力例を示します。
ciscoasa (config)# sh access-list test brief
access-list test; 3 elements; name hash: 0xcb4257a3
7b1c1660 44ae5901 00000001 4a68ab51
3666f922 44ae5901 00000001 4a68ab66
関連コマンド
コマンド
access-list ethertype
説明
access-list extended
アクセスリストをコンフィギュレーションに追加し、ファイアウォー
ルを通過する IP トラフィック用のポリシーを設定します。
EtherType に基づいてトラフィックを制御するアクセスリストを設定
します。
clear access-list
アクセスリストカウンタをクリアします。
clear configure
access-list
実行コンフィギュレーションからアクセスリストをクリアします。
show running-config
access-list
現在実行しているアクセスリストコンフィギュレーションを表示し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-11
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
show activation-key
永続ライセンス、アクティブな時間ベースライセンス、および永続ライセンスとアクティブな時
間ベースライセンスの組み合わせである実行ライセンスを表示するには、特権 EXEC モードで
show activation-key コマンドを使用します。フェールオーバーユニットでは、このコマンドに
よって、プライマリおよびセカンダリユニットの結合キーである、「フェールオーバークラス
タ」ライセンスも表示されます。
show activation-key [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
非アクティブな時間ベースライセンスを表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.0(4)
detail キーワードが追加されました。
8.2(1)
出力が変更されて、追加のライセンス情報が含まれるようになりました。
8.3(1)
出力に、機能で使用されるのが永続キーまたは時間ベースキーのいずれであ
るか、および使用中の時間ベースキーの期間が含まれるようになりました。
インストールされているすべての時間ベースキー（アクティブと非アクティ
ブの両方）も表示されます。
8.4(1)
ペイロード暗号化機能のないモデルのサポート。
このコマンドが追加されました。
一部の永続ライセンスでは、アクティブ化後に ASA をリロードする必要があります。表 2-1 に、
リロードが必要なライセンスを示します。
表 2-1
永続ライセンスのリロード要件
モデル
リロードが必要なライセンスアクション
すべてのモデル
暗号化ライセンスのダウングレード。
ASAv
vCPU ライセンスのダウングレード。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-12
トランスペ
アレント
シングル
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
リロードが必要な場合は、show activation-key 出力は次のようになります。
The flash activation key is DIFFERENT from the running key.
The flash activation key takes effect after the next reload.
ペイロード暗号化機能のないモデルでライセンスを表示すると、VPN およびユニファイドコ
ミュニケーションライセンスはリストに示されません。
例
例 2-1
show activation-key コマンドのスタンドアロンユニットの出力
次に、実行ライセンス（永続ライセンスと時間ベースライセンスの組み合わせ）、およびアクティ
ブな各時間ベースライセンスを示す、スタンドアロンユニットの show activation-key コマンド
の出力例を示します。
ciscoasa# show activation-key
Serial Number: JMX1232L11M
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Running Timebased Activation Key: 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
Licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 150
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 10
GTP/GPRS
: Enabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 750
Total VPN Peers
: 750
Shared License
: Enabled
Shared AnyConnect Premium Peers : 12000
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 12
Total UC Proxy Sessions
: 12
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
62 days
62 days
646 days
perpetual
This platform has a Base license.
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter
: Enabled
646 days
0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
Total UC Proxy Sessions
: 10
62 days
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-13
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
例 2-2
show activation-key detail のスタンドアロンユニットの出力
次に、実行ライセンス（永続ライセンスと時間ベースライセンスの組み合わせ）、および永続ライ
センスとインストールされている各時間ベースライセンス（アクティブおよび非アクティブ）を
示す、スタンドアロンユニットの show activation-key detail コマンドの出力例を示します。
ciscoasa# show activation-key detail
Serial Number: 88810093382
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Licensed features for this platform:
Maximum Physical Interfaces
: 8
VLANs
: 20
Dual ISPs
: Enabled
VLAN Trunk Ports
: 8
Inside Hosts
: Unlimited
Failover
: Active/Standby
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 25
Total VPN Peers
: 25
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 2
Total UC Proxy Sessions
: 2
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Disabled
perpetual
DMZ Unrestricted
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
39 days
perpetual
This platform has an ASA 5505 Security Plus license.
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Licensed features for this platform:
Maximum Physical Interfaces
: 8
VLANs
: 20
Dual ISPs
: Enabled
VLAN Trunk Ports
: 8
Inside Hosts
: Unlimited
Failover
: Active/Standby
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 25
Total VPN Peers
: 25
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 2
Total UC Proxy Sessions
: 2
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Disabled
perpetual
DMZ Unrestricted
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
39 days
perpetual
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter
: Enabled
39 days
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-14
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
Inactive Timebased Activation Key:
0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3
AnyConnect Premium Peers
: 25
7 days
例 2-3
show activation-key detail のフェールオーバーペアのプライマリユニットの出力
次に、プライマリフェールオーバーユニットの show activation-key detail コマンドの出力例を
示します。次のライセンスが表示されます。
•
プライマリユニットライセンス（永続ライセンスと時間ベースライセンスの組み合わせ）。
•
プライマリおよびセカンダリユニットのライセンスの組み合わせである、「フェールオー
バークラスタ」ライセンス。これは、ASA で実際に実行されているライセンスです。プライマ
リおよびセカンダリライセンスの組み合わせを反映したこのライセンスの値は、太字に
なっています。
•
プライマリユニットの永続ライセンス。
•
プライマリユニットのインストール済みの時間ベースライセンス（アクティブおよび非ア
クティブ）。
ciscoasa# show activation-key detail
Serial Number: P3000000171
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 150
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 12
GTP/GPRS
: Enabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 750
Total VPN Peers
: 750
Shared License
: Disabled
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 2
Total UC Proxy Sessions
: 2
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
33 days
perpetual
This platform has an ASA 5520 VPN Plus license.
Failover cluster licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
perpetual
Maximum VLANs
: 150
perpetual
Inside Hosts
: Unlimited
perpetual
Failover
: Active/Active perpetual
VPN-DES
: Enabled
perpetual
VPN-3DES-AES
: Enabled
perpetual
Security Contexts
: 12
perpetual
GTP/GPRS
: Enabled
perpetual
AnyConnect Premium Peers
: 4
perpetual
AnyConnect Essentials
: Disabled
perpetual
Other VPN Peers
: 750
perpetual
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-15
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
Total VPN Peers
Shared License
AnyConnect for Mobile
AnyConnect for Cisco VPN Phone
Advanced Endpoint Assessment
UC Phone Proxy Sessions
Total UC Proxy Sessions
Botnet Traffic Filter
Intercompany Media Engine
:
:
:
:
:
:
:
:
:
750
Disabled
Disabled
Disabled
Disabled
4
4
Enabled
Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
33 days
perpetual
This platform has an ASA 5520 VPN Plus license.
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 150
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Disabled
Security Contexts
: 2
GTP/GPRS
: Disabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 750
Total VPN Peers
: 750
Shared License
: Disabled
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 2
Total UC Proxy Sessions
: 2
Botnet Traffic Filter
: Disabled
Intercompany Media Engine
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter
: Enabled
33 days
Inactive Timebased Activation Key:
0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3
Security Contexts
: 2
7 days
AnyConnect Premium Peers
: 100
7 days
0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4
Total UC Proxy Sessions
: 100
14 days
例 2-4
show activation-key detail のフェールオーバーペアのセカンダリユニットの出力
次に、セカンダリフェールオーバーユニットの show activation-key detail コマンドの出力例を
示します。次のライセンスが表示されます。
•
セカンダリユニットライセンス（永続ライセンスと時間ベースライセンスの組み合わせ）。
•
プライマリおよびセカンダリユニットのライセンスの組み合わせである、「フェールオー
バークラスタ」ライセンス。これは、ASA で実際に実行されているライセンスです。プライマ
リおよびセカンダリライセンスの組み合わせを反映したこのライセンスの値は、太字に
なっています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-16
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
•
セカンダリユニットの永続ライセンス。
•
セカンダリのインストール済みの時間ベースライセンス（アクティブおよび非アクティ
ブ）。このユニットには時間ベースライセンスはないため、この出力例には何も表示されま
せん。
ciscoasa# show activation-key detail
Serial Number: P3000000011
Running Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
Licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 150
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Disabled
Security Contexts
: 2
GTP/GPRS
: Disabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 750
Total VPN Peers
: 750
Shared License
: Disabled
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 2
Total UC Proxy Sessions
: 2
Botnet Traffic Filter
: Disabled
Intercompany Media Engine
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
This platform has an ASA 5520 VPN Plus license.
Failover cluster licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
perpetual
Maximum VLANs
: 150
perpetual
Inside Hosts
: Unlimited
perpetual
Failover
: Active/Active perpetual
VPN-DES
: Enabled
perpetual
VPN-3DES-AES
: Enabled
perpetual
Security Contexts
: 10
perpetual
GTP/GPRS
: Enabled
perpetual
AnyConnect Premium Peers
: 4
perpetual
AnyConnect Essentials
: Disabled
perpetual
Other VPN Peers
: 750
perpetual
Total VPN Peers
: 750
perpetual
Shared License
: Disabled
perpetual
AnyConnect for Mobile
: Disabled
perpetual
AnyConnect for Cisco VPN Phone
: Disabled
perpetual
Advanced Endpoint Assessment
: Disabled
perpetual
UC Phone Proxy Sessions
: 4
perpetual
Total UC Proxy Sessions
: 4
perpetual
Botnet Traffic Filter
: Enabled
33 days
Intercompany Media Engine
: Disabled
perpetual
This platform has an ASA 5520 VPN Plus license.
Running Permanent Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
Licensed features for this platform:
Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 150
perpetual
perpetual
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-17
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
Inside Hosts
Failover
VPN-DES
VPN-3DES-AES
Security Contexts
GTP/GPRS
AnyConnect Premium Peers
AnyConnect Essentials
Other VPN Peers
Total VPN Peers
Shared License
AnyConnect for Mobile
AnyConnect for Cisco VPN Phone
Advanced Endpoint Assessment
UC Phone Proxy Sessions
Total UC Proxy Sessions
Botnet Traffic Filter
Intercompany Media Engine
:
:
:
:
:
:
:
:
:
:
Unlimited
Active/Active
Enabled
Disabled
2
Disabled
: 2
: Disabled
: 750
: 750
: Disabled
: Disabled
: Disabled
: Disabled
2
2
Disabled
Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
The flash permanent activation key is the SAME as the running permanent key.
例 2-5
show activation-key に対する、ライセンスを持たない ASAv のスタンドアロンユニットの出力
展開された 1 vCPU ASAv の次の出力では、空白のアクティベーションキー、ライセンスなしの
ステータス、および vCPU ライセンスを 1 つインストールすることを求めるメッセージが示され
ています。
（注）
コマンド出力に、「This platform has an ASAv VPN Premium license.」と表示されます。このメッ
セージは、ASAv が ASAv Standard ライセンスと Premium ライセンスの相違を示しているのでは
なく、ペイロード暗号化機能を実行できることを指定しています。
ciscoasa# show activation-key
Serial Number: 9APM1G4RV41
Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
ASAv Platform License State: Unlicensed
*Install 1 vCPU ASAv platform license for full functionality.
The Running Activation Key is not valid, using default settings:
Licensed features for this platform:
Virtual CPUs
: 0
Maximum Physical Interfaces
: 10
Maximum VLANs
: 50
Inside Hosts
: Unlimited
Failover
: Active/Standby
Encryption-DES
: Enabled
Encryption-3DES-AES
: Enabled
Security Contexts
: 0
GTP/GPRS
: Disabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 250
Total VPN Peers
: 250
Shared License
: Disabled
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 2
Total UC Proxy Sessions
: 2
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-18
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
Botnet Traffic Filter
Intercompany Media Engine
Cluster
: Enabled
: Disabled
: Disabled
perpetual
perpetual
perpetual
This platform has an ASAv VPN Premium license.
Failed to retrieve flash permanent activation key.
The flash permanent activation key is the SAME as the running permanent key.
例 2-6
show activation-key に対する、4 vCPU Standard ライセンスを持つ ASAv のスタンドアロンユ
ニットの出力
（注）
コマンド出力に、「This platform has an ASAv VPN Premium license.」と表示されます。このメッ
セージは、ASAv が ASAv Standard ライセンスと Premium ライセンスの相違を示しているのでは
なく、ペイロード暗号化機能を実行できることを指定しています。
ciscoasa# show activation-key
Serial Number: 9ALQ8W1XCJ7
Running Permanent Activation Key: 0x0013e945 0x685a232c 0x1153fdac 0xeae8b068 0x4413f4ae
ASAv Platform License State: Compliant
Licensed features for this platform:
Virtual CPUs
: 4
Maximum Physical Interfaces
: 10
Maximum VLANs
: 200
Inside Hosts
: Unlimited
Failover
: Active/Standby
Encryption-DES
: Enabled
Encryption-3DES-AES
: Enabled
Security Contexts
: 0
GTP/GPRS
: Enabled
AnyConnect Premium Peers
: 2
AnyConnect Essentials
: Disabled
Other VPN Peers
: 750
Total VPN Peers
: 750
Shared License
: Disabled
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Disabled
UC Phone Proxy Sessions
: 1000
Total UC Proxy Sessions
: 1000
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Enabled
Cluster
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
This platform has an ASAv VPN Premium license.
The flash permanent activation key is the SAME as the running permanent key.
例 2-7
show activation-key に対する、4 vCPU Premium ライセンスを持つ ASAv のスタンドアロンユ
ニットの出力
（注）
コマンド出力に、「This platform has an ASAv VPN Premium license.」と表示されます。このメッ
セージは、ASAv が ASAv Standard ライセンスと Premium ライセンスの相違を示しているのでは
なく、ペイロード暗号化機能を実行できることを指定しています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-19
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
ciscoasa# show activation-key
Serial Number: 9ALQ8W1XCJ7
Running Permanent Activation Key: 0x8224dd7d 0x943ed77c 0x9d71cdd0 0xd90474d0 0xcb04df82
ASAv Platform License State: Compliant
Licensed features for this platform:
Virtual CPUs
: 4
Maximum Physical Interfaces
: 10
Maximum VLANs
: 200
Inside Hosts
: Unlimited
Failover
: Active/Standby
Encryption-DES
: Enabled
Encryption-3DES-AES
: Enabled
Security Contexts
: 0
GTP/GPRS
: Enabled
AnyConnect Premium Peers
: 750
AnyConnect Essentials
: Disabled
Other VPN Peers
: 750
Total VPN Peers
: 750
Shared License
: Disabled
AnyConnect for Mobile
: Enabled
AnyConnect for Cisco VPN Phone
: Enabled
Advanced Endpoint Assessment
: Enabled
UC Phone Proxy Sessions
: 1000
Total UC Proxy Sessions
: 1000
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Enabled
Cluster
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
This platform has an ASAv VPN Premium license.
The flash permanent activation key is the SAME as the running permanent key.
ciscoasa#
例 2-8
show activation-key のフェールオーバーペアでの ASA サービスモジュールプライマリユニッ
トの出力
次に、プライマリフェールオーバーユニットの show activation-key コマンドの出力例を示しま
す。次のライセンスを表示します。
•
プライマリユニットライセンス（永続ライセンスと時間ベースライセンスの組み合わせ）。
•
プライマリおよびセカンダリユニットのライセンスの組み合わせである、「フェールオー
バークラスタ」ライセンス。これは、ASA で実際に実行されているライセンスです。プライマ
リおよびセカンダリライセンスの組み合わせを反映したこのライセンスの値は、太字に
なっています。
•
プライマリユニットのインストール済みの時間ベースライセンス（アクティブおよび非ア
クティブ）。
ciscoasa# show activation-key
erial Number: SAL144705BF
Running Permanent Activation Key: 0x4d1ed752 0xc8cfeb37 0xf4c38198 0x93c04c28 0x4a1c049a
Running Timebased Activation Key: 0xbc07bbd7 0xb15591e0 0xed68c013 0xd79374ff 0x44f87880
Licensed features for this platform:
Maximum Interfaces
: 1024
Inside Hosts
: Unlimited
Failover
: Active/Active
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-20
perpetual
perpetual
perpetual
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
DES
3DES-AES
Security Contexts
GTP/GPRS
Botnet Traffic Filter
:
:
:
:
:
Enabled
Enabled
25
Enabled
Enabled
perpetual
perpetual
perpetual
perpetual
330 days
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
Failover cluster licensed features for this platform:
Maximum Interfaces
: 1024
perpetual
Inside Hosts
: Unlimited
perpetual
Failover
: Active/Active perpetual
DES
: Enabled
perpetual
3DES-AES
: Enabled
perpetual
Security Contexts
: 50
perpetual
GTP/GPRS
: Enabled
perpetual
Botnet Traffic Filter
: Enabled
330 days
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xbc07bbd7 0xb15591e0 0xed68c013 0xd79374ff 0x44f87880
Botnet Traffic Filter
: Enabled
330 days
例 2-9
show activation-key のフェールオーバーペアでの ASA サービスモジュールセカンダリユニッ
トの出力
次に、セカンダリフェールオーバーユニットの show activation-key コマンドの出力例を示し
ます。
•
セカンダリユニットライセンス（永続ライセンスと時間ベースライセンスの組み合わせ）。
•
プライマリおよびセカンダリユニットのライセンスの組み合わせである、「フェールオー
バークラスタ」ライセンス。これは、ASA で実際に実行されているライセンスです。プライマ
リおよびセカンダリライセンスの組み合わせを反映したこのライセンスの値は、太字に
なっています。
•
セカンダリのインストール済みの時間ベースライセンス（アクティブおよび非アクティ
ブ）。このユニットには時間ベースライセンスはないため、この出力例には何も表示されま
せん。
ciscoasa# show activation-key detail
Serial Number: SAD143502E3
Running Permanent Activation Key: 0xf404c46a 0xb8e5bd84 0x28c1b900 0x92eca09c 0x4e2a0683
Licensed features for this platform:
Maximum Interfaces
: 1024
Inside Hosts
: Unlimited
Failover
: Active/Active
DES
: Enabled
3DES-AES
: Enabled
Security Contexts
: 25
GTP/GPRS
: Disabled
Botnet Traffic Filter
: Disabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-21
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
Failover cluster licensed features for this platform:
Maximum Interfaces
: 1024
perpetual
Inside Hosts
: Unlimited
perpetual
Failover
: Active/Active perpetual
DES
: Enabled
perpetual
3DES-AES
: Enabled
perpetual
Security Contexts
: 50
perpetual
GTP/GPRS
: Enabled
perpetual
Botnet Traffic Filter
: Enabled
330 days
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
The flash permanent activation key is the SAME as the running permanent key.
例 2-10
クラスタでの show activation-key の出力
ciscoasa# show activation-key
Serial Number: JMX1504L2TD
Running Permanent Activation Key: 0x4a3eea7b 0x54b9f61a 0x4143a90c 0xe5849088 0x4412d4a9
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
Cluster : Enabled perpetual
This platform has an ASA 5585-X base license.
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 4 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 4 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-22
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show activation-key
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
Cluster : Enabled perpetual
This platform has an ASA 5585-X base license.
The flash permanent activation key is the SAME as the running permanent key.
関連コマンド
コマンド
activation-key
説明
アクティベーションキーを変更します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-23
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show ad-groups
show ad-groups
Active Directory サーバにリストされているグループを表示するには、特権 EXEC モードで show
ad-groups コマンドを使用します。
show ad-groups name [filter string]
構文の説明
name
問い合わせる Active Directory サーバグループの名前。
string
検索するグループ名の全体または一部を指定する、引用符で囲んだ問い合
わせに含めるストリング。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC モード
コマンド履歴
リリース
8.0(4)
使用上のガイドライン
トランスペ
ルーテッドアレント
シングル
•
Yes
—
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
このコマンドが追加されました。
show ad-groups コマンドは、グループの取得に LDAP プロトコルを使用する Active Directory
サーバに対してのみ適用されます。このコマンドを使用して、ダイナミックアクセスポリシー
AAA 選択基準に使用できる AD グループを表示します。
LDAP 属性タイプが LDAP の場合、ASA がサーバからの応答を待機するデフォルト時間は 10 秒
です。この時間は、AAA サーバホストコンフィギュレーションモードで group-search-timeout
コマンドを使用して調整できます。
（注）
Active Directory サーバに数多くのグループが含まれている場合は、サーバが応答パケットに格
納できるデータ量の制限に基づいて show ad-groups コマンドの出力が切り捨てられることがあ
ります。この問題を回避するには、filter オプションを使用して、サーバからレポートされるグ
ループ数を減らします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-24
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show ad-groups
例
ciscoasa# show ad-groups LDAP-AD17
Server Group
LDAP-AD17
Group list retrieved successfully
Number of Active Directory Groups
46
Account Operators
Administrators
APP-SSL-VPN CIO Users
Backup Operators
Cert Publishers
CERTSVC_DCOM_ACCESS
Cisco-Eng
DHCP Administrators
DHCP Users
Distributed COM Users
DnsAdmins
DnsUpdateProxy
Doctors
Domain Admins
Domain Computers
Domain Controllers
Domain Guests
Domain Users
Employees
Engineering
Engineering1
Engineering2
Enterprise Admins
Group Policy Creator Owners
Guests
HelpServicesGroup
次に、同じコマンドで filter オプションを使用した例を示します。
ciscoasa(config)# show ad-groups LDAP-AD17 filter “Eng”
.
Server Group
LDAP-AD17
Group list retrieved successfully
Number of Active Directory Groups
4
Cisco-Eng
Engineering
Engineering1
Engineering2
関連コマンド
コマンド
ldap-group-base-dn
説明
group-search-timeout
グループのリストについて Active Directory サーバからの応答を ASA
が待機する時間を調整します。
サーバが、ダイナミックグループポリシーで使用されるグループの検
索を開始する Active Directory 階層のレベルを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-25
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show admin-context
show admin-context
現在管理コンテキストとして割り当てられているコンテキスト名を表示するには、特権 EXEC
モードで show admin-context コマンドを使用します。
show admin-context
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
•
Yes
—
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
次に、show admin-context コマンドの出力例を示します。次の例では、「admin」という名前で、フ
ラッシュのルートディレクトリに保存されている管理コンテキストが表示されています。
ciscoasa# show admin-context
Admin: admin flash:/admin.cfg
関連コマンド
コマンド
admin-context
説明
changeto
コンテキスト間またはコンテキストとシステム実行スペースの間で切
り替えを行います。
管理コンテキストを設定します。
clear configure context すべてのコンテキストを削除します。
mode
コンテキストモードをシングルまたはマルチに設定します。
show context
コンテキストのリスト（システム実行スペース）または現在のコンテキ
ストに関する情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-26
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show arp
show arp
ARP テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。
show arp
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(8)/7.2(4)/8.0(4)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
表示にダイナミック ARP エージングが追加されました。
使用上のガイドライン
表示出力には、ダイナミック、スタティック、およびプロキシ ARP エントリが表示されます。ダ
イナミック ARP エントリには、ARP エントリの秒単位のエージングが含まれています。エージ
ングの代わりに、スタティック ARP エントリにはダッシュ（-）が、プロキシ ARP エントリには
「alias」という状態が含まれています。
例
次に、show arp コマンドの出力例を示します。1 つ目のエントリは、2 秒間エージングされている
ダイナミックエントリです。2 つ目のエントリはスタティックエントリ、3 つ目のエントリはプ
ロキシ ARP のエントリです。
ciscoasa# show arp
outside 10.86.194.61 0011.2094.1d2b 2
outside 10.86.194.1 001a.300c.8000 outside 10.86.195.2 00d0.02a8.440a alias
関連コマンド
コマンド
arp
説明
arp-inspection
トランスペアレントファイアウォールモードで、ARP パケットを調査
し、ARP スプーフィングを防止します。
clear arp statistics
ARP 統計情報をクリアします。
show arp statistics
ARP 統計情報を表示します。
show running-config
arp
ARP タイムアウトの現在のコンフィギュレーションを表示します。
スタティック ARP エントリを追加します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-27
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show arp-inspection
show arp-inspection
各インターフェイスの ARP インスペクション設定を表示するには、特権 EXEC モードで show
arp-inspection コマンドを使用します。
show arp-inspection
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンド履歴
例
コマンドモード
ルーテッド
特権 EXEC
—
リリース
7.0(1)
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、show arp-inspection コマンドの出力例を示します。
ciscoasa# show arp-inspection
interface
arp-inspection
miss
---------------------------------------------------inside1
enabled
flood
outside
disabled
-
miss 列には、ARP インスペクションがイネーブルの場合に一致しないパケットに対して実行す
るデフォルトのアクション（「flood」または「no-flood」）が表示されます。
関連コマンド
コマンド
arp
説明
arp-inspection
トランスペアレントファイアウォールモードで、ARP パケットを調査
し、ARP スプーフィングを防止します。
clear arp statistics
ARP 統計情報をクリアします。
show arp statistics
ARP 統計情報を表示します。
show running-config
arp
ARP タイムアウトの現在のコンフィギュレーションを表示します。
スタティック ARP エントリを追加します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-28
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show arp statistics
show arp statistics
ARP 統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。
show arp statistics
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
ルーテッド
•
リリース
7.0(1)
Yes
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
—
変更内容
このコマンドが追加されました。
次に、show arp statistics コマンドの出力例を示します。
ciscoasa# show arp statistics
Number of ARP entries:
ASA : 6
Dropped blocks in ARP: 6
Maximum Queued blocks: 3
Queued blocks: 1
Interface collision ARPs Received: 5
ARP-defense Gratuitous ARPS sent: 4
Total ARP retries: 15
Unresolved hosts: 1
Maximum Unresolved hosts: 2
表 2-2 に、各フィールドの説明を示します。
表 2-2
show arp statistics のフィールド
フィールド
説明
Number of ARP entries
ARP テーブルエントリの合計数。
Dropped blocks in ARP
IP アドレスが対応するハードウェアアドレスに解決されて
いる間にドロップされたブロック数。
Maximum queued blocks
IP アドレスの解決を待機している間に ARP モジュールに
キューイングされた最大ブロック数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-29
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show arp statistics
表 2-2
関連コマンド
show arp statistics のフィールド（続き）
フィールド
説明
Queued blocks
現在 ARP モジュールにキューイングされているブロック数。
Interface collision ARPs received
すべての ASA インターフェイスで受信された、ASA イン
ターフェイスの IP アドレスと同じ IP アドレスからの ARP
パケット数。
ARP-defense gratuitous ARPs sent
ARP-Defense メカニズムの一環として ASA によって送信さ
れた Gratuitous ARP の数。
Total ARP retries
最初の ARP 要求への応答でアドレスが解決されなかった
場合に ARP モジュールによって送信される ARP 要求の合
計数。
Unresolved hosts
現在も ARP モジュールによって ARP 要求が送信されてい
る未解決のホスト数。
Maximum unresolved hosts
最後にクリアされた後、または ASA の起動後に、ARP モ
ジュールに存在した未解決ホストの最大数。
コマンド
arp-inspection
説明
clear arp statistics
ARP 統計情報をクリアして、値をゼロにリセットします。
show arp
ARP テーブルを表示します。
show running-config
arp
ARP タイムアウトの現在のコンフィギュレーションを表示します。
トランスペアレントファイアウォールモードで、ARP パケットを調査
し、ARP スプーフィングを防止します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-30
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm history
show asdm history
ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを
使用します。
show asdm history [view timeframe] [snapshot] [feature feature] [asdmclient]
構文の説明
デフォルト
asdmclient
（オプション）ASDM クライアント用にフォーマットされた ASDM 履
歴データを表示します。
feature feature
（オプション）履歴表示を指定した機能に制限します。feature 引数には、
次の値を指定できます。
•
all：すべての機能の履歴を表示します（デフォルト）。
•
blocks：システムバッファの履歴を表示します。
•
cpu：CPU 使用状況の履歴を表示します。
•
failover：フェールオーバーの履歴を表示します。
•
ids：IDS の履歴を表示します。
•
interface if_name：指定したインターフェイスの履歴を表示しま
す。if_name 引数は、nameif コマンドで指定したインターフェイス
の名前です。
•
memory：メモリ使用状況の履歴を表示します。
•
perfmon：パフォーマンス履歴を表示します。
•
sas：セキュリティアソシエーションの履歴を表示します。
•
tunnels：トンネルの履歴を表示します。
•
xlates：変換スロット履歴を表示します。
snapshot
（オプション）最後の ASDM 履歴データポイントのみを表示します。
view timeframe
（オプション）履歴の表示を指定した期間に制限します。timeframe 引数
には、次の値を指定できます。
•
all：履歴バッファ内のすべての内容（デフォルト）。
•
12h：12 時間
•
5d：5 日
•
60m：60 分
•
10m：10 分
引数またはキーワードを指定しない場合は、すべての機能のすべての履歴情報が表示されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-31
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm history
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが、show pdm history コマンドから show asdm history コ
マンドに変更されました。
使用上のガイドライン
show asdm history コマンドは、ASDM 履歴バッファの内容を表示します。ASDM 履歴情報を表
示する前に、asdm history enable コマンドを使用して、ASDM 履歴トラッキングをイネーブルに
する必要があります。
例
次に、show asdm history コマンドの出力例を示します。この例では、直近の 10 分間に収集された
outside インターフェイスのデータに出力が制限されています。
ciscoasa# show asdm history view 10m feature interface outside
Input KByte Count:
[ 10s:12:46:41 Mar
Output KByte Count:
[ 10s:12:46:41 Mar
Input KPacket Count:
[ 10s:12:46:41 Mar
Output KPacket Count:
[ 10s:12:46:41 Mar
Input Bit Rate:
[ 10s:12:46:41 Mar
Output Bit Rate:
[ 10s:12:46:41 Mar
Input Packet Rate:
[ 10s:12:46:41 Mar
Output Packet Rate:
[ 10s:12:46:41 Mar
Input Error Packet Count:
[ 10s:12:46:41 Mar
No Buffer:
[ 10s:12:46:41 Mar
Received Broadcasts:
[ 10s:12:46:41 Mar
Runts:
[ 10s:12:46:41 Mar
Giants:
[ 10s:12:46:41 Mar
CRC:
[ 10s:12:46:41 Mar
Frames:
[ 10s:12:46:41 Mar
Overruns:
[ 10s:12:46:41 Mar
1 2005
] 62640 62636 62633 62628 62622 62616 62609
1 2005
] 25178 25169 25165 25161 25157 25151 25147
1 2005
]
752
752
751
751
751
751
751
1 2005
]
55
55
55
55
55
55
55
1 2005
]
3397
2843
3764
4515
4932
5728
4186
1 2005
]
7316
3292
3349
3298
5212
3349
3301
1 2005
]
5
4
6
7
6
8
6
1 2005
]
1
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
] 375974 375954 375935 375902 375863 375833 375794
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-32
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm history
Underruns:
[ 10s:12:46:41 Mar
Output Error Packet Count:
[ 10s:12:46:41 Mar
Collisions:
[ 10s:12:46:41 Mar
LCOLL:
[ 10s:12:46:41 Mar
Reset:
[ 10s:12:46:41 Mar
Deferred:
[ 10s:12:46:41 Mar
Lost Carrier:
[ 10s:12:46:41 Mar
Hardware Input Queue:
[ 10s:12:46:41 Mar
Software Input Queue:
[ 10s:12:46:41 Mar
Hardware Output Queue:
[ 10s:12:46:41 Mar
Software Output Queue:
[ 10s:12:46:41 Mar
Drop KPacket Count:
[ 10s:12:46:41 Mar
ciscoasa#
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
128
128
128
128
128
128
128
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
1 2005
]
0
0
0
0
0
0
0
次に、show asdm history コマンドの出力例を示します。前の例と同様に、この例では、直近の 10
分間に収集された outside インターフェイスのデータに出力が制限されています。ただし、この
例では、出力は ASDM クライアント用にフォーマットされています。
ciscoasa# show asdm history view 10m feature interface outside asdmclient
MH|IBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|62439|62445|62453|62457|62464|6
2469|62474|62486|62489|62496|62501|62506|62511|62518|62522|62530|62534|62539|62542|62547|6
2553|62556|62562|62568|62574|62581|62585|62593|62598|62604|62609|62616|62622|62628|62633|6
2636|62640|62653|62657|62665|62672|62678|62681|62686|62691|62695|62700|62704|62711|62718|6
2723|62728|62733|62738|62742|62747|62751|62761|62770|62775|
MH|OBC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|25023|25023|25025|25025|25025|2
5026|25026|25032|25038|25044|25052|25056|25060|25064|25070|25076|25083|25087|25091|25096|2
5102|25106|25110|25114|25118|25122|25128|25133|25137|25143|25147|25151|25157|25161|25165|2
5169|25178|25321|25327|25332|25336|25341|25345|25349|25355|25359|25363|25367|25371|25375|2
5381|25386|25390|25395|25399|25403|25410|25414|25418|25422|
MH|IPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|749|749|749|749|749|750|750|750
|750|750|750|750|750|750|750|750|750|750|750|750|751|751|751|751|751|751|751|751|751|751|7
51|751|751|751|751|752|752|752|752|752|752|752|752|752|752|752|752|752|752|753|753|753|753
|753|753|753|753|753|753|753|
MH|OPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|55|55|55|55|55|55|55|55|55|55|5
5|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|55|5
5|55|55|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|56|
MH|IBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|7127|5155|6202|3545|5408|3979|4
381|9492|3033|4962|4571|4226|3760|5923|3265|6494|3441|3542|3162|4076|4744|2726|4847|4292|5
401|5166|3735|6659|3837|5260|4186|5728|4932|4515|3764|2843|3397|10768|3080|6309|5969|4472|
2780|4492|3540|3664|3800|3002|6258|5567|4044|4059|4548|3713|3265|4159|3630|8235|6934|4298|
MH|OBR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|82791|57|1410|588|57|639|0|4698
|5068|4992|6495|3292|3292|3352|5061|4808|5205|3931|3298|3349|5064|3439|3356|3292|3343|3349
|5067|3883|3356|4500|3301|3349|5212|3298|3349|3292|7316|116896|5072|3881|3356|3931|3298|33
49|5064|3292|3349|3292|3292|3349|5061|3883|3356|3931|3452|3356|5064|3292|3349|3292|
MH|IPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|8|6|5|7|5|6|14|5|7|7|5|6|9|5
|8|6|5|5|7|6|5|6|5|6|7|6|8|6|6|6|8|6|7|6|4|5|19|5|8|7|6|4|7|5|6|6|5|7|8|6|6|7|5|5|7|6|9|7|
6|
MH|OPR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|12|0|1|0|0|0|0|4|0|2|2|0|0|0|0|
1|1|0|0|0|0|0|0|0|0|0|0|0|0|1|0|0|0|0|0|0|1|28|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-33
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm history
MH|IERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|NB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|RB|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|374874|374911|374943|374967|3750
10|375038|375073|375113|375140|375160|375181|375211|375243|375289|375316|375350|375373|375
395|375422|375446|375481|375498|375535|375561|375591|375622|375654|375701|375738|375761|37
5794|375833|375863|375902|375935|375954|375974|375999|376027|376075|376115|376147|376168|3
76200|376224|376253|376289|376315|376365|376400|376436|376463|376508|376530|376553|376583|
376614|376668|376714|376749|
MH|RNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|GNT|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|CRC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|FRM|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|UR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|OERR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|COLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCOLL|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|
MH|RST|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DEF|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|LCR|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|128|128|128|128|128|128|128|128
|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|1
28|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128|128
|128|128|128|128|128|128|128|
MH|SIQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|HOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|SOQ|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
MH|DPC|10|CURFACT|0|CURVAL|0|TIME|1109703031|MAX|60|NUM|60|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0
|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
ciscoasa#
次に、snapshot キーワードを使用した show asdm history コマンドの出力例を示します。
ciscoasa# show asdm history view 10m snapshot
Available 4 byte Blocks: [ 10s] : 100
Used 4 byte Blocks: [ 10s] : 0
Available 80 byte Blocks: [ 10s] : 100
Used 80 byte Blocks: [ 10s] : 0
Available 256 byte Blocks: [ 10s] : 2100
Used 256 byte Blocks: [ 10s] : 0
Available 1550 byte Blocks: [ 10s] : 7425
Used 1550 byte Blocks: [ 10s] : 1279
Available 2560 byte Blocks: [ 10s] : 40
Used 2560 byte Blocks: [ 10s] : 0
Available 4096 byte Blocks: [ 10s] : 30
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-34
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm history
Used 4096 byte Blocks: [ 10s] : 0
Available 8192 byte Blocks: [ 10s] : 60
Used 8192 byte Blocks: [ 10s] : 0
Available 16384 byte Blocks: [ 10s] : 100
Used 16384 byte Blocks: [ 10s] : 0
Available 65536 byte Blocks: [ 10s] : 10
Used 65536 byte Blocks: [ 10s] : 0
CPU Utilization: [ 10s] : 31
Input KByte Count: [ 10s] : 62930
Output KByte Count: [ 10s] : 26620
Input KPacket Count: [ 10s] : 755
Output KPacket Count: [ 10s] : 58
Input Bit Rate: [ 10s] : 24561
Output Bit Rate: [ 10s] : 518897
Input Packet Rate: [ 10s] : 48
Output Packet Rate: [ 10s] : 114
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 377331
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 3672
Output KByte Count: [ 10s] : 4051
Input KPacket Count: [ 10s] : 19
Output KPacket Count: [ 10s] : 20
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 1458
Runts: [ 10s] : 1
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 63
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 15
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-35
第2章
show asdm history
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Input KByte Count: [ 10s] : 0
Output KByte Count: [ 10s] : 0
Input KPacket Count: [ 10s] : 0
Output KPacket Count: [ 10s] : 0
Input Bit Rate: [ 10s] : 0
Output Bit Rate: [ 10s] : 0
Input Packet Rate: [ 10s] : 0
Output Packet Rate: [ 10s] : 0
Input Error Packet Count: [ 10s] : 0
No Buffer: [ 10s] : 0
Received Broadcasts: [ 10s] : 0
Runts: [ 10s] : 0
Giants: [ 10s] : 0
CRC: [ 10s] : 0
Frames: [ 10s] : 0
Overruns: [ 10s] : 0
Underruns: [ 10s] : 0
Output Error Packet Count: [ 10s] : 0
Collisions: [ 10s] : 0
LCOLL: [ 10s] : 0
Reset: [ 10s] : 0
Deferred: [ 10s] : 0
Lost Carrier: [ 10s] : 0
Hardware Input Queue: [ 10s] : 128
Software Input Queue: [ 10s] : 0
Hardware Output Queue: [ 10s] : 0
Software Output Queue: [ 10s] : 0
Drop KPacket Count: [ 10s] : 0
Available Memory: [ 10s] : 205149944
Used Memory: [ 10s] : 63285512
Xlate Count: [ 10s] : 0
Connection Count: [ 10s] : 0
TCP Connection Count: [ 10s] : 0
UDP Connection Count: [ 10s] : 0
URL Filtering Count: [ 10s] : 0
URL Server Filtering Count: [ 10s] : 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-36
show aaa kerberos コマンド～ show asdm sessions コマンド
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm history
TCP Fixup Count: [ 10s] : 0
TCP Intercept Count: [ 10s] : 0
HTTP Fixup Count: [ 10s] : 0
FTP Fixup Count: [ 10s] : 0
AAA Authentication Count: [ 10s] : 0
AAA Authorzation Count: [ 10s] : 0
AAA Accounting Count: [ 10s] : 0
Current Xlates: [ 10s] : 0
Max Xlates: [ 10s] : 0
ISAKMP SAs: [ 10s] : 0
IPsec SAs: [ 10s] : 0
L2TP Sessions: [ 10s] : 0
L2TP Tunnels: [ 10s] : 0
ciscoasa#
関連コマンド
コマンド
asdm history enable
説明
ASDM 履歴トラッキングをイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-37
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm image
show asdm image
現在の ASDM ソフトウェアイメージファイルを表示するには、特権 EXEC モードで show asdm
image コマンドを使用します。
show asdm image
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
このコマンドが、show pdm image コマンドから show asdm image コマ
ンドに変更されました。
次に、show asdm image コマンドの出力例を示します。
Device Manager image file, flash:/ASDM
コマンド
asdm image
説明
現在の ASDM イメージファイルを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-38
Yes
変更内容
ciscoasa# show asdm image
関連コマンド
•
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm log_sessions
show asdm log_sessions
アクティブな ASDM ロギングセッション、およびそれらに関連するセッション ID のリストを
表示するには、特権 EXEC モードで show asdm log_sessions コマンドを使用します。
show asdm log_sessions
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
それぞれのアクティブな ASDM セッションには、1 つ以上の関連する ASDM ロギングセッション
があります。ASDM は、ロギングセッションを使用して、ASA から Syslog メッセージを取得しま
す。各 ASDM ロギングセッションには、一意のセッション ID が割り当てられます。このセッショ
ン ID を asdm disconnect log_session コマンドで使用して、指定したセッションを終了できます。
（注）
各 ASDM セッションには少なくとも 1 つの ASDM ロギングセッションがあるため、show asdm
sessions および show asdm log_sessions の出力は同じように見えることがあります。
例
次に、show asdm log_sessions コマンドの出力例を示します。
ciscoasa# show asdm log_sessions
0 192.168.1.1
1 192.168.1.2
関連コマンド
コマンド
asdm disconnect
log_session
説明
アクティブな ASDM ロギングセッションを終了します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-39
第2章
show aaa kerberos コマンド～ show asdm sessions コマンド
show asdm sessions
show asdm sessions
アクティブな ASDM セッション、およびそれらに関連するセッション ID のリストを表示するに
は、特権 EXEC モードで show asdm sessions コマンドを使用します。
show asdm sessions
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
このコマンドが、show pdm sessions コマンドから show asdm sessions
コマンドに変更されました。
アクティブな各 ASDM セッションには、一意のセッション ID が割り当てられます。このセッ
ション ID を asdm disconnect コマンドで使用して、指定したセッションを終了できます。
次に、show asdm sessions コマンドの出力例を示します。
0 192.168.1.1
1 192.168.1.2
コマンド
asdm disconnect
説明
アクティブな ASDM セッションを終了します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
2-40
—
変更内容
ciscoasa# show asdm sessions
関連コマンド
Yes
CH A P T E R
3
show as-path-access-list コマンド～ show
auto-update コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-1
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show as-path-access-list
show as-path-access-list
現在のすべての自律システム（AS）パスアクセスリストの内容を表示するには、ユーザ EXEC モー
ドまたは特権 EXEC モードで show as-path-access-list コマンドを使用します。
show as-path-access-list [name]
構文の説明
name
デフォルト
name 引数を指定しない場合、コマンド出力には、すべての AS パスアクセスリストの内容が表示
されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）AS パスアクセスリスト名を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show as-path-access-list コマンドの出力例を示します。
ciscoasa# show as-path-access-list
AS path access list as-path-acl-1
deny RTR$
AS path access list as-path-acl-2
permit 100$
表 3-1 に、各フィールドの説明を示します。
表 3-1
show as-path-access-list のフィールド
フィールド説明
AS path
access list
AS パスアクセスリスト名を示します。
deny
正規表現が ASCII 文字列としてのルートの AS パスの表現に一致しなくなってから
拒否されたパケット数を示します。
permit
正規表現が ASCII 文字列としてのルートの AS パスの表現に一致してから転送され
たパケット数を示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-2
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp cluster counter
show asp cluster counter
クラスタリング環境のグローバル情報またはコンテキストに固有の情報をデバッグするには、
特権 EXEC モードで show asp cluster counter コマンドを使用します。
show asp cluster counter
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
9.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show asp cluster counter コマンドは、グローバル DP カウンタおよびコンテキストに固有の DP
カウンタを表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。
この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性がありま
す。このコマンドを使用したシステムデバッグについて支援が必要な場合は、Cisco TAC にお問
い合わせください。
例
次に、show asp cluster counter コマンドの出力例を示します。
ciscoasa# show asp cluster counter
Global dp-counters:
Context specific dp-counters:
MCAST_FP_TO_SP
MCAST_SP_TOTAL
MCAST_SP_PKTS
MCAST_SP_PKTS_TO_CP
MCAST_FP_CHK_FAIL_NO_HANDLE
MCAST_FP_CHK_FAIL_NO_ACCEPT_IFC
MCAST_FP_CHK_FAIL_NO_FP_FWD
361136
361136
143327
143327
217809
81192
62135
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-3
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp cluster counter
関連コマンド
コマンド
show asp drop
説明
ドロップされたパケットの高速セキュリティパスカウンタを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-4
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
show asp drop
高速セキュリティパスでドロップされたパケットまたは接続をデバッグするには、特権 EXEC
モードで show asp drop コマンドを使用します。
show asp drop [flow [flow_drop_reason] | frame [frame_drop_reason]]
構文の説明
flow [flow_drop_reason] （オプション）ドロップされたフロー（接続）を表示します。
flow_drop_reason 引数を使用して、特定の理由を指定できます。
flow_drop_reason 引数の有効な値は、下記の「使用上のガイドライン」に
示されています。
frame
（オプション）ドロップされたパケットを表示します。
[frame_drop_reason]
frame_drop_reason 引数を使用して、特定の理由を指定できます。
frame_drop_reason 引数の有効な値は、下記の「使用上のガイドライン」
に示されています。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
7.0(8)/7.2(4)/8.0(4)
カウンタが最後にクリアされた時間を示すタイムスタンプが出力に含
まれます（clear asp drop コマンドを参照）。また、説明の横にドロップ
理由のキーワードが表示されるため、関連キーワードを使用して簡単
に capture asp-drop コマンドを使用できます。
このコマンドが追加されました。
show asp drop コマンドは、高速セキュリティパスによってドロップされたパケットまたは接続
を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。高速セ
キュリティパスの詳細については、CLI 設定ガイドを参照してください。この情報はデバッグの
目的でのみ使用されます。また、情報の出力は変更される可能性があります。このコマンドを使
用したシステムデバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。
次の項では、各ドロップ理由の名前、説明、および推奨事項を示します。
•
「フレームのドロップ理由」（P.3-6）
•
「フローのドロップ理由」（P.3-65）
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-5
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
フレームのドロップ理由
---------------------------------------------------------------Name: natt-keepalive
NAT-T keepalive message:
This counter will increment when the appliance receives an IPsec NAT-T keepalive
message.NAT-T keepalive messages are sent from the IPsec peer to the appliance to keep
NAT/PAT flow information current in network devices between the NAT-T IPsec peer and the
appliance.
Recommendation:
If you have configured IPsec NAT-T on your appliance, this indication is normal and
doesn't indicate a problem.If NAT-T is not configured on your appliance, analyze your
network traffic to determine the source of the NAT-T traffic.
Syslogs:
None
---------------------------------------------------------------Name: ipsecudp-keepalive
IPSEC/UDP keepalive message:
This counter will increment when the appliance receives an IPsec over UDP keepalive
message.IPsec over UDP keepalive messages are sent from the IPsec peer to the appliance to
keep NAT/PAT flow information current in network devices between the IPsec over UDP peer
and the appliance.Note - These are not industry standard NAT-T keepalive messages which
are also carried over UDP and addressed to UDP port 4500.
Recommendation:
If you have configured IPsec over UDP on your appliance, this indication is normal and
doesn't indicate a problem.If IPsec over UDP is not configured on your appliance, analyze
your network traffic to determine the source of the IPsec over UDP traffic.
Syslogs:
None
---------------------------------------------------------------Name: bad-ipsec-prot
IPsec not AH or ESP:
This counter will increment when the appliance receives a packet on an IPsec
connection which is not an AH or ESP protocol.This is not a normal condition.
Recommendation:
If you are receiving many IPsec not AH or ESP indications on your appliance, analyze
your network traffic to determine the source of the traffic.
Syslogs:
402115
---------------------------------------------------------------Name: ipsec-ipv6
IPsec via IPV6:
This counter will increment when the appliance receives an IPsec ESP packet, IPsec
NAT-T ESP packet or an IPsec over UDP ESP packet encapsulated in an IP version 6
header.The appliance does not currently support any IPsec sessions encapsulated in IP
version 6.
Recommendation:
None
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-6
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: bad-ipsec-natt
Bad IPsec NATT packet:
This counter will increment when the appliance receives a packet on an IPsec
connection which has negotiated NAT-T but the packet is not addressed to the NAT-T UDP
destination port of 4500 or had an invalid payload length.
Recommendation:
Analyze your network traffic to determine the source of the NAT-T traffic.
Syslogs:
None
---------------------------------------------------------------Name: bad-ipsec-udp
Bad IPsec UDP packet:
This counter will increment when the appliance receives a packet on an IPsec
connection that has negotiated IPsec over UDP, but the packet has an invalid payload
length.
Recommendation:
Analyze your network traffic to determine the source of the NAT-T traffic.
Syslogs:
None
---------------------------------------------------------------Name: inspect-srtp-encrypt-failed
Inspect SRTP Encryption failed:
This counter will increment when SRTP encryption fails.
Recommendation:
If error persists even after a reboot please call TAC to see why SRTP encryption is
failing in the hardware crypto accelerator.
Syslogs:
337001.
---------------------------------------------------------------Name: inspect-srtp-decrypt-failed
Inspect SRTP Decryption failed:
This counter will increment when SRTP decryption fails.
Recommendation:
If error persists even after a reboot please call TAC to see why SRTP decryption is
failing in the hardware crypto accelerator.
Syslogs:
337002.
---------------------------------------------------------------Name: inspect-srtp-validate-authtag-failed
Inspect SRTP Authentication tag validation failed:
This counter will increment when SRTP authentication tag validation fails.
Recommendation:
No action is required.If error persists SRTP packets arriving at the firewall are
being tampered with and the administrator has to identify the cause.
Syslogs:
337003.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-7
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: inspect-srtp-generate-authtag-failed
Inspect SRTP Authentication tag generation failed:
This counter will increment when SRTP authentication tag generation fails.
Recommendation:
No action is required.
Syslogs:
337004.
---------------------------------------------------------------Name: inspect-srtp-no-output-flow
Inspect SRTP failed to find output flow:
This counter will increment when the flow from the Phone proxy could not be created or
if the flow has been torn down
Recommendation:
No action is required.The flow creation could have failed because of low memory
conditions.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-srtp-setup-srtp-failed
Inspect SRTP setup in CTM failed:
This counter will increment when SRTP setup in the CTM fails.
Recommendation:
No action is required.If error persists call TAC to see why the CTM calls are failing.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-srtp-one-part-no-key
Inspect SRTP failed to find keys for both parties:
This counter will increment when Inspect SRTP finds only one party's keys populated in
the media session.
Recommendation:
No action is required.This counter could increment in the beginning phase of the call
but eventually when the call signaling exchange completes both parties should know their
respective keys.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-srtp-no-media-session
Inspect SRTP Media session lookup failed:
This counter will increment when SRTP media session lookup fails.
Recommendation:
No action is required.The media session is created by Inspect SIP or Skinny when the
IP address is parsed as part of the signaling exchange.Debug the signaling messages to
figure out the cause.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-8
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: inspect-srtp-no-remote-phone-proxy-ip
Inspect SRTP Remote Phone Proxy IP not populated:
This counter will increment when remote phone proxy IP is not populated
Recommendation:
No action is required.The remote phone proxy IP address is populated from the
signaling exchange.If error persists debug the signaling messages to figure out if ASA is
seeing all the signaling messages.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-srtp-client-port-not-present
Inspect SRTP client port wildcarded in media session:
This counter will increment when client port is not populated in media session
Recommendation:
No action is required.The client port is populated dynamically when the media stream
comes in from the client.Capture the media packets to see if the client is sending media
packets.
Syslogs:
None.
---------------------------------------------------------------Name: ipsec-need-sa
IPsec SA not negotiated yet:
This counter will increment when the appliance receives a packet which requires
encryption but has no established IPsec security association.This is generally a normal
condition for LAN-to-LAN IPsec configurations.This indication will cause the appliance to
begin ISAKMP negotiations with the destination peer.
Recommendation:
If you have configured IPsec LAN-to-LAN on your appliance, this indication is normal
and doesn't indicate a problem.However, if this counter increments rapidly it may indicate
a crypto configuration error or network error preventing the ISAKMP negotiation from
completing.Verify that you can communicate with the destination peer and verify your
crypto configuration via the 'show running-config' command.
Syslogs:
None
---------------------------------------------------------------Name: ipsec-spoof
IsSec spoof detected:
This counter will increment when the appliance receives a packet which should have
been encrypted but was not.The packet matched the inner header security policy check of a
configured and established IPsec connection on the appliance but was received
unencrypted.This is a security issue.
Recommendation:
Analyze your network traffic to determine the source of the spoofed IPsec traffic.
Syslogs:
402117
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-9
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: ipsec-clearpkt-notun
IPsec Clear Pkt w/no tunnel:
This counter will increment when the appliance receives a packet which should have
been encrypted but was not.The packet matched the inner header security policy check of a
configured and established IPsec connection on the appliance but was received
unencrypted.This is a security issue.
Recommendation:
Analyze your network traffic to determine the source of the spoofed IPsec traffic.
Syslogs:
402117
---------------------------------------------------------------Name: ipsec-tun-down
IPsec tunnel is down:
This counter will increment when the appliance receives a packet associated with an
IPsec connection which is in the process of being deleted.
Recommendation:
This is a normal condition when the IPsec tunnel is torn down for any reason.
Syslogs:
None
---------------------------------------------------------------Name: mp-svc-delete-in-progress
SVC Module received data while connection was being deleted:
This counter will increment when the security appliance receives a packet associated
with an SVC connection that is in the process of being deleted.
Recommendation:
This is a normal condition when the SVC connection is torn down for any reason.If this
error occurs repeatedly or in large numbers, it could indicate that clients are having
network connectivity issues.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-bad-framing
SVC Module received badly framed data:
This counter will increment when the security appliance receives a packet from an SVC
or the control software that it is unable to decode.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.The SVC or
security appliance could be at fault.
Syslogs:
722037 (Only for SVC received data).
---------------------------------------------------------------Name: mp-svc-bad-length
SVC Module received bad data length:
This counter will increment when the security appliance receives a packet from an SVC
or the control software where the calculated and specified lengths do not match.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-10
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.The SVC or
security appliance could be at fault.
Syslogs:
722037 (Only for SVC received data).
---------------------------------------------------------------Name: mp-svc-unknown-type
SVC Module received unknown data frame:
This counter will increment when the security appliance receives a packet from an SVC
where the data type is unknown.
Recommendation:
Validate that the SVC being used by the client is compatible with the version of
security appliance software.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-addr-renew-response
SVC Module received address renew response data frame:
This counter will increment when the security appliance receives an Address Renew
Response message from an SVC.The SVC should not be sending this message.
Recommendation:
This indicates that an SVC software error should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-no-prepend
SVC Module does not have enough space to insert header:
This counter will increment when there is not enough space before the packet data to
prepend a MAC header in order to put the packet onto the network.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-no-channel
SVC Module does not have a channel for reinjection:
This counter will increment when the interface that the encrypted data was received
upon cannot be found in order to inject the decrypted data.
Recommendation:
If an interface is shut down during a connection, this could happen; re-enable/check
the interface.Otherwise, this indicates that a software error should be reported to the
Cisco TAC.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-11
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: mp-svc-no-session
SVC Module does not have a session:
This counter will increment when the security appliance cannot determine the SVC
session that this data should be transmitted over.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-session-lock-failure
SVC Module failed to acquire the session lock:
This counter will increment when the security appliance cannot grab the lock for the
SVC session that this data should be transmitted over.
Recommendation:
This condition should never be encountered during normal operation and
may
indicate a software problem with the appliance.Contact the Cisco Technical Assistance
Center (TAC) if this error occurs.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-decompres-error
SVC Module decompression error:
This counter will increment when the security appliance encounters an error during
decompression of data from an SVC.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.The SVC or
security appliance could be at fault.
Syslogs:
722037.
---------------------------------------------------------------Name: mp-svc-compress-error
SVC Module compression error:
This counter will increment when the security appliance encounters an error during
compression of data to an SVC.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.The SVC or
security appliance could be at fault.
Syslogs:
722037.
---------------------------------------------------------------Name: mp-svc-no-mac
SVC Module unable to find L2 data for frame:
This counter will increment when the security appliance is unable to find an L2 MAC
header for data received from an SVC.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-12
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-invalid-mac
SVC Module found invalid L2 data in the frame:
This counter will increment when the security appliance is finds an invalid L2 MAC
header attached to data received from an SVC.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-invalid-mac-len
SVC Module found invalid L2 data length in the frame:
This counter will increment when the security appliance is finds an invalid L2 MAC
length attached to data received from an SVC.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-flow-control
SVC Session is in flow control:
This counter will increment when the security appliance needs to drop data because an
SVC is temporarily not accepting any more data.
Recommendation:
This indicates that the client is unable to accept more data.The client should reduce
the amount of traffic it is attempting to receive.
Syslogs:
None.
---------------------------------------------------------------Name: mp-svc-no-fragment
SVC Module unable to fragment packet:
This counter is incremented when a packet to be sent to the SVC is not permitted to be
fragmented or when there are not enough data buffers to fragment the packet.
Recommendation:
Increase the MTU of the SVC to reduce fragmentation.Avoid using applications that do
not permit fragmentation.Decrease the load on the device to increase available data
buffers.
Syslogs:
None.
---------------------------------------------------------------Name: vpn-handle-error
VPN Handle Error:
This counter is incremented when the appliances is unable to create a VPN handle
because the VPN handle already exists.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-13
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
It is possible to see this counter increment as part of normal operation However, if
the counter is rapidly incrementing and there is a major malfunction of vpn-based
applications, then this may be caused by a software defect.Contact the Cisco TAC to
investigate the issue further.
Syslogs:
None.
---------------------------------------------------------------Name: ipsec-lock-error
IPsec locking error:
This counter is incremented when an IPsec operation is attempted but fails due to an
internal locking error.
Recommendation:
This condition should never be encountered during normal operation and may indicate a
software problem with the appliance.Contact the Cisco Technical Assistance Center (TAC) if
this error occurs.
Syslogs:
None.
---------------------------------------------------------------Name: vpn-handle-mismatch
VPN Handle Mismatch:
This counter is incremented when the appliance wants to forward a block and the flow
referred to by the VPN Handle is different than the flow associated with the block.
Recommendation:
This is not a normal occurrence.Please enter the show console-output command and
forward that output to CISCO TAC for further analysis.
Syslogs:
None.
---------------------------------------------------------------Name: vpn-reclassify-failed
VPN Reclassify Failed:
This counter is incremented when a packet for a VPN flow is dropped due to the flow
failing to be reclassified after a VPN state change.
Recommendation:
This counter is incremented when a packet for a VPN flow arrives that requires
reclassification due to VPN CLI or Tunnel state changes.If the flow no longer matches the
existing policies, then the flow is freed and the packet dropped.
Syslogs:
No new syslogs accompany this event.
---------------------------------------------------------------Name: punt-rate-limit
Punt rate limit exceeded:
This counter will increment when the appliance attempts to forward a layer-2 packet to
a rate-limited control point service routine and the rate limit (per/second) is now being
exceeded.Currently, the only layer-2 packets destined for a control point service routine
which are rate limited are ARP packets.The ARP packet rate limit is 500 ARPs per second
per interface.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-14
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
Analyze your network traffic to determine the reason behind the high rate of ARP
packets.
Syslogs:
322002, 322003
---------------------------------------------------------------Name: punt-no-mem
Punt no memory:
This counter is incremented and the packet is dropped when there is no memory to
create data structure for punting a packet to Control Point.
Recommendation:
No action needs to be taken if this condition is transient.If this condition persists
due to low memory, then system upgrade might be necessary.
Syslogs:
None
---------------------------------------------------------------Name: punt-queue-limit
Punt queue limit exceeded:
This counter is incremented and the packet is dropped when punt queue limit is
exceeded, an indication that a bottle-neck is forming at Control Point.
Recommendation:
No action needs to be taken.This is a design limitation.
Syslogs:
None
---------------------------------------------------------------Name: flow-being-freed
Flow is being freed:
This counter is incremented when the flow is being freed and all packets queued for
inspection are dropped.
Recommendation:
No action needs to be taken.
Syslogs:
None
---------------------------------------------------------------Name: invalid-encap
Invalid Encapsulation:
This counter is incremented when the security appliance receives a frame belonging to
an unsupported link-level protocol or if the L3type specified in the frame is not
supported by the appliance.The packet is dropped.
Recommendation:
Verify that directly connected hosts have proper link-level protocol settings.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-15
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: invalid-ip-header
Invalid IP header:
This counter is incremented and the packet is dropped when the appliance receives an
IP packet whose computed checksum of the IP header does not match the recorded checksum in
the header.
Recommendation:
The packet corruption may be caused by a bad cable or noise on the line.It may also be
that a peer is sending corrupted packets and an attack is in progress.Please use the
packet capture feature to learn more about the origin of the packet.
Syslogs:
None
---------------------------------------------------------------Name: unsupported-ip-version
Unsupported IP version:
This counter is incremented when the security appliance receives an IP packet that has
an unsupported version in version field of IP header.Specifically, if the packet does not
belong to version 4 or version 6.The packet is dropped.
Recommendation:
Verify that other devices on connected network are configured to send IP packets
belonging to versions 4 or 6 only.
Syslogs:
None.
---------------------------------------------------------------Name: invalid-ip-length
Invalid IP Length:
This counter is incremented when the security appliance receives an IPv4 or IPv6
packet in which the header length or total length fields in IP header are not valid or do
not conform to the received packet length.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: invalid-ethertype
Invalid Ethertype:
This counter is incremented when the fragmentation module on the security appliance
receives or tries to send a fragmented packet that does not belong IP version 4 or version
6.The packet is dropped.
Recommendation:
Verify mtu of device and other devices on connected network to determine why the
device is processing such fragments.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-16
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: invalid-tcp-hdr-length
Invalid TCP Length:
This counter is incremented when the security appliance receives a TCP packet whose
size is smaller than minimum-allowed header length or does not conform to the received
packet length.
Recommendation:
The invalid packet could be a bogus packet being sent by an attacker.
Investigate the traffic from source in the following syslog.
Syslogs:
500003.
---------------------------------------------------------------Name: invalid-udp-length
Invalid UDP Length:
This counter is incremented when the security appliance receives a UDP packet whose
size as calculated from the fields in header is different from the measured size of packet
as received from the network.
Recommendation:
The invalid packet could be a bogus packet being sent by an attacker.
Syslogs:
None.
---------------------------------------------------------------Name: no-adjacency
No valid adjacency:
This counter is incremented when the security appliance has tried to obtain an
adjacency and could not obtain mac-address for next hop.The packet is dropped.
Recommendation:
Configure a capture for this drop reason and check if a host with specified
destination address exists on connected network or is routable from the device.
Syslogs:
None.
---------------------------------------------------------------Name: unexpected-packet
Unexpected packet:
This counter is incremented when the appliance in transparent mode receives a non-IP
packet, destined to its MAC address, but there is no corresponding service running on the
appliance to process the packet.
Recommendation:
Verify if the appliance is under attack.If there are no suspicious packets, or the
device is not in transparent mode, this counter is most likely being incremented due to a
software error.Attempt to capture the traffic that is causing the counter to increment and
contact the Cisco TAC.
Syslogs:
None
---------------------------------------------------------------Name: no-route
No route to host:
This counter is incremented when the security appliance tries to send a packet out of
an interface and does not find a route for it in routing table.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-17
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
Verify that a route exists for the destination address obtained from the generated
syslog.
Syslogs:
110002, 110003.
---------------------------------------------------------------Name: rpf-violated
Reverse-path verify failed:
This counter is incremented when ip-verify is configured on an interface and the
security appliance receives a packet for which the route lookup of source-ip did not yield
the same interface as the one on which the packet was received.
Recommendation:
Trace the source of traffic based on source-ip printed in syslog below and investigate
why it is sending spoofed traffic.
Syslogs:
106021.
---------------------------------------------------------------Name: acl-drop
Flow is denied by configured rule:
This counter is incremented when a drop rule is hit by the packet and gets
dropped.This rule could be a default rule created when the box comes up, when various
features are turned on or off, when an acl is applied to interface or any other feature
etc. Apart from default rule drops, a packet could be dropped because of:
1) ACL configured on an interface
2) ACL configured for AAA and AAA denied the user
3) Thru-box traffic arriving at management-only ifc
4) Unencrypted traffic arriving on a ipsec-enabled interface
Recommendation:
Note if one of ACLs listed below are fired.
Syslogs:
106023, 106100, 106004
---------------------------------------------------------------Name: unable-to-create-flow
Flow denied due to resource limitation:
This counter is incremented and the packet is dropped when flow creation fails due to
a system resource limitation.The resource limit may be either:
1) system memory
2) packet block extension memory
3) system connection limit
Causes 1 and 2 will occur simultaneously with flow drop reason "No memory to complete
flow".
Recommendation:
- Observe if free system memory is low.
- Observe if flow drop reason "No memory to complete flow" occurs.
- Observe if connection count reaches the system connection limit with the command
"show resource usage".
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-18
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: unable-to-add-flow
Flow hash full:
This counter is incremented when a newly created flow is inserted into flow hash table
and the insertion failed because the hash table was full.The flow and the packet are
dropped.This is different from counter that gets incremented when maximum connection limit
is reached.
Recommendation:
This message signifies lack of resources on the device to support an operation that
should have been successful.Please check if the connections in the 'show conn' output have
exceeded their configured idle timeout values.If so, contact the Cisco Technical
Assistance Center (TAC).
Syslogs:
None.
---------------------------------------------------------------Name: np-sp-invalid-spi
Invalid SPI:
This counter will increment when the appliance receives an IPsec ESP packet addressed
to the appliance which specifies a SPI (security parameter index) not currently known by
the appliance.
Recommendation:
Occasional invalid SPI indications are common, especially during rekey processing.Many
invalid SPI indications may suggest a problem or DoS attack.If you are experiencing a high
rate of invalid SPI indications, analyze your network traffic to determine the source of
the ESP traffic.
Syslogs:
402114
---------------------------------------------------------------Name: unsupport-ipv6-hdr
Unsupported IPv6 header:
This counter is incremented and the packet is dropped if an IPv6 packet is received
with an unsupported IPv6 extension header.The supported IPv6 extension headers are: TCP,
UDP, ICMPv6, ESP, AH, Hop Options, Destination Options, and Fragment.The IPv6 routing
extension header is not supported, and any extension header not listed above is not
supported.IPv6 ESP and AH headers are supported only if the packet is
through-the-box.To-the-box IPv6 ESP and AH packets are not supported and will be dropped.
Recommendation:
This error may be due to a misconfigured host.If this error occurs repeatedly or in
large numbers, it could also indicate spurious or malicious activity such as an attempted
DoS attack.
Syslogs:
None.
---------------------------------------------------------------Name: tcp-not-syn
First TCP packet not SYN:
Received a non SYN packet as the first packet of a non intercepted and non nailed
connection.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-19
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
Under normal conditions, this may be seen when the appliance has already closed a
connection, and the client or server still believe the connection is open, and continue to
transmit data.Some examples where this may occur is just after a 'clear local-host' or
'clear xlate' is issued.Also, if connections have not been recently removed, and the
counter is incrementing rapidly, the appliance may be under attack.Capture a sniffer trace
to help isolate the cause.
Syslogs:
6106015
---------------------------------------------------------------Name: bad-tcp-cksum
Bad TCP checksum:
This counter is incremented and the packet is dropped when the appliance receives a
TCP packet whose computed TCP checksum does not match the recorded checksum in TCP header.
Recommendation:
The packet corruption may be caused by a bad cable or noise on the line.It may also be
that a TCP endpoint is sending corrupted packets and an attack is in progress.Please use
the packet capture feature to learn more about the origin of the packet.To allow packets
with incorrect TCP checksum disable checksum-verification feature under tcp-map.
Syslogs:
None
---------------------------------------------------------------Name: bad-tcp-flags
Bad TCP flags:
This counter is incremented and the packet is dropped when the appliance receives a
TCP packet with invalid TCP flags in TCP header.Example a packet with SYN and FIN TCP
flags set will be dropped.
Recommendations:
The packet corruption may be caused by a bad cable or noise on the line.It may also be
that a TCP endpoint is sending corrupted packets and an attack is in progress.Please use
the packet capture feature to learn more about the origin of the packet.
Syslogs:
None
---------------------------------------------------------------Name: tcp-reserved-set
TCP reserved flags set:
This counter is incremented and the packet is dropped when the appliance receives a
TCP packet with reserved flags set in TCP header.
Recommendations:
The packet corruption may be caused by a bad cable or noise on the line.It may also be
that a TCP endpoint is sending corrupted packets and an attack is in progress.Please use
the packet capture feature to learn more about the origin of the packet.To allow such TCP
packets or clear reserved flags and then pass the packet use reserved-bits configuration
under tcp-map.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-20
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: tcp-bad-option-list
TCP option list invalid:
This counter is incremented and the packet is dropped when the appliance receives a
TCP packet with a non-standard TCP header option.
Recommendations:
To allow such TCP packets or clear non-standard TCP header options and then allow the
packet, use tcp-options configuration under tcp-map.
Syslogs:
None
---------------------------------------------------------------Name: tcp-mss-exceeded
TCP data exceeded MSS:
This counter is incremented and the packet is dropped when the appliance receives a
TCP packet with data length greater than the MSS advertised by peer TCP endpoint.
Recommendations:
To allow such TCP packets use exceed-mss configuration under tcp-map
Syslogs:
4419001
---------------------------------------------------------------Name: tcp-synack-data
TCP SYNACK with data:
This counter is incremented and the packet is dropped when the appliance receives a
TCP SYN-ACK packet with data.
Recommendations:
The packet corruption may be caused by a bad cable or noise on the line.It may also be
that a TCP endpoint is sending corrupted packets and an attack is in progress.Please use
the packet capture feature to learn more about the origin of the packet.
Syslogs:
None
---------------------------------------------------------------Name: tcp-syn-data
TCP SYN with data:
This counter is incremented and the packet is dropped when the appliance receives a
TCP SYN packet with data.
Recommendations:
To allow such TCP packets use syn-data configuration under tcp-map.
Syslogs:
None
---------------------------------------------------------------Name: tcp-dual-open
TCP Dual open denied:
This counter is incremented and the packet is dropped when the appliance receives a
TCP SYN packet from the server, when an embryonic TCP connection is already open.
Recommendations:
None
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-21
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: tcp-data-past-fin
TCP data send after FIN:
This counter is incremented and the packet is dropped when the appliance receives new
TCP data packet from an endpoint which had sent a FIN to close the connection.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-3whs-failed
TCP failed 3 way handshake:
This counter is incremented and the packet is dropped when appliance receives an
invalid TCP packet during three-way-handshake.Example SYN-ACK from client will be dropped
for this reason.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-rstfin-ooo
TCP RST/FIN out of order:
This counter is incremented and the packet is dropped when appliance receives a RST or
a FIN packet with incorrect TCP sequence number.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-seq-syn-diff
TCP SEQ in SYN/SYNACK invalid:
This counter is incremented and the packet is dropped when appliance receives a SYN or
SYN-ACK packet during three-way-handshake with incorrect TCP sequence number.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-ack-syn-diff
TCP ACK in SYNACK invalid:
This counter is incremented and the packet is dropped when appliance receives a
SYN-ACK packet during three-way-handshake with incorrect TCP acknowledgement number.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-22
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-syn-ooo
TCP SYN on established conn:
This counter is incremented and the packet is dropped when appliance receives a TCP
SYN packet on an established TCP connection.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-synack-ooo
TCP SYNACK on established conn:
This counter is incremented and the packet is dropped when appliance receives a TCP
SYN-ACK packet on an established TCP connection.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-seq-past-win
TCP packet SEQ past window:
This counter is incremented and the packet is dropped when appliance receives a TCP
data packet with sequence number beyond the window allowed by the peer TCP endpoint.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-invalid-ack
TCP invalid ACK:
This counter is incremented and the packet is dropped when appliance receives a TCP
packet with acknowledgment number greater than data sent by peer TCP endpoint.
Recommendations:
None
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-23
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: tcp-fo-drop
TCP replicated flow
This counter is
packet with control
appliance has taken
pak drop:
incremented and the packet is dropped when appliance receives a TCP
flag like SYN, FIN or RST on an established connection just after the
over as active unit.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-discarded-ooo
TCP ACK in 3 way handshake invalid:
This counter is incremented and the packet is dropped when appliance receives a TCP
ACK packet from client during three-way-handshake and the sequence number is not next
expected sequence number.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-buffer-full
TCP Out-of-Order packet buffer full:
This counter is incremented and the packet is dropped when appliance receives an
out-of-order TCP packet on a connection and there is no buffer space to store this
packet.Typically TCP packets are put into order on connections that are inspected by the
appliance or when packets are sent to SSM for inspection.There is a default queue size and
when packets in excess of this default queue size are received they will be dropped.
Recommendations:
On ASA platforms the queue size could be increased using queue-limit configuration
under tcp-map.
Syslogs:
None
---------------------------------------------------------------Name: tcp-global-buffer-full
TCP global Out-of-Order packet buffer full:
This counter is incremented and the packet is dropped when the security appliance
receives an out-of-order TCP packet on a connection and there are no more global buffers
available.Typically TCP packets are put into order on connections that are inspected by
the security appliance or when packets are sent to the SSM for inspection.When the global
Out-of-Order buffer queue is full, the packet will be dropped and this counter will
increment.
Recommendations:
This is a temporary condition when all global buffers are used.If this counter is
constantly incrementing, then please check your network for large amounts of Out-of-Order
traffic, which could be caused by traffic of the same flow taking different routes through
the network.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-24
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: tcp-buffer-timeout
TCP Out-of-Order packet buffer timeout:
This counter is incremented and the packet is dropped when a queued out of order TCP
packet has been held in the buffer for too long.Typically, TCP packets are put into order
on connections that are inspected by the security appliance or when packets are sent to
the SSM for inspection.When the next expected TCP packet does not arrive within a certain
period, the queued out of order packet is dropped.
Recommendations:
The next expected TCP packet may not arrive due to congestion in the network which is
normal in a busy network.The TCP retransmission mechanism in the end host will retransmit
the packet and the session will continue.
Syslogs:
None
---------------------------------------------------------------Name: tcp-rst-syn-in-win
TCP RST/SYN in window:
This counter is incremented and the packet is dropped when appliance receives a TCP
SYN or TCP RST packet on an established connection with sequence number within window but
not next expected sequence number.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-acked
TCP DUP and has been ACKed:
This counter is incremented and the packet is dropped when appliance receives a
retransmitted data packet and the data has been acknowledged by the peer TCP endpoint.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-dup-in-queue
TCP dup of packet in Out-of-Order queue:
This counter is incremented and the packet is dropped when appliance receives a
retransmitted data packet that is already in our out of order packet queue.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcp-paws-fail
TCP packet failed PAWS test:
This counter is incremented and the packet is dropped when TCP packet with timestamp
header option fails the PAWS (Protect Against Wrapped Sequences) test.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-25
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendations:
To allow such connections to proceed, use tcp-options configuration under tcp-map to
clear timestamp option.
Syslogs:
None
---------------------------------------------------------------Name: tcp-conn-limit
TCP connection limit reached:
This reason is given for dropping a TCP packet during TCP connection establishment
phase when the connection limit has been exceeded.The connection limit is configured via
the 'set connection conn-max' action command.
Recommendation:
If this is incrementing rapidly, check the syslogs to determine which host's
connection limit is reached.The connection limit may need to be increased if the traffic
is normal, or the host may be under attack.
Syslogs:
201011
---------------------------------------------------------------Name: conn-limit
Connection limit reached:
This reason is given for dropping a packet when the connection limit or host
connection limit has been exceeded.If this is a TCP packet which is dropped during TCP
connection establishment phase due to connection limit, the drop reason 'TCP connection
limit reached' is also reported.
Recommendation:
If this is incrementing rapidly, check the syslogs to determine which host's
connection limit is reached.The connection limit may need to be increased if the traffic
is normal, or the host may be under attack.
Syslogs:
201011
---------------------------------------------------------------Name: tcp_xmit_partial
TCP retransmission partial:
This counter is incremented and the packet is dropped when check-retransmission
feature is enabled and a partial TCP retransmission was received.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: tcpnorm-rexmit-bad
TCP bad retransmission:
This counter is incremented and the packet is dropped when check-retransmission
feature is enabled and a TCP retransmission with different data from the original packet
was received.
Recommendations:
None
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-26
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: tcpnorm-win-variation
TCP unexpected window size variation:
This counter is incremented and the packet is dropped when window size advertised by
TCP endpoint is drastically changed without accepting that much data.
Recommendations:
In order to allow such packet, use the window-variation configuration under tcp-map.
Syslogs:
None
---------------------------------------------------------------Name: rate-exceeded
QoS rate exceeded:
This counter is incremented when rate-limiting (policing) is configured on an
egress/ingress interface and the egress/ingress traffic rate exceeds the burst rate
configured.The counter is incremented for each packet dropped.
Recommendation:
Investigate and determine why the rate of traffic leaving/entering the interface is
higher than the configured rate.This may be normal, or could be an indication of virus or
attempted attack.
Syslogs:
None.
---------------------------------------------------------------Name: queue-removed
Rate-limiter queued packet dropped:
When QoS config is changed or removed, the existing packets in the output queues
awaiting transmission are dropped and this counter is incremented.
Recommendation:
Under normal conditions, this may be seen when the QoS configuration has been changed
by the user.If this occurs when no changes to QoS config were performed, please contact
Cisco Technical Assistance Center (TAC).
Syslogs:
None.
---------------------------------------------------------------Name: bad-crypto
Bad crypto return in packet:
This counter will increment when the appliance attempts to perform a crypto operation
on a packet and the crypto operation fails.This is not a normal condition and could
indicate possible software or hardware problems with the appliance
Recommendation:
If you are receiving many bad crypto indications your appliance may need servicing.You
should enable syslog 402123 to determine whether the crypto errors are hardware or
software errors.You can also check the error counter in the global IPsec statistics with
the 'show ipsec stats' CLI command.If the IPsec SA which is triggering these errors is
known, the SA statistics from the 'show ipsec sa detail' command will also be useful in
diagnosing the problem.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-27
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
402123
---------------------------------------------------------------Name: ctm-error
CTM returned error:
This counter will increment when the appliance attempts to perform a crypto operation
on a packet and the crypto operation fails.This is not a normal condition and could
indicate possible software or hardware problems with the appliance.
Recommendation:
If you are receiving many bad crypto indications your appliance may need servicing.You
should enable syslog 402123 to determine whether the crypto errors are hardware or
software errors.You can also check the error counter in the global IPsec statistics with
the 'show ipsec stats' CLI command.If the IPsec SA which is triggering these errors is
known, the SA statistics from the 'show ipsec sa detail' command will also be useful in
diagnosing the problem.
Syslogs:
402123
---------------------------------------------------------------Name: send-ctm-error
Send to CTM returned error:
This counter is obsolete in the appliance and should never increment.
Recommendation:
None
Syslogs:
None
---------------------------------------------------------------Name: security-failed
Early security checks failed:
This counter is incremented and packet is dropped when the security appliance :
- receives an IPv4 multicast packet when the packets multicast MAC address doesn't
match the packets multicast destination IP address
- receives an IPv6 or IPv4 teardrop fragment containing either small offset or
fragment overlapping
- receives an IPv4 packet that matches an IP audit (IPS) signature
Recommendation:
Contact the remote peer administrator or escalate this issue according to your
security policy
For detailed description and syslogs for IP audit attack checks please refer the ip
audit signature section of command reference guide
Syslogs:
106020
400xx in case of ip audit checks
---------------------------------------------------------------Name: sp-security-failed
Slowpath security checks failed:
This counter is incremented and packet is dropped when the security appliance is:
1) In routed mode receives a through-the-box:
- L2 broadcast packet
- IPv4 packet with destination IP address equal to 0.0.0.0
- IPv4 packet with source IP address equal to 0.0.0.0
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-28
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
2) In routed or transparent mode and receives a through-the-box IPv4 packet with:
- first octet of the source IP address equal to zero
- source IP address equal to the loopback IP address
- network part of source IP address equal to all 0's
- network part of the source IP address equal to all 1's
- source IP address host part equal to all 0's or all 1's
3) In routed or transparent mode and receives an IPv4 or IPv6 packet with same source
and destination IP addresses
Recommendation:
1 and 2) Determine if an external user is trying to compromise the protected
network.Check for misconfigured clients.
3) If this message counter is incrementing rapidly, an attack may be in progress.Use
the packet capture feature to capture type asp packets, and check the source MAC address
in the packet to see where they are coming from.
Syslogs:
1 and 2) 106016
3) 106017
---------------------------------------------------------------Name: ipv6_sp-security-failed
IPv6 slowpath security checks failed:
This counter is incremented and the packet is dropped for one of the following
reasons:
1) IPv6 through-the-box packet with identical source and destination address.
2) IPv6 through-the-box packet with linklocal source or destination address.
3) IPv6 through-the-box packet with multicast destination address.
Recommendation:
These packets could indicate malicious activity, or could be the result of a
misconfigured IPv6 host.Use the packet capture feature to capture type asp packets, and
use the source MAC address to identify the source.
Syslogs:
For identical source and destination address, syslog 106016, else none.
---------------------------------------------------------------Name: invalid-ip-option
IP option drop:
This counter is incremented when any unicast packet with ip options or a multicast
packet with ip-options that have not been configured to be accepted, is received by the
security appliance.The packet is dropped.
Recommendation:
Investigate why a packet with ip options is being sent by the sender.
Syslogs:
None.
---------------------------------------------------------------Name: lu-invalid-pkt
Invalid LU packet:
Standby unit received a corrupted Logical Update packet.
Recommendation:
The packet corruption could be caused by a bad cable, interface card, line noise, or
software defect.If the interface appears to be functioning properly, then report the
problem to Cisco TAC.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-29
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: fo-standby
Dropped by standby unit:
If a through-the-box packet arrives at an appliance or context in a Standby state and
a flow is created, the packet is dropped and the flow removed.This counter will increment
each time a packet is dropped in this manner.
Recommendation:
This counter should never be incrementing on the Active appliance or context.However,
it is normal to see it increment on the Standby appliance or context.
Syslogs:
302014, 302016, 302018
---------------------------------------------------------------Name: dst-l2_lookup-fail
Dst MAC L2 Lookup Failed:
This counter will increment when the appliance is configured for transparent mode and
the appliance does a Layer 2 destination MAC address lookup which fails.Upon the lookup
failure, the appliance will begin the destination MAC discovery process and attempt to
find the location of the host via ARP and/or ICMP messages.
Recommendation:
This is a normal condition when the appliance is configured for transparent mode.You
can also execute (show mac-address-table) to list the L2 MAC address locations currently
discovered by the appliance.
Syslogs:
None
---------------------------------------------------------------Name: l2_same-lan-port
L2 Src/Dst same LAN port:
This counter will increment when the appliance/context is configured for transparent
mode and the appliance determines that the destination interface's L2 MAC address is the
same as its ingress interface.
Recommendation:
This is a normal condition when the appliance/context is configured for transparent
mode.Since the appliance interface is operating in promiscuous mode, the appliance/context
receives all packets on the local LAN seqment.
Syslogs:
None
---------------------------------------------------------------Name: flow-expired
Expired flow:
This counter is incremented when the security appliance tries to inject a new or
cached packet belonging to a flow that has already expired.It is also incremented when the
appliance attempts to send an rst on a tcp flow that has already expired or when a packet
returns from IDS blade but the flow had already expired.The packet is dropped
Recommendation:
If valid applications are getting pre-empted, investigate if a longer timeout is
needed.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-30
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: inspect-icmp-out-of-app-id
ICMP Inspect out of App ID:
This counter will increment when the ICMP inspection engine fails to allocate an 'App
ID' data structure.The structure is used to store the sequence number of the ICMP packet.
Recommendation:
Check the system memory usage.This event normally happens when the system runs short
of memory.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-icmp-bad-code
ICMP Inspect bad icmp code:
This counter will increment when the ICMP code in the ICMP echo request or reply
message is non-zero.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313009.
---------------------------------------------------------------Name: inspect-icmp-seq-num-not-matched
ICMP Inspect seq num not matched:
This counter will increment when the sequence number in the ICMP echo reply message
does not match any ICMP echo message that passed across the appliance earlier on the same
connection.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313004
---------------------------------------------------------------Name: inspect-icmp-error-no-existing-conn
ICMP Error Inspect no existing conn:
This counter will increment when the appliance is not able to find any established
connection related to the frame embedded in the ICMP error message.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313005
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-31
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: inspect-icmp-error-nat64-error
ICMP NAT64 Error Inspect XLATE Error:
This counter will increment when the appliance is unable to translate ICMP error
messages between IPv6 and IPv4.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313005
---------------------------------------------------------------Name: inspect-icmp-nat64-frag
ICMP NAT64 Inspect Fragmentation Error:
This counter will increment when the appliance is unable to translate ICMP messages
between IPv6 and IPv4 due to fragmentation.Per RFC-6145, ICMP packet fragments will not be
translated.
Recommendation:
No action required.
Syslogs:
313005
---------------------------------------------------------------Name: inspect-icmp-error-different-embedded-conn
ICMP Error Inspect different embedded conn:
This counter will increment when the frame embedded in the ICMP error message does not
match the established connection that has been identified when the ICMP connection is
created.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313005
---------------------------------------------------------------Name: inspect-icmpv6-error-invalid-pak
ICMPv6 Error Inspect invalid packet:
This counter will increment when the appliance detects an invalid frame embedded in
the ICMPv6 packet.This check is the same as that on IPv6 packets.Examples: Incomplete IPv6
header; malformed IPv6 Next Header; etc.
Recommendation:
No action required.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-icmpv6-error-no-existing-conn
ICMPv6 Error Inspect no existing conn:
This counter will increment when the appliance is not able to find any established
connection related to the frame embedded in the ICMPv6 error message.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-32
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313005
---------------------------------------------------------------Name: inspect-dns-invalid-pak
DNS Inspect invalid packet:
This counter will increment when the appliance detects an invalid DNS packet.Examples:
A DNS packet with no DNS header; the number of DNS resource records not matching the
counter in the header; etc.
Recommendation:
No action required.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-dns-invalid-domain-label
DNS Inspect invalid domain label:
This counter will increment when the appliance detects an invalid DNS domain name or
label.DNS domain name and label is checked per RFC 1035.
Recommendation:
No action required.If the domain name and label check is not desired, disable the
protocol-enforcement parameter in the DNS inspection policy-map (in supported releases).
Syslogs:
None.
---------------------------------------------------------------Name: inspect-dns-pak-too-long
DNS Inspect packet too long:
This counter is incremented when the length of the DNS message exceeds the configured
maximum allowed value.
Recommendation:
No action required.If DNS message length checking is not desired, enable DNS
inspection without the 'maximum-length' option, or disable the 'message-length maximum'
parameter in the DNS inspection policy-map (in supported releases).
Syslogs:
410001
---------------------------------------------------------------Name: inspect-dns-out-of-app-id
DNS Inspect out of App ID:
This counter will increment when the DNS inspection engine fails to allocate a data
structure to store the identification of the DNS message.
Recommendation:
Check the system memory usage.This event normally happens when the system runs short
of memory.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-33
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: inspect-dns-id-not-matched
DNS Inspect ID not matched:
This counter will increment when the identification of the DNS response message does
not match any DNS queries that passed across the appliance earlier on the same connection.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
None.
---------------------------------------------------------------Name: dns-guard-out-of-app-id
DNS Guard out of App ID:
This counter will increment when the DNS Guard function fails to allocate a data
structure to store the identification of the DNS message.
Recommendation:
Check the system memory usage.This event normally happens when the system runs short
of memory.
Syslogs:
None.
---------------------------------------------------------------Name: dns-guard-id-not-matched
DNS Guard ID not matched:
This counter will increment when the identification of the DNS response message does
not match any DNS queries that passed across the appliance earlier on the same
connection.This counter will increment by the DNS Guard function.
Recommendation:
No action required if it is an intermittent event.If the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-rtp-invalid-length
Invalid RTP Packet length:
This counter will increment when the UDP packet length is less than the size of the
RTP header.
Recommendation:
No action required.A capture can be used to figure out which RTP source is sending the
incorrect packets and you can deny the host using the ACLs.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-rtp-invalid-version
Invalid RTP Version field:
This counter will increment when the RTP version field contains a version other than
2.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-34
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
The RTP source in your network does not seem to be sending RTP packets conformant with
the RFC 1889.The reason for this has to be identified and you can deny the host using ACLs
if required.
Syslogs:
431001.
---------------------------------------------------------------Name: inspect-rtp-invalid-payload-type
Invalid RTP Payload type field:
This counter will increment when the RTP payload type field does not contain an audio
payload type when the signalling channel negotiated an audio media type for this RTP
secondary connection.The counter increments similarly for the video payload type.
Recommendation:
The RTP source in your network is using the audio RTP secondary connection to send
video or vice versa.If you wish to prevent this you can deny the host using ACLs.
Syslogs:
431001.
---------------------------------------------------------------Name: inspect-rtp-ssrc-mismatch
Invalid RTP Synchronization Source field:
This counter will increment when the RTP SSRC field in the packet does not match the
SSRC which the inspect has been seeing from this RTP source in all the RTP packets.
Recommendation:
This could be because the RTP source in your network is rebooting and hence changing
the SSRC or it could be because of another host on your network trying to use the opened
secondary RTP connections on the firewall to send RTP packets.This should be investigated
further to confirm if there is a problem.
Syslogs:
431001.
---------------------------------------------------------------Name: inspect-rtp-sequence-num-outofrange
RTP Sequence number out of range:
This counter will increment when the RTP sequence number in the packet is not in the
range expected by the inspect.
Recommendation:
No action is required because the inspect tries to recover and start tracking from a
new sequence number after a lapse in the sequence numbers from the RTP source.
Syslogs:
431001.
---------------------------------------------------------------Name: inspect-rtp-max-outofseq-paks-probation
RTP out of sequence packets in probation period:
This counter will increment when the out of sequence packets when the RTP source is
being validated exceeds 20.During the probation period, the inspect looks for 5
in-sequence packets to consider the source validated.
Recommendation:
Check the RTP source to see why the first few packets do not come in sequence and
correct it.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-35
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
431001.
---------------------------------------------------------------Name: inspect-rtcp-invalid-length
Invalid RTCP Packet length:
This counter will increment when the UDP packet length is less than the size of the
RTCP header.
Recommendation:
No action required.A capture can be used to figure out which RTP source is sending the
incorrect packets and you can deny the host using the ACLs.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-rtcp-invalid-version
Invalid RTCP Version field:
This counter will increment when the RTCP version field contains a version other than
2.
Recommendation:
The RTP source in your network does not seem to be sending RTCP packets conformant
with the RFC 1889.The reason for this has to be identified and you can deny the host using
ACLs if required.
Syslogs:
431002.
---------------------------------------------------------------Name: inspect-rtcp-invalid-payload-type
Invalid RTCP Payload type field:
This counter will increment when the RTCP payload type field does not contain the
values 200 to 204.
Recommendation:
The RTP source should be validated to see why it is sending payload types outside of
the range recommended by the RFC 1889.
Syslogs:
431002.
---------------------------------------------------------------Name: cxsc-request
Flow terminated by CXSC:
This reason is given for terminating a flow as requested by CXSC module.Recommendations:
Check syslogs and alerts on CXSC module.
Syslogs: 429002
---------------------------------------------------------------Name: cxsc-fail
CXSC config removed for connection:
This counter is incremented and the packet is dropped when CXSC configuration is not
found for a particular connection.
Recommendations:
check if any configuration changes have been done for CXSC.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-36
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: cxsc-fail-close
CXSC fail-close:
This reason is given for terminating a flow since CXSC card is down and fail-close
option was used with CXSC action.
Recommendations:
Check and bring up CXSC card.
Syslogs:
429001
---------------------------------------------------------------Name: cxsc-bad-tlv-received
CXSC Module requested drop:
This counter is incremented and the packet is dropped as requested by CXSC module when
the packet has bad TLV's.
Recommendations:
Check syslogs and alerts on CXSC module.
Syslogs:
None
---------------------------------------------------------------Name: cxsc-ha-request
CXSC HA replication drop:
This counter is incremented when the security appliance receives a CXSC HA request
packet, but could not process it and the packet is dropped.
Recommendation:
This could happen occasionally when CXSC does not have the latest ASA HA state, like
right after ASA HA state change.If the counter is constantly increasing however, then it
can be because CXSC and ASA are out of sync.If that happens, contact Cisco TAC for
assistance.
Syslogs:
None.
---------------------------------------------------------------Name: cxsc-invalid-encap
CXSC invalid header drop:
This counter is incremented when the security appliance receives a CXSC packet with
invalid messsage header, and the packet is dropped.
Recommendation:
This should not happen.Contact Cisco TAC for assistance.
Syslogs:
None.
---------------------------------------------------------------Name: cxsc-malformed-packet
CXSC Module requested drop:
This counter is incremented and the packet is dropped as requested by CXSC module when
the packet is malformed.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-37
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendations:
Check syslogs and alerts on CXSC module.
Syslogs:
None
---------------------------------------------------------------Name: ips-request
IPS Module requested drop:
This counter is incremented and the packet is dropped as requested by IPS module when
the packet matches a signature on the IPS engine.
Recommendations:
Check syslogs and alerts on IPS module.
Syslogs:
420002
---------------------------------------------------------------Name: ips-fail-close
IPS card is down:
This counter is incremented and the packet is dropped when IPS card is down and
fail-close option was used in IPS inspection.
Recommendations:
Check and bring up the IPS card.
Syslogs:
420001
---------------------------------------------------------------Name: ips-fail
IPS config removed for connection:
This counter is incremented and the packet is dropped when IPS configuration is not
found for a particular connection.
Recommendations:
check if any configuration changes have been done for IPS.
Syslogs:
None
---------------------------------------------------------------Name: ips-no-ipv6
Executing IPS software does not support IPv6:
This counter is incremented when an IPv6 packet, configured to be directed toward IPS
SSM, is discarded since the software executing on IPS SSM card does not support IPv6.
Recommendations:
Upgrade the IPS software to version 6.2 or later.
Syslogs:
None
---------------------------------------------------------------Name: l2_acl
FP L2 rule drop:
This counter will increment when the appliance denies a packet due to a layer-2 ACL.By
default, in routed mode the appliance will PERMIT:
1) IPv4 packets
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-38
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
2)
3)
4)
5)
6)
IPv6 packets
ARP packets
L2 Destination MAC of FFFF:FFFF:FFFF (broadcast)
IPv4 MCAST packet with destination L2 of 0100:5E00:0000-0100:5EFE:FFFF
IPv6 MCAST packet with destination L2 of 3333:0000:0000-3333:FFFF:FFFF
By default, in Transparent mode permits the routed mode ACL and PERMITS:
1) BPDU packets with destination L2 of 0100:0CCC:CCCD
2) Appletalk packets with destination L2 of 0900:0700:0000-0900:07FF:FFFF
The user can also configure ethertype ACL(s) and apply them to an interface to permit
other types of L2 traffic.
The default L2 ACL can be seen in routed and transparent mode with the show asp table
classify domain permit command.
Note - Packets permitted by L2 ACLs may still be dropped by L3-L4 ACLs.
Recommendation:
If your running the appliance/context in transparent mode and your non-IP packets are
dropped by the appliance, you can configure an ethertype ACL and apply the ACL to an
access group.Note - the appliance ethertype CLI only supports protocol types and not L2
destination MAC addresses.
Syslogs:
106026, 106027
---------------------------------------------------------------Name: intercept-unexpected
Intercept unexpected packet:
Either received data from client while waiting for SYNACK from server or received a
packet which cannot be handled in a particular state of TCP intercept.
Recommendation:
If this drop is causing the connection to fail, please have a sniffer trace of the
client and server side of the connection while reporting the issue.The box could be under
attack and the sniffer traces or capture would help narrowing down the culprit.
Syslogs:
None.
---------------------------------------------------------------Name: no-mcast-entry
FP no mcast entry:
A packet has arrived that matches a multicast flow, but the multicast service is no
longer enabled, or was re-enabled after the flow was built.
- OR A multicast entry change has been detected after a packet was punted to the CP, and
the NP can no longer forward the packet since no entry is present.
Recommendation:
Reenable multicast if it is disabled.
- OR No action required.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-39
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: no-mcast-intrf
FP no mcast output intrf:
All output interfaces have been removed from the multicast entry.
- OR The multicast packet could not be forwarded.
Recommendation:
Verify that there are no longer any receivers for this group.
- OR Verify that a flow exists for this packet.
Syslogs:
None
---------------------------------------------------------------Name: fragment-reassembly-failed
Fragment reassembly failed:
This counter is incremented when the appliance fails to reassemble a chain of
fragmented packets into a single packet.All the fragment packets in the chain are
dropped.This is most probably because of failure while allocating memory for the
reassembled packet.
Recommendation:
Use the show blocks command to monitor the current block memory.
Syslogs:
None
---------------------------------------------------------------Name: ifc-classify
Virtual firewall classification failed:
A packet arrived on a shared interface, but failed to classify to any specific context
interface.
Recommendation:
For software versions without customizable mac-address support, use the "global" or
"static" command to specify the IPv4 addresses that belong to each context interface.For
software versions with customizable mac-address support, enable "mac-address auto" in
system context.Alternatively, configure unique MAC addresses for each context interfaces
residing over a shared interface with "mac-address" command under each context interface
submode.
Syslogs:
None.
---------------------------------------------------------------Name: connection-lock
Connection locking failed:
While the packet was waiting for processing, the flow that would be usedwas destroyed.
Recommendation:
The message could occur from user interface command to remove connection in an device
that is actively processing packet.Otherwise, investigate flow drop counter.This message
may occur if the flow are forced dropped from error.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-40
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: interface-down
Interface is down:
This counter will increment for each packet received on an interface that is shutdown
via the 'shutdown' interface sub-mode command.For ingress traffic, the packet is dropped
after security context classification and if the interface associated with the context is
shut down.For egress traffic, the packet is dropped when the egress interface is shut
down.
Recommendation:
No action required.
Syslogs:
None.
---------------------------------------------------------------Name: invalid-app-length
Invalid App length:
This counter will increment when the appliance detects an invalid length of the Layer
7 payload in the packet.Currently, it counts the drops by the DNS Guard function
only.Example: Incomplete DNS header.
Recommendation:
No action required.
Syslogs:
None.
---------------------------------------------------------------Name: loopback-buffer-full
Loopback buffer full:
This counter is incremented and the packet is dropped when packets are sent from one
context of the appliance to another context through a shared interface and there is no
buffer space in loopback queue.
Recommendations:
Check system CPU to make sure it is not overloaded.
Syslogs:
None
---------------------------------------------------------------Name: non-ip-pkt-in-routed-mode
Non-IP packet received in routed mode:
This counter will increment when the appliance receives a packet which is not IPv4,
IPv6 or ARP and the appliance/context is configured for routed mode.In normal operation
such packets should be dropped by the default L2 ACL configuration.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
106026, 106027
---------------------------------------------------------------Name: host-move-pkt
FP host move packet:
This counter will increment when the appliance/context is configured for transparent
and source interface of a known L2 MAC address is detected on a different interface.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-41
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
This indicates that a host has been moved from one interface (i.e. LAN segment) to
another.This condition is normal while in transparent mode if the host has in fact been
moved.However, if the host move toggles back and forth between interfaces, a network loop
may be present.
Syslogs:
412001, 412002, 322001
---------------------------------------------------------------Name: tfw-no-mgmt-ip-config
No management IP address configured for TFW:
This counter is incremented when the security appliance receives an IP packet in
transparent mode and has no management IP address defined.The packet is dropped.
Recommendation:
Configure the device with management IP address and mask values.
Syslogs:
322004
---------------------------------------------------------------Name: shunned
Packet shunned:
This counter will increment when a packet is received which has a source IP address
that matches a host in the shun database.
Recommendation:
No action required.
Syslogs:
401004
---------------------------------------------------------------Name: rm-conn-limit
RM connection limit reached:
This counter is incremented when the maximum number of connections for a context or
the system has been reached and a new connection is attempted.
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource
usage system' to view context and system resource limits and 'Denied' counts and adjust
resource limits if desired.
Syslogs:
321001
---------------------------------------------------------------Name: rm-conn-rate-limit
RM connection rate limit reached:
This counter is incremented when the maximum connection rate for a context or the
system has been reached and a new connection is attempted.
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource
usage system' to view context and system resource limits and 'Denied' counts and adjust
resource limits if desired.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-42
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
321002
---------------------------------------------------------------Name: np-socket-closed
Dropped pending packets in a closed socket:
If a socket is abruptly closed, by the user or software, then any pending packets in
the pipeline for that socket are also dropped.This counter is incremented for each packet
in the pipeline that is dropped.
Recommendation:
It is common to see this counter increment as part of normal operation.However, if the
counter is rapidly incrementing and there is a major malfunction of socket-based
applications, then this may be caused by a software defect.Contact the Cisco TAC to
investigate the issue further.
Syslogs:
None.
---------------------------------------------------------------Name: mp-pf-queue-full
Port Forwarding Queue Is Full:
This counter is incremented when the Port Forwarding application's internal queue
is full and it receives another packet for transmission.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: ssm-dpp-invalid
Invalid packet received from SSM card:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when the security appliance receives a packet from the internal data plane
interface but could not find the proper driver to parse it.
Recommendation:
The data plane driver is dynamically registered depending on the type of SSM installed
in the system.So this could happen if data plane packets arrive before the security
appliance is fully initialized.This counter is usually 0.You should not be concerned if
there are a few drops.However, if this counter keeps rising when system is up and running,
it may indicate a problem.Please contact Cisco Technical Assistance Center (TAC) if you
suspect it affects the normal operation of your the security appliance.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-43
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: ssm-asdp-invalid
Invalid ASDP packet received from SSM card:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when the security appliance receives an ASA SSM Dataplane Protocol (ASDP)
packet from the internal data plane interface, but the driver encountered a problem when
parsing the packet.ASDP is a protocol used by the security appliance to communicate with
certain types of SSMs, like the CSC-SSM.This could happen for various reasons, for example
ASDP protocol version is not compatible between the security appliance and SSM, in which
case the card manager process in the control plane issues system messages and CLI warnings
to inform you of the proper version of images that need to be installed; the ASDP packet
belongs to a connection that has already been terminated on the security appliance; the
security appliance has switched to the standby state (if failover is enable) in which case
it can no longer pass traffic; or any unexpected value when parsing the ASDP header and
payload.
Recommendation:
The counter is usually 0 or a very small number.But user should not be concerned if
the counter slowly increases over the time, especially when there has been a failover, or
you have manually cleared connections on the security appliance via CLI.If the counter
increases drastically during normal operation, please contact Cisco Technical Assistance
Center (TAC).
Syslogs:
421003
421004
---------------------------------------------------------------Name: ssm-app-request
Service module requested drop:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when the application running on the SSM requests the security appliance to
drop a packet.
Recommendation:
More information could be obtained by querying the incident report or system messages
generated by the SSM itself.Please consult the documentation that comes with your SSM for
instructions.
Syslogs:
None.
---------------------------------------------------------------Name: ssm-app-fail
Service module is down:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when a packet to be inspected by the SSM is dropped because the SSM has become
unavailable.Some examples of this are: software or hardware failure, software or signature
upgrade, or the module being shut down.
Recommendation:
The card manager process running in the security appliance control plane would have
issued system messages and CLI warning to inform you of the failure.Please consult the
documentation that comes with the SSM to trouble shoot the SSM failure.Contact Cisco
Technical Assistance Center (TAC) if needed.
Syslog:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-44
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: wccp-return-no-route
No route to host for WCCP returned packet:
This counter is incremented when a packet is returned from the Cache Engine and the
security appliance does not find a route for the original source of the packet.
Recommendation:
Verify that a route exists for the source ip address of the packet returned from Cache
Engine.
Syslogs:
None.
---------------------------------------------------------------Name: wccp-redirect-no-route
No route to Cache Engine:
This counter is incremented when the security appliance tries to redirect a packet and
does not find a route to the Cache Engine.
Recommendation:
Verify that a route exists for Cache Engine.
Syslogs:
None.
---------------------------------------------------------------Name: telnet-not-permitted
Telnet not permitted on least secure interface:
This counter is incremented and packet is dropped when the appliance receives a TCP
SYN packet attempting to establish a TELNET session to the appliance and that packet was
received on the least secure interface.
Recommendation:
To establish a Telnet session to the appliance via the least secure interface, first
establish an IPsec tunnel to that interface and then connect the Telnet session over that
tunnel.
Syslogs:
402117
---------------------------------------------------------------Name: ipv6-sp-security-failed
IPv6 slowpath security checks failed:
This counter is incremented and the packet is dropped for one of the following
reasons:
1) IPv6 through-the-box packet with identical source and destination address.
2) IPv6 through-the-box packet with linklocal source or destination address.
3) IPv6 through-the-box packet with multicast destination address.
Recommendation:
These packets could indicate malicious activity, or could be the result of a
misconfigured IPv6 host.Use the packet capture feature to capture type asp packets, and
use the source MAC address to identify the source.
Syslogs:
For identical source and destination address, syslog 106016, else none.
---------------------------------------------------------------Name: ipv6-eh-inspect-failed
IPv6 extension header is detected and denied:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet but extension header could not be inspected due to memory allocation failed.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-45
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
Also check 'show memory' output to make sure appliance has enough memory to operate.
Syslogs:
None
---------------------------------------------------------------Name: ipv6-bad-eh
Bad IPv6 extension header is detected and denied:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with bad extension header.
Recommendation:
Check 'verify-header type' of 'parameters' in 'policy-map type ipv6'.Remove 'verify-header
type' if the header conformance can be skipped.
Syslogs:
325005
---------------------------------------------------------------Name: ipv6-bad-eh-order
IPv6 extension headers not in proper order is detected and denied:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with extension headers not in proper order.
Recommendation:
Check 'verify-header order' of 'parameters' in 'policy-map type ipv6'.Remove
'verify-header order' if the header order can be arbitrary.
Syslogs:
325005
---------------------------------------------------------------Name: ipv6-mobility-denied
IPv6 mobility extension header is denied by user configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with mobility extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header mobility' in 'policy-map type ipv6'.Remove action 'drop'
if mobility should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-mobility-type-denied
IPv6 mobility type extension header is denied by user configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with mobility type extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header mobility type' in 'policy-map type ipv6'.Remove action
'drop' if mobility should be allowed.
Syslogs:
325004
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-46
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: ipv6-fragment-denied
IPv6 fragmentation extension header is denied by user configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with fragmentation extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header fragmentation' in 'policy-map type ipv6'.Remove action
'drop' if fragmentation should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-routing-address-denied
IPv6 routing extension header exceeding configured maximum routing addresses is denied:
routing count is denied by IPv6 extension header configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with too many routing addresses in routing extension header whichis denied by the
user configuration rule.
Recommendation:
Check action of 'match header routing-address count' in 'policy-map type ipv6'.Remove
action 'drop' or increase <count> if <count> routing addresses should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-routing-type-denied
routing type is denied by IPv6 extension header configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with routing type extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header routing-type' in 'policy-map type ipv6'.Remove action
'drop' if routing-type should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-eh-count-denied
IPv6 extension headers exceeding configured maximum extension headers is denied:
extension header count is denied by IPv6 extension header configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with fragmentation extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header fragmentation' in 'policy-map type ipv6'.Remove action
'drop' if fragmentation should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-dest-option-denied
destination-option is denied by IPv6 extension header configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with destination-option extension header which is denied by the user configuration
rule.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-47
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
Check action of 'match header destination-option' in 'policy-map type ipv6'.Remove
action 'drop' if destination-option should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-hop-by-hop-denied
IPv6 hop-by-hp extension header is denied by user configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with hop-by-hop extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header hop-by-hop' in 'policy-map type ipv6'.Remove action
'drop' if hop-by-hop should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-esp-denied
ESP is denied by IPv6 extension header configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with ESP extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header esp' in 'policy-map type ipv6'.Remove action 'drop' if
ESP should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: ipv6-ah-denied
AH is denied by IPv6 extension header configuration:
This counter is incremented and packet is dropped when the appliance receives a IPv6
packet with AH extension header which is denied by the user configuration rule.
Recommendation:
Check action of 'match header ah' in 'policy-map type ipv6'.Remove action 'drop' if AH
should be allowed.
Syslogs:
325004
---------------------------------------------------------------Name: channel-closed
Data path channel closed:
This counter is incremented when the data path channel has been closed before the
packet attempts to be sent out through this channel.
Recommendation:
It is normal in multi-processor system when one processor closes the channel (e.g.,
via CLI), and another processor tries to send a packet through the channel.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-48
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: dispatch-decode-err
Diapatch decode error:
This counter is incremented when the packet dispatch module finds an error when
decoding the frame.An example is an unsupported packet frame.
Recommendation:
Verify the packet format with a capture tool.
Syslogs:
None
---------------------------------------------------------------Name: cp-event-queue-error
CP event queue error:
This counter is incremented when a CP event queue enqueue attempt has failed due to
queue length exceeded.This queue is used by the data-path to punt packets to the
control-point for additional processing.This condition is only possible in a
multi-processor enviroment.The module that attempted to enqueue the packet may issue its
own packet specific drop in response to this error.
Recommendation:
While this error does indicate a failure to completely process a packet, it may not
adversely affect the connection.If the condition persists or connections are adversely
affected contact the Cisco Technical Assistance Center (TAC).
Syslogs:
None
---------------------------------------------------------------Name: host-limit
Host limit exceeded:
This counter is incremented when the licensed host limit is exceeded.
Recommendation:
None.
Syslogs:
450001
---------------------------------------------------------------Name: cp-syslog-event-queue-error
CP syslog event queue error:
This counter is incremented when a CP syslog event queue enqueue attempt has failed
due to queue length exceeded.This queue is used by the data-path to punt logging events to
the control-point when logging destinations other than to a UDP server are configured.This
condition is only possible in a multi-processor environment.
Recommendation:
While this error does indicate a failure to completely process a logging event,
logging to UDP servers should not be affected.If the condition persists consider lowering
the logging level and/or removing logging destinations or contact the Cisco Technical
Assistance Center (TAC).
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-49
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: dispatch-block-alloc
Dispatch block unavailable:
This counter is incremented and the packet is dropped when the appliance could not
allocate a core local block to process the packet that was received by the interface
driver.
Recommendation:
This may be due to packets being queued for later processing or a block leak.Core
local blocks may also not be available if they are not replenished on time by the free
resource rebalancing logic.Please use "show blocks core" to further diagnose the problem.
Syslogs:
None
---------------------------------------------------------------Name: async-lock-queue-limit
Async lock queue limit exceeded:
Each async lock working queue has a limit of 1000.When more SIP packets are attempted
to be dispatch to the work queue, packet will be dropped.
Recommendation:
Only SIP traffic may be dropped.When SIP packets have the same parent lock and they
can be queued into the same async lock queue, thus may result into blocks depletion,
becasue only single core is handling all the media.If a SIP packet attempts to be queued
when the size of the async lock queue exceeds the limit, the packet will be dropped.
Syslogs:
None.
---------------------------------------------------------------Name: loopback-lock-failed
Loopback lock failed
This counter is incremented and the packet is dropped when packets are sent from one
context of the appliance to another context through a shared intrface and the loopback
queue has failed to acquire a lock.
Recommendations:
This condition should never be encountered during normal operation and may indicate a
software problem with the appliance.Contact the Cisco Techncial Assistance Center (TAC) if
this error occurs.
Syslogs:
None
---------------------------------------------------------------Name: loopback-ifc-not-found
Loopback output interface not found
This counter is incremented and the packet is dropped when packets are sent from one
context of the appliance to another context through a shared interface, and the output
interface is not found by the loopback queue.
Recommendations:
This condition should never be encountered during normal operation and may indicate a
software problem with the appliance.Contact the Cisco Techncial Assistance Center (TAC) if
this error occurs.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-50
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: loopback-count-exceeded
Loopback count exceeded
This counter is incremented and the packet is dropped when a packet is sent from one
context of the appliance to another context through a shared interface, but this packet
has exceeded the number of times it is allowed to queue to the loopback queue.
Recommendations:
Check the context configuration for each context.The packet is entering a loop in the
context configurations so that it is stuck between contexts, and is repeatedly put into
the loopback queue.
Syslogs:
None
---------------------------------------------------------------Name: ips-license-disabled-fail-close
IPS module license disabled
The IPS module license has been disabled and when the fail-close mode is configured,
all traffic destined for the IPS module will be dropped.The status of the license can be
checked using the “show activation-key” command.
Recommendation:
Please apply an activation key using the “activation-key” command that has the IPS
license enabled.
Syslogs:
420008
---------------------------------------------------------------Name: backplane-channel-null
Backplane channel null:
The card backplane channel was NULL.This may happen because the channel
was not initialized correctly and had to be closed.ASA will drop the packet.
Recommendation:
This should not happen.Contact Cisco TAC for assistance.
Syslogs:
None.
---------------------------------------------------------------Name: svc-conn-timer-cb-fail
SVC connection timer callback failure:
This condition occurs when there is a failed attempt to place an event on the async
lock queue for that connection.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: svc-udp-conn-timer-cb-fail
SVC UDP connection timer callback failure:
This condition occurs when there is a failed attempt to place an event on the async
lock queue for that connection.
Recommendation:
None.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-51
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: nat64/46-conversion-fail
IPv6 to IPv4 or vice-versa conversion failure:
This condition occurs when there is a failure in coversion of IPv6 traffic to IPv4 or
vice-versa.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-cflow-clu-closed
Cluster flow with CLU closed on owner:
Director/backup unit received a cluster flow clu delete message from the owner unit
and terminated the flow.
Recommendation:
This counter should increment for every replicated clu that is torn down on the owner
unit.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-cflow-clu-timeout
Cluster flow with CLU removed from due to idle timeout:
A cluster flow with CLU is considered idle if the director/backup unit no longer
receives periodic updates from the owner, which is supposed to happen at fixed intervals
when the flow is alive.
Recommendation:
This counter is informational.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-redirect
Flow matched a cluster redirect classify rule:
A stub forwarding flow will thereafter forward packets to the cluster unit that owns
the flow.
Recommendations:
This counter is informational and the behavior expected.The packet was forwarded to
the owner over the Cluster Control Link.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-drop-on-slave
Flow matched a cluster drop-on-slave classify rule:
This is for cases that the packets from L3 subnet are seen by all units and only
master unit need to process them.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-52
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendations:
This counter is informational and the behavior expected.The packet is processed by
master.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-director-change
The flow director changed due to a cluster join event:
A new unit joined the cluster and is now the director for the flow.The old
director/backup has removed it's flow and the flow owner will update the new director.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-mcast-owner-change
The multicast flow owner changed due to a cluster join or leave event:
This flow gets created on a new owner unit.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-convert-to-dirbak
Forwarding or redirect flow converted to director or backup flow:
Forwarding or redirect flow is removed, so that director or backup flow can be
created.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
---------------------------------------------------------------Name: inspect-scansafe-server-not-reachable
Scansafe server is not configured or the cloud is down:
Either the scansafe server IP is not specified in the scansafe general options or the
scansafe server is not reachable.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-53
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: inspect-scansafe-public_key_not_configured
Scansafe public key not configured:
This counter is incremented when the scansafe public key is not configured.The packet
is dropped and the connection isclosed.
Recommendation:
Verify if the configured scansafe public key is configured on the security appliance.
Syslogs:
775002.
---------------------------------------------------------------Name: inspect-scansafe-license-key-not-configured
Scansafe license key not configured:
This counter is incremented when the scansafe licnese key is not configured.The packet
is dropped and the connection isclosed.
Recommendation:
Verify if the configured scansafe license key is configured on the security appliance.
Syslogs:
775002.
---------------------------------------------------------------Name: inspect-scansafe-encoding-failed
Inspect scansafe header encoding failed :
This counter is incremented when the base64 encoding of user and group name is
failed.The packet is dropped and connection is closed.
Syslogs:
775002.
---------------------------------------------------------------Name: inspect-scansafe-hdr-encryption-failed
Inspect scansafe header encryption failed:
This counter is incremented when the encryption of scansafe header is failed.The
packet is dropped and connection is closed.
Syslogs:
775002.
---------------------------------------------------------------Name: inspect-scansafe-max-conn-reached
Inspect scansafe max allowed connections reached:
This counter is incremented when we get a new connection and the maximum allowed
concurrent scansafe connection for the platform is already reached.The packet is dropped
and connection is closed.
Syslogs:
775002.
---------------------------------------------------------------Name: inspect-scansafe-duplicate-conn
Inspect scansafe duplicate connection:
This counter is incremented when duplicate connection with the same source ip address
and port.This packet will be dropped and connection will be closed.
Syslogs:
775002.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-54
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-director-closed
Flow removed due to director flow closed:
Owner unit received a cluster flow clu delete message from the director unit and
terminated the flow.
Recommendation:
This counter should increment for every replicated clu that is torn down on the
director unit.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-pinhole-master-change
Master only pinhole flow removed at bulk sync due to master change:
Master only pinhole flow is removed during bulk sync becase cluster master has
changed.
Recommendation:
This counter is informational and the behavior expected.
Syslogs:
302014
---------------------------------------------------------------Name: np-socket-lock-failure
Dropped pending packets due to a failed attempt to get an internal socket lock:
This error occurs if an attempt to grab an internal socket lock fails.
Recommendation:
This condition should never be encountered during normal operation and
may
indicate a software problem with the appliance.Contact the Cisco
Technical Assistance
Center (TAC) if this error occurs.
Syslogs:
None.
---------------------------------------------------------------Name: mp-service-inject-failed
SERVICE Module failed to inject a packet:
This error occurs if an attempt to inject a packet via the SERVICE
Module fails.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: nat-64-or-46-conversion-fail
IPv6 to IPv4 or vice-versa conversion failure:
This condition occurs when there is a failure in coversion of
or vice-versa.
IPv6 traffic to IPv4
Recommendation:
Verify if the NAT64 or NAT46 policies are configured properly.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-55
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-not-owner
Cluster not owner:
A Cluster data packet was received without a flow.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ccl-cfull-sent
CLU FULL sent:
A Cluster data packet was received over CCL and full flow is built on a new owner.This
packet is no longer needed.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ccl-backup
Cluster CCL backup:
A Cluster data packet was received over CCL on a backup unit, when it should have been
received on the owner+director unit.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ccl-unknown-stub
Cluster CCL unknown stub:
A Cluster data packet was received over CCL and a matching stub flow found, but unit
has unknown role.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-stub-to-full
Cluster stub to full flow:
A Cluster packet was received on director, stub flow was converted to full flow.Drop
this packet and wait for retransmission.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ccl-unknown
Cluster CCL unknown role:
A Cluster data packet was received over CCL and no matching flow is found, and unit
has unknown role.
Recommendation:
None.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-56
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-owner-update
Cluster owner update:
A Cluster data packet was received updating the flow owner.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-invalid-pkt
Cluster rcvd invalid packet:
An invalid cluster packet was received.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-no-msgp
Cluster unit is out of message descriptor:
Cluster unit is out of message descriptor.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-slave-ignored
Flow matched a cluster drop-on-slave classify rule:
A multicast routing packet was received on a L3 cluster
interface when the unit
was a slave.Only a master unit
is permitted to process these packets.
Recommendation:
This counter is informational and the behavior expected.The packet is
processed by
master.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-non-owner-ignored
Flow matched a cluster drop-on-non-owner classify rule:
A multicast data packet was received on a L3 cluster
interface when the unit was
not an elected owner unit.
Only an elected owner unit is permitted to process
these packets.
Recommendation:
This counter is informational and the behavior expected.The packet is
processed by
one elected owner unit.
Syslogs:
None.
---------------------------------------------------------------Name: nat-xlate-failed
NAT failed:
Failed to create an xlate to translate an IP or transport header.
Recommendation:
If NAT is not desired, disable "nat-control".Otherwise, use the "static", "nat" or
"global" command to configure NAT policy for the dropped flow.For dynamic NAT, ensure that
each "nat" command is paired with at least one "global" command.Use "show nat" and "debug
pix process" to verify NAT rules.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-57
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
305005, 305006, 305009, 305010, 305011, 305012
---------------------------------------------------------------Name: nat-rpf-failed
NAT reverse path failed:
Rejected attempt to connect to a translated host using the translated host's real
address.
Recommendation:
When not on the same interface as the host undergoing NAT, use the mapped address
instead of the real address to connect to the host.Also, enable the appropriate inspect
command if the application embeds IP address.
Syslogs:
305005
---------------------------------------------------------------Name: nat-cluster-input
NAT invalid input:
An input value for clustering communication contains an unexpected or invalid value.
Recommendation:
This could be an internal software error.Contact Cisco Systems.
Syslogs:
None.
---------------------------------------------------------------Name: nat-no-xlate-to-pat-pool
NAT no xlate to pat pool:
No pre-existing xlate found for a connection with a destination matching a mapped
address in a PAT pool.
Recommendation:
Configure static PAT is access is desired.
Syslogs:
None.
---------------------------------------------------------------Name: nat--xlate-create-failed
NAT xlate creation failed:
Creation of a PAT xlate failed.
Recommendation:
Check system memory.Configure at least one backup PAT address.Configure a NAT address
to translate non-overload IP address.Only TCP, UDP, ICMP echo, and PPTP GRE overloadable.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-peer-mcast-ignored
Flow matched a cluster peer mcast data traffic classify rule:
A multicast data packet was received on a L3 cluster interface when it is from a
cluster peer unit corresponding interface.This is a packet flooded back from L3 subnet.
Recommendation:
This counter is informational and the behavior expected.The packet has been forwarded
out of the cluster and should be ignored by cluster.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-58
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-dispatch-queue-fail
Cluster failed to enqueue into global dispatch work queue:
A forwarded data packet failed to enqueue into global dispatch work queue.
Recommendation:
This could be an internal software error.Contact Cisco Systems.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-dir-flow-create-fail
Cluster director failed to create director flow:
Director is trying to create a stub flow but failed due to resource
resource limit may be either:
1) system memory
2) packet block extension memory
3) system connection limit
Causes 1 and 2 will occur simultaneously with flow drop reason "No
complete flow".
Recommendation:
- Observe if free system memory is low.
- Observe if flow drop reason "No memory to complete flow" occurs.
- Observe if connection count reaches the system connection limit with
"show resource usage".
Syslogs:
None
limitation.The
memory to
the command
---------------------------------------------------------------Name: cluster-early-sec-chk-fail
Cluster early security check has failed:
Director applied early security check has failed due to ACL, WCCP
redirect,
TCP-intercept or IP option.
Recommendation:
This counter is informational and the behavior expected.The packet will
be
dropped.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-queued-ccl-unknown
Cluster CCL unknown stub:
A queued cluster data packet received over ccl was processed but unit has
role.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-dir-nat-changed
Cluster director NAT action changed:
Cluster director NAT action has changed due to NAT policy change, update
expiration before queued ccl data packet can be processed.Recommendation:
This counter is informational and the behavior expected.The packet will
dropped.
Syslogs:
None.
unknown
or
be
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-59
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-dir-invalid-ifc
Cluster director has packet with invalid ingress/egress interface:
Cluster director has processed a previously queued packet with invalid
ingress
and/or egress interface.This is a result of interface removal
(through CLI) before the
packet can be processed.
Recommendation:
This counter is informational and the behavior expected.The packet will
be
dropped.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-parent-owner-left
Flow removed at bulk sync becasue parent flow is gone:
Flow is removed during bulk sync because the parent flow's owner has left the cluster.
Recommendation:
This counter is informational and the behavior expected.
Syslogs:
302014
---------------------------------------------------------------Name: cluster-ctp-punt-channel-missing
Flow removed at bulk sync becasue CTP punt channel is missing:
Flow is removed during bulk sync because CTP punt channel is missing in cluster
restored flow.
Recommendation:
The cluster master may have just left the cluster, and there might be packet drops on
the Cluster Control Link.
Syslogs:
302014
---------------------------------------------------------------Name: ike-sa-rate-limit
IKE need SA indication per SA rule rate limit exceeded:
This counter will increment when the appliance attempts to send a message,indicating
that a new SA is needed for a rate-limited control point service routine and the rate
limit (per/second) is now being exceeded.The current rate is one message every two
seconds.
Recommendation:
This counter is informational and the behavior expected.The packet will be dropped.
Syslogs:
None
---------------------------------------------------------------Name: ike-sa-global-rate-limit
IKE new SA global limit exceeded:
This counter will increment when the appliance attempts to send a message,indicating
that a new SA is needed for a rate-limited control point service routine and the global
rate limit (per/second) is now being exceeded.The current rate is ten messages per second.
Recommendation:
This counter is informational and the behavior expected.The packet will be dropped.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-60
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: nat-cluster-invalid-unxlate-redirect
Cluster member dropped an invalid NAT untranslate redirect packet from peer:
Cluster member received a NAT untranslate packet from peer.However this member does
not own the NAT address pool the packet belongs to.
Recommendation:
This counter is a temporal condition after a cluster member failure.However, if this
counter is incremented continuously, it could be an internal software error.Contact Cisco
TAC in this case.
Syslogs:
None.
---------------------------------------------------------------Name: nat-cluster-pool-update-fail
Cluster master failed to send NAT pool update to slave:
Cluster master has failed to send NAT pool update to slave unit.This drop will
increase if system resources is low.
Recommendation:
- Observe if free system memory is low.
- Observe if "SEC_NAT_SEND_NO_BUFFER" counter is increasing.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-forward-error
Cluster member failed to send data packet over CCL:
Cluster member failed to transmit control packet over the CCL link.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-tp-version-incompatible
The packet contains an incompatible transport protocol:
The transport protocol of the packet contains a transport protocol that is not
compatible.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ip-version-error
IP version mismatch between layer-2 and layer-3 headers:
The IP protocol versions in layer-2 and layer-3 headers mismatch.
Recommendation:
None.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-61
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-tp-sender-myself
DP message over CCL from a unit with same ID as myself:
The sender information in the transport header indicates that the sender is myself,
which could happen if two clusters (with overlapping IDs) exist on the same network
segment.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ttl-expired
TTL of the packet has expired:
Maximum TTL value has exceeded for this packet.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-ttl-invalid
TTL of the packet is invalid:
The TTL value of the packet is not a valid value.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-non-ip-pkt
Layer 3 protocol of the packet is not IP:
The packet is not IPv4, IPv6 or an ARP packet.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-bad-tp-pkt
Failed to fetch the transport layer header of the packet:
Fetching the transport layer header of the packet failed.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-bad-trailer
Failed to fetch the trailer of the packet:
Fetching the trailer of the packet failed.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-frag-owner-query-error
Cluster fragment failed to query flow director for flow owner:
A failure either when forwarding first fragment to flow director or
reinsert failure.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-62
fragment chain
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-frag-error
The fragment is not formatted correctly:
The fragment is not formatted correctly and cannot be processed or
the Fragment Owner failed.
Recommendation:
None.
Syslogs:
None.
forwarding to
---------------------------------------------------------------Name: cluster-bad-ifc-goid-in-trailer
Failed to find ifc from goid in the trailer:
The goid extracted from the trailer does not yield a
valid real ifc.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: platform-unlicensed
ASAv platform is unlicensed:
The ASAv is not licensed.All data traffic traversing the appliance will be
until the ASAv is licensed.
Recommendation:
Check the platform license state with "show activation-key" and install the
appropriate ASAv platform license.
Syslogs:
None.
dropped
---------------------------------------------------------------Name: sfr-bad-tlv-received
Received a packet from SFR without a Policy ID TLV:
The ASA received a packet from SFR without a Policy ID TLV.This TLV must be present in
non-control packets if it does not have the Standby/Active bit set in the actions field.
Recommendation:
None
Syslogs:
None.
---------------------------------------------------------------Name: sfr-request
Frame was requested to be dropped by SFR:
The frame was requested to be dropped by SFR due a policy on SFR whereby SFR would set
the actions to Deny Source, Deny Destination, or Deny Pkt.
Recommendation:
Review SFR policies for any such rule denying the flow.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-63
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: sfr-fail-close
Packet was dropped:
The packet was dropped because the card is not up and the policy configured was
'fail-close' (rather than 'fail-open,' which allows packets through even if the card was
down).
Recommendation:
Check card status and attempt to restart services or reboot it.
Syslogs:
None.
---------------------------------------------------------------Name: sfr-fail
SFR configuration was removed for an existing flow:
The SFR configuration was removed for an existing flow and we are not able to process
it through SFR, so it will be dropped.This is very unlikely to occur.
Recommendation:
Review SFR policies for any such rule denying the flow.
Syslogs:
None.
---------------------------------------------------------------Name: sfr-malformed-packet
Packet from SFR contains an invalid header:
The packet from SFR contains an invalid header.For instance, the header length may not
be correct.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: sfr-ha-request
Security appliance received a SFR HA request packet:
This counter is incremented when the security appliance received a SFR HA request
packet, but could not process it and the packet is dropped.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: sfr-invalid-encap
Security appliance received a SFR packet with invalid message header:
This counter is incremented when the security appliance received a SFR packet with
invalid message header and the packet is dropped.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: sfr-bad-handle-received
Received Bad flow handle in a packet from SFR Module:
Received Bad flow handle in a packet from SFR Module, thus dropping flow.This counter
is incremented; flow and packet are dropped on ASA as the handle for SFR flow has changed
in flow duration.
Recommendation:
None.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-64
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: sfr-rx-monitor-only
Security appliance received a SFR packet when in monitor-only mode:
This counter is incremented when the security appliance receives a SFR packet when in
monitor-only mode, and the packet is dropped.
Recommendation:
Remove “monitor-only” keyword in class configuration if not intentional.
Syslogs:
None.
----------------------------------------------------------------
フローのドロップ理由
---------------------------------------------------------------Name: tunnel-torn-down
Tunnel has been torn down:
This counter will increment when the appliance receives a packet associated with an
established flow whose IPsec security association is in the process of being deleted.
Recommendation:
This is a normal condition when the IPsec tunnel is torn down for any reason.
Syslogs:
None
---------------------------------------------------------------Name: no-ipv6-ipsec
IPsec over IPv6 unsupported:
This counter will increment when the appliance receives an IPsec ESP packet, IPsec
NAT-T ESP packet or an IPsec over UDP ESP packet encapsulated in an IP version 6
header.The appliance does not currently support any IPsec sessions encapsulated in IP
version 6.
Recommendation:
None
Syslogs:
None
---------------------------------------------------------------Name: tunnel-pending
Tunnel being brought up or torn down:
This counter will increment when the appliance receives a packet matching an entry in
the security policy database (i.e. crypto map) but the security association is in the
process of being negotiated; it’s not complete yet.
This counter will also increment when the appliance receives a packet matching an
entry in the security policy database but the security association has been or is in the
process of being deleted.The difference between this indication and the 'Tunnel has been
torn down' indication is that the 'Tunnel has been torn down' indication is for
established flows.
Recommendation:
This is a normal condition when the IPsec tunnel is in the process of being negotiated
or deleted.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-65
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: need-ike
Need to start IKE negotiation:
This counter will increment when the appliance receives a packet which requires
encryption but has no established IPsec security association.This is generally a normal
condition for LAN-to-LAN IPsec configurations.This indication will cause the appliance to
begin ISAKMP negotiations with the destination peer.
Recommendation:
If you have configured IPsec LAN-to-LAN on your appliance, this indication is normal
and does not indicate a problem.However, if this counter increments rapidly it may
indicate a crypto configuration error or network error preventing the ISAKMP negotiation
from completing.
Verify that you can communicate with the destination peer and verify your crypto
configuration via the 'show running-config' command.
Syslogs:
None
---------------------------------------------------------------Name: vpn-handle-error
VPN handle error:
This counter is incremented when the appliance is unable to create a VPN handle
because the VPN handle already exists.
Recommendation:
It is possible to see this counter increment as part of normal operation.However, if
the counter is rapidly incrementing and there is a major malfunction of vpn-based
applications, then this may be caused by a software defect.Use the following command sto
gather more information about this counter and ontact the Cisco TAC to investigate the
issue further.
capture <name> type asp-drop vpn-handle-error
show asp table classify crypto
show asp table vpn-context detail
Syslogs:
None
---------------------------------------------------------------Name: vpn-handle-not-found
VPN handle not found:
This counter is incremented when a datagram hits an encrypt or decrypt rule, and no
VPN handle is found for the flow the datagram is on.
Recommendation:
It is possible to see this counter increment as part of normal operation.However, if
the counter is rapidly incrementing and there is a major malfunction of vpn-based
applications, then this may be caused by a software defect.Use the following command sto
gather more information about this counter and ontact the Cisco TAC to investigate the
issue further.
capture <name> type asp-drop vpn-handle-not-found
show asp table classify crypto
show asp table vpn-context detail
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-66
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: ipsec-spoof-detect
IPsec spoof packet detected:
This counter will increment when the appliance receives a packet which should have
been encrypted but was not.The packet matched the inner header security policy check of a
configured and established IPsec connection on the appliance but was received
unencrypted.This is a security issue.
Recommendation:
Analyze your network traffic to determine the source of the spoofed IPsec traffic.
Syslogs:
402117
---------------------------------------------------------------Name: svc-spoof-detect
SVC spoof packet detected:
This counter will increment when the security appliance receives a packet which should
have been encrypted but was not.The packet matched the inner header security policy check
of a configured and established SVC connection on the security appliance but was received
unencrypted.This is a security issue.
Recommendation:
Analyze your network traffic to determine the source of the spoofed SVC traffic.
Syslogs:
None
---------------------------------------------------------------Name: svc-failover
An SVC socket connection is being disconnected on the standby unit:
This counter is incremented for each new SVC socket connection that is disconnected
when the active unit is transitioning into standby state as part of a failover transition.
Recommendation:
None.This is part of a normal cleanup of a SVC connection when the current device is
transitioning from active to standby.Existing SVC connections on the device are no longer
valid and need to be removed.
Syslogs:
None.
---------------------------------------------------------------Name: svc-replacement-conn
SVC replacement connection established:
This counter is incremented when an SVC connection is replaced by a new connection.
Recommendation:
None.This may indicate that users are having difficulty maintaining connections to the
ASA.Users should evaluate the quality of their home network and Internet connection.
Syslog:
722032
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-67
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: ipsec-selector-failure
IPsec VPN inner policy selector mismatch detected:
This counter is incremented when an IPsec packet is received with an inner IP header
that does not match the configured policy for the tunnel.
Recommendation:
Verify that the crypto ACLs for the tunnel are correct and that all acceptable packets
are included in the tunnel identity.Verify that the box is not under attack if this
message is repeatedly seen.
Syslogs:
402116
---------------------------------------------------------------Name: vpn-context-expired
Expired VPN context:
This counter will increment when the security appliance receives a packet that
requires encryption or decryption, and the ASP VPN context required to perform the
operation is no longer valid.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslogs:
None
---------------------------------------------------------------Name: vpn-lock-error
IPsec locking error:
This counter is incremented when VPN flow cannot be created due to an internal locking
error.
Recommendation:
This condition should never be encountered during normal operation and may indicate a
software problem with the appliance.Contact the Cisco Technical Assistance Center (TAC) if
this error occurs.
Syslogs:
None.
---------------------------------------------------------------Name: out-of-memory
No memory to complete flow:
This counter is incremented when the appliance is unable to create a flow because of
insufficient memory.
Recommendation:
Verify that the box is not under attack by checking the current connections.Also
verify if the configured timeout values are too large resulting in idle flows residing in
memory longer.Check the free memory available by issuing 'show memory'.If free memory is
low, issue the command 'show processes memory' to determine which processes are utilizing
most of the memory.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-68
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: parent-closed
Parent flow is closed:
When the parent flow of a subordinating flow is closed, the subordinating flow is also
closed.For example, an FTP data flow (subordinating flow) will be closed with this
specific reason when its control flow (parent flow) is terminated.This reason is also
given when a secondary flow (pin-hole) is closed by its controlling application.For
example, when the BYE messaged is received, the SIP inspection engine (controlling
application) will close the corresponding SIP RTP flows (secondary flow).
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: closed-by-inspection
Flow closed by inspection:
This reason is given for closing a flow due to an error detected during application
inspection.For example, if an error is detected during inspecting an H323 message, the
corresponding H323 flow is closed with this reason.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: fo-primary-closed
Failover primary closed:
Standby unit received a flow delete message from the active unit and terminated the
flow.
Recommendation:
If the appliance is running stateful failover, then this counter should increment for
every replicated connection that is torn down on the standby appliance.
Syslogs:
302014, 302016, 302018
---------------------------------------------------------------Name: fo-standby
Flow closed by failover standby:
If a through-the-box packet arrives at an appliance or context is in a Standby state,
and a flow is created, the packet is dropped and the flow removed.This counter will
increment each time a flow is removed in this manner.
Recommendation:
This counter should never be incrementing on the Active appliance or context.However,
it is normal to see it increment on the Standby appliance or context.
Syslogs:
302014, 302016, 302018
---------------------------------------------------------------Name: fo_rep_err
Standby flow replication error:
Standby unit failed to replicate a flow.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-69
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
If appliance is processing VPN traffic, then this counter could be constantly
increasing on the standby unit because of the flow could be replicated before the IKE SA
info.No action is required in this case.If the appliance is not processing VPN traffic,
then this indicate a software detect, turn on the debug: "debug fover fail" on the standby
unit, collect the debug output, and report the problem to Cisco TAC.
Syslogs:
302014, 302016, 302018
---------------------------------------------------------------Name: loopback
Flow is a loopback:
This reason is given for closing a flow due to the following conditions: 1) when
U-turn traffic is present on the flow, and, 2) 'same-security-traffic permit
intra-interface' is not configured.
Recommendation:
To allow U-turn traffic on an interface, configure the interface with
'same-security-traffic permit intra-interface'.
Syslogs:
None.
---------------------------------------------------------------Name: acl-drop
Flow is denied by access rule:
This counter is incremented when a drop rule is hit by the packet and flow creation
is denied.This rule could be a default rule created when the box comes up, when various
features are turned on or off, when an acl is applied to interface or any other feature
etc. Apart from default rule drops, a flow could be denied because of:
1) ACL configured on an interface
2) ACL configured for AAA and AAA denied the user
3) Thru-box traffic arriving at management-only ifc
4) Unencrypted traffic arriving on a ipsec-enabled interface
5) Implicity deny 'ip any any' at the end of an ACL
Recommendation:
Observe if one of syslogs related to packet drop are fired.Flow drop results in the
corresponding packet-drop that would fire requisite syslog.
Syslogs:
None.
---------------------------------------------------------------Name: pinhole-timeout
Pinhole timeout:
This counter is incremented to report that the appliance opened a secondary flow, but
no packets passed through this flow within the timeout interval, and hence it was
removed.An example of a secondary flow is the FTP data channel that is created after
successful negotiation on the FTP control channel.
Recommendation:
No action required.
Syslogs:
302014, 302016
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-70
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: host-removed
Host is removed:
Flow removed in response to "clear local-host" command.
Recommendation:
This is an information counter.
Syslogs:
302014, 302016, 302018, 302021, 305010, 305012, 609002
---------------------------------------------------------------Name: xlate-removed
Xlate Clear:
Flow removed in response to "clear xlate" or "clear local-host" command.
Recommendation:
This is an information counter.
Syslogs:
302014, 302016, 302018, 302021, 305010, 305012, 609002
---------------------------------------------------------------Name: connection-timeout
Connection timeout:
This counter is incremented when a flow is closed because of the expiration of it's
inactivity timer.
Recommendation:
No action required.
Syslogs:
302014, 302016, 302018, 302021
---------------------------------------------------------------Name: conn-limit-exceeded
Connection limit exceeded:
This reason is given for closing a flow when the connection limit has been
exceeded.The connection limit is configured via the 'set connection conn-max' action
command.
Recommendation:
None.
Syslogs:
201011
---------------------------------------------------------------Name: tcp-fins
TCP FINs:
This reason is given for closing a TCP flow when TCP FIN packets are received.
Recommendations:
This counter will increment for each TCP connection that is terminated normally with
FINs.
Syslogs:
302014
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-71
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: syn-timeout
SYN Timeout:
This reason is given for closing a TCP flow due to expiry of embryonic timer.
Recommendations:
If these are valid session which take longer to establish a connection increase the
embryonic timeout.
Syslogs:
302014
---------------------------------------------------------------Name: fin-timeout
FIN Timeout:
This reason is given for closing a TCP flow due to expiry of half-closed timer.
Recommendations:
If these are valid session which take longer to close a TCP flow, increase the
half-closed timeout.
Syslogs:
302014
---------------------------------------------------------------Name: reset-in
TCP Reset-I:
This reason is given for closing an outbound flow (from a low-security interface to a
same- or high-security interface) when a TCP reset is received on the flow.
Recommendation:
None.
Syslogs:
302014
---------------------------------------------------------------Name: reset-out
TCP Reset-O:
This reason is given for closing an inbound flow (from a high-security interface to
low-security interface) when a TCP reset is received on the flow.
Recommendation:
None.
Syslogs:
302014
---------------------------------------------------------------Name: reset-appliance
TCP Reset-APPLIANCE:
This reason is given for closing a flow when a TCP reset is generated by appliance.
Recommendation:
None.
Syslogs:
302014
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-72
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: recurse
Close recursive flow:
A flow was recursively freed.This reason applies to pair flows, multicast slave flows,
and syslog flows to prevent syslogs being issued for each of these subordinate flows.
Recommendation:
No action required.
Syslogs:
None
---------------------------------------------------------------Name: tcp-intecept-no-response
TCP intercept, no response from server:
SYN retransmission timeout after trying three times, once every second.Server
unreachable, tearing down connection.
Recommendation:
Check if the server is reachable from the ASA.
Syslogs:
None
---------------------------------------------------------------Name: tcp-intercept-unexpected
TCP intercept unexpected state:
Logic error in TCP intercept module, this should never happen.
Recommendation:
Indicates memory corruption or some other logic error in the TCP intercept module.
Syslogs:
None
---------------------------------------------------------------Name: tcpnorm-rexmit-bad
TCP bad retransmission:
This reason is given for closing a TCP flow when check-retransmission feature is
enabled and the TCP endpoint sent a retransmission with different data from the original
packet.
Recommendations:
The TCP endpoint maybe attacking by sending different data in TCP retransmits.Please
use the packet capture feature to learn more about the origin of the packet.
Syslogs:
302014
---------------------------------------------------------------Name: tcpnorm-win-variation
TCP unexpected window size variation:
This reason is given for closing a TCP flow when window size advertised by TCP
endpoint is drastically changed without accepting that much data.
Recommendations:
In order to allow this connection, use the window-variation configuration under
tcp-map.
Syslogs:
302014
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-73
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: tcpnorm-invalid-syn
TCP invalid SYN:
This reason is given for closing a TCP flow when the SYN packet is invalid.
Recommendations:
SYN packet could be invalid for number of reasons, like invalid checksum, invalid TCP
header.Please use the packet capture feature to understand why the SYN packet is
invalid.If you would like to allow these connection use tcp-map configurations to bypass
checks.
Syslogs:
302014
---------------------------------------------------------------Name: mcast-intrf-removed
Multicast interface removed:
An output interface has been removed from the multicast entry.
- OR All output interfaces have been removed from the multicast entry.
Recommendation:
No action required.
- OR Verify that there are no longer any receivers for this group.
Syslogs:
None
---------------------------------------------------------------Name: mcast-entry-removed
Multicast entry removed:
A packet has arrived that matches a multicast flow, but the multicast service is no
longer enabled, or was re-enabled after the flow was built.
- OR The multicast entry has been deleted so the flow is being cleaned up, but the packet
will be reinjected into the data path.
Recommendation:
Reenable multicast if it is disabled.
- OR No action required.
Syslogs:
None
---------------------------------------------------------------Name: tcp-intercept-kill
Flow terminated by TCP Intercept:
TCP intercept would tear down a connection if this is the first SYN, a connection is
created for the SYN, and TCP intercept replied with a SYN cookie, or after seeing a valid
ACK from client, when TCP intercept sends a SYN to server, server replies with a RST.
Recommendation:
TCP intercept normally does not create a connection for first SYN, except when there
are nailed rules or the packet comes over a VPN tunnel or the next hop gateway address to
reach the client is not resolved.So for the first SYN this indicates that a connection got
created.When TCP intercept receives a RST from server, its likely the corresponding port
is closed on the server.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-74
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None
---------------------------------------------------------------Name: audit-failure
Audit failure:
A flow was freed after matching an "ip audit" signature that had reset as the
associated action.
Recommendation:
If removing the flow is not the desired outcome of matching this signature, then
remove the reset action from the "ip audit" command.
Syslogs:
None
---------------------------------------------------------------Name: cxsc-request
Flow terminated by CXSC:
This reason is given for terminating a flow as requested by CXSC module.
Recommendations:
Check syslogs and alerts on CXSC module.
Syslogs:
429002
---------------------------------------------------------------Name: cxsc-fail-close
CXSC fail-close:
This reason is given for terminating a flow since CXSC card is down and fail-close
option was used with CXSC action.
Recommendations:
Check and bring up CXSC card.
Syslogs:
429001
---------------------------------------------------------------Name: reset-by-cx
Flow reset by CXSC:
This reason is given for terminating a TCP flow as requested by the CXSC module.
Recommendations:
Check syslogs and alerts on CXSC module.
Syslogs:
429003
---------------------------------------------------------------Name: ips-request
Flow terminated by IPS:
This reason is given for terminating a flow as requested by IPS module.
Recommendations:
Check syslogs and alerts on IPS module.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-75
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
420002
---------------------------------------------------------------Name: cxsc-request
CXSC Module requested drop:
This counter is incremented and the packet is dropped as requested by the CXSC module
when the packet matches a signature on the CXSC engine.
Recommendations:
Check syslogs and alerts on the CXSC module.
Syslogs:
429002
---------------------------------------------------------------Name: cxsc-bad-tlv-received
CXSC Module requested drop:
This counter is incremented and the packet is dropped as requested by the CXSC module
when the packet has bad TLVs.
Recommendations:
Check syslogs and alerts on the CXSC module.
Syslogs:
None
---------------------------------------------------------------Name: cxsc-malformed-packet
CXSC Module requested drop:
This counter is incremented and the packet is dropped as requested by the CXSC module
when the packet is malformed.
Recommendations:
Check syslogs and alerts on the CXSC module.
Syslogs:
None
---------------------------------------------------------------Name: cxsc-fail
CXSC config removed for connection:
This counter is incremented and the packet is dropped when the CXSC configuration is
not found for a particular connection.
Recommendations:
Check if any configuration changes have been made for CXSC.
Syslogs:
None
---------------------------------------------------------------Name: cxsc-ha-request
CXSC HA replication drop:
This counter is incremented when the security appliance receives a CXSC HA request
packet, but could not process it and the packet is dropped.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-76
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Recommendation:
This could happen occasionally when CXSC does not have the latest ASA HA state, such
as right after an ASA HA state change.If the counter is constantly increasing however, it
may be because CXSC and ASA are out of sync.If that happens, contact Cisco TAC for
assistance.
Syslogs:
None.
---------------------------------------------------------------Name: cxsc-invalid-encap
CXSC invalid header drop:
This counter is incremented when the security appliance receives a CXSC packet with an
invalid messsage header, and the packet is dropped.
Recommendation: This should not happen.Contact Cisco TAC for assistance.
Syslogs:
None.
---------------------------------------------------------------Name: ips-fail-close
IPS fail-close:
This reason is given for terminating a flow since IPS card is down and fail-close
option was used with IPS inspection.
Recommendations:
Check and bring up IPS card.
Syslogs:
420001
---------------------------------------------------------------Name: reinject-punt
Flow terminated by punt action:
This counter is incremented when a packet is punted to the exception-path for
processing by one of the enhanced services such as inspect, aaa etc and the servicing
routine, having detected a violation in the traffic flowing on the flow, requests that the
flow be dropped.The flow is immediately dropped.
Recommendation:
Please watch for syslogs fired by servicing routine for more information.Flow drop
terminates the corresponding connection.
Syslogs:
None.
---------------------------------------------------------------Name: shunned
Flow shunned:
This counter will increment when a packet is received which has a source IP address
that matches a host in the shun database.When a shun command is applied, it will be
incremented for each existing flow that matches the shun command.
Recommendation:
No action required.
Syslogs:
401004
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-77
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: host-limit
host-limit
---------------------------------------------------------------Name: nat-failed
NAT failed:
Failed to create an xlate to translate an IP or transport header.
Recommendation:
If NAT is not desired, disable "nat-control".Otherwise, use the "static", "nat" or
"global" command to configure NAT policy for the dropped flow.For dynamic NAT, ensure that
each "nat" command is paired with at least one "global" command.Use "show nat" and "debug
pix process" to verify NAT rules.
Syslogs:
305005, 305006, 305009, 305010, 305011, 305012
---------------------------------------------------------------Name: nat-rpf-failed
NAT reverse path failed:
Rejected attempt to connect to a translated host using the translated host's real
address.
Recommendation:
When not on the same interface as the host undergoing NAT, use the mapped address
instead of the real address to connect to the host.Also, enable the appropriate inspect
command if the application embeds IP address.
Syslogs:
305005
---------------------------------------------------------------Name: inspect-fail
Inspection failure:
This counter will increment when the appliance fails to enable protocol inspection
carried out by the NP for the connection.The cause could be memory allocation failure, or
for ICMP error message, the appliance not being able to find any established connection
related to the frame embedded in the ICMP error message.
Recommendation:
Check system memory usage.For ICMP error message, if the cause is an attack, you can
deny the host using the ACLs.
Syslogs:
313004 for ICMP error.
---------------------------------------------------------------Name: no-inspect
Failed to allocate inspection:
This counter will increment when the security appliance fails to allocate a run-time
inspection data structure upon connection creation.The connection will be dropped.
Recommendation:
This error condition is caused when the security appliance runs out of system
memory.Please check the current available free memory by executing the "show memory"
command.
Syslogs:
None
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-78
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: reset-by-ips
Flow reset by IPS:
This reason is given for terminating a TCP flow as requested by IPS module.
Recommendations:
Check syslogs and alerts on IPS module.
Syslogs:
420003
---------------------------------------------------------------Name: flow-reclaimed
Non-tcp/udp flow reclaimed for new request:
This counter is incremented when a reclaimable flow is removed to make room for a new
flow.This occurs only when the number of flows through the appliance equals the maximum
number permitted by the software imposed limit, and a new flow request is received.When
this occurs, if the number of reclaimable flows exceeds the number of VPN tunnels
permitted by the appliance, then the oldest reclaimable flow is removed to make room for
the new flow.All flows except the following are deemed to be reclaimable:
1. TCP, UDP, GRE and Failover flows
2. ICMP flows if ICMP stateful inspection is enabled
3. ESP flows to the appliance
Recommendation:
No action is required if this counter is incrementing slowly.If this counter is
incrementing rapidly, it could mean that the appliance is under attack and the appliance
is spending more time reclaiming and rebuilding flows.
Syslogs
302021
---------------------------------------------------------------Name: non_tcp_syn
non-syn TCP:
This reason is given for terminating a TCP flow when the first packet is not a SYN
packet.
Recommendations:
None
Syslogs:
None
---------------------------------------------------------------Name: rm-xlate-limit
RM xlate limit reached:
This counter is incremented when the maximum number of xlates for a context or the
system has been reached and a new connection is attempted.
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource
usage system' to view context and system resource limits and 'Denied' counts and adjust
resource limits if desired.
Syslogs:
321001
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-79
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: rm-host-limit
RM host limit reached:
This counter is incremented when the maximum number of hosts for a context or the
system has been reached and a new connection is attempted.
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource
usage system' to view context and system resource limits and 'Denied' counts and adjust
resource limits if desired.
Syslogs:
321001
---------------------------------------------------------------Name: rm-inspect-rate-limit
RM inspect rate limit reached:
This counter is incremented when the maximum inspection rate for a context or the
system has been reached and a new connection is attempted.
Recommendation:
The device administrator can use the commands 'show resource usage' and 'show resource
usage system' to view context and system resource limits and 'Denied' counts and adjust
resource limits if desired.
Syslogs:
321002
---------------------------------------------------------------Name: tcpmod-connect-clash
A TCP connect socket clashes with an existing listen connection.This is an internal system
error.Contact TAC.
---------------------------------------------------------------Name: ssm-app-request
Flow terminated by service module:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when the application running on the SSM requests the security appliance to
terminate a connection.
Recommendation:
You can obtain more information by querying the incident report or system messages
generated by the SSM itself.Please consult the documentation that comes with comes with
the SSM for instructions.
Syslogs:
None.
---------------------------------------------------------------Name: ssm-app-fail
Service module failed:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when a connection that is being inspected by the SSM is terminated because the
SSM has failed.
Recommendation:
The card manager process running in the security appliance control plane issued system
messages and CLI warning to inform you of the failure.Please consult the documentation
that comes with the SSM to trouble shoot the SSM failure.Contact Cisco Technical
Assistance Center (TAC) if needed.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-80
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslog:
421001.
---------------------------------------------------------------Name: ssm-app-incompetent
Service module incompetent:
This counter only applies to the ASA 5500 series adaptive security appliance.It is
incremented when a connection is supposed to be inspected by the SSM, but the SSM is not
able to inspect it.This counter is reserved for future use.It should always be 0 in the
current release.
Recommendation:
None.
Syslog:
None.
---------------------------------------------------------------Name: ssl-bad-record-detect
SSL bad record detected:
This counter is incremented for each unknown SSL record type received from the remote
peer.Any unknown record type received from the peer is treated as a fatal error and the
SSL connections that encounter this error must be terminated.
Recommendation:
It is not normal to see this counter increment at any time.If this counter is
incremented, it usually means that the SSL protocol state is out of sync with the client
software.The most likely cause of this problem is a software defect in the client
software.Contact the Cisco TAC with the client software or web browser version and provide
a network trace of the SSL data exchange to troubleshoot this problem.
Syslogs:
None.
---------------------------------------------------------------Name: ssl-handshake-failed
SSL handshake failed:
This counter is incremented when the TCP connection is dropped because the SSL
handshake failed.
Recommendation:
This is to indicate that the TCP connection is dropped because the SSL handshake
failed.If the problem cannot be resolved based on the syslog information generated by the
handshake failure condition, please include the related syslog information when contacting
the Cisco TAC.
Syslogs:
725006.
725014.
---------------------------------------------------------------Name: ssl-malloc-error
SSL malloc error:
This counter is incremented for each malloc failure that occurs in the SSL lib.This is
to indicate that SSL encountered a low memory condition where it can't allocate a memory
buffer or packet block.
Recommendation:
Check the security appliance memory and packet block condition and contact Cisco the
TAC with this memory information.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-81
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: ctm-crypto-request-error
CTM crypto request error:
This counter is incremented each time CTM cannot accept our crypto request.This
usually means the crypto hardware request queue is full.
Recommendation:
Issue the show crypto protocol statistics ssl command and contact the Cisco TAC with
this information.
Syslogs:
None.
---------------------------------------------------------------Name: ssl-record-decrypt-error
SSL record decryption failed:
This counter is incremented when a decryption error occurs during SSL data
receive.This usually means that there is a bug in the SSL code of the ASA or peer, or an
attacker may be modifying the data stream.The SSL connection has been closed.
Recommendation:
Investigate the SSL data streams to and from your ASA.If there is no attacker, then
this indicates a software error that should be reported to the Cisco TAC.
Syslogs:
None.
---------------------------------------------------------------Name: np-socket-conn-not-accepted
A new socket connection was not accepted:
This counter is incremented for each new socket connection that is not accepted by the
security appliance.
Recommendation:
It is possible to see this counter increment as part of normal operation.However, if
the counter is rapidly incrementing and there is a major malfunction of socket-based
applications, then this may be caused by a software defect.Contact the Cisco TAC to
investigate the issue further.
Syslog:
None.
---------------------------------------------------------------Name: np-socket-failure
NP socket failure:
This is a general counter for critical socket processing errors.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslog:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-82
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: np-socket-relay-failure
NP socket relay failure:
This is a general counter for socket relay processing errors.
Recommendation:
It is possible to see this counter increment as part of normal operation.However, if
the counter is rapidly incrementing and there is a major malfunction of socket-based
applications, then this may be caused by a software defect.Contact the Cisco TAC to
investigate the issue further.
Syslog:
None.
---------------------------------------------------------------Name: np-socket-data-move-failure
NP socket data movement failure:
This counter is incremented for socket data movement errors.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslog:
None.
---------------------------------------------------------------Name: np-socket-new-conn-failure
NP socket new connection failure:
This counter is incremented for new socket connection failures.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslog:
None.
---------------------------------------------------------------Name: np-socket-transport-closed
NP socket transport closed:
This counter is incremented when the transport attached to the socket is abruptly
closed.
Recommendation:
It is possible to see this counter increment as part of normal operation.However, if
the counter is rapidly incrementing and there is a major malfunction of socket-based
applications, then this may be caused by a software defect.Contact the Cisco TAC to
investigate the issue further.
Syslog:
None.
---------------------------------------------------------------Name: np-socket-block-conv-failure
NP socket block conversion failure:
This counter is incremented for socket block conversion failures.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslog:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-83
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: ssl-received-close-alert
SSL received close alert:
This counter is incremented each time the security appliance receives a close alert
from the remote client.This indicates that the client has notified us they are going to
drop the connection.It is part of the normal disconnect process.
Recommendation:
None.
Syslog:
725007.
---------------------------------------------------------------Name: children-limit
Max per-flow children limit exceeded:
The number of children flows associated with one parent flow exceeds the internal
limit of 200.
Recommendation:
This message indicates either a misbehaving application or an active attempt to
exhaust the firewall memory.Use "set connection per-client-max" command to further fine
tune the limit.For FTP, additionally enable the "strict" option in "inspect ftp".
Syslogs:
210005
---------------------------------------------------------------Name: tracer-flow
packet-tracer traced flow drop:
This counter is internally used by packet-tracer for flow freed once tracing is
complete.
Recommendation:
None.
Syslog:
None.
---------------------------------------------------------------Name: sp-looping-address
looping-address:
This counter is incremented when the source and destination addresses in a flow are
the same.SIP flows where address privacy is enabled are excluded, as it is normal for
those flows to have the same source and destination address.
Recommendation:
There are two possible conditions when this counter will increment.One is when the
appliance receives a packet with the source address equal to the destination.This
represents a type of DoS attack.The second is when the NAT configuration of the appliance
NATs a source address to equal that of the destination.One should examine syslog message
106017 to determine what IP address is causing the counter to increment, then enable
packet captures to capture the offending packet, and perform additional analysis.
Syslogs:
106017
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-84
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: no-adjacency
No valid adjacency:
This counter will increment when the security appliance receives a packet on an
existing flow that no longer has a valid output adjacency.This can occur if the nexthop is
no longer reachable or if a routing change has occurred typically in a dynamic routing
environment.
Recommendation:
No action required.
Syslogs:
None
---------------------------------------------------------------Name: np-midpath-service-failure
NP midpath service failure:
This is a general counter for critical midpath service errors.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslog:
None.
---------------------------------------------------------------Name: np-midpath-cp-event-failure
NP midpath CP event failure:
This is counter for critical midpath events that could not be sent to the CP.
Recommendation:
This indicates that a software error should be reported to the Cisco TAC.
Syslog:
None.
---------------------------------------------------------------Name: np-context-removed
NP virtual context removed:
This counter is incremented when the virtual context with which the flow is going to
be associated has been removed.This could happen in multi-core environment when one CPU
core is in the process of destroying the virtual context, and another CPU core tries to
create a flow in the context.
Recommendation:
No action is required.
Syslog:
None.
---------------------------------------------------------------Name: fover-idle-timeout
Flow removed from standby unit due to idle timeout:
A flow is considered idle if standby unit no longer receives periodical update from
active which is supposed to happen to at fixed internal when flow is alive.This counter is
incremented when such flow is removed from standby unit.
Recommendation:
This counter is informational.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-85
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: dynamic-filter
Flow matched dynamic-filter blacklist:
A flow matched a dynamic-filter blacklist or greylist entry with a threat-level higher
than the threat-level threshold configured to drop traffic.
Recommendation:
Use the internal IP address to trace the infected host.Take remediation steps to
remove the infection.
Syslogs:
None.
---------------------------------------------------------------Name: route-change
Flow terminated due to route change:
When the system adds a lower cost (better metric) route, incoming packets that match
the new route will cause their existing connection to be torn down after the user
configured timeout (floating-conn) value.Subsequent packets will rebuild the connection
out the interface with the better metric.
Recommendation:
To prevent the addition of lower cost routes from affecting active flows, the
'floating-conn' configuration timeout value can be set to 0:0:0.
Syslogs:
None.
---------------------------------------------------------------Name: svc-selector-failure
SVC VPN inner policy selector mismatch detected:
This counter is incremented when an SVC packet is received with an inner IP header
that does not match the policy for the tunnel.
Recommendation:
None.This packet will be discarded automatically.
Syslogs:
None.
---------------------------------------------------------------Name: dtls-hello-close
DTLS hello processed and closed:
This counter is incremented when the UDP connection is dropped after the DTLS client
hello message processing is finished.This does not indicate an error.
Recommendation:
None.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-86
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: svc-conn-timer-cb-fail
SVC connection timer callback failure:
This condition occurs when there is a failed attempt to place an event on the async
lock queue for that connection.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: svc-udp-conn-timer-cb-fail
SVC UDP connection timer callback failure:
This condition occurs when there is a failed attempt to place an event on the async
lock queue for that connection.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: nat64/46-conversion-fail
IPv6 to IPv4 or vice-versa conversion failure:
This condition occurs when there is a failure in conversion of IPv6 traffic to IPv4 or
vice-versa.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-cflow-clu-closed
Cluster flow with CLU closed on owner:
Director/backup unit received a cluster flow clu delete message from the owner unit
and terminated the flow.
Recommendation:
This counter should increment for every replicated clu that is torn down on the owner
unit.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-cflow-clu-timeout
Cluster flow with CLU removed from due to idle timeout:
A cluster flow with CLU is considered idle if director/backup unit no longer receives
periodical update from owner which is supposed to happen at fixed interval when flow is
alive.
Recommendation:
This counter is informational.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-87
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: cluster-redirect
Flow matched a cluster redirect classify rule:
A stub forwarding flow will thereafter forward packets to the cluster unit that owns
the flow.
Recommendations:
This counter is informational and the behavior expected.The packet was forwarded to
the owner over the Cluster Control Link.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-drop-on-slave
Flow matched a cluster drop-on-slave classify rule:
This is for cases that the packets from L3 subnet are seen by all units and only
master unit need to process them.
Recommendations:
This counter is informational and the behavior expected.The packet is processed by
master.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-director-change
The flow director changed due to a cluster join event:
A new unit joined the cluster and is now the director for the flow.The old
director/backup has removed it's flow and the flow owner will update the new director.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-mcast-owner-change
The multicast flow owner changed due to a cluster join or leave event:
This flow gets created on a new owner unit.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-convert-to-dirbak
Forwarding or redirect flow converted to director or backup flow:
Forwarding or redirect flow is removed, so that director or backup flow can be
created.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-88
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: inspect-scansafe-server-not-reachable
Scansafe server is not configured or the cloud is down:
Either the scansafe server IP is not specified in the scansafe general options or the
scansafe server is not reachable.
Recommendations:
This counter is informational and the behavior expected.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-director-closed
Flow removed due to director flow closed:
Owner unit received a cluster flow clu delete message from the director unit and
terminated the flow.
Recommendation:
This counter should increment for every replicated clu that is torn down on the
director unit.
Syslogs:
None.
---------------------------------------------------------------Name: cluster-pinhole-master-change
Master only pinhole flow removed at bulk sync due to master change:
Master only pinhole flow is removed during bulk sync because cluster master has
changed.
Recommendation:
This counter is informational and the behavior expected.
Syslogs:
302014
---------------------------------------------------------------Name: cluster-parent-owner-left
Flow removed at bulk sync becasue parent flow is gone:
Flow is removed during bulk sync becasue the parent flow's owner has left the cluster.
Recommendation:
This counter is informational and the behavior expected.
Syslogs:
302014
---------------------------------------------------------------Name: cluster-ctp-punt-channel-missing
Flow removed at bulk sync becasue CTP punt channel is missing:
Flow is removed during bulk sync because CTP punt channel is missing in cluster
restored flow.
Recommendation:
The cluster master may have just left the cluster.And there might be packet drops on
the Cluster Control Link.
Syslogs:
302014
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-89
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: vpn-overlap-conflict
VPN Network Overlap Conflict:
When a packet is decrypted, the inner packet is examined against the crypto map
configuration.If the packet matches a different crypto map entry than the one it was
received on, it will be dropped and this counter will increment.A common cause for this is
two crypto map entries containing similar/overlapping address spaces.
Recommendation:
Check your VPN configuration for overlapping networks.Verify the
order of your crypto maps and use of deny rules in ACLs.
Syslogs:
None
---------------------------------------------------------------Name: invalid-vxlan-segment-id
Invalid VXLAN segment-id:
This counter is incremented when the security appliance sees an invalid VXLAN
segment-id attached to a flow.
Recommendation:
No.
Syslogs:
None.
---------------------------------------------------------------Name: no-valid-nve-ifc
No valid NVE interface:
This counter is incremented when the security appliance fails to identify the NVE
interface of a VNI interface for a flow.
Recommendation:
Verify that the nve is configured for all interfaces.
Syslogs:
None.
---------------------------------------------------------------Name: invalid-peer-nve
Invalid peer NVE:
This counter is incremented when the security appliance fails to get IP and MAC
address of a peer NVE for a flow.
Recommendation:
Verify that peer nve is configured or learned for the nve.
Syslogs:
None.
---------------------------------------------------------------Name: vxlan-encap-error
Fail to encap with VXLAN:
This counter is incremented when the security appliance fails to encapsulate a packet
with VXLAN for a flow.
Recommendation:
No.
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-90
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Syslogs:
None.
---------------------------------------------------------------Name: sfr-request
SFR requested to terminate the flow:
The SFR requested to terminate the flow.The actions bit 0 is set.
Recommendation:
Review SFR policies for any such rule denying the flow.
Syslogs:
None.
---------------------------------------------------------------Name: reset-by-sfr
SFR requested to terminate and reset the flow:
The SFR requested to terminate and reset the flow.The actions bit 1 is set.
Recommendation:
Review SFR policies for any such rule denying the flow.
Syslogs:
None.
---------------------------------------------------------------Name: sfr-fail-close
Flow was terminated:
The flow was terminated because the card is down and the configured policy was
'fail-close'.
Recommendation:
Check card status and attempt to restart services or reboot it.
Syslogs:
None.
---------------------------------------------------------------Name: cmd-invalid-encap
The security appliance received an invalid CMD packet.
An invalid CMD packet is one which does not conform to the standard CMD header
values.This counter checks if the packet conforms to the correct metadata, version,
length, option and sgt range.
Recommendation:
None.
Syslogs:
None.
---------------------------------------------------------------Name: ifc-not-cmd-enabled
The security appliance receives a CMD packet on an interface not configured to receive
one.
The packet is dropped.
Recommendation:
None.
Syslogs:
None.
----------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-91
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp drop
Name: ifc-zn-chg
Interface experienced a zone change
The parent interface has been joined or left a zone.
Recommendation:
None.
Syslogs:
302014, 302016, 302018, 302021, 302304
----------------------------------------------------------------
例
次に、show asp drop コマンドの出力例を示します。タイムスタンプが、カウンタが最後にクリア
された時間を示しています。
ciscoasa# show asp drop
Frame drop:
Flow is denied by configured rule (acl-drop)
Dst MAC L2 Lookup Failed (dst-l2_lookup-fail)
L2 Src/Dst same LAN port (l2_same-lan-port)
Expired flow (flow-expired)
3
4110
760
1
Last clearing: Never
Flow drop:
Flow is denied by access rule (acl-drop)
NAT failed (nat-failed)
NAT reverse path failed (nat-rpf-failed)
Inspection failure (inspect-fail)
Last clearing: 17:02:12 UTC Jan 17 2012 by enable_15
関連コマンド
コマンド
capture
説明
clear asp drop
高速セキュリティパスのドロップ統計情報をクリアします。
show conn
接続に関する情報を表示します。
パケットをキャプチャします。asp drop コードに基づいてパケットを
キャプチャするオプションも含まれています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-92
24
28739
22266
19433
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp event dp-cp
show asp event dp-cp
データパスまたは制御パスのイベントキューをデバッグするには、特権 EXEC モードで show
asp event dp-cp コマンドを使用します。
show asp event dp-cp [cxsc msg]
構文の説明
cxsc msg
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）CXSC イベントキューに送信される CXSC イベント
メッセージを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
9.0(1)
変更内容
9.1(3)
ルーティングイベントキューエントリが追加されました。
•
Yes
このコマンドが追加されました。
使用上のガイドライン
show asp event dp-cp コマンドは、データパスおよび制御パスの内容を表示します。この情報は、
問題のトラブルシューティングに役立つ場合があります。データパスと制御パスの詳細につい
ては、CLI 設定ガイドを参照してください。これらの表はデバッグ目的でのみ使用され、情報出力
は変更されることがあります。このコマンドを使用したシステムデバッグについて支援が必要
な場合は、Cisco TAC にお問い合わせください。
例
次に、show asp event dp-cp コマンドの出力例を示します。
ciscoasa# show asp event dp-cp
DP-CP EVENT QUEUE
Punt Event Queue
Routing Event Queue
Identity-Traffic Event Queue
General Event Queue
Syslog Event Queue
Non-Blocking Event Queue
Midpath High Event Queue
Midpath Norm Event Queue
SRTP Event Queue
HA Event Queue
Threat-Detection Event Queue
QUEUE-LEN
0
0
0
0
0
0
0
0
0
0
0
HIGH-WATER
2048
1
17
0
3192
4
0
0
0
3
3
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-93
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp event dp-cp
ARP Event Queue
IDFW Event Queue
CXSC Event Queue
EVENT-TYPE
punt
inspect-sunrp
routing
arp-in
identity-traffic
syslog
threat-detection
ips-cplane
ha-msg
cxsc-msg
0
0
0
ALLOC ALLOC-FAIL ENQUEUED ENQ-FAIL
4005920
0
935295 3070625
4005920
0
935295 3070625
77
0
77
0
618
0
618
0
1519
0
1519
0
5501
0
5501
0
12
0
12
0
1047
0
1047
0
520
0
520
0
127
0
127
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-94
3
0
0
RETIRED 15SEC-RATE
4005920
4372
4005920
4372
77
0
618
0
1519
0
5501
0
12
0
1047
0
520
0
127
0
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp load-balance
show asp load-balance
ロードバランサキューサイズのヒストグラムを表示するには、特権 EXEC モードで show asp
load-balance コマンドを使用します。
show asp load-balance [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）ハッシュバケットの詳細情報を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
8.1(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show asp load-balance コマンドは、問題のトラブルシューティングに役立つ場合があります。通
常、パケットはインターフェイス受信リングからプルした同じコアによって処理されます。ただ
し、別のコアが受信したパケットと同じ接続をすでに処理している場合、パケットは、そのコア
にキューイングされます。このキューイングによって、他のコアがアイドル状態であっても、
ロードバランサキューが大きくなることがあります。詳細については、asp load-balance
per-packet コマンドを参照してください。
例
次に、show asp load-balance コマンドの出力例を示します。X 軸は異なるキューにキューイング
されているパケットの数を表します。Y 軸は、パケットがキューイングされているロードバラン
サのハッシュバケットを表します（ヒストグラムバケットを示すヒストグラムのバケットと混
同しないでください）。キューを持つハッシュバケットの正確な数を確認するには、detail キー
ワードを使用します。
ciscoasa# show asp load-balance
Histogram of 'ASP load balancer queue sizes'
64 buckets sampling from 1 to 65 (1 per bucket)
6 samples within range (average=23)
ASP load balancer queue sizes
100 +
|
|
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-95
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp load-balance
S
a
m
p
l
e
s
|
|
|
|
|
10 +
|
|
|
|
|
#
|
# #
# #
#
|
# #
# #
#
+---------+---------+---------+---------+---------+---------+---10
20
30
40
50
60
# of queued jobs per queue
次に、show asp load-balance detail コマンドの出力例を示します。
ciscoasa# show asp load-balance detail
<Same histogram output as before with the addition of the following values for the
histogram>
Data points:
<snip>
bucket[1-1] =
bucket[2-2] =
bucket[3-3] =
bucket[4-4] =
bucket[5-5] =
bucket[6-6] =
<snip>
bucket[28-28]
bucket[29-29]
bucket[30-30]
<snip>
bucket[41-41]
bucket[42-42]
関連コマンド
コマンド
asp load-balance
per-packet
0
0
0
1
0
1
samples
samples
samples
samples
samples
samples
= 2 samples
= 0 samples
= 1 samples
= 0 samples
= 1 samples
説明
マルチコア ASA モデルのコアロードバランシング方式を変更します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-96
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp load-balance per-packet
show asp load-balance per-packet
パケットごとの ASP ロードバランシングの特定の統計情報を表示するには、特権 EXEC モード
で show asp load-balance per-packet コマンドを使用します。
show asp load-balance per-packet [history]
構文の説明
history
デフォルト
このオプションを指定しない場合は、このコマンドによって、基本ステータス、関連する値、およ
びパケット単位の ASP ロードバランシングの統計情報が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）設定ステータス（enabled、disabled、または auto）、現在のス
テータス（enabled または disabled）、最高水準点と最低水準点、グローバ
ルしきい値、自動切り替えの発生回数、自動スイッチングがイネーブル
な場合の最小および最大待機時間、パケットごとの ASP ロードバラン
シングのタイムスタンプによる履歴、オンおよびオフに切り替える理
由を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
9.3(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
show asp load-balance per-packet コマンドは、パケットごとの ASP ロードバランシングの設定
ステータス（enabled、disabled、または auto）、現在のステータス（enabled または disabled）、最高水
準点と最低水準点、グローバルしきい値、自動切り替えの発生回数、自動スイッチングがイネー
ブルな場合の最小および最大待機時間を表示します。
この情報は次の形式で表示されます。
Config mode
: [ enabled | disabled | auto ]
Current status : [ enabled | disabled ]
RX ring Blocks low/high watermark
: [RX ring Blocks low watermark in percentage] /
[RX ring Blocks high watermark in percentage]
System RX ring count low threshold
: [System RX ring count low threshold] / [Total
number of RX rings in the system]
System RX ring count high threshold
: [System RX ring count high threshold] / [Total
number of RX rings in the system]
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-97
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp load-balance per-packet
auto モード
Current RX ring count threshold status : [Number of RX rings crossed watermark] / [Total
number of RX rings in the system]
Number of times auto switched
: [Number of times ASP load-balance per-packet has
been switched]
Min/max wait time with auto enabled
: [Minimal wait time with auto enabled] / [Maximal
wait time with auto enabled] (ms)
手動モード（Manual mode）
Current RX ring count threshold status : N/A
ASA 5585-X および ASASM でのみ、このコマンドの使用がサポートされます。
例
次に、show asp load-balance per-packet コマンドの出力例を示します。
ciscoasa# show asp load-balance per-packet
Config status : auto
Current status : disabled
RX ring Blocks low/high watermark
System RX ring count low threshold
System RX ring count high threshold
Current RX ring count threshold status
Number of times auto switched
Min/max wait time with auto enabled
:
:
:
:
:
:
50%
1 /
7 /
0 /
17
200
/ 75%
33
33
33
/ 6400 (ms)
次に、show asp load-balance per-packet history コマンドの出力例を示します。
ciscoasa# show asp load-balance per-packet history
Config status : auto
Current status : disabled
RX ring Blocks low/high watermark
System RX ring count low threshold
System RX ring count high threshold
Current RX ring count threshold status
Number of times auto switched
Min/max wait time with auto enabled
:
:
:
:
:
:
50%
1 /
7 /
0 /
17
200
/ 75%
33
33
33
/ 6400 (ms)
===================================================================================================
From State
To State
Reason
===================================================================================================
15:07:13 UTC Dec 17 2013
Manually Disabled
Manually Disabled
Disabled at startup
15:09:14 UTC Dec 17 2013
Manually Disabled
Manually Enabled
Config
15:09:15 UTC Dec 17 2013
Manually Enabled
Auto Disabled
0/33 of the ring(s) crossed the watermark
15:10:16 UTC Dec 17 2013
Auto Disabled
Auto Enabled
15:10:16 UTC Dec 17 2013
Auto Enabled
Auto Enabled
1/33 of the ring(s) crossed the watermark
Internal-Data0/0 RX[01] crossed above high watermark
2/33 of the ring(s) crossed the watermark
Internal-Data0/1 RX[04] crossed above high watermark
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-98
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp load-balance per-packet
15:10:16 UTC Dec 17 2013
Auto Enabled
Auto Enabled
15:10:16 UTC Dec 17 2013
Auto Enabled
Auto Enabled
15:10:17 UTC Dec 17 2013
Auto Enabled
Auto Enabled
3/33 of the ring(s) crossed the watermark
Internal-Data0/1 RX[05] crossed above high watermark
2/33 of the ring(s) crossed the watermark
Internal-Data0/0 RX[01] dropped below low watermark
3/33 of the ring(s) crossed the watermark
Internal-Data0/2 RX[01] crossed above high watermark
(---More---)
15:14:01 UTC Dec 17 2013
Auto Enabled
Auto Disabled
15:14:01 UTC Dec 17 2013
Auto Disabled
Auto Enabled
8/33 of the ring(s) crossed the watermark
Internal-Data0/3 RX[01] crossed above high watermark
7/33 of the ring(s) crossed the watermark
Internal-Data0/3 RX[01] dropped below low watermark
(---More---)
15:20:11 UTC Dec 17 2013
Auto Enabled
Auto Disabled
0/33 of the ring(s) crossed the watermark
Internal-Data0/2 RX[01] dropped below low watermark
(---More---)
関連コマンド
コマンド
asp load-balance
per-packet auto
説明
各インターフェイス受信リングまたはフローのセットでのパケットご
との ASP ロードバランシングのオンとオフを自動的に切り替えます。
clear asp load-balance パケットごとの ASP ロードバランシングの履歴をクリアし、自動切り
history
替えが発生した回数をリセットします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-99
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table arp
show asp table arp
高速セキュリティパスの ARP テーブルをデバッグするには、特権 EXEC モードで show asp
table arp コマンドを使用します。
show asp table arp [interface interface_name] [address ip_address [netmask mask]]
構文の説明
address ip_address
（オプション）ARP テーブルエントリを表示する IP アドレスを指定し
ます。
interface
interface_name
（オプション）ARP テーブルを表示する特定のインターフェイスを指定
します。
netmask mask
（オプション）IP アドレスのサブネットマスクを設定します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show arp コマンドがコントロールプレーンの内容を表示するのに対して、show asp table arp コ
マンドは高速セキュリティパスの内容を表示します。この情報は、問題のトラブルシューティン
グに役立つ場合があります。高速セキュリティパスの詳細については、CLI 設定ガイドを参照し
てください。これらの表はデバッグ目的でのみ使用され、情報出力は変更されることがありま
す。このコマンドを使用したシステムデバッグについて支援が必要な場合は、Cisco TAC にお問
い合わせください。
例
次に、show asp table arp コマンドの出力例を示します。
ciscoasa# show asp table arp
Context: single_vf, Interface: inside
10.86.194.50
10.86.194.1
10.86.194.172
10.86.194.204
10.86.194.188
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-100
Active
Active
Active
Active
Active
000f.66ce.5d46
00b0.64ea.91a2
0001.03cf.9e79
000f.66ce.5d3c
000f.904b.80d7
hits
hits
hits
hits
hits
0
638
0
0
0
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table arp
Context: single_vf, Interface: identity
::
0.0.0.0
関連コマンド
Active
Active
コマンド
show arp
説明
show arp statistics
ARP 統計情報を表示します。
0000.0000.0000 hits 0
0000.0000.0000 hits 50208
ARP テーブルを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-101
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table classify
show asp table classify
高速セキュリティパスの分類子テーブルをデバッグするには、特権 EXEC モードで show asp
table classify コマンドを使用します。
show asp table classify [interface interface_name] [crypto | domain domain_name] [hits] [match
regexp] [user-statistics]
構文の説明
crypto
（オプション）暗号、暗号解除、および IPSec トンネルフロードメイン
のみを表示します。
domain domain_name
（オプション）特定の分類子ドメインのエントリを表示します。ドメイ
ンのリストについては、「使用上のガイドライン」の項を参照してくだ
さい。
hits
（オプション）0 以外のヒット値を持つ分類子エントリを表示します。
interface
interface_name
（オプション）分類子テーブルを表示する特定のインターフェイスを指
定します。
match regexp
（オプション）正規表現に一致する分類子エントリを表示します。正規
表現にスペースが含まれる場合、引用符を使用します。
user-statistics
（オプション）ユーザおよびグループ情報を指定します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
ルーテッド
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
7.2(4)
hits オプション、および ASP テーブルのカウンタが最後にクリアされ
たのがいつかを示すタイムスタンプが追加されました。
8.0(2)
match コンパイルが中止された回数を示すために、新しいカウンタが追加
されました。このカウンタは、値が 0 より大きい場合のみ表示されます。
8.2(2)
match regexp オプションが追加されました。
8.4(4.1)
ASA CX モジュールの csxc および cxsc-auth-proxy ドメインが追加され
ました。
9.0(1)
user-statistics キーワードが追加されました。出力が更新され、セキュリ
ティグループ名およびソースタグと宛先タグが追加されました。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-102
トランスペ
アレント
シングル
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table classify
使用上のガイドライン
リリース
9.2(1)
変更内容
9.3(1)
出力のセキュリティグループタグ（SGT）値が変更されました。タグ値
「tag=0」は「不明」の予約 SGT 値である 0x0 との完全一致を示します。
SGT 値「tag=any」は、ルールで考慮する必要がない値を示します。
ASA FirePOWER モジュールの sfr ドメインが追加されました。
show asp table classify コマンドは、高速セキュリティパスの分類子の内容を表示します。この情
報は、問題のトラブルシューティングに役立つ場合があります。高速セキュリティパスの詳細に
ついては、CLI 設定ガイドを参照してください。分類子は、着信パケットのプロパティ（プロトコ
ル、送信元アドレス、宛先アドレスなど）を検査して、各パケットを適切な分類ルールと対応付け
ます。それぞれのルールには、パケットのドロップや通過の許可など、どのタイプのアクション
を実行するかを規定した分類ドメインのラベルが付けられます。表示される情報はデバッグの
目的でのみ使用されます。また、出力は変更される可能性があります。このコマンドを使用した
システムデバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。
分類子ドメインには、次のものがあります。
aaa-acct
aaa-auth
aaa-user
accounting
app-redirect
arp
autorp
backup interface CLI (Apply backup interface rule)
capture
cluster-drop-mcast-from-peer
cluster-drop-on-non-owner
cluster-drop-on-slave
cluster-mark-mcast-from-peer
cluster-redirect
conn-nailed
conn-set
ctcp
cxsc
cxsc-auth-proxy
debug-icmp-trace
decrypt
dhcp
dynamic-filter
eigrp
encrypt
established
filter-activex
filter-ftp
filter-https
filter-java
filter-url
flow-export
host
host-limit
hqf
ids
inspect-ctiqbe
inspect-dcerpc
inspect-dns-cp
inspect-dns-ids
inspect-dns-np
inspect-ftp
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-103
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table classify
inspect-ftp-data
inspect-gtp
inspect-h323
inspect-http
inspect-icmp
inspect-icmp-error
inspect-ils
inspect-im
inspect-ip-options
inspect-ipsec-pass-thru
inspect-ipv6
inspect-mgcp
inspect-mmp
inspect-netbios
inspect-phone-proxy
inspect-pptp
inspect-rsh
inspect-rtsp
inspect-scansafe
inspect-sip
inspect-skinny
inspect-smtp
inspect-snmp
inspect-sqlnet
inspect-sqlnet-plus
inspect-srtp
inspect-sunrpc
inspect-tftp
inspect-waas
inspect-xdmcp
ipsec-natt
ipsec-tunnel-flow
ipv6
l2tp
l2tp-ppp
limits
lu
mgmt-lockdown
mgmt-tcp-intercept
multicast
nat
nat-per-session
nat-reverse
no forward CLI (Apply no forward interface rule)
null
ospf
permit
permit-ip-option
permit-ip-option-explicit
pim
ppp
priority-q
punt
punt-root (soft NP)
qos
qos-per-class (soft NP)
qos-per-dest (soft NP)
qos-per-flow (soft NP)
qos-per-source (soft NP)
rip
sal-relay
sfr
shun
soft-np-tcp-module
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-104
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table classify
soft-np-udp-module
splitdns
ssm
ssm-app-capacity
ssm-isvw
ssm-isvw-capable
svc-ib-tunnel-flow
svc-ob-tunnel-flow
tcp-intercept
tcp-ping
udp-unidirectional
user-statistics
vpn-user
wccp
例
次に、show asp table classify コマンドの出力例を示します。
ciscoasa# show asp table classify
Interface test:
No.of aborted compiles for input action table 0x33b3d70: 29
in id=0x36f3800, priority=10, domain=punt, deny=false
hits=0, user_data=0x0, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip=10.86.194.60, mask=255.255.255.255, port=0, tag=any
in id=0x33d3508, priority=99, domain=inspect, deny=false
hits=0, user_data=0x0, use_real_addr, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip=0.0.0.0, mask=0.0.0.0, port=0, tag=any
in id=0x33d3978, priority=99, domain=inspect, deny=false
hits=0, user_data=0x0, use_real_addr, flags=0x0
src ip=0.0.0.0, mask=0.0.0.0, port=53, tag=any
dst ip=0.0.0.0, mask=0.0.0.0, port=0, tag=any
...
次に、show asp table classify hits コマンドの出力例を示します。ヒットカウンタの最後のクリア
のレコードが示されています。
Interface mgmt:
in id=0x494cd88, priority=210, domain=permit, deny=true
hits=54, user_data=0x1, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0,
mask=0.0.0.0, port=0 dst ip=255.255.255.255, mask=255.255.255.255, port=0,
dscp=0x0
in id=0x494d1b8, priority=112, domain=permit, deny=false
hits=1, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=1 src ip=0.0.0.0,
mask=0.0.0.0, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
Interface inside:
in id=0x48f1580, priority=210, domain=permit, deny=true
hits=54, user_data=0x1, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0,
mask=0.0.0.0, port=0 dst ip=255.255.255.255, mask=255.255.255.255, port=0,
dscp=0x0
in id=0x48f09e0, priority=1, domain=permit, deny=false
hits=101, user_data=0x0, cs_id=0x0, l3_type=0x608 src mac=0000.0000.0000,
mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0000.0000.0000
Interface outside:
in id=0x48c0970, priority=210, domain=permit, deny=true
hits=54, user_data=0x1, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0,
mask=0.0.0.0, port=0 dst ip=255.255.255.255, mask=255.255.255.255, port=0, dscp=0x0
次に、レイヤ 2 情報を含む show asp table classify hits コマンドの出力例を示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-105
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table classify
Input Table
in id=0x7fff2de10ae0, priority=120, domain=permit, deny=false
hits=4, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=1
src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0
dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, dscp=0x0
input_ifc=LAN-SEGMENT, output_ifc=identity in id=0x7fff2de135c0, priority=0,
domain=inspect-ip-options, deny=true
hits=41, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=LAN-SEGMENT, output_ifc=any
.
.
.
Output Table:
L2 - Output Table:
L2 - Input Table:
in id=0x7fff2de0e080, priority=1, domain=permit, deny=false
hits=30, user_data=0x0, cs_id=0x0, l3_type=0x608
src mac=0000.0000.0000, mask=0000.0000.0000
dst mac=0000.0000.0000, mask=0000.0000.0000
input_ifc=LAN-SEGMENT, output_ifc=any
in id=0x7fff2de0e580, priority=1, domain=permit, deny=false
hits=382, user_data=0x0, cs_id=0x0, l3_type=0x8
src mac=0000.0000.0000, mask=0000.0000.0000
dst mac=0000.0000.0000, mask=0100.0000.0000
input_ifc=LAN-SEGMENT, output_ifc=any
in id=0x7fff2de0e800, priority=1, domain=permit, deny=false
hits=312, user_data=0x0, cs_id=0x0, l3_type=0x8
src mac=0000.0000.0000, mask=0000.0000.0000
dst mac=ffff.ffff.ffff, mask=ffff.ffff.ffff
input_ifc=LAN-SEGMENT, output_ifc=any
次に、セキュリティグループがアクセスリストで指定されていない場合の show asp table
classify コマンドの出力例を示します。
ciscoasa# show asp table classify
in id=0x7ffedb54cfe0, priority=500, domain=permit, deny=true
hits=0, user_data=0x6, cs_id=0x0, flags=0x0, protocol=0
src ip/id=224.0.0.0, mask=240.0.0.0, port=0, tag=any
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
input_ifc=management, output_ifc=any
関連コマンド
コマンド
show asp drop
説明
ドロップされたパケットの高速セキュリティパスカウンタを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-106
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table cluster chash-table
show asp table cluster chash-table
高速セキュリティパスの cHash テーブルをクラスタリング用にデバッグするには、特権 EXEC
モードで show asp table cluster chash-table コマンドを使用します。
show asp table cluster chash-table
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
例
リリース
9.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
show asp table cluster chash-table コマンドは、高速セキュリティパスの内容を表示します。この
情報は、問題のトラブルシューティングに役立つ場合があります。高速セキュリティパスの詳細
については、CLI 設定ガイドを参照してください。これらの表はデバッグ目的でのみ使用され、情
報出力は変更されることがあります。このコマンドを使用したシステムデバッグについて支援
が必要な場合は、Cisco TAC にお問い合わせください。
次に、show asp table cluster chash-table コマンドの出力例を示します。
ciscoasa# show asp table cluster chash-table
Cluster current chash table:
00003333
21001200
22000033
02222223
33331111
21110000
00133103
22222223
30000102
11222222
23222331
00002223
33111111
11000112
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-107
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table cluster chash-table
22332000
00231121
11222220
33330223
31013211
11101111
13111111
11023133
30001100
00000111
12022222
00133333
33222000
00022222
33011333
11110002
33333322
13333030
関連コマンド
コマンド
show asp cluster
counter
説明
クラスタデータパスカウンタ情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-108
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table cts sgt-map
show asp table cts sgt-map
Cisco TrustSec のデータパスに保持されている IP アドレスセキュリティグループのテーブル
データベースから IP アドレスセキュリティグループのテーブルマップを表示するには、特権
EXEC モードで show asp table cts sgt-map コマンドを使用します。
show asp table cts sgt-map [address ipv4 | address ipv6 | ipv4 | ipv6 | sgt sgt]
構文の説明
address ipv4
（オプション）指定された IPv4 アドレスの IP アドレスセキュリティグ
ループのテーブルマップを表示します。
address ipv6
（オプション）指定された IPv6 アドレスの IP アドレスセキュリティグ
ループのテーブルマップを表示します。
ipv4
（オプション）IPv4 アドレスのすべての IP アドレスセキュリティグ
ループのテーブルマップを表示します。
ipv6
（オプション）IPv6 アドレスのすべての IP アドレスセキュリティグ
ループのテーブルマップを表示します。
sgt sgt
（オプション）指定されたセキュリティグループテーブルの IP アドレ
スセキュリティグループのテーブルマップを表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
9.0(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
アドレスが指定されていない場合は、データパスの IP アドレスセキュリティグループテーブ
ルデータベース内のすべてのエントリが表示されます。アドレスとして、正確なアドレスまたは
サブネットベースのアドレスを指定できます。また、セキュリティグループの名前がある場合
は、表示されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-109
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table cts sgt-map
例
次に、show asp table cts sgt-map コマンドの出力例を示します。
ciscoasa# show asp table cts sgt-map
IP Address
SGT
==================================================
10.10.10.5
1234:Marketing
55.67.89.12
5:Engineering
56.34.0.0
338:HR
192.4.4.4
345:Finance
Total number of entries shown = 4
次に、show asp table cts sgt-map address コマンドの出力例を示します。
ciscoasa# show asp table cts sgt-map address 10.10.10.5
IP Address
SGT
=================================================
10.10.10.5
1234:Marketing
Total number of entries shown = 1
次に、show asp table cts sgt-map ipv6 コマンドの出力例を示します。
ciscoasa# show asp table cts sgt-map ipv6
IP Address
SGT
=============================================================
FE80::A8BB:CCFF:FE00:110
17:Marketing-Servers
FE80::A8BB:CCFF:FE00:120
18:Eng-Servers
Total number of entries shown = 2
次に、show asp table cts sgt-map sgt コマンドの出力例を示します。
ciscoasa# show asp table cts sgt-map sgt 17
IP Address
SGT
==============================================
FE80::A8BB:CCFF:FE00:110
17
Total number of entries shown = 1
関連コマンド
コマンド
show running-config cts
説明
show cts environment
環境データのリフレッシュ処理のヘルス状態とステータスを
表示します。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-110
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table dynamic-filter
show asp table dynamic-filter
高速セキュリティパスのボットネットトラフィックフィルタテーブルをデバッグするには、特
権 EXEC モードで show asp table dynamic-filter コマンドを使用します。
show asp table dynamic-filter [hits]
構文の説明
hits
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）0 以外のヒット値を持つ分類子エントリを表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
8.2(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
show asp table dynamic-filter コマンドは、高速セキュリティパス内のボットネットトラフィッ
クフィルタのルールを表示します。この情報は、問題のトラブルシューティングに役立つ場合が
あります。高速セキュリティパスの詳細については、CLI 設定ガイドを参照してください。これ
らの表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを
使用したシステムデバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。
例
次に、show asp table dynamic-filter コマンドの出力例を示します。
ciscoasa# show asp table dynamic-filter
Context: admin
Address 10.246.235.42 mask 255.255.255.255 name: example.info
flags: 0x44 hits 0
Address 10.40.9.250 mask 255.255.255.255 name: bad3.example.com
flags: 0x44 hits 0
Address 10.64.147.20 mask 255.255.255.255 name: bad2.example.com flags: 0x44
hits 0
Address 10.73.210.121 mask 255.255.255.255 name: bad1.example.com flags:
0x44 hits 0
Address 10.34.131.135 mask 255.255.255.255 name: bad.example.com flags:
0x44 hits 0
Address 10.64.147.16 mask 255.255.255.255 name:
1st-software-downloads.com flags: 0x44 hits 2
Address 10.131.36.158 mask 255.255.255.255 name: www.example.com flags: 0x41 hits 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-111
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table dynamic-filter
Address 10.129.205.209 mask 255.255.255.255 flags: 0x1 hits 0
Address 10.166.20.10 mask 255.255.255.255 flags: 0x1 hits 0
...
関連コマンド
コマンド
address
説明
clear configure dynamic-filter
実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter dns-snoop
ボットネットトラフィックフィルタの DNS スヌーピング
データをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをク
リアします。
clear dynamic-filter statistics
ボットネットトラフィックフィルタの統計情報をクリアし
ます。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを
実行するために、ASA が DNS サーバに DNS 要求を送信でき
るようにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編
集します。
dynamic-filter database fetch
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベース
から検索します。
dynamic-filter database purge
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist
ブラックリストに登録されているトラフィックを自動でド
ロップします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラス
またはすべてのトラフィックのボットネットトラフィック
フィルタをイネーブルにします。
dynamic-filter updater-client
enable
ダイナミックデータベースのダウンロードをイネーブルにし
ます。
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編
集します。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィル
タスヌーピングをイネーブルにします。
name
ブラックリストまたはホワイトリストに名前を追加します。
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-112
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table dynamic-filter
コマンド
show dynamic-filter data
説明
show dynamic-filter dns-snoop
ボットネットトラフィックフィルタの DNS スヌーピングの
概要を表示します。detail キーワードを指定した場合は、実際
の IP アドレスおよび名前を表示します。
show dynamic-filter reports
上位 10 個のボットネットサイト、ポート、および感染したホ
ストに関するレポートを生成します。
show dynamic-filter statistics
ボットネットトラフィックフィルタでモニタされた接続の
数、およびこれらの接続のうち、ホワイトリスト、ブラックリ
スト、グレイリストに一致する接続の数を表示します。
show dynamic-filter
updater-client
サーバの IP アドレス、ASA が次にサーバに接続する日時、最
後にインストールされたデータベースのバージョンなど、
アップデートサーバに関する情報を表示します。
show running-config
dynamic-filter
ボットネットトラフィックフィルタの実行コンフィギュ
レーションを表示します。
ダイナミックデータベースが最後にダウンロードされた日
時、データベースのバージョン、データベースに含まれている
エントリの数、10 個のサンプルエントリなど、ダイナミック
データベースに関する情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-113
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table filter
show asp table filter
高速セキュリティパスのフィルタテーブルをデバッグするには、特権 EXEC モードで show asp
table filter コマンドを使用します。
show asp table filter [access-list acl-name] [hits] [match regexp]
構文の説明
acl-name
（オプション）指定されたアクセスリストにインストールされたフィ
ルタを指定します。
hits
（オプション）0 以外のヒット値を持つフィルタルールを指定します。
match regexp
（オプション）正規表現に一致する分類子エントリを表示します。正規
表現にスペースが含まれる場合、引用符を使用します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
8.2(2)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
フィルタが VPN トンネルに適用されている場合は、フィルタテーブルにフィルタルールが登録
されます。トンネルにフィルタが指定されている場合は、暗号化前および復号化後にフィルタ
テーブルがチェックされ、内部パケットを許可または拒否するかが決定されます。
例
次に、user1 が接続する前の show asp table filter コマンドの出力例を示します。暗黙拒否ルール
のみが着信と発信の両方向で IPv4 および IPv6 にインストールされます。
ciscoasa# show asp table filter
Global Filter Table:
in id=0xd616ef20, priority=11, domain=vpn-user, deny=true
hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
in id=0xd616f420, priority=11, domain=vpn-user, deny=true
hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
src ip=::/0, port=0
dst ip=::/0, port=0
out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-114
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table filter
hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
src ip=::/0, port=0
dst ip=::/0, port=0
次に、user1 が接続した後の show asp table filter コマンドの出力例を示します。VPN フィルタ
ACL は、着信方向に基づいて定義されます。ソースがピアを表し、宛先は内部リソースを表しま
す。発信ルールは着信ルールのソースと宛先を交換することによって生成されます。
ciscoasa# show asp table filter
Global Filter Table:
in id=0xd682f4a0, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd682f460, filter_id=0x2(vpnfilter), protocol=6
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=95.1.224.100, mask=255.255.255.255, port=21
in id=0xd68366a0, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd6d89050, filter_id=0x2(vpnfilter), protocol=6
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=95.1.224.100, mask=255.255.255.255, port=5001
in id=0xd45d5b08, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd45d5ac8, filter_id=0x2(vpnfilter), protocol=17
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=95.1.224.100, mask=255.255.255.255, port=5002
in id=0xd6244f30, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd6244ef0, filter_id=0x2(vpnfilter), protocol=1
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=95.1.224.100, mask=255.255.255.255, port=0
in id=0xd64edca8, priority=12, domain=vpn-user, deny=true
hits=0, user_data=0xd64edc68, filter_id=0x2(vpnfilter), protocol=1
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
in id=0xd616f018, priority=11, domain=vpn-user, deny=true
hits=43, user_data=0xd613eb58, filter_id=0x0(-implicit deny-), protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
in id=0xd616f518, priority=11, domain=vpn-user, deny=true
hits=0, user_data=0xd615f068, filter_id=0x0(-implicit deny-), protocol=0
src ip=::/0, port=0
dst ip=::/0, port=0
out id=0xd7395650, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd7395610, filter_id=0x2(vpnfilter), protocol=6
src ip=95.1.224.100, mask=255.255.255.255, port=21
dst ip=0.0.0.0, mask=0.0.0.0, port=0
out id=0xd45d49b8, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd45d4978, filter_id=0x2(vpnfilter), protocol=6
src ip=95.1.224.100, mask=255.255.255.255, port=5001
dst ip=0.0.0.0, mask=0.0.0.0, port=0
out id=0xd45d5cf0, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd45d5cb0, filter_id=0x2(vpnfilter), protocol=17
src ip=95.1.224.100, mask=255.255.255.255, port=5002
dst ip=0.0.0.0, mask=0.0.0.0, port=0
out id=0xd6245118, priority=12, domain=vpn-user, deny=false
hits=0, user_data=0xd62450d8, filter_id=0x2(vpnfilter), protocol=1
src ip=95.1.224.100, mask=255.255.255.255, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
out id=0xd64ede90, priority=12, domain=vpn-user, deny=true
hits=0, user_data=0xd64ede50, filter_id=0x2(vpnfilter), protocol=1
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-115
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table filter
out id=0xd616f298, priority=11, domain=vpn-user, deny=true
hits=0, user_data=0xd614d9f8, filter_id=0x0(-implicit deny-), protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
out id=0xd616f7c8, priority=11, domain=vpn-user, deny=true
hits=0, user_data=0xd6161730, filter_id=0x0(-implicit deny-), protocol=0
src ip=::/0, port=0
dst ip=::/0, port=0
関連コマンド
コマンド
show asp drop
説明
show asp table classifier
高速セキュリティパスの分類子の内容を表示します。
ドロップされたパケットの高速セキュリティパスカウンタ
を示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-116
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table interfaces
show asp table interfaces
高速セキュリティパスのインターフェイステーブルをデバッグするには、特権 EXEC モードで
show asp table interfaces コマンドを使用します。
show asp table interfaces
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(1)
ルーテッド
•
トランスペ
アレント
シングル
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show asp table interfaces コマンドは、高速セキュリティパスのインターフェイステーブルの内
容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。高速セ
キュリティパスの詳細については、CLI 設定ガイドを参照してください。これらの表はデバッグ
目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステム
デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。
例
次に、show asp table interfaces コマンドの出力例を示します。
ciscoasa# show asp table interfaces
** Flags: 0x0001-DHCP, 0x0002-VMAC, 0x0010-Ident Ifc, 0x0020-HDB Initd,
0x0040-RPF Enabled
Soft-np interface 'dmz' is up
context single_vf, nicnum 0, mtu 1500
vlan 300, Not shared, seclvl 50
0 packets input, 1 packets output
flags 0x20
Soft-np interface 'foo' is down
context single_vf, nicnum 2, mtu 1500
vlan <None>, Not shared, seclvl 0
0 packets input, 0 packets output
flags 0x20
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-117
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table interfaces
Soft-np interface 'outside' is down
context single_vf, nicnum 1, mtu 1500
vlan <None>, Not shared, seclvl 50
0 packets input, 0 packets output
flags 0x20
Soft-np interface 'inside' is up
context single_vf, nicnum 0, mtu 1500
vlan <None>, Not shared, seclvl 100
680277 packets input, 92501 packets output
flags 0x20
...
関連コマンド
コマンド
interface
説明
show interface
インターフェイスの実行時ステータスと統計情報を表示します。
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-118
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table routing
show asp table routing
高速セキュリティパスのルーティングテーブルをデバッグするには、特権 EXEC モードで show
asp table routing コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポー
トします。
show asp table routing [input | output] [address ip_address [netmask mask] |
interface interface_name]
構文の説明
address ip_address
ルーティングエントリを表示する IP アドレスを設定します。IPv6 アド
レスの場合は、スラッシュ（/）に続けてプレフィックス（0 ～ 128）を入
力し、サブネットマスクを含めることができます。たとえば、次のよう
に入力します。
fe80::2e0:b6ff:fe01:3b7a/128
input
入力ルートテーブルにあるエントリを表示します。
interface
interface_name
（オプション）ルーティングテーブルを表示する特定のインターフェ
イスを指定します。
netmask mask
IPv4 アドレスの場合は、サブネットマスクを指定します。
output
出力ルートテーブルにあるエントリを表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
（注）
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
7.0(1)
変更内容
9.3(2)
ゾーン情報ごとのルーティングが追加されました。
•
Yes
このコマンドが追加されました。
show asp table routing コマンドは、高速セキュリティパスのルーティングテーブルの内容を表
示します。この情報は、問題のトラブルシューティングに役立つ場合があります。高速セキュリ
ティパスの詳細については、CLI 設定ガイドを参照してください。これらの表はデバッグ目的で
のみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステムデバッ
グについて支援が必要な場合は、Cisco TAC にお問い合わせください。
無効なエントリが、ASA 5505 で show asp table routing コマンドの出力に表示される場合があり
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-119
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table routing
例
次に、show asp table routing コマンドの出力例を示します。
ciscoasa# show asp table routing
in
in
in
in
in
in
in
in
in
in
in
in
out
out
out
out
out
out
out
out
out
out
（注）
関連コマンド
255.255.255.255
224.0.0.9
10.86.194.60
10.86.195.255
10.86.194.0
209.165.202.159
209.165.202.255
209.165.201.30
209.165.201.0
10.86.194.0
224.0.0.0
0.0.0.0
255.255.255.255
224.0.0.0
255.255.255.255
224.0.0.0
255.255.255.255
10.86.194.0
224.0.0.0
0.0.0.0
0.0.0.0
::
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.254.0
240.0.0.0
0.0.0.0
255.255.255.255
240.0.0.0
255.255.255.255
240.0.0.0
255.255.255.255
255.255.254.0
240.0.0.0
0.0.0.0
0.0.0.0
::
show asp table routing コマンドの出力の無効なエントリが ASA 5505 プラットフォームに表示
される場合があります。これらのエントリは無視します。これらのエントリは無効です。
コマンド
show route
説明
コントロールプレーン内のルーティングテーブルを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-120
identity
identity
identity
identity
identity
identity
identity
identity
identity
inside
identity
inside
foo
foo
test
test
inside
inside
inside
via 10.86.194.1, inside
via 0.0.0.0, identity
via 0.0.0.0, identity
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table socket
show asp table socket
高速セキュリティパスのソケット情報をデバッグするには、特権 EXEC モードで show asp table
socket コマンドを使用します。
show asp table socket [socket handle] [stats]
構文の説明
socket handle
ソケットの長さを指定します。
stats
高速セキュリティパスのソケットテーブルの統計情報を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
8.0(2)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show asp table socket コマンドは、高速セキュリティパスのソケット情報を表示します。この情報
は、高速セキュリティパスのソケットにおける問題のトラブルシューティングに役立つ場合があ
ります。高速セキュリティパスの詳細については、CLI 設定ガイドを参照してください。これらの
表はデバッグ目的でのみ使用され、情報出力は変更されることがあります。このコマンドを使用
したシステムデバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。
例
次に、show asp table socket コマンドの出力例を示します。
TCP Statistics:
Rcvd:
total14794
checksum errors0
no port0
Sent:
total0
UDP Statistics:
Rcvd:
total0
checksum errors0
Sent:
total0
copied0
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-121
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table socket
NP SSL System Stats:
Handshake Started:33
Handshake Complete:33
SSL Open:4
SSL Close:117
SSL Server:58
SSL Server Verify:0
SSL Client:0
TCP/UDP 統計情報は、送受信したパケットのうち、ASA で実行またはリッスンしているサービ
ス（Telnet、SSH、HTTPS など）に転送されるパケットの数を示すパケットカウンタです。チェッ
クサムエラーは、計算されたパケットチェックサムがパケットに保存されているチェックサム
値と一致しなかった（つまり、パケットが破損した）ため、ドロップされたパケットの数です。NP
SSL 統計情報は、受信した各タイプのメッセージの数を示します。ほとんどが、SSL サーバまた
は SSL クライアントへの新しい SSL 接続の開始と終了を示します。
関連コマンド
コマンド
show asp table vpn-context
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-122
説明
高速セキュリティパスの VPN コンテキストテーブルを
表示します。
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table vpn-context
show asp table vpn-context
高速セキュリティパスの VPN コンテキストテーブルをデバッグするには、特権 EXEC モードで
show asp table vpn-context コマンドを使用します。
show asp table vpn-context [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）VPN コンテキストテーブルに関する追加の詳細情報を
表示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.0(4)
トンネルのドロップ後にステートフルフローを保持する各コンテキス
トに +PRESERVE フラグが追加されました。
9.0(1)
マルチコンテキストモードのサポートが追加されました。
このコマンドが追加されました。
使用上のガイドライン
show asp table vpn-context コマンドは、高速セキュリティパスの VPN コンテキストの内容を表
示します。この情報は、問題のトラブルシューティングに役立つ場合があります。高速セキュリ
ティパスの詳細については、CLI 設定ガイドを参照してください。これらの表はデバッグ目的で
のみ使用され、情報出力は変更されることがあります。このコマンドを使用したシステムデバッ
グについて支援が必要な場合は、Cisco TAC にお問い合わせください。
例
次に、show asp table vpn-context コマンドの出力例を示します。
ciscoasa# show asp table vpn-context
VPN
VPN
VPN
VPN
VPN
VPN
VPN
VPN
VPN
...
ID=0058070576,
ID=0058193920,
ID=0058168568,
ID=0058161168,
ID=0058153728,
ID=0058150440,
ID=0058102088,
ID=0058134088,
ID=0058103216,
DECR+ESP,
ENCR+ESP,
DECR+ESP,
ENCR+ESP,
DECR+ESP,
ENCR+ESP,
DECR+ESP,
ENCR+ESP,
DECR+ESP,
UP,
UP,
UP,
UP,
UP,
UP,
UP,
UP,
UP,
pk=0000000000,
pk=0000000000,
pk=0000299627,
pk=0000305043,
pk=0000271432,
pk=0000285328,
pk=0000268550,
pk=0000274673,
pk=0000252854,
rk=0000000000,
rk=0000000000,
rk=0000000061,
rk=0000000061,
rk=0000000061,
rk=0000000061,
rk=0000000061,
rk=0000000061,
rk=0000000061,
gc=0
gc=0
gc=2
gc=1
gc=2
gc=1
gc=2
gc=1
gc=2
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-123
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table vpn-context
次に、PRESERVE フラグで示されているように固定の IPsec トンネルフロー機能がイネーブル
になっている場合の show asp table vpn-context コマンドの出力例を示します。
ciscoasa(config)# show asp table vpn-context
VPN CTX=0x0005FF54, Ptr=0x6DE62DA0, DECR+ESP+PRESERVE, UP, pk=0000000000, rk=0000000000,
gc=0
VPN CTX=0x0005B234, Ptr=0x6DE635E0, ENCR+ESP+PRESERVE, UP, pk=0000000000, rk=0000000000,
gc=0
次に、show asp table vpn-context detail コマンドの出力例を示します。
ciscoasa# show asp table vpn-context detail
VPN Ctx =
State
=
Flags
=
SA
=
SPI
=
Group
=
Pkts
=
Bad Pkts =
Bad SPI =
Spoof
=
Bad Crypto
Rekey Pkt
Rekey Call
0058070576 [0x03761630]
UP
DECR+ESP
0x037928F0
0xEA0F21F0
0
0
0
0
0
= 0
= 0
= 0
VPN Ctx =
State
=
Flags
=
SA
=
SPI
=
Group
=
Pkts
=
Bad Pkts =
Bad SPI =
Spoof
=
Bad Crypto
Rekey Pkt
Rekey Call
...
0058193920 [0x0377F800]
UP
ENCR+ESP
0x037B4B70
0x900FDC32
0
0
0
0
0
= 0
= 0
= 0
次に、PRESERVE フラグで示されているように固定の IPsec トンネルフロー機能がイネーブル
になっている場合の show asp table vpn-context detail コマンドの出力例を示します。
ciscoasa(config)# show asp table vpn-context detail
VPN CTX
= 0x0005FF54
Peer IP =
Pointer =
State
=
Flags
=
SA
=
SPI
=
Group
=
Pkts
=
Bad Pkts =
Bad SPI =
Spoof
=
Bad Crypto
Rekey Pkt
Rekey Call
ASA_Private
0x6DE62DA0
UP
DECR+ESP+PRESERVE
0x001659BF
0xB326496C
0
0
0
0
0
= 0
= 0
= 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-124
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table vpn-context
VPN CTX
= 0x0005B234
Peer IP = ASA_Private
Pointer = 0x6DE635E0
State
= UP
Flags
= ENCR+ESP+PRESERVE
SA
= 0x0017988D
SPI
= 0x9AA50F43
Group
= 0
Pkts
= 0
Bad Pkts = 0
Bad SPI = 0
Spoof
= 0
Bad Crypto = 0
Rekey Pkt = 0
Rekey Call = 0
ciscoasa(config)#
Configuration and Restrictions
This configuration option is subject to the same CLI configuration restrictions as other
sysopt VPN CLI.
関連コマンド
コマンド
show asp drop
説明
ドロップされたパケットの高速セキュリティパスカウンタを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-125
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show asp table zone
show asp table zone
高速セキュリティパスのゾーンテーブルをデバッグするには、特権 EXEC モードで show asp
table zone コマンドを使用します。
show asp table zone [zone_name]
構文の説明
zone_name
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）ゾーン名を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
トランスペ
ルーテッドアレント
シングル
特権 EXEC
コマンド履歴
リリース
9.3(2)
•
Yes
—
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show asp table zone コマンドは、高速セキュリティパスの内容を表示します。この情報は、問題の
トラブルシューティングに役立つ場合があります。高速セキュリティパスの詳細については、
CLI 設定ガイドを参照してください。これらの表はデバッグ目的でのみ使用され、情報出力は変
更されることがあります。このコマンドを使用したシステムデバッグについて支援が必要な場
合は、Cisco TAC にお問い合わせください。
例
次に、show asp table zone コマンドの出力例を示します。
ciscoasa# show asp table zone
Zone: outside-zone id: 2
Context: test-ctx
Zone Member(s) : 2
outside1
GigabitEthernet0/0
outside2
GigabitEthernet0/1
関連コマンド
コマンド
説明
show asp table routing デバッグのために高速セキュリティパステーブルを表示し、各ルート
に関連付けられたゾーンを表示します。
show zone
ゾーン ID、コンテキスト、セキュリティレベル、およびメンバーを表示
します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-126
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show auto-update
show auto-update
Auto Update Server のステータスを表示するには、特権 EXEC モードで show auto-update コマンド
を使用します。
show auto-update
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
7.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
Auto Update Server のステータスを表示するには、このコマンドを使用します。
例
次に、show auto-update コマンドの出力例を示します。
ciscoasa(config)# show auto-update
Poll period: 720 minutes, retry count: 0, retry period: 5 minutes
Timeout: none
Device ID: host name [ciscoasa]
関連コマンド
コマンド
auto-update device-id
説明
auto-update poll-period
Auto Update Server からのアップデートを ASA が確認する頻度を
設定します。
auto-update server
Auto Update Server を指定します。
Auto Update Server で使用するための ASA デバイス ID を設定し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-127
第3章
show as-path-access-list コマンド～ show auto-update コマンド
show auto-update
auto-update timeout
タイムアウト期間内に Auto Update Server に接続されない場合、
ASA を通過するトラフィックを停止します。
clear configure auto-update
Auto Update Server コンフィギュレーションをクリアします。
show running-config
auto-update
Auto Update Server コンフィギュレーションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
3-128
CH A P T E R
4
show bgp コマンド～ show cpu コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-1
第4章
show bgp コマンド～ show cpu コマンド
show bgp
show bgp
Border Gateway Protocol（BGP）ルーティングテーブル内のエントリを表示するには、ユーザ EXEC
モードまたは特権 EXEC モードで show bgp コマンドを使用します。
show bgp [ip-address [mask [longer-prefixes [injected] | shorter-prefixes [length]
| bestpath | multipaths | subnets] | bestpath | multipaths]
| all | prefix-list name | pending-prefixes | route-map name]]
構文の説明
コマンドモード
ip-address
（オプション）AS パスアクセスリスト名を指定します。
mask （オプション）指定したネットワークの一部であるホストをフィルタリ
ングまたは照合するためのマスク。
longer-prefixes
（オプション）指定したルートと、より限定的なすべてのルートを表示し
ます。
injected
（オプション）BGP ルーティングテーブルに注入された、より限定的な
プレフィックスを表示します。
shorter-prefixes
（オプション）指定したルートと、より限定的でないすべてのルートを表
示します。
length
（オプション）プレフィックス長。この引数の値は、0 ～ 32 の数値です。
bestpath （オプション）このプレフィックスの最適パスを表示します。
multipaths
（オプション）このプレフィックスのマルチパスを表示します。
subnets
（オプション）指定したプレフィックスのサブネットルートを表示し
ます。
all
（オプション）BGP ルーティングテーブルのすべてのアドレスファミ
リ情報を表示します。
prefix-list name （オプション）指定したプレフィックスリストに基づいて出力をフィル
タリングします。
pending-prefixes
（オプション）BGP ルーティングテーブルからの削除が保留されている
プレフィックスを表示します。
route-map name
（オプション）指定したルートマップに基づいて出力をフィルタリング
します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
リリース
9.2(1)
•
Yes
—
•
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-2
トランスペ
アレント
シングル
Yes
マルチ
コンテキストシステム
•
Yes
—
第4章
show bgp コマンド～ show cpu コマンド
show bgp
使用上のガイドライン
show bgp コマンドは、BGP ルーティングテーブルの内容を表示するために使用します。出力は、
特定のプレフィックスのエントリ、特定のプレフィックス長のエントリ、および、プレフィック
スリスト、ルートマップ、または条件付きアドバタイズメントを介して注入されたプレフィッ
クスのエントリを表示するようにフィルタリングできます。
Cisco IOS Release 12.0(32)SY8、12.0(33)S3、12.2(33)SRE、12.2(33)XNE、12.2(33)SXI1、Cisco IOS
XE Release 2.4、およびそれ以降のリリースでは、シスコが採用している 4 バイト自律システム番
号は、自律システム番号の正規表現のマッチングおよび出力表示形式のデフォルトとして
asplain（たとえば、65538）を使用していますが、RFC 5396 に記載されているとおり、4 バイト自律
システム番号を asplain 形式および asdot 形式の両方で設定できます。4 バイト自律システム番号
の正規表現マッチングと出力表示のデフォルトを asdot 形式に変更するには、bgp asnotation dot
コマンドに続けて、clear bgp * コマンドを実行し、現在の BGP セッションをすべてハードリ
セットします。
例
次に、BGP ルーティングテーブルの出力例を示します。
Router# show bgp
BGP table version is 22, local router ID is 10.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, x best-external
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
*> 10.1.1.1/32
0.0.0.0
0
32768 i
*>i10.2.2.2/32
172.16.1.2
0
100
0 i
*bi10.9.9.9/32
192.168.3.2
0
100
0 10 10 i
*>
192.168.1.2
0 10 10 i
* i172.16.1.0/24
172.16.1.2
0
100
0 i
*>
0.0.0.0
0
32768 i
*> 192.168.1.0
0.0.0.0
0
32768 i
*>i192.168.3.0
172.16.1.2
0
100
0 i
*bi192.168.9.0
192.168.3.2
0
100
0 10 10 i
*>
192.168.1.2
0 10 10 i
*bi192.168.13.0
192.168.3.2
0
100
0 10 10 i
*>
192.168.1.2
0 10 10 i
表 4-1 に、各フィールドの説明を示します。
表 4-1
show bgp のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-3
第4章
show bgp コマンド～ show cpu コマンド
show bgp
フィールド説明
Status codes テーブルエントリのステータス。テーブルの各行の最初にステータスが表示され
ます。次のいずれかの値になります。
Origin
codes
•
s：テーブルエントリが非表示になっています。
•
d：テーブルエントリがダンプニングされています。
•
h：テーブルエントリの履歴です。
•
*：テーブルエントリが有効です。
•
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
•
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
•
r：テーブルエントリは RIB 障害です。
•
S：テーブルエントリは失効しています。
•
m：テーブルエントリには、そのネットワークで使用するためのマルチパスが
含まれています。
•
b：テーブルエントリには、そのネットワークで使用するためのバックアップ
パスが含まれています。
•
x：テーブルエントリには、ネットワークで使用するための最適外部ルートが
含まれています。
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
•
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィ
ギュレーションコマンドを使用してアドバタイズされたエントリ。
•
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
•
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信され
るルータです。
Network
ネットワークエンティティの IP アドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、ルータにこのネットワークへの非 BGP ルートがある
ことを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。
(stale)
指定した自律システムの次のパスがグレースフルリスタートプロセス中に「stale」
とマークされたことを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-4
第4章
show bgp コマンド～ show cpu コマンド
show bgp
show bgp（4 バイト自律システム番号）：例
次に、BGP ルーティングテーブルの出力例を示します。[Path] フィールドの下に 4 バイト自律シ
ステム番号（65536 と 65550）が表示されます。この例では、Cisco IOS Release 12.0(32)SY8、
12.0(33)S3、12.2(33)SRE、12.2(33)XNE、12.2(33)SXI1、Cisco IOS XE Release 2.4 またはそれ以降の
リリースが必要です。
RouterB# show bgp
BGP table version is 4, local router ID is 172.17.1.99
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 10.1.1.0/24
*> 10.2.2.0/24
*> 172.17.1.0/24
Next Hop
192.168.1.2
192.168.3.2
0.0.0.0
Metric LocPrf Weight Path
0
0 65536
0
0 65550
0
32768 i
i
i
show bgp ip-address：例
次に、BGP ルーティングテーブルの 192.168.1.0 エントリに関する情報の出力例を示します。
Router# show bgp 192.168.1.0
BGP routing table entry for 192.168.1.0/24, version 22
Paths: (2 available, best #2, table default)
Additional-path
Advertised to update-groups:
3
10 10
192.168.3.2 from 172.16.1.2 (10.2.2.2)
Origin IGP, metric 0, localpref 100, valid, internal, backup/repair
10 10
192.168.1.2 from 192.168.1.2 (10.3.3.3)
Origin IGP, localpref 100, valid, external, best , recursive-via-connected
次に、BGP ルーティングテーブルの 10.3.3.3 255.255.255.255 エントリに関する情報の出力例を
示します。
Router# show bgp 10.3.3.3 255.255.255.255
BGP routing table entry for 10.3.3.3/32, version 35
Paths: (3 available, best #2, table default)
Multipath: eBGP
Flag: 0x860
Advertised to update-groups:
1
200
10.71.8.165 from 10.71.8.165 (192.168.0.102)
Origin incomplete, localpref 100, valid, external, backup/repair
Only allowed to recurse through connected route
200
10.71.11.165 from 10.71.11.165 (192.168.0.102)
Origin incomplete, localpref 100, weight 100, valid, external, best
Only allowed to recurse through connected route
200
10.71.10.165 from 10.71.10.165 (192.168.0.104)
Origin incomplete, localpref 100, valid, external,
Only allowed to recurse through connected route
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-5
第4章
show bgp コマンド～ show cpu コマンド
show bgp
表 4-2 に、各フィールドの説明を示します。
表 4-2
show bgp（4 バイト自律システム番号）のフィールド
フィールド
説明
BGP routing table
entry fo
ルーティングテーブルエントリの IP アドレスまたはネットワーク番号。
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたび
に増分します。
Paths
使用可能なパスの数、およびインストールされた最適パスの数。最適パスが
IP ルーティングテーブルに登録されている場合、この行に
「Default-IP-Routing-Table」と表示されます。
Multipath
このフィールドは、マルチパスロードシェアリングがイネーブルの場合に
表示されます。このフィールドは、マルチパスが iBGP であるか eBGP である
かを示します。
Advertised to
update-groups
アドバタイズメントが処理される各アップデートグループの数。
Origin
エントリの作成元。送信元は IGP、EGP、incomplete のいずれかになります。こ
の行には、設定されたメトリック（メトリックが設定されていない場合は
0）、ローカルプリファレンス値（100 がデフォルト）、およびルートのステー
タスとタイプ（内部、外部、マルチパス、最適）が表示されます。
Extended
Community
このフィールドは、ルートが拡張コミュニティ属性を伝送する場合に表示さ
れます。この行には、属性コードが表示されます。拡張コミュニティに関する
情報は後続の行に表示されます。
show bgp all：例
次に、all キーワードを指定した show bgp コマンドの出力例を示します。設定されたすべてのア
ドレスファミリに関する情報が表示されます。
Router# show bgp all
For address family: IPv4 Unicast
*****
BGP table version is 27, local router ID is 10.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 10.1.1.0/24
*> 10.13.13.0/24
*> 10.15.15.0/24
*>i10.18.18.0/24
*>i10.100.0.0/16
*>i10.100.0.0/16
*>i10.101.0.0/16
*>i10.103.0.0/16
*>i10.104.0.0/16
*>i10.100.0.0/16
*>i10.101.0.0/16
* 10.100.0.0/16
*>
* 10.101.0.0/16
*>
*> 10.102.0.0/16
Next Hop
0.0.0.0
0.0.0.0
0.0.0.0
172.16.14.105
172.16.14.107
172.16.14.105
172.16.14.105
172.16.14.101
172.16.14.101
172.16.14.106
172.16.14.106
172.16.14.109
172.16.14.108
172.16.14.109
172.16.14.108
172.16.14.108
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-6
Metric LocPrf Weight Path
0
32768 ?
0
32768 ?
0
32768 ?
1388 91351
0 100 e
262
272
0 1 2 3 i
1388 91351
0 100 e
1388 91351
0 100 e
1388
173
173 100 e
1388
173
173 100 e
2219 20889
0 53285 33299 51178 47751 e
2219 20889
0 53285 33299 51178 47751 e
2309
0 200 300 e
1388
0 100 e
2309
0 200 300 e
1388
0 100 e
1388
0 100 e
第4章
show bgp コマンド～ show cpu コマンド
show bgp
*>
*>
*>
*>
172.16.14.0/24
192.168.5.0
10.80.0.0/16
10.80.0.0/16
0.0.0.0
0.0.0.0
172.16.14.108
172.16.14.108
0
0
1388
1388
32768
32768
0
0
?
?
50 e
50 e
show bgp longer-prefixes：例
次に、longer-prefixes キーワードを指定した show bgp コマンドの出力例を示します。
Router# show bgp 10.92.0.0 255.255.0.0 longer-prefixes
BGP table version is 1738, local router ID is 192.168.72.24
Status codes: s suppressed, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
*>
*
*>
*
*>
*
*>
*
*>
*
*>
*
*>
*
*>
*
*>
*
Network
10.92.0.0
10.92.1.0
10.92.11.0
10.92.14.0
10.92.15.0
10.92.16.0
10.92.17.0
10.92.18.0
10.92.19.0
Next Hop
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
10.92.72.30
Metric LocPrf Weight Path
8896
32768 ?
0 109 108
8796
32768 ?
0 109 108
42482
32768 ?
0 109 108
8796
32768 ?
0 109 108
8696
32768 ?
0 109 108
1400
32768 ?
0 109 108
1400
32768 ?
0 109 108
8876
32768 ?
0 109 108
8876
32768 ?
0 109 108
?
?
?
?
?
?
?
?
?
show bgp shorter-prefixes：例
次に、shorter-prefixes キーワードを指定した show bgp コマンドの出力例を示します。8 ビット
プレフィックス長を指定しています。
Router# show bgp 172.16.0.0/16 shorter-prefixes 8
*> 172.16.0.0
*
10.0.0.2
10.0.0.2
0
0 ?
0 200 ?
show bgp prefix-list：例
次に、prefix-list キーワードを指定した show bgp コマンドの出力例を示します。
Router# show bgp prefix-list ROUTE
BGP table version is 39, local router ID is 10.0.0.1
Status codes:s suppressed, d damped, h history, * valid, > best, i internal
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
*> 192.168.1.0
Next Hop
10.0.0.2
*
10.0.0.2
Metric LocPrf Weight Path
0 ?
0
0 200 ?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-7
第4章
show bgp コマンド～ show cpu コマンド
show bgp
show bgp route-map：例
次に、route-map キーワードを指定した show bgp コマンドの出力例を示します。
Router# show bgp route-map LEARNED_PATH
BGP table version is 40, local router ID is 10.0.0.1
Status codes:s suppressed, d damped, h history, * valid, > best, i internal
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
*> 192.168.1.0
*
Next Hop
10.0.0.2
10.0.0.2
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-8
Metric LocPrf Weight Path
0 ?
0
0 200 ?
第4章
show bgp コマンド～ show cpu コマンド
show bgp all community
show bgp all community
特定の Border Gateway Protocol（BGP）コミュニティに属するすべてのアドレスファミリのルー
トを表示するには、ユーザ EXEC モードまたは特権 EXEC コンフィギュレーションモードで
show bgp all community コマンドを使用します。
show bgp all community [community-number...[community-number]] [local-as] [no-advertise]
[no-export] [exact-match]
構文の説明
community-number.
（オプション）指定したコミュニティ番号に関連するルートを表示し
ます。
複数のコミュニティ番号を指定できます。範囲は 1 ～ 4294967295 また
は AA:NN（自律システム: コミュニティ番号（2 バイトの番号））です。
local-as
（オプション）ローカル自律システム外に送信されないルートだけを表
示します（ウェルノウンコミュニティ）。
no-advertise
（オプション）ピアにアドバタイズされないルートだけを表示します
（ウェルノウンコミュニティ）。
no-export
（オプション）ローカル自律システムの外部にエクスポートされていな
いルートだけを表示します（ウェルノウンコミュニティ）。
exact-match
（オプション）指定した BGP コミュニティリストと正確に一致する
ルートだけを表示します。
（注）
コマンドのキーワードの可用性はコマンドモードによって異
なります。exact-match キーワードは、ユーザ EXEC モードでは
使用できません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-9
第4章
show bgp コマンド～ show cpu コマンド
show bgp all community
使用上のガイドライン
ユーザは、local-as、no-advertise、no-export の各キーワードを任意の順序で入力できます。bgp all
community コマンドを使用する場合、数値のコミュニティはウェルノウンコミュニティの前に
入力してください。
たとえば、次の文字列は無効です。
ciscoasa# show bgp all community local-as 111:12345
代わりに、次の文字列を使用します。
ciscoasa# show bgp all community 111:12345 local-as
例
次に、show bgp all community コマンドの出力例を示します。ここでは、1、2345、6789012 の各コ
ミュニティを指定しています。
ciscoasa# show bgp all community 1 2345 6789012 no-advertise local-as no-export
exact-match
For address family: IPv4 Unicast
BGP table version is 5, local router ID is 30.0.0.5
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ?- incomplete
Network Next Hop
*> 10.0.3.0/24
10.0.0.4
*> 10.1.0.0/16
10.0.0.4
*> 10.12.34.0/24
10.0.0.6
Metric LocPrf Weight Path
0
0
0 4 3 ?
0 4 ?
0 6 ?
表 4-3 に、各フィールドの説明を示します。
表 4-3
show bgp all community のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router BGP コミュニティを表示するように設定されたルータのルータ ID。ピリオドで区切
ID
られた 4 つのオクテットとして記述される 32 ビット数（ドット付き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。 d：テーブルエントリがダンプニングされています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP セッションを経由して学習されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-10
第4章
show bgp コマンド～ show cpu コマンド
show bgp all community
表 4-3
show bgp all community のフィールド（続き）
フィールド説明
Origin
codes
エントリの作成元を示します。作成元のコードはテーブルの各行の終わりにありま
す。次のいずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。 e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは、IGP から BGP に再配布された
ルートです。
Network
ネットワークエンティティのネットワークアドレスおよびネットワークマスク。ア
ドレスのタイプは、アドレスファミリによって異なります。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。アドレスのタイプは、アドレスファミリによって異なります。
Metric
相互自律システムメトリック。このフィールドはあまり使用されません。
LocPrf
set local-preference コマンドで設定されたローカルプリファレンス値。デフォルト値
は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-11
第4章
show bgp コマンド～ show cpu コマンド
show bgp all neighbors
show bgp all neighbors
すべてのアドレスファミリのネイバーへの Border Gateway Protocol（BGP）接続に関する情報を
表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show bgp all neighbors コマンド
を使用します。
show bgp all neighbors [ip-address ] [advertised-routes | paths [reg-exp] | policy [detail]
| received prefix-filter | received-routes | routes]
構文の説明
ip-address
（オプション）ネイバーの IP アドレスです。この引数を省略した場合、す
べてのネイバーに関する情報が表示されます。
advertised-routes
（オプション）ネイバーにアドバタイズされたすべてのルートを表示し
ます。
paths reg-exp
（オプション）指定したネイバーから学習した自律システムパスを表示
します。オプションの正規表現を使用して、出力をフィルタリングでき
ます。
policy
（オプション）アドレスファミリごとに、ネイバーに適用されるポリシー
を表示します。
detail
（オプション）ルートマップ、プレフィックスリスト、コミュニティリス
ト、アクセスコントロールリスト（ACL）、自律システムパスフィルタリ
ストなどの詳細なポリシー情報を表示します。
received prefix-filter
（オプション）指定したネイバーから送信されたプレフィックスリスト
（アウトバウンドルートフィルタ（ORF））を表示します。
received-routes
（オプション）指定したネイバーから受信したすべてのルートを表示し
ます。
routes
（オプション）受信され、受け入れられるすべてのルートを表示します。
このキーワードが入力された場合に表示される出力は、received-routes
キーワードによって表示される出力のサブセットです。
デフォルト
このコマンドの出力には、すべてのネイバーの情報が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
リリース
9.2(1)
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-12
トランスペ
アレント
シングル
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show bgp all neighbors
使用上のガイドライン
IPv4 などのアドレスファミリに固有のネイバーセッションの BGP および TCP 接続情報を表示
するには、show bgp all neighbors コマンドを使用します。
例
次に、show bgp all neighbors コマンドの出力例を示します。
ciscoasa# show bgp all neighbors
For address family: IPv4 Unicast
BGP neighbor is 172.16.232.53, remote AS 100, external link
Member of peer-group internal for session parameters
BGP version 4, remote router ID 172.16.232.53
BGP state = Established, up for 13:40:17
Last read 00:00:09, hold time is 180, keepalive interval is 60 seconds
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent
Rcvd
Opens:
3
3
Notifications:
0
0
Updates:
0
0
Keepalives:
113
112
Route Refresh:
0
0
Total:
116
11
Default minimum time between advertisement runs is 5 seconds
Connections established 22; dropped 21
Last reset 13:47:05, due to BGP Notification sent, hold time expired
External BGP neighbor may be up to 2 hops away.
Connection state is ESTAB, I/O status: 1, unread input bytes: 0
Enqueued packets for retransmit: 0, input: 0
Event Timers (current time is 0x1A0D543C):
Timer
Starts
Wakeups
Retrans
1218
5
TimeWait
0
0
AckHold
3327
3051
SendWnd
0
0
KeepAlive
0
0
GiveUp
0
0
PmtuAger
0
0
DeadWait
0
0
iss: 1805423033
irs: 821333727
snduna: 1805489354
rcvnxt: 821591465
mis-ordered: 0 (0 bytes)
Next
0x0
0x0
0x0
0x0
0x0
0x0
0x0
0x0
sndnxt: 1805489354
rcvwnd:
15547
sndwnd:
delrcvwnd:
15531
837
SRTT: 300 ms, RTTO: 303 ms, RTV: 3 ms, KRTT: 0 ms
minRTT: 8 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: higher precedence, nagle
Datagrams (max data segment is 1420 bytes):
Rcvd: 4252 (out of order: 0), with data: 3328, total data bytes: 257737
Sent:4445 (retransmit: 5), with data: 4445, total data bytes;244128
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-13
第4章
show bgp コマンド～ show cpu コマンド
show bgp all neighbors
表 4-4 に、各フィールドの説明を示します。
表 4-4
show bgp all neighbor のフィールド
フィールド
説明
For address family
後続のフィールドが参照するアドレスファミリ。
BGP neighbor
BGP ネイバーの IP アドレスとその自律システム番号。
remote AS
ネイバーの自律システム番号。
external link
外部ボーダーゲートウェイプロトコル（eBGP）peerP。
BGP version
リモートルータとの通信に使用される BGP バージョン。
remote router ID
ネイバーの IP アドレス。
BGP state
この BGP 接続の状態。
up for
ベースとなる TCP 接続が存在している時間（hh:mm:ss 形式）。
Last read
BGP がこのネイバーから最後にメッセージを受信してからの時間（hh:mm:ss
形式）。
hold time
BGP がメッセージを受信せずにこのネイバーとセッションを維持した時間
（秒数）。
keepalive interval
キープアライブメッセージがこのネイバーに転送される間隔（秒数）。
Message statistics
メッセージタイプごとにまとめられた統計。
InQ depth is
入力キュー内のメッセージ数。
OutQ depth is
出力キュー内のメッセージ数。
Sent
送信されたメッセージの合計数。
Rcvd
受信されたメッセージの合計数。
Opens
送受信されたオープンメッセージ数。
Notifications
送受信された通知（エラー）メッセージ数。
Updates
送受信されたアップデートメッセージ数。
Keepalives
送受信されたキープアライブメッセージ数。
Route Refresh
送受信されたルートリフレッシュ要求メッセージ数。
Total
送受信されたメッセージの合計数。
Default minimum
time between...
アドバタイズメント送信の間の時間（秒数）。
Connections
established
TCP および BGP 接続が正常に確立した回数。
dropped
有効セッションに障害が発生したか停止した回数。
Last reset
このピアリングセッションが最後にリセットされてからの時間（hh:mm:ss 形
式）。リセットの理由がこの行に表示されます。
External BGP
neighbor may be...
BGP 存続可能時間（TTL）セキュリティチェックがイネーブルであることを
示します。ローカルピアとリモートピアをまたぐことができるホップの最大
数がこの行に表示されます。
Connection state
BGP ピアの接続ステータス。
Local host、Local
ローカル BGP スピーカーの IP アドレスとポート番号。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-14
第4章
show bgp コマンド～ show cpu コマンド
show bgp all neighbors
表 4-4
show bgp all neighbor のフィールド（続き）
フィールド
説明
Foreign host、
Foreign port
ネイバーアドレスと BGP 宛先ポート番号。
Enqueued packets for TCP による再送信のためにキューに入れられたパケット。
retransmit:
Event Timers
TCP イベントタイマー。起動およびウェイクアップのカウンタが提供され
ます（期限切れタイマー）。
Retrans
パケットが再送信された回数。
TimeWait
再送信タイマーが期限切れになるまでの待機時間。
AckHold
確認応答ホールドタイマー。
SendWnd
送信ウィンドウ。
KeepAlive
キープアライブパケットの数。
GiveUp
確認応答がないためにパケットがドロップされた回数。
PmtuAger
パス MTU ディスカバリタイマー。
DeadWait
デッドセグメントの期限切れタイマー。
iss:
初期パケット送信シーケンス番号。
snduna:
確認応答された最後の送信シーケンス番号。
sndnxt:
次に送信されるパケットのシーケンス番号。
sndwnd:
リモートホストの TCP ウィンドウサイズ。
irs:
初期パケット受信シーケンス番号。
rcvnxt:
ローカルに確認応答された最後の受信シーケンス番号。
rcvwnd:
ローカルホストの TCP ウィンドウサイズ。
delrcvwnd:
遅延受信ウィンドウ：ローカルホストによって接続から読み取られ、ホスト
がリモートホストにアドバタイズした受信ウィンドウから削除されていな
いデータ。このフィールドの値は徐々に大きくなり、フルサイズパケットよ
りも大きくなった時点で rcvwnd フィールドに適用されます。
SRTT:
計算されたスムーズラウンドトリップタイムアウト。
RTTO:
ラウンドトリップタイムアウト。
RTV:
ラウンドトリップ時間の差異。
KRTT:
新しいラウンドトリップタイムアウト（Karn アルゴリズムを使用）。この
フィールドは、再送信されたパケットのラウンドトリップ時間を追跡します。
minRTT:
記録された最小ラウンドトリップタイムアウト（計算に使用される組み込
み値）。
maxRTT:
記録された最大ラウンドトリップタイムアウト。
ACK hold
ローカルホストが追加データを伝送（ピギーバック）するために確認応答を
遅延させる時間の長さ。
IP Precedence value BGP パケットの IP プレシデンス。
Datagrams
ネイバーから受信したアップデートパケットの数。
Rcvd:
受信パケット数。
with data
データとともに送信されたアップデートパケットの数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-15
第4章
show bgp コマンド～ show cpu コマンド
show bgp all neighbors
表 4-4
show bgp all neighbor のフィールド（続き）
フィールド
説明
total data bytes
受信データの合計量（バイト）。
Sent
送信されたアップデートパケットの数。
with data
データとともに受信したアップデートパケットの数。
total data bytes
送信データの合計量（バイト）。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-16
第4章
show bgp コマンド～ show cpu コマンド
show bgp cidr-only
show bgp cidr-only
Classless Inter-Domain Routing（CIDR）を使用したルートを表示するには、EXEC モードで show
bgp cidr-only コマンドを使用します。
show bgp cidr-only
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
トランスペ
ルーテッドアレント
シングル
•
リリース
9.2(1)
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show bgp cidr-only コマンドの出力例をします。
ciscoasa# show bgp cidr-only
BGP table version is 220, local router ID is 172.16.73.131
Status codes: s suppressed, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 192.168.0.0/8
*> 172.16.0.0/16
Next Hop
172.16.72.24
172.16.72.30
Metric LocPrf Weight Path
0 1878 ?
0 108 ?
表 4-5 に、各フィールドの説明を示します。
表 4-5
show bgp cidr-only のフィールド
フィールド説明
BGP table
version is
220
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-17
第4章
show bgp コマンド～ show cpu コマンド
show bgp cidr-only
表 4-5
show bgp cidr-only のフィールド（続き）
フィールド説明
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-18
第4章
show bgp コマンド～ show cpu コマンド
show bgp community
show bgp community
指定した BGP コミュニティに属するルートを表示するには、EXEC モードで show bgp
community コマンドを使用します。
show bgp community community-number [exact]
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
ルーテッド
•
リリース
9.2(1)
トランスペ
アレント
シングル
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、特権 EXEC モードでの show bgp community コマンドの出力例を示します。
ciscoasa# show bgp community 111:12345 local-as
BGP table version is 10, local router ID is 224.0.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
*>
*>
*>
*>
*
*>
*>
*>
Network
172.16.2.2/32
10.0.0.0
10.43.0.0
10.43.44.44/32
10.43.222.0/24
172.17.240.0/21
192.168.212.0
172.31.1.0
Next Hop
10.43.222.2
10.43.222.2
10.43.222.2
10.43.222.2
10.43.222.2
10.43.222.2
10.43.222.2
10.43.222.2
Metric LocPrf Weight Path
0
0 222 ?
0
0 222 ?
0
0 222 ?
0
0 222 ?
0
0 222 i
0
0 222 ?
0
0 222 i
0
0 222 ?
表 4-6 に、各フィールドの説明を示します。
表 4-6
show bgp community のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-19
第4章
show bgp コマンド～ show cpu コマンド
show bgp community
表 4-6
show bgp community のフィールド（続き）
フィールド説明
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-20
第4章
show bgp コマンド～ show cpu コマンド
show bgp community-list
show bgp community-list
Border Gateway Protocol（BGP）コミュニティリストで許可されたルートを表示するには、ユーザ
EXEC モードまたは特権 EXEC モードで show bgp community-list コマンドを使用します。
show bgp community-list {community-list-number | community-list-name [exact-match]}
構文の説明
コマンドモード
community-list-number
1 ～ 500 の範囲の標準または拡張コミュニティリスト番号。
community-list-name コミュニティリストの名前。コミュニティリストの名前は、standard ま
たは expanded になります。
exact-match
（オプション）完全一致を持つルートだけを表示します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
このコマンドを使用する場合は、引数を指定する必要があります。exact-match キーワードは任
意です。
例
次に、特権 EXEC モードでの show bgp community-list コマンドの出力例を示します。
ciscoasa# show bgp community-list 20
BGP table version is 716977, local router ID is 192.168.32.1
Status codes: s suppressed, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
* i10.3.0.0
*>i
* i10.6.0.0
*>i
* i10.7.0.0
*>i
*
* i10.8.0.0
*>i
*
* i10.13.0.0
*>i
*
Next Hop
10.0.22.1
10.0.16.1
10.0.22.1
10.0.16.1
10.0.22.1
10.0.16.1
10.92.72.24
10.0.22.1
10.0.16.1
10.92.72.24
10.0.22.1
10.0.16.1
10.92.72.24
Metric LocPrf Weight Path
0
100
0 1800 1239 ?
0
100
0 1800 1239 ?
0
100
0 1800 690 568 ?
0
100
0 1800 690 568 ?
0
100
0 1800 701 35 ?
0
100
0 1800 701 35 ?
0 1878 704 701 35 ?
0
100
0 1800 690 560 ?
0
100
0 1800 690 560 ?
0 1878 704 701 560 ?
0
100
0 1800 690 200 ?
0
100
0 1800 690 200 ?
0 1878 704 701 200 ?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-21
第4章
show bgp コマンド～ show cpu コマンド
show bgp community-list
* i10.15.0.0
*>i
* i10.16.0.0
*>i
*
10.0.22.1
10.0.16.1
10.0.22.1
10.0.16.1
10.92.72.24
0
0
0
0
100
100
100
100
0
0
0
0
0
1800
1800
1800
1800
1878
174
174
701
701
704
?
?
i
i
701 i
表 4-7 に、各フィールドの説明を示します。
表 4-7
show bgp community-list のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-22
第4章
show bgp コマンド～ show cpu コマンド
show bgp filter-list
show bgp filter-list
指定したフィルタリストと一致するルートを表示するには、EXEC モードで show bgp filter-list コ
マンドを使用します。
show bgp filter-list access-list-name
構文の説明
access-list-name コマンドモード
次の表に、コマンドを入力できるモードを示します。
自律システムパスアクセスリストの名前。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
Yes
•
•
Yes
変更内容
このコマンドが追加されました。
次に、特権 EXEC モードでの show bgp filter-list コマンドの出力例を示します。
ciscoasa# show bgp filter-list filter-list-acl
BGP table version is 1738, local router ID is 172.16.72.24
Status codes: s suppressed, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Network
172.16.0.0
172.16.1.0
172.16.11.0
172.16.14.0
172.16.15.0
172.16.16.0
172.16.17.0
172.16.18.0
172.16.19.0
172.16.24.0
172.16.29.0
172.16.30.0
172.16.33.0
172.16.35.0
172.16.36.0
172.16.37.0
172.16.38.0
172.16.39.0
Next Hop
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
Metric LocPrf Weight
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Path
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
109 108
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-23
第4章
show bgp コマンド～ show cpu コマンド
show bgp filter-list
表 4-8 に、各フィールドの説明を示します。
表 4-8
show bgp filter-list のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-24
第4章
show bgp コマンド～ show cpu コマンド
show bgp injected-paths
show bgp injected-paths
Border Gateway Protocol（BGP）ルーティングテーブルに注入されたすべてのパスを表示するには、
ユーザ EXEC モードまたは特権 EXEC モードで show bgp injected-paths コマンドを使用します。
show bgp injected-paths
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
トランスペ
アレント
シングル
•
Yes
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、EXEC モードでの show bgp injected-paths コマンドの出力例を示します。
ciscoasa# show bgp injected-paths
BGP table version is 11, local router ID is 10.0.0.1
Status codes:s suppressed, d damped, h history, * valid, > best, i internal
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
*> 172.16.0.0
*> 172.17.0.0/16
Next Hop
10.0.0.2
10.0.0.2
Metric LocPrf Weight Path
0 ?
0 ?
表 4-9 に、各フィールドの説明を示します。
表 4-9
show bgp injected-path のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-25
第4章
show bgp コマンド～ show cpu コマンド
show bgp injected-paths
表 4-9
show bgp injected-path のフィールド（続き）
フィールド説明
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-26
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv4
show bgp ipv4
IP バージョン 4（IPv4）Border Gateway Protocol（BGP）ルーティングテーブル内のエントリを表示す
るには、特権 EXEC モードで show bgp ipv4 コマンドを使用します。
show bgp ipv4
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show bgp ipv4 unicast コマンドの出力例を示します。
ciscoasa# show bgp ipv4 unicast
BGP table version is 4, local router ID is 10.0.40.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 10.10.10.0/24
*> 10.10.20.0/24
* 10.20.10.0/24
Next Hop
172.16.10.1
172.16.10.1
172.16.10.1
Metric LocPrf Weight Path
0
0 300 i
0
0 300 i
0
0 300 i
次に、show bgp ipv4 multicast コマンドの出力例を示します。
Router# show bgp ipv4 multicast
BGP table version is 4, local router ID is 10.0.40.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 10.10.10.0/24
*> 10.10.20.0/24
* 10.20.10.0/24
Next Hop
172.16.10.1
172.16.10.1
172.16.10.1
Metric LocPrf Weight Path
0
0 300 i
0
0 300 i
0
0 300 i
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-27
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv4
表 4-10 に、各フィールドの説明を示します。
表 4-10
show bgp ipv4 のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-28
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6
show bgp ipv6
IPv6 Border Gateway Protocol（BGP）ルーティングテーブル内のエントリを表示するには、ユーザ
EXEC モードまたは特権 EXEC モードで show bgp IPv6 コマンドを使用します。
show bgp ipv6 unicast [ipv6-prefix/prefix-length] [longer-prefixes] [labels]
構文の説明
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
ipv6-prefix
（オプション）IPv6 ネットワーク番号。IPv6 BGP ルーティングテーブル
内の特定のネットワークを表示するために入力します。
この引数は、RFC 2373 に記述されている形式にする必要があります。
コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定し
ます。
コマンドモード
/prefix-length
（オプション）IPv6 プレフィックスの長さ。プレフィックス（アドレスの
ネットワーク部分）を構成するアドレスの上位連続ビット数を示す 10
進数値です。10 進数値の前にスラッシュ記号が必要です。
longer-prefixes
（オプション）ルートと、より限定的なルートを表示します。
labels
（オプション）アドレスファミリごとに、このネイバーに適用されるポ
リシーを表示します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show bgp ipv6 コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast
BGP table version is 12612, local router ID is 172.16.7.225
Status codes: s suppressed, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
*> 10.10.10.0/24
172.16.10.1
*> 10.10.20.0/24
172.16.10.1
* 10.20.10.0/24
172.16.10.1
Metric LocPrf Weight Path
0
0 300 i
0
0 300 i
0
0 300 i
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-29
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6
次に、show bgp ipv4 multicast コマンドの出力例を示します。
Router# show bgp ipv4 multicast
BGP table version is 4, local router ID is 10.0.40.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*
*
Next Hop
Metric LocPrf Weight Path
3FFE:C00:E:C::2
0 3748 4697 1752 i
3FFE:1100:0:CC00::1
0 1849 1273 1752 i
* 2001:618:3::/48 3FFE:C00:E:4::2
1
0 4554 1849 65002 i
*>
3FFE:1100:0:CC00::1
0 1849 65002 i
* 2001:620::/35
2001:0DB8:0:F004::1
0 3320 1275 559 i
*
3FFE:C00:E:9::2
0 1251 1930 559 i
*
3FFE:3600::A
0 3462 10566 1930 559 i
*
3FFE:700:20:1::11
0 293 1275 559 i
*
3FFE:C00:E:4::2
1
0 4554 1849 1273 559 i
*
3FFE:C00:E:B::2
0 237 3748 1275 559 i
表 4-11 に、各フィールドの説明を示します。
表 4-11
show bgp ipv6 のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-30
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6
表 4-11
show bgp ipv6 のフィールド（続き）
フィールド説明
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
次に、show bgp ipv6 コマンドの出力例を示します。ここでは、プレフィックス 3FFE:500::/24 に関
する情報を示しています。
ciscoasa# show bgp ipv6 unicast 3FFE:500::/24
BGP routing table entry for 3FFE:500::/24, version 19421
Paths: (6 available, best #1)
293 3425 2500
3FFE:700:20:1::11 from 3FFE:700:20:1::11 (192.168.2.27)
Origin IGP, localpref 100, valid, external, best
4554 293 3425 2500
3FFE:C00:E:4::2 from 3FFE:C00:E:4::2 (192.168.1.1)
Origin IGP, metric 1, localpref 100, valid, external
33 293 3425 2500
3FFE:C00:E:5::2 from 3FFE:C00:E:5::2 (209.165.18.254)
Origin IGP, localpref 100, valid, external
6175 7580 2500
3FFE:C00:E:1::2 from 3FFE:C00:E:1::2 (209.165.223.204)
Origin IGP, localpref 100, valid, external
1849 4697 2500, (suppressed due to dampening)
3FFE:1100:0:CC00::1 from 3FFE:1100:0:CC00::1 (172.31.38.102)
Origin IGP, localpref 100, valid, external
237 10566 4697 2500
3FFE:C00:E:B::2 from 3FFE:C00:E:B::2 (172.31.0.3)
Origin IGP, localpref 100, valid, external
ciscoasa# show bgp ipv6 unicast
BGP table version is 28, local router ID is 172.10.10.1
Status codes:s suppressed, h history, * valid, > best, i internal,
r RIB-failure, S Stale
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
*>i4004::/64
Next Hop
::FFFF:172.11.11.1
* i
::FFFF:172.30.30.1
Metric LocPrf Weight Path
0
100
0 ?
0
100
0 ?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-31
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 community
show bgp ipv6 community
IPv6 Border Gateway Protocol（BGP）ルーティングテーブル内のエントリを表示するには、ユーザ
EXEC モードまたは特権 EXEC モードで show bgp ipv6community コマンドを使用します。
show bgp ipv6 unicast community [community-number] [exact-match] [local-as | no-advertise |
no-export]
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
community-number
（オプション）有効な値は 1 ～ 4294967295 のコミュニティ番号、または
AA:NN（自律システムのコミュニティ番号:2 バイトの番号）です。
exact-match
（オプション）完全一致を持つルートだけを表示します。
local-as
（オプション）ローカル自律システム外に送信されないルートだけを表
示します（ウェルノウンコミュニティ）。
no-advertise
（オプション）ピアにアドバタイズされないルートだけを表示します
（ウェルノウンコミュニティ）。
no-export
（オプション）ローカル自律システムの外部にエクスポートされていな
いルートだけを表示します（ウェルノウンコミュニティ）。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 community コマンドの出力は show ip bgp
community コマンドと類似しています。
コミュニティは、set community ルートマップコンフィギュレーションコマンドを使用して設
定します。数値のコミュニティはウェルノウンコミュニティの前に入力する必要があります。た
とえば、次の文字列は無効です。
ciscoasa# show ipv6 bgp unicast community local-as 111:12345
代わりに、次の文字列を使用します。
ciscoasa# show ipv6 bgp unicast community 111:12345 local-as
例
次に、show bgp ipv6 community コマンドの出力例を示します。
BGP table version is 69, local router ID is 10.2.64.5
Status codes:s suppressed, h history, * valid, > best, i - internal
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-32
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 community
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
*> 2001:0DB8:0:1::1/64
*> 2001:0DB8:0:1:1::/80
*> 2001:0DB8:0:2::/64
*> 2001:0DB8:0:2:1::/80
* 2001:0DB8:0:3::1/64
*>
*> 2001:0DB8:0:4::/64
*> 2001:0DB8:0:5::1/64
*> 2001:0DB8:0:6::/64
*> 2010::/64
*> 2020::/64
*> 2030::/64
*> 2040::/64
*> 2050::/64
表 4-12
Next Hop
::
::
2001:0DB8:0:3::2
2001:0DB8:0:3::2
2001:0DB8:0:3::2
::
2001:0DB8:0:3::2
::
2000:0:0:3::2
::
::
::
::
::
Metric LocPrf Weight Path
0 32768 i
0 32768 ?
0 2 i
0 2 ?
0 2 ?
0 32768 ?
0 2 ?
0 32768 ?
0 2 3 i
0 32768 ?
0 32768 ?
0 32768 ?
0 32768 ?
0 32768 ?
show bgp ipv6 community のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-33
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 community
表 4-12
show bgp ipv6 community のフィールド（続き）
フィールド説明
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-34
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 community-list
show bgp ipv6 community-list
IPv6 Border Gateway Protocol（BGP）コミュニティリストで許可されたルートを表示するには、
ユーザ EXEC モードまたは特権 EXEC モードで show bgp ipv6 community-list コマンドを使用し
ます。
show bgp ipv6 unicast community-list {number | name} [exact-match]
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
number
1 ～ 199 の範囲のコミュニティリスト番号。
name
コミュニティリストの名前。
exact-match
（オプション）完全一致を持つルートだけを表示します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast community-list コマンドの出力は show ip bgp
community-list コマンドと類似しています。
例
次に、コミュニティリスト番号 3 に対する show ipv6 bgp community-list コマンドの出力例を示
します。
ciscoasa# show bgp ipv6 unicast community-list 3
BGP table version is 14, local router ID is 10.2.64.6
Status codes:s suppressed, h history, * valid, > best, i - internal
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
*> 2001:0DB8:0:1::/64
*> 2001:0DB8:0:1:1::/80
*> 2001:0DB8:0:2::1/64
*> 2001:0DB8:0:2:1::/80
* 2001:0DB8:0:3::2/64
*>
*> 2001:0DB8:0:4::2/64
*> 2001:0DB8:0:5::/64
*> 2010::/64
Next Hop
2001:0DB8:0:3::1
2001:0DB8:0:3::1
::
::
2001:0DB8:0:3::1
::
::
2001:0DB8:0:3::1
2001:0DB8:0:3::1
Metric LocPrf Weight Path
0 1 i
0 1 i
0 32768 i
0 32768 ?
0 1 ?
0 32768 ?
0 32768 ?
0 1 ?
0 1 ?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-35
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 community-list
*>
*>
*>
*>
2020::/64
2030::/64
2040::/64
2050::/64
2001:0DB8:0:3::1
2001:0DB8:0:3::1
2001:0DB8:0:3::1
2001:0DB8:0:3::1
0
0
0
0
1
1
1
1
?
?
?
?
次の表で、この出力に表示される重要なフィールドを説明します。
表 4-13
show bgp ipv6 community-list のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-36
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 filter-list
show bgp ipv6 filter-list
指定した IPv6 フィルタリストと一致するルートを表示するには、ユーザ EXEC モードまたは特権
EXEC モードで show bgp ipv6 filter-list コマンドを使用します。
show bgp ipv6 unicast filter-list access-list-number
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
access-list-number
IPv6 自律システムパスアクセスリストの数。1 ～ 199 の範囲の数を指定
できます。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 filter-list コマンドの出力は show ip bgp filter-list コ
マンドと類似しています。
例：
次に、IPv6 自律システムパスアクセスリスト番号 1 に対する show bgp ipv6 filter-list コマンド
の出力例を示します。
ciscoasa# show bgp ipv6 unicast filter-list 1
BGP table version is 26, local router ID is 192.168.0.2
Status codes:s suppressed, h history, * valid, > best, i - internal
Origin codes:i - IGP, e - EGP, ?- incomplete
*>
*>
*>
*>
*>
*
*>
*
*>
*>
*>
*>
Network
2001:0DB8:0:1::/64
2001:0DB8:0:1:1::/80
2001:0DB8:0:2:1::/80
2001:0DB8:0:3::/64
2001:0DB8:0:4::/64
2001:0DB8:0:5::/64
2001:0DB8:0:6::1/64
2030::/64
2040::/64
2050::/64
Next Hop
2001:0DB8:0:4::2
2001:0DB8:0:4::2
2001:0DB8:0:4::2
2001:0DB8:0:4::2
::
2001:0DB8:0:4::2
::
2001:0DB8:0:4::2
::
2001:0DB8:0:4::2
2001:0DB8:0:4::2
2001:0DB8:0:4::2
Metric LocPrf Weight Path
0 2 1 i
0 2 1 i
0 2 ?
0 2 ?
32768 ?
0 2 ?
32768 ?
0 2 1 ?
32768 i
0 1
0 2 1 ?
0 2 1 ?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-37
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 filter-list
次の表で、この出力に表示される重要なフィールドを説明します。
表 4-14
show bgp ipv6 community-list のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-38
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 inconsistent-as
show bgp ipv6 inconsistent-as
送信元に一貫性のない複数の自律システムを含む IPv6 Border Gateway Protocol（BGP）ルートを
表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show bgp ipv6 inconsistent-as を使
用します。
show bgp ipv6 unicast inconsistent-as
構文の説明
unicast
コマンドモード
次の表に、コマンドを入力できるモードを示します。
IPv6 ユニキャストアドレスプレフィックスを指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast inconsistent-as コマンドの出力は show ip bgp
inconsistent-as コマンドと類似しています。
例
次に、show bgp ipv6 inconsistent-as コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast inconsistent-as
BGP table version is 12612, local router ID is 192.168.7.225
Status codes: s suppressed, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
*
*
*
*
Network
3FFE:1300::/24
Next Hop
Metric LocPrf Weight Path
2001:0DB8:0:F004::1
0 3320 293 6175 ?
3FFE:C00:E:9::2
0 1251 4270 10318 ?
3FFE:3600::A
0 3462 6175 ?
3FFE:700:20:1::11
0 293 6175 ?
次の表で、この出力に表示される重要なフィールドを説明します。
表 4-15
show bgp ipv6 community-list のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-39
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 inconsistent-as
表 4-15
show bgp ipv6 community-list のフィールド（続き）
フィールド説明
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-40
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
show bgp ipv6 neighbors
ネイバーへの IPv6 Border Gateway Protocol（BGP）接続に関する情報を表示するには、ユーザ
EXEC モードまたは特権 EXEC モードで show bgp ipv6 neighbors コマンドを使用します。
show bgp ipv6 unicast neighbors [ipv6-address] [ received-routes | routes | advertised-routes |
paths regular-expression ]
構文の説明
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
ipv6-address
（オプション）IPv6 BGP スピーキングネイバーのアドレス。この引数を
省略した場合、すべての IPv6 ネイバーが表示されます。
この引数は、RFC 2373 に記述されている形式にする必要があります。
コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定し
ます。
コマンドモード
received-routes
（オプション）指定したネイバーから受信したすべてのルートを表示し
ます。
routes
（オプション）受信され、受け入れられるすべてのルートを表示します。
これは received-routes キーワードの出力のサブセットです。
advertised-routes
（オプション）ネイバーにアドバタイズされているネットワーキングデ
バイスのすべてのルートを表示します。
paths
regular-expression
（オプション）受信したパスの照合に使用される正規表現。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast neighbors コマンドの出力は show ip bgp
neighbors コマンドと類似しています。
例
次に、show bgp ipv6 neighbors コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast neighbors
BGP neighbor is 3FFE:700:20:1::11, remote AS 65003, external link
BGP version 4, remote router ID 192.168.2.27
BGP state = Established, up for 13:40:17
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-41
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
Last read 00:00:09, hold time is 180, keepalive interval is 60 seconds
Neighbor capabilities:
Route refresh: advertised and received
Address family IPv6 Unicast: advertised and received
Received 31306 messages, 20 notifications, 0 in queue
Sent 14298 messages, 1 notifications, 0 in queue
Default minimum time between advertisement runs is 30 seconds
For address family: IPv6 Unicast
BGP table version 21880, neighbor version 21880
Index 1, Offset 0, Mask 0x2
Route refresh request: received 0, sent 0
Community attribute sent to this neighbor
Outbound path policy configured
Incoming update prefix filter list is bgp-in
Outgoing update prefix filter list is aggregate
Route map for outgoing advertisements is uni-out
77 accepted prefixes consume 4928 bytes
Prefix advertised 4303, suppressed 0, withdrawn 1328
Number of NLRIs in the update sent: max 1, min 0
1 history paths consume 64 bytes
Connections established 22; dropped 21
Last reset 13:47:05, due to BGP Notification sent, hold time expired
Connection state is ESTAB, I/O status: 1, unread input bytes: 0
Local host: 3FFE:700:20:1::12, Local port: 55345
Foreign host: 3FFE:700:20:1::11, Foreign port: 179
Enqueued packets for retransmit: 0, input: 0 mis-ordered: 0 (0 bytes)
Event Timers (current time is 0x1A0D543C):
Timer
Starts
Wakeups
Next
Retrans
1218
5
0x0
TimeWait
0
0
0x0
AckHold
3327
3051
0x0
SendWnd
0
0
0x0
KeepAlive
0
0
0x0
GiveUp
0
0
0x0
PmtuAger
0
0
0x0
DeadWait
0
0
0x0
iss: 1805423033 snduna: 1805489354 sndnxt: 1805489354
sndwnd: 15531
irs: 821333727 rcvnxt: 821591465 rcvwnd:
15547 delrcvwnd:
837
SRTT: 300 ms, RTTO: 303 ms, RTV: 3 ms, KRTT: 0 ms
minRTT: 8 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: higher precedence, nagle
Datagrams (max data segment is 1420 bytes):
Rcvd: 4252 (out of order: 0), with data: 3328, total data bytes: 257737
Sent: 4445 (retransmit: 5), with data: 4445, total data bytes: 244128
次の表で、この出力に表示される重要なフィールドを説明します。
表 4-16
show bgp ipv6 community-list のフィールド
フィールド
説明
BGP
neighbor
BGP ネイバーの IP アドレスとその自律システム番号。ネイバーがルータと同じ自
律システム内にある場合、これらの間のリンクは内部となり、そうでない場合は外
部リンクと見なされます。
remote AS
ネイバーの自律システム。
internal link
このピアが内部ボーダーゲートウェイプロトコル（iBGP）ピアであることを示し
ます。
BGP version
リモートルータとの通信に使用される BGP バージョン。ネイバーのルータ ID（IP
アドレス）も指定されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-42
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
表 4-16
フィールド
show bgp ipv6 community-list のフィールド（続き）
説明
remote router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
BGP state
この BGP 接続の内部ステート。
up for
ベースとなる TCP 接続が存在している時間。
Last read
BGP がこのネイバーから最後にメッセージを読み取った時間。
hold time
ピアからのメッセージ間の最大経過時間。
keepalive
interval
TCP 接続が維持されていることを確認できるように、キープアライブパケットを
送信する時間間隔。
Neighbor
capabilities
このネイバーからアドバタイズされ受信される BGP 機能。
Route refresh ルートリフレッシュ機能を使用してネイバーがダイナミックソフトリセットを
サポートすることを示します。
Address
family IPv6
Unicast
BGP ピアが IPv6 到達可能性情報を交換していることを示します。
Received
このピアから受信した、キープアライブを含む BGP メッセージの合計数。
notifications
ピアから受信したエラーメッセージの数。
Sent
このピアに送信された、キープアライブを含む BGP メッセージの合計数。
notifications
ルータがこのピアに送信したエラーメッセージの数。
advertisement 最小アドバタイズメント間隔の値。
runs
For address
family
後続のフィールドが参照するアドレスファミリ。
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
neighbor
version
送信済みのプレフィックスおよびこのネイバーに送信する必要があるプレフィッ
クスを追跡するためにソフトウェアによって使用された番号。
Route refresh このネイバーで送受信されるルートリフレッシュ要求の数。
request
Community neighbor send-community コマンドがこのネイバー用に設定されている場合に表示さ
attribute（出れます。
力例になし）
Inbound path インバウンドフィルタリストまたはルートマップが設定されているかどうかを
policy（出力示します。
例になし）
Outbound
path policy
（出力例に
なし）
アウトバウンドフィルタリスト、ルートマップ、または抑制マップが設定されて
いるかどうかを示します。
bgp-in（出力 IPv6 ユニキャストアドレスファミリのインバウンドアップデートプレフィック
例になし）
スフィルタリストの名前。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-43
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
表 4-16
show bgp ipv6 community-list のフィールド（続き）
フィールド
説明
aggregate
（出力例に
なし）
IPv6 ユニキャストアドレスファミリのアウトバウンドアップデートプレフィッ
クスフィルタリストの名前。
uni-out（出力 IPv6 ユニキャストアドレスファミリのアウトバウンドルートマップの名前。
例になし）
accepted
prefixes
受け入れられたプレフィックスの数。
Prefix
advertised
アドバタイズされたプレフィックスの数。
suppressed
抑制されたプレフィックスの数。
withdrawn
取り消されたプレフィックスの数。
history paths
（出力例に
なし）
履歴を記憶するために保持されるパスエントリの数。
Connections
established
ルータが TCP 接続を確立し、2 つのピアが相互に BGP 通信を行うことに同意した
回数。
dropped
良好な接続に失敗したか、ダウンした回数。
Last reset
このピアリングセッションが最後にリセットされてからの経過時間（時:分:秒
形式）。
Connection
state
BGP ピアの状態。
unread input 引き続き処理されるパケットのバイト数。
bytes
Local host、
Local port
ローカルルータおよびポートのピアアドレス。
Foreign host、ネイバーのピアアドレス。
Foreign port
Event Timers 各タイマーの開始とウェイクアップの回数を表示する表。
snduna
ローカルホストが送信したものの、確認応答を受信していない最後の送信シーケ
ンス番号。
sndnxt
ローカルホストが次に送信するシーケンス番号。
sndwnd
リモートホストの TCP ウィンドウサイズ。
irs
最初の受信シーケンス番号。
rcvnxt
ローカルホストが確認応答した最後の受信シーケンス番号。
rcvwnd
ローカルホストの TCP ウィンドウサイズ。
delrecvwnd
遅延受信ウィンドウ：ローカルホストによって接続から読み取られ、ホストがリ
モートホストにアドバタイズした受信ウィンドウから削除されていないデータ。
このフィールドの値は徐々に大きくなり、フルサイズパケットよりも大きくなっ
た時点で rcvwnd フィールドに適用されます。
SRTT
計算されたスムーズラウンドトリップタイムアウト（ミリ秒単位）。
RTTO
ラウンドトリップタイムアウト（ミリ秒単位）。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-44
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
表 4-16
show bgp ipv6 community-list のフィールド（続き）
フィールド
説明
RTV
ラウンドトリップ時間の差異（ミリ秒単位）。
KRTT
Karn アルゴリズムを使用した新しいラウンドトリップタイムアウト（ミリ秒単
位）。このフィールドは、再送信されたパケットのラウンドトリップ時間を追跡し
ます。
minRTT
計算に組み込み値を使用して記録された最小ラウンドトリップタイムアウト（ミ
リ秒単位）。
maxRTT
記録された最大ラウンドトリップタイムアウト（ミリ秒単位）。
ACK hold
データを「ピギーバックする」ためにローカルホストが確認応答を遅延させる時
間（ミリ秒単位）。
Flags
BGP パケットの IP プレシデンス。
Datagrams:
Rcvd
ネイバーから受信したアップデートパケットの数。
with data
データとともに受信したアップデートパケットの数。
total data
bytes
データのバイト総数。
Sent
送信されたアップデートパケットの数。
with data
データとともに送信されたアップデートパケットの数。
total data
bytes
データのバイト総数。
次に、advertised-routes キーワードを指定した show bgp ipv6 neighbors コマンドの出力例を示し
ます。
ciscoasa# show bgp ipv6 unicast neighbors 3FFE:700:20:1::11 advertised-routes
BGP table version is 21880, local router ID is 192.168.7.225
Status codes: s suppressed, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
*> 2001:200::/35
3FFE:700:20:1::11
0 293 3425 2500 i
*> 2001:208::/35
3FFE:C00:E:B::2
0 237 7610 i
*> 2001:218::/35
3FFE:C00:E:C::2
0 3748 4697 i
次に、routes キーワードを指定した show bgp ipv6 neighbors コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast neighbors 3FFE:700:20:1::11 routes
BGP table version is 21885, local router ID is 192.168.7.225
Status codes: s suppressed, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
*> 2001:200::/35
3FFE:700:20:1::11
0 293 3425
* 2001:208::/35
3FFE:700:20:1::11
0 293 7610
* 2001:218::/35
3FFE:700:20:1::11
0 293 3425
* 2001:230::/35
3FFE:700:20:1::11
0 293 1275
2500 i
i
4697 i
3748 i
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-45
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
次の表で、この出力に表示される重要なフィールドを説明します。
表 4-17
show bgp ipv6 neighbors advertised-routes と routes のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
次に、paths キーワードを指定した show bgp ipv6 neighbors コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast neighbors 3FFE:700:20:1::11 paths ^293
Address
Refcount Metric Path
0x6131D7DC
2
0 293 3425 2500 i
0x6132861C
2
0 293 7610 i
0x6131AD18
2
0 293 3425 4697 i
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-46
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 neighbors
0x61324084
0x61320E0C
0x61326928
0x61327BC0
0x61321758
0x61320BEC
0x6131AAF8
0x61320FE8
0x613260A8
0x6132586C
0x6131BBF8
0x6132344C
0x61324150
0x6131E5AC
0x613235E4
0x6131D028
0x613279E4
0x61320328
0x6131EC0C
2
1
1
2
1
1
2
1
2
1
2
1
2
2
1
1
1
1
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
293
293
293
293
293
293
293
293
293
293
293
293
293
293
293
293
293
293
293
1275 3748 i
3425 2500 2497 i
3425 2513 i
i
145 i
3425 6509 i
1849 2914 ?
1849 1273 209 i
1849 i
1849 5539 i
1849 1103 i
4554 1103 1849 1752 i
1275 559 i
1849 786 i
1849 1273 i
4554 5539 8627 i
1275 3748 4697 3257 i
1849 1273 790 i
1275 5409 i
次の表で、この出力に表示される重要なフィールドを説明します。
show bgp ipv6 neighbors paths のフィールド
フィールド説明
Address
パスが保存される内部アドレス。
Refcount
そのパスを使用しているルートの数。
Metric
パスの Multi Exit Discriminator（MED）メトリック（BGP バージョン 2 および 3 のこ
のメトリック名は INTER_AS です）。
Path
そのルートの自律システムパスと、そのルートの発信元コード。
次に、show bgp ipv6 neighbors コマンドの出力例を示します。ここでは、IPv6 アドレス
2000:0:0:4::2 の受信ルートを示しています。
ciscoasa# show bgp ipv6 unicast neighbors 2000:0:0:4::2 received-routes
BGP table version is 2443, local router ID is 192.168.0.2
Status codes:s suppressed, h history, * valid, > best, i - internal
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
*> 2000:0:0:1::/64
2000:0:0:4::2
0 2 1 i
*> 2000:0:0:2::/64
2000:0:0:4::2
0 2 i
*> 2000:0:0:2:1::/80
2000:0:0:4::2
0 2 ?
*> 2000:0:0:3::/64
2000:0:0:4::2
0 2 ?
* 2000:0:0:4::1/64
2000:0:0:4::2
0 2 ?
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-47
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 paths
show bgp ipv6 paths
データベース内のすべての IPv6 Border Gateway Protocol（BGP）パスを表示するには、ユーザ EXEC
モードまたは特権 EXEC モードで show bgp ipv6 paths コマンドを使用します。
show bgp ipv6 unicast paths regular-expression
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
regular-expression
データベース内の受信パスの照合に使用される正規表現。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
•
Yes
•
Yes
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast paths コマンドの出力は show ip bgp paths コマ
ンドと類似しています。
例
次に、show bgp ipv6 paths コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast
Address
Hash Refcount Metric
0x61322A78
0
2
0
0x6131C214
3
2
0
0x6131D600
13
1
0
0x613229F0
17
1
0
0x61324AE0
18
1
1
0x61326818
32
1
1
0x61324728
34
1
0
0x61323804
35
1
0
0x61327918
35
1
0
0x61320504
38
2
0
0x61320988
41
2
0
0x6132245C
46
1
0
paths
Path
i
6346 8664 786 i
3748 1275 8319 1273 209 i
3748 1275 8319 12853 i
4554 3748 4697 5408 i
4554 5609 i
6346 8664 9009 ?
3748 1275 8319 i
237 2839 8664 ?
3748 4697 1752 i
1849 786 i
6346 8664 4927 i
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-48
マルチ
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 paths
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド説明
Address
パスが保存される内部アドレス。
Refcount
そのパスを使用しているルートの数。
Metric
パスの Multi Exit Discriminator（MED）メトリック（BGP バージョン 2 および 3 のこ
のメトリック名は INTER_AS です）。
Path
そのルートの自律システムパスと、そのルートの発信元コード。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-49
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 prefix-list
show bgp ipv6 prefix-list
プレフィックスリストに一致するルートを表示するには、ユーザ EXEC モードまたは特権 EXEC
モードで show bgp ipv6 prefix-list コマンドを使用します。
show bgp ipv6 unicast prefix-list name
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
name
指定したプレフィックスリスト。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
指定するプレフィックスリストは、IPv4 プレフィックスリストと同様の形式の IPv6 プレフィッ
クスリストである必要があります。
例
次に、show bgp ipv6 prefix-list コマンドの出力例を示します。
Router# show bgp ipv6 unicast prefix-list pin
ipv6 prefix-list pin:
count:4, range entries:3, sequences:5 - 20, refcount:2
seq 5 permit 747::/16 (hit count:1, refcount:2)
seq 10 permit 747:1::/32 ge 64 le 64 (hit count:2, refcount:2)
seq 15 permit 747::/32 ge 33 (hit count:1, refcount:1)
seq 20 permit 777::/16 le 124 (hit count:2, refcount:1)
The ipv6 prefix-list match the following prefixes:
seq 5: matches the exact match 747::/16
seq 10:first 32 bits in prefix must match with a prefixlen of /64
seq 15:first 32 bits in prefix must match with any prefixlen up to /128
seq 20:first 16 bits in prefix must match with any prefixlen up to /124
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-50
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 prefix-list
フィールド説明
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-51
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 quote-regexp
show bgp ipv6 quote-regexp
自律システムパスの正規表現に一致する IPv6 Border Gateway Protocol（BGP）ルートを引用符で囲
まれた文字列として表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show bgp ipv6
quote-regexp コマンドを使用します。
show bgp ipv6 unicast quote-regexp regular expression
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
regular expression
BGP 自律システムパスを照合するために使用される正規表現
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast quote-regexp コマンドの出力は show ip bgp
quote-regexp コマンドと類似しています。
例
次に、show bgp ipv6 quote-regexp コマンドの出力例を示します。ここでは、33 で始まるパスまた
は 293 を含むパスを示しています。
Router# show bgp ipv6 unicast quote-regexp ^33|293
BGP table version is 69964, local router ID is 192.31.7.225
Status codes: s suppressed, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
* 2001:200::/35
3FFE:C00:E:4::2
1
0 4554 293 3425 2500 i
*
2001:0DB8:0:F004::1
0 3320 293 3425 2500 i
* 2001:208::/35
3FFE:C00:E:4::2
1
0 4554 293 7610 i
* 2001:228::/35
3FFE:C00:E:F::2
0 6389 1849 293 2713 i
* 3FFE::/24
3FFE:C00:E:5::2
0 33 1849 4554 i
* 3FFE:100::/24
3FFE:C00:E:5::2
0 33 1849 3263 i
* 3FFE:300::/24
3FFE:C00:E:5::2
0 33 293 1275 1717 i
* 3FFE:C00:E:F::2
0 6389 1849 293 1275
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-52
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 quote-regexp
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-53
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 regexp
show bgp ipv6 regexp
自律システムパスの正規表現に一致する IPv6 Border Gateway Protocol（BGP）ルートを表示するに
は、ユーザ EXEC モードまたは特権 EXEC モードで show bgp ipv6 regexp コマンドを使用します。
show bgp ipv6 unicast regexp regular-expression
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
regular-expression
BGP 自律システムパスを照合するために使用される正規表現
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast regexp コマンドの出力は show ip bgp regexp コ
マンドと類似しています。
例
次に、show bgp ipv6 regexp コマンドの出力例を示します。ここでは、33 で始まるパスまたは 293
を含むパスを示しています。
Router# show bgp ipv6 unicast regexp ^33|293
BGP table version is 69964, local router ID is 192.168.7.225
Status codes: s suppressed, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
* 2001:200::/35
3FFE:C00:E:4::2
1
0 4554 293 3425 2500 i
*
2001:0DB8:0:F004::1
0 3320 293 3425 2500 i
* 2001:208::/35
3FFE:C00:E:4::2
1
0 4554 293 7610 i
* 2001:228::/35
3FFE:C00:E:F::2
0 6389 1849 293 2713 i
* 3FFE::/24
3FFE:C00:E:5::2
0 33 1849 4554 i
* 3FFE:100::/24
3FFE:C00:E:5::2
0 33 1849 3263 i
* 3FFE:300::/24
3FFE:C00:E:5::2
0 33 293 1275 1717 i
*
3FFE:C00:E:F::2
0 6389 1849 293 1275
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-54
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 regexp
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-55
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 route-map
show bgp ipv6 route-map
ルーティングテーブルへの登録に失敗した IPv6 Border Gateway Protocol（BGP）ルートを表示す
るには、ユーザ EXEC モードまたは特権 EXEC モードで show bgp ipv6 route-map コマンドを使
用します。
show bgp ipv6 unicast route-map name
構文の説明
コマンドモード
unicast
IPv6 ユニキャストアドレスプレフィックスを指定します。
name
照合のために指定したルートマップ。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、rmap という名前のルートマップに対する show bgp ipv6 route-map コマンドの出力例を示
します。
Router# show bgp ipv6 unicast route-map rmap
BGP table version is 16, local router ID is 172.30.242.1
Status codes:s suppressed, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes:i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight Path
*>i12:12::/64
2001:0DB8:101::1
0
100
50 ?
*>i12:13::/64
2001:0DB8:101::1
0
100
50 ?
*>i12:14::/64
2001:0DB8:101::1
0
100
50 ?
*>i543::/64
2001:0DB8:101::1
0
100
50 ?
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ピリオドで区切られた 4 つのオクテットとして記述される 32 ビット数（ドット付
ID
き 10 進表記）。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-56
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 route-map
フィールド説明
Status
codes
テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
h：テーブルエントリは履歴です。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-57
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 summary
show bgp ipv6 summary
すべての IPv6 Border Gateway Protocol（BGP）接続のステータスを表示するには、ユーザ EXEC
モードまたは特権 EXEC モードで show bgp ipv6 summary コマンドを使用します。
show bgp ipv6 unicast summary
構文の説明
unicast
コマンドモード
次の表に、コマンドを入力できるモードを示します。
IPv6 ユニキャストアドレスプレフィックスを指定します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.3(2)
•
Yes
•
Yes
Yes
•
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
IPv6 専用である点を除いて、show bgp ipv6 unicast summary コマンドの出力は show ip bgp
summary コマンドと類似しています。
例
次に、show bgp ipv6 summary コマンドの出力例を示します。
ciscoasa# show bgp ipv6 unicast summary
BGP device identifier 172.30.4.4, local AS number 200
BGP table version is 1, main routing table version 1
Neighbor
V
AS MsgRcvd MsgSent
TblVer
2001:0DB8:101::2
4
200
6869
6882
0
InQ
0
OutQ
0
Up/Down
06:25:24
State/PfxRcd
Active
次の表で、この出力に表示される重要なフィールドを説明します。
フィールド説明
BGP device ネットワーキングデバイスの IP アドレス。
identifier
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
main routing メインルーティングテーブルに注入された BGP データベースの最後のバージョン。
table version
Neighbor
ネイバーの IPv6 アドレス。
V
ネイバーに通知される BGP バージョン番号。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-58
第4章
show bgp コマンド～ show cpu コマンド
show bgp ipv6 summary
フィールド説明
AS
自律システム
MsgRcvd
ネイバーから受信された BGP メッセージ。
MsgSent
ネイバーに送信された BGP メッセージ。
TblVer
ネイバーに送信された BGP データベースの最後のバージョン。
InQ
処理を待機しているネイバーからのメッセージの数。
OutQ
ネイバーへの送信を待機しているメッセージの数。
Up/Down
BGP セッションが確立状態となったか、確立されていない場合は現在の状態に
なった時間の長さ。
State/PfxRcd BGP セッションの現在の状態/デバイスがネイバーから受信したプレフィックス
の数。最大数（neighbor maximum-prefix コマンドで設定）に達すると、文字列
「PfxRcd」がエントリに表示され、ネイバーがシャットダウンされて、接続がアイド
ルになります。
アイドルステータスの（管理者）エントリは、接続が neighbor shutdown コマンドを
使用してシャットダウンされたことを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-59
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
show bgp neighbors
ネイバーへの Border Gateway Protocol（BGP）接続および TCP 接続に関する情報を表示するには、
ユーザ EXEC モードまたは特権 EXEC モードで show bgp neighbors コマンドを使用します。
show bgp neighbors [slow | ip-address [advertised-routes | | paths [reg-exp] |policy [detail]
| received prefix-filter | received-routes | routes]]
構文の説明
slow
（オプション）ダイナミックに設定された低速ピアに関する情報を表示
します。
ip-address
（オプション）IPv4 ネイバーに関する情報を表示します。この引数を省
略した場合、すべてのネイバーに関する情報が表示されます。
advertised-routes
（オプション）ネイバーにアドバタイズされたすべてのルートを表示し
ます。
paths reg-exp
（オプション）指定したネイバーから学習した自律システムパスを表示
します。オプションの正規表現を使用して、出力をフィルタリングでき
ます。
policy
（オプション）アドレスファミリごとに、このネイバーに適用されるポ
リシーを表示します。
detail
（オプション）ルートマップ、プレフィックスリスト、コミュニティリ
スト、アクセスコントロールリスト（ACL）、自律システムパスフィル
タリストなどの詳細なポリシー情報を表示します。
received prefix-filter
（オプション）指定したネイバーから送信されたプレフィックスリスト
（アウトバウンドルートフィルタ（ORF））を表示します。
received-routes
（オプション）指定したネイバーから受信したすべてのルートを表示し
ます。
routes
（オプション）受信され、受け入れられるすべてのルートを表示します。
このキーワードが入力された場合に表示される出力は、received-routes
キーワードによって表示される出力のサブセットです。
コマンドデフォルト
このコマンドの出力には、すべてのネイバーの情報が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC、ユーザ EXEC
コマンド履歴
リリース
9.2(1)
•
Yes
Yes
•
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-60
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
使用上のガイドライン
ネイバーセッションの BGP および TCP 接続情報を表示するには、show bgp neighbors コマンド
を使用します。BGP の場合、これには詳細なネイバー属性、機能、パス、およびプレフィックス情
報が含まれています。TCP の場合、これには BGP ネイバーセッション確立およびメンテナンス
に関連した統計が含まれています。
アドバタイズされ、取り消されたプレフィックスの数に基づいて、プレフィックスアクティビ
ティが表示されます。ポリシー拒否には、アドバタイズされたものの、その後、出力に表示されて
いる機能または属性に基づいて無視されたルートの数が表示されます。
シスコが採用している 4 バイト自律システム番号は、自律システム番号の正規表現のマッチン
グおよび出力表示形式のデフォルトとして asplain（たとえば、65538）を使用していますが、RFC
5396 に記載されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方
で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを
asdot 形式に変更するには、bgp asnotation dot コマンドに続けて、clear bgp * コマンドを実行し、
現在の BGP セッションをすべてハードリセットします。
例
出力例は、show bgp neighbors コマンドで使用できるさまざまなキーワードによって異なります。
以降のセクションでは、さまざまなキーワードの使用例を示します。
show bgp neighbors：例
次の例では、10.108.50.2 の BGP ネイバーの出力を示します。このネイバーは内部 BGP（iBGP）ピ
アです。このネイバーはルートリフレッシュおよびグレースフルリスタート機能をサポートし
ています。
ciscoasa# show bgp neighbors 10.108.50.2
BGP neighbor is 10.108.50.2, remote AS 1, internal link
BGP version 4, remote router ID 192.168.252.252
BGP state = Established, up for 00:24:25
Last read 00:00:24, last write 00:00:24, hold time is 180, keepalive interval is
60 seconds
Neighbor capabilities:
Route refresh: advertised and received(old & new)
MPLS Label capability: advertised and received
Graceful Restart Capability: advertised
Address family IPv4 Unicast: advertised and received
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent
Rcvd
Opens:
3
3
Notifications:
0
0
Updates:
0
0
Keepalives:
113
112
Route Refresh:
0
0
Total:
116
115
Default minimum time between advertisement runs is 5 seconds
For address family: IPv4 Unicast
BGP additional-paths computation is enabled
BGP advertise-best-external is enabled
BGP table version 1, neighbor version 1/0
Output queue size : 0
Index 1, Offset 0, Mask 0x2
1 update-group member
Sent
Rcvd
Prefix activity:
------Prefixes Current:
0
0
Prefixes Total:
0
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-61
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
Implicit Withdraw:
Explicit Withdraw:
Used as bestpath:
Used as multipath:
0
0
n/a
n/a
0
0
0
0
Outbound
Inbound
Local Policy Denied Prefixes:
-------------Total:
0
0
Number of NLRIs in the update sent: max 0, min 0
Connections established 3; dropped 2
Last reset 00:24:26, due to Peer closed the session
External BGP neighbor may be up to 2 hops away.
Connection state is ESTAB, I/O status: 1, unread input bytes: 0
Connection is ECN Disabled
Local host: 10.108.50.1, Local port: 179
Foreign host: 10.108.50.2, Foreign port: 42698
Enqueued packets for retransmit: 0, input: 0
Event Timers (current time is 0x68B944):
Timer
Starts
Wakeups
Retrans
27
0
TimeWait
0
0
AckHold
27
18
SendWnd
0
0
KeepAlive
0
0
GiveUp
0
0
PmtuAger
0
0
DeadWait
0
0
iss: 3915509457
irs: 233567076
snduna: 3915510016
rcvnxt: 233567616
mis-ordered: 0 (0 bytes)
Next
0x0
0x0
0x0
0x0
0x0
0x0
0x0
0x0
sndnxt: 3915510016
rcvwnd:
15845
sndwnd:
delrcvwnd:
15826
539
SRTT: 292 ms, RTTO: 359 ms, RTV: 67 ms, KRTT: 0 ms
minRTT: 12 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: passive open, nagle, gen tcbs
IP Precedence value : 6
Datagrams (max data segment is 1460 bytes):
Rcvd: 38 (out of order: 0), with data: 27, total data bytes: 539
Sent: 45 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 08
次の表で、この出力に表示される重要なフィールドを説明します。アスタリスク文字（*）の後ろ
にあるフィールドは、カウンタがゼロ以外の値の場合にだけ表示されます。
表 4-18 に、各フィールドの説明を示します。
表 4-18
show bgp ipv4 のフィールド
フィールド
説明
BGP neighbor
BGP ネイバーの IP アドレスとその自律システム番号。
remote AS
ネイバーの自律システム番号。
local AS 300
no-prepend（画面に
は表示されない）
ローカル自律システム番号が、受信した外部ルートの先頭に付加されて
いないことを確認します。この出力は、自律システムを移行しているとき
のローカル自律システムの非表示をサポートします。
internal link
「internal link」は iBGP ネイバーに対して表示されます。「external link」は外
部 BGP（eBGP）ネイバーに対して表示されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-62
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-18
show bgp ipv4 のフィールド（続き）
フィールド
説明
BGP version
リモートルータとの通信に使用される BGP バージョン。
remote router ID
ネイバーの IP アドレス。
BGP state
セッションネゴシエーションの有限状態マシン（FSM）ステージ。
up for
ベースとなる TCP 接続が存在している時間（hhmmss 形式）。
Last read
BGP がこのネイバーから最後にメッセージを受信してからの時間
（hhmmss 形式）。
last write
BGP がこのネイバーに最後にメッセージを送信してからの時間（hhmmss
形式）。
hold time
BGP がメッセージを受信せずにこのネイバーとセッションを維持した時
間（秒数）。
keepalive interval
キープアライブメッセージがこのネイバーに転送される間隔（秒数）。
Neighbor
capabilities
このネイバーからアドバタイズされ受信される BGP 機能。2 つのルータ
間で機能が正常に交換されている場合、「advertised and received」が表示さ
れます。
Route Refresh
ルートリフレッシュ機能のステータス。
Graceful Restart
Capability
グレースフルリスタート機能のステータス。
Address family IPv4
Unicast
このネイバーの IP Version 4 ユニキャスト固有プロパティ。
Message statistics
メッセージタイプごとにまとめられた統計。
InQ depth is
入力キュー内のメッセージ数。
OutQ depth is
出力キュー内のメッセージ数。
Sent
送信されたメッセージの合計数。
Received
受信されたメッセージの合計数。
Opens
送受信されたオープンメッセージ数。
notifications
送受信された通知（エラー）メッセージ数。
Updates
送受信されたアップデートメッセージ数。
Keepalives
送受信されたキープアライブメッセージ数。
Route Refresh
送受信されたルートリフレッシュ要求メッセージ数。
Total
送受信されたメッセージの合計数。
Default minimum
time between...
アドバタイズメント送信の間の時間（秒数）。
For address family:
後続のフィールドが参照するアドレスファミリ。
BGP table version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたび
に増分します。
neighbor version
送信済みのプレフィックスおよび送信する必要があるプレフィックスを
追跡するためにソフトウェアによって使用された番号。
update-group
このアドレスファミリのアップデートグループメンバーの数。
Prefix activity
このアドレスファミリのプレフィックス統計。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-63
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-18
show bgp ipv4 のフィールド（続き）
フィールド
説明
Prefixes current
このアドレスファミリに対して受け入れられるプレフィックス数。
Prefixes total
受信されたプレフィックスの合計数。
Implicit Withdraw
プレフィックスが取り消されて再アドバタイズされた回数。
Explicit Withdraw
フィージブルでなくなったため、プレフィックスが取り消された回数。
Used as bestpath
最適パスとしてインストールされた受信プレフィックス数。
Used as multipath
マルチパスとしてインストールされた受信プレフィックス数。
* Saved（ソフト再
構成）
ソフト再構成をサポートするネイバーで実行されたソフトリセットの
数。このフィールドは、カウンタの値がゼロ以外である場合にだけ表示さ
れます。
* History paths
このフィールドは、カウンタの値がゼロ以外である場合にだけ表示され
ます。
* Invalid paths
無効なパスの数。このフィールドは、カウンタの値がゼロ以外である場合
にだけ表示されます。
Local Policy Denied ローカルポリシーの設定によって拒否されたプレフィックス。カウンタ
Prefixes
はインバウンドおよびアウトバウンドのポリシー拒否に対して更新され
ます。この見出しの下のフィールドは、カウンタの値がゼロ以外である場
合にだけ表示されます。
* route-map
インバウンドおよびアウトバウンドのルートマップポリシー拒否を表
示します。
* filter-list
インバウンドおよびアウトバウンドのフィルタリストポリシー拒否を
表示します。
* prefix-list
インバウンドおよびアウトバウンドのプレフィックスリストポリシー
拒否を表示します。
* AS_PATH too
long
アウトバウンドの AS パス長ポリシー拒否を表示します。
* AS_PATH loop
アウトバウンドの AS パスループポリシー拒否を表示します。
* AS_PATH confed
info
アウトバウンドの連合ポリシー拒否を表示します。
* AS_PATH
contains AS 0
自律システム（AS）0 のアウトバウンド拒否を表示します。
* NEXT_HOP
Martian
アウトバウンドの Martian 拒否を表示します。
* NEXT_HOP
non-local
アウトバウンドの非ローカルネクストホップ拒否を表示します。
* NEXT_HOP is us
アウトバウンドのネクストホップセルフ拒否を表示します。
* CLUSTER_LIST
loop
アウトバウンドのクラスタリストループ拒否を表示します。
* ORIGINATOR
loop
ローカル発信ルートのアウトバウンド拒否を表示します。
* unsuppress-map
抑制マップによるインバウンド拒否を表示します。
* advertise-map
アドバタイズマップによるインバウンド拒否を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-64
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-18
show bgp ipv4 のフィールド（続き）
フィールド
説明
* Well-known
Community
ウェルノウンコミュニティのインバウンド拒否を表示します。
* SOO loop
Site of Origin によるインバウンド拒否を表示します。
* Bestpath from this
peer
最適パスがローカルルータから提供されたことによるインバウンド拒否
を表示します。
* Suppressed due to
dampening
ネイバーまたはリンクがダンプニング状態になっていることによるイン
バウンド拒否を表示します。
* Bestpath from
iBGP peer
最適パスが iBGP ネイバーから提供されたことによるインバウンド拒否
を表示します。
* Incorrect RIB for
CE
CE ルータの RIB エラーによるインバウンド拒否を表示します。
* BGP distribute-list 配布リストによるインバウンド拒否を表示します。
Number of NLRIs...
アップデート内のネットワーク層到達可能性属性の数。
Connections
established
TCP および BGP 接続が正常に確立した回数。
dropped
有効セッションに障害が発生したか停止した回数。
Last reset
このピアリングセッションが最後にリセットされてからの時間。リセッ
トの理由がこの行に表示されます。
External BGP
BGP TTL セキュリティチェックがイネーブルであることを示します。
neighbor may be...
ローカルピアとリモートピアをまたぐことができるホップの最大数が
（画面には表示されこの行に表示されます。
ない）
Connection state
BGP ピアの接続ステータス。
Connection is ECN
Disabled
明示的輻輳通知のステータス（イネーブルまたはディセーブル）。
Local host:
10.108.50.1, Local
port: 179
ローカル BGP スピーカーの IP アドレス。BGP ポート番号 179。
Foreign host:
ネイバーアドレスと BGP 宛先ポート番号。
10.108.50.2, Foreign
port: 42698
Enqueued packets
for retransmit:
TCP による再送信のためにキューに入れられたパケット。
Event Timers
TCP イベントタイマー。起動およびウェイクアップのカウンタが提供さ
れます（期限切れタイマー）。
Retrans
パケットが再送信された回数。
TimeWait
再送信タイマーが期限切れになるまでの待機時間。
AckHold
確認応答ホールドタイマー。
SendWnd
送信ウィンドウ。
KeepAlive
キープアライブパケットの数。
GiveUp
確認応答がないためにパケットがドロップされた回数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-65
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-18
show bgp ipv4 のフィールド（続き）
フィールド
説明
PmtuAger
パス MTU ディスカバリタイマー。
DeadWait
デッドセグメントの期限切れタイマー。
iss:
初期パケット送信シーケンス番号。
snduna
確認応答されていない最後の送信シーケンス番号。
sndnxt:
次に送信されるパケットのシーケンス番号。
sndwnd:
リモートネイバーの TCP ウィンドウサイズ。
irs:
最初のパケット受信シーケンス番号。
rcvnxt:
ローカルに確認応答された最後の受信シーケンス番号。
rcvwnd:
ローカルホストの TCP ウィンドウサイズ。
delrcvwnd:
遅延受信ウィンドウ：ローカルホストによって接続から読み取られ、ホス
トがリモートホストにアドバタイズした受信ウィンドウから削除されて
いないデータ。このフィールドの値は徐々に大きくなり、フルサイズパ
ケットよりも大きくなった時点で rcvwnd フィールドに適用されます。
SRTT:
計算されたスムーズラウンドトリップタイムアウト。
RTTO:
ラウンドトリップタイムアウト。
RTV:
ラウンドトリップ時間の差異。
KRTT:
新しいラウンドトリップタイムアウト（Karn アルゴリズムを使用）。この
フィールドは、再送信されたパケットのラウンドトリップ時間を追跡し
ます。
minRTT:
記録された最小ラウンドトリップタイムアウト（計算に使用される組み
込み値）。
maxRTT:
記録された最大ラウンドトリップタイムアウト。
ACK hold:
ローカルホストが追加データを伝送（ピギーバック）するために確認応答
を遅延させる時間の長さ。
IP Precedence value: BGP パケットの IP プレシデンス。
Datagrams
ネイバーから受信したアップデートパケットの数。
Rcvd:
受信パケット数。
with data
データとともに送信されたアップデートパケットの数。
total data bytes
受信データの合計量（バイト）。
Sent
送信されたアップデートパケットの数。
Second Congestion
輻輳が原因で送信された 2 回目の再送信の数。
Datagrams: Rcvd
ネイバーから受信したアップデートパケットの数。
out of order:
シーケンスを外れて受信したパケットの数。
with data
データとともに受信したアップデートパケットの数。
Last reset
このピアリングセッションが最後にリセットされてからの経過時間。
unread input bytes
引き続き処理されるパケットのバイト数。
retransmit
再送信されたパケットの数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-66
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-18
show bgp ipv4 のフィールド（続き）
フィールド
説明
fastretransmit
再送信タイマーが期限切れになる前に、異常なセグメントのために再送信
された重複確認応答の数。
partialack
部分確認応答（後続の確認応答の前に送信または後続の確認応答なしで送
信）の再送信回数。
show bgp neighbors advertised-routes：例
次の例では、172.16.232.178 ネイバーだけにアドバタイズされたルートを表示します。
ciscoasa# show bgp neighbors 172.16.232.178 advertised-routes
BGP table version is 27, local router ID is 172.16.232.181
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*>i10.0.0.0
*> 10.20.2.0
Next Hop
172.16.232.179
10.0.0.0
Metric LocPrf Weight Path
0
100
0 ?
0
32768 i
表 4-19 に、各フィールドの説明を示します。
表 4-19
show bgp neighbors advertised routes のフィールド
フィールド説明
BGP table
version
テーブルの内部バージョン番号。この番号は、テーブルが変更されるたびに増分し
ます。
local router ルータの IP アドレス。
ID
Status codes テーブルエントリのステータス。テーブルの各行の最初にステータスが表示されま
す。次のいずれかの値になります。
s：テーブルエントリが非表示になっています。
*：テーブルエントリが有効です。
>：テーブルエントリがそのネットワークで使用するための最良エントリです。
i：テーブルエントリが内部 BGP（iBGP）セッションを経由して学習されます。
Origin
codes
エントリの作成元。作成元のコードはテーブルの各行の終わりにあります。次のい
ずれかの値になります。
i：内部ゲートウェイプロトコル（IGP）から発信され、network ルータコンフィギュ
レーションコマンドを使用してアドバタイズされたエントリ。
e：外部ゲートウェイプロトコル（EGP）から発信されたエントリ。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信される
ルータです。
Network
エントリが表すネットワークのインターネットアドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP ア
ドレス。0.0.0.0 のエントリは、アクセスサーバにこのネットワークへの非 BGP ルー
トがあることを示します。
Metric
表示されている場合は相互自律システムメトリック。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-67
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-19
show bgp neighbors advertised routes のフィールド（続き）
フィールド説明
LocPrf
set local-preference ルートマップコンフィギュレーションコマンドで設定された
ローカルプリファレンス値。デフォルト値は 100 です。
Weight
自律システムフィルタを介して設定されたルートの重み。
Path
宛先ネットワークへの自律システムパス。パス内の各自律システムに対して、この
フィールド内に 1 エントリを含めることができます。パスの終わりは、パスの発信
元コードです。
i：エントリは、IGP から発信され、network ルータコンフィギュレーションコマン
ドを使用してアドバタイズされました。
e：EGP から発信されるルート。
?：パスの発信元はクリアされません。通常、これは IGP から BGP に再配信されるパス
です。
show bgp neighbors paths：例
次に、paths キーワードを指定した show bgp neighbors コマンドの出力例を示します。
ciscoasa# show bgp neighbors 172.29.232.178 paths ^10
Address
Refcount Metric Path
0x60E577B0
2
40 10 ?
表 4-20 に、各フィールドの説明を示します。
表 4-20
show bgp neighbors paths のフィールド
フィールド説明
Address
パスが保存される内部アドレス。
Refcount
そのパスを使用しているルートの数。
Metric
パスの Multi Exit Discriminator（MED）メトリック（BGP バージョン 2 および 3 のこの
メトリック名は INTER_AS です）。
Path
そのルートの自律システムパスと、そのルートの発信元コード。
show bgp neighbors received prefix-filter：例
次の例は、10.0.0.0 ネットワークのすべてのルートをフィルタリングするプレフィックスリスト
が 192.168.20.72 ネイバーから受信されたことを示しています。
ciscoasa# show bgp neighbors 192.168.20.72 received prefix-filter
Address family:IPv4 Unicast
ip prefix-list 192.168.20.72:1 entries
seq 5 deny 10.0.0.0/8 le 32
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-68
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
表 4-21 に、各フィールドの説明を示します。
表 4-21
show bgp neighbors received prefix filter のフィールド
フィールド説明
Address
family
プレフィックスフィルタを受信したアドレスファミリモード。
ip prefix-list 指定したネイバーから送信されたプレフィックスリスト。
show bgp neighbors policy：例
次に、192.168.1.2 にあるネイバーに適用されたポリシーの出力例を示します。ネイバーデバイス
で設定されたポリシーが表示されます。
ciscoasa# show bgp neighbors 192.168.1.2 policy
Neighbor: 192.168.1.2, Address-Family: IPv4 Unicast
Locally configured policies:
route-map ROUTE in
Inherited polices:
prefix-list NO-MARKETING in
route-map ROUTE in
weight 300
maximum-prefix 10000
show bgp neighbors：例
次に、show bgp neighbors コマンドの出力例を示します。ここでは、BGP TCP パス最大伝送ユ
ニット（MTU）ディスカバリが 172.16.1.2 にある BGP ネイバーに対してイネーブルになってい
ることを確認しています。
ciscoasa# show bgp neighbors 172.16.1.2
BGP neighbor is 172.16.1.2, remote AS 45000, internal link
BGP version 4, remote router ID 172.16.1.99
.
.
.
For address family: IPv4 Unicast
BGP table version 5, neighbor version 5/0
.
.
.
Address tracking is enabled, the RIB does have a route to 172.16.1.2
Address tracking requires at least a /24 route to the peer
Connections established 3; dropped 2
Last reset 00:00:35, due to Router ID changed
Transport(tcp) path-mtu-discovery is enabled
.
.
.
SRTT: 146 ms, RTTO: 1283 ms, RTV: 1137 ms, KRTT: 0 ms
minRTT: 8 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: higher precedence, retransmission timeout, nagle, path mtu capable
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-69
第4章
show bgp コマンド～ show cpu コマンド
show bgp neighbors
次に、show bgp neighbors コマンドの出力の一部を示します。ここでは、192.168.3.2 にある外部
BGP ピアに対する BGP グレースフルリスタート機能のステータスを確認しています。グレース
フルリスタートは、この BGP ピアに対してディセーブルであると示されています。
ciscoasa# show bgp neighbors 192.168.3.2
BGP neighbor is 192.168.3.2, remote AS 50000, external link
Inherits from template S2 for session parameters
BGP version 4, remote router ID 192.168.3.2
BGP state = Established, up for 00:01:41
Last read 00:00:45, last write 00:00:45, hold time is 180, keepalive intervals
Neighbor sessions:
1 active, is multisession capable
Neighbor capabilities:
Route refresh: advertised and received(new)
Address family IPv4 Unicast: advertised and received
.
.
.
Address tracking is enabled, the RIB does have a route to 192.168.3.2
Connections established 1; dropped 0
Last reset never
Transport(tcp) path-mtu-discovery is enabled
Graceful-Restart is disabled
Connection state is ESTAB, I/O status: 1, unread input bytes: 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-70
第4章
show bgp コマンド～ show cpu コマンド
show bgp paths
show bgp paths
データベース内のすべての BGP パスを表示するには、EXEC モードで show bgp paths コマンドを
使用します。
show bgp paths
Cisco 10000 シリーズルータ
show bgp paths regexp
構文の説明
regexp
コマンドモード
次の表に、コマンドを入力できるモードを示します。
BGP 自律システムパスと一致する正規表現。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、特権 EXEC モードでの show bgp paths コマンドの出力例を示します。
ciscoasa# show bgp paths
Address
Hash Refcount Metric Path
0x60E5742C
0
1
0 i
0x60E3D7AC
2
1
0 ?
0x60E5C6C0
11
3
0 10 ?
0x60E577B0
35
2
40 10 ?
表 4-22 に、各フィールドの説明を示します。
表 4-22
show bgp paths のフィールド
フィールド説明
Address
パスが保存される内部アドレス。
Hash
パスが格納されているハッシュバケット。
Refcount
そのパスを使用しているルートの数。
Metric
パスの Multi Exit Discriminator（MED）メトリック（BGP バージョン 2 および 3 のこの
メトリック名は INTER_AS です）。
Path
そのルートの自律システムパスと、そのルートの発信元コード。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-71
第4章
show bgp コマンド～ show cpu コマンド
show bgp policy-list
show bgp policy-list
設定されたポリシーリストとポリシーリストエントリに関する情報を表示するには、ユーザ
EXEC モードで show bgp policy-list コマンドを使用します。
show bgp policy-list [policy-list-name]
構文の説明
policy-list-name
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）この引数を使用して指定したポリシーリストに関する情
報を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show bgp policy-list コマンドの出力例を示します。このコマンドの出力には、ポリシーリス
ト名と設定された match 句が表示されます。次の出力例は、表示される出力に類似しています。
ciscoasa# show bgp policy-list
policy-list POLICY-LIST-NAME-1 permit
Match clauses:
metric 20
policy-list POLICY-LIST-NAME-2 permit
Match clauses:
as-path (as-path filter): 1
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-72
トランスペ
アレント
シングル
第4章
show bgp コマンド～ show cpu コマンド
show bgp prefix-list
show bgp prefix-list
プレフィックスリストまたはプレフィックスリストエントリに関する情報を表示するには、ユー
ザ EXEC モードまたは特権 EXEC モードで show bgp prefix-list コマンドを使用します。
show bgp prefix-list [detail | summary][prefix-list-name [seq sequence-number |
network/length [longer| first-match]]]
構文の説明
コマンドモード
detail | summary
（オプション）すべてのプレフィックスリストに関する詳細情報または
要約情報を表示します。
first-match
（オプション）指定した network/length と一致する、指定したプレフィッ
クスリストの最初のエントリを表示します。
longer
（オプション）指定した network/length と一致するか、またはより限定的
な、プレフィックスリストのすべてのエントリを表示します。
network/length
（オプション）このネットワークアドレスおよびネットマスク長（ビッ
ト単位）を使用する、指定したプレフィックスリストのすべてのエント
リを表示します。
prefix-list-name
（オプション）特定のプレフィックスリストのエントリを表示します。
seq sequence-number
（オプション）指定したプレフィックスリストに指定したシーケンス番
号があるプレフィックスリストエントリだけを表示します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show bgp prefix-list コマンドの出力例を示します。ここでは、test という名前のプレフィッ
クスリストの詳細を示しています。
ciscoasa# show bgp prefix-list detail test
ip prefix-list test:
Description: test-list
count: 1, range entries: 0, sequences: 10 - 10, refcount: 3
seq 10 permit 10.0.0.0/8 (hit count: 0, refcount: 1)
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-73
第4章
show bgp コマンド～ show cpu コマンド
show bgp regexp
show bgp regexp
自律システムパスの正規表現と一致するルートを表示するには、EXEC モードで show bgp regexp
コマンドを使用します。
show bgp regexp regexp
構文の説明
regexp
BGP 自律システムパスと一致する正規表現。
自律システムの番号形式の詳細については、router bgp コマンドを参
照してください。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
Yes
•
•
Yes
変更内容
このコマンドが追加されました。
シスコが採用している 4 バイト自律システム番号は、自律システム番号の正規表現のマッチン
グおよび出力表示形式のデフォルトとして asplain（たとえば、65538）を使用していますが、RFC
5396 に記載されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方
で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを
asdot 形式に変更するには、bgp asnotation dot コマンドに続けて、clear bgp * コマンドを実行し、
現在の BGP セッションをすべてハードリセットします。
円滑に移行するには、4 バイト自律システム番号を使用して指定されている自律システム内にあ
るすべての BGP スピーカーで、4 バイト自律システム番号をサポートするようアップグレード
することを推奨します。
例
次に、特権 EXEC モードでの show bgp regexp コマンドの出力例を示します。
Router# show bgp regexp 108$
BGP table version is 1738, local router ID is 172.16.72.24
Status codes: s suppressed, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
Next Hop
Metric LocPrf Weight
* 172.16.0.0
172.16.72.30
0
* 172.16.1.0
172.16.72.30
0
* 172.16.11.0
172.16.72.30
0
* 172.16.14.0
172.16.72.30
0
* 172.16.15.0
172.16.72.30
0
* 172.16.16.0
172.16.72.30
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-74
Path
109 108
109 108
109 108
109 108
109 108
109 108
?
?
?
?
?
?
第4章
show bgp コマンド～ show cpu コマンド
show bgp regexp
*
*
*
*
*
*
*
*
*
*
*
*
172.16.17.0
172.16.18.0
172.16.19.0
172.16.24.0
172.16.29.0
172.16.30.0
172.16.33.0
172.16.35.0
172.16.36.0
172.16.37.0
172.16.38.0
172.16.39.0
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
172.16.72.30
0
0
0
0
0
0
0
0
0
0
0
0
109
109
109
109
109
109
109
109
109
109
109
109
108
108
108
108
108
108
108
108
108
108
108
108
?
?
?
?
?
?
?
?
?
?
?
?
bgp asnotation dot コマンドを設定すると、4 バイト自律システムパスの正規表現一致形式が
asdot 表記法の形式に変更されます。4 バイト自律システム番号は、asplain 形式または asdot 形式
のいずれかを使用して、正規表現で設定できますが、現在のデフォルト形式を使用して設定され
た 4 バイト自律システム番号だけがマッチングされます。最初の例では、show bgp regexp コマン
ドは、asplain 形式で表された 4 バイト自律システム番号を使って設定されています。現在のデ
フォルト形式は asdot 形式なのでマッチングは失敗し、何も出力されません。asdot 形式を使用し
た 2 番目の例では、マッチングは成功し、4 バイトの自律システムパスに関する情報が asdot 表
記法を使って表示されます。
（注）
この asdot 表記法で使用されているピリオドは、シスコの正規表現では特殊文字です。特殊な意
味を取り除くには、ピリオドの前にバックスラッシュを挿入します。
Router# show bgp regexp ^65536$
Router# show bgp regexp ^1\.0$
BGP table version is 2, local router ID is 172.17.1.99
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 10.1.1.0/24
Next Hop
192.168.1.2
Metric LocPrf Weight Path
0
0 1.0 i
次に、bgp asnotation dot コマンドを入力した後の show bgp regexp コマンドの出力例を示しま
す。ここでは、4 バイト自律システム番号を表示しています。
（注）
この asdot 表記法で使用されているピリオドは、シスコの正規表現では特殊文字です。特殊な意
味を取り除くには、ピリオドの前にバックスラッシュを挿入します。
Router# show bgp regexp ^1\.14$
BGP table version is 4, local router ID is 172.17.1.99
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ?- incomplete
Network
*> 10.1.1.0/24
Next Hop
192.168.1.2
Metric LocPrf Weight Path
0
0 1.14
i
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-75
第4章
show bgp コマンド～ show cpu コマンド
show bgp replication
show bgp replication
Border Gateway Protocol（BGP）アップデートグループのアップデート複製統計情報を表示するに
は、EXEC モードで show bgp replication コマンドを使用します。
show bgp replication [index-group | ip-address]
構文の説明
index-group
ip-address
コマンドモード
（オプション）アップデートグループのアップデート複製統計情報を対
応するインデックス番号とともに表示します。アップデートグループ
のインデックス番号の範囲は 1 ～ 4294967295 です。
（オプション）このネイバーのアップデート複製統計情報を表示します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC、ユーザ EXEC
ルーテッド
• Yes
トランスペ
アレント
シングル
• Yes
• Yes
マルチ
コンテキストシステム
• Yes
• Yes
コマンド履歴
リリース
9.2(1)
使用上のガイドライン
このコマンドの出力には、BGP アップデートグループ複製統計情報が表示されます。
変更内容
このコマンドが追加されました。
アウトバウンドポリシーが変更された場合、ルータは、3 分間のタイマー期限が切れた後で、ア
ウトバウンドソフトリセットをトリガーすることにより、自動的にアップデートグループメン
バーシップを再計算し、変更を適用します。この動作は、誤りがあった場合にネットワークオペ
レータがコンフィギュレーションを変更する時間を与えるように設計されています。タイマー
期限が切れる前に、アウトバウンドソフトリセットを手動でイネーブルにするには、
clearbgp ip-address soft out コマンドを入力します。
例
次の show bgp replication コマンドの出力例には、すべてのネイバーのアップデートグループの
複製情報が表示されます。
ciscoasa# show bgp replication
BGP Total Messages Formatted/Enqueued : 0/0
Index
Type
1 internal
2 internal
Members
1
2
Leader
10.4.9.21
10.4.9.5
MsgFmt
0
0
MsgRepl
0
0
Csize
0
0
Qsize
0
0
次の show bgp replication コマンドの出力例には、10.4.9.5 ネイバーのアップデートグループ統
計情報が表示されます。
Router# show bgp replication 10.4.9.5
Index
Type
2 internal
Members
2
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-76
Leader
10.4.9.5
MsgFmt
0
MsgRepl
0
Csize
0
Qsize
0
第4章
show bgp コマンド～ show cpu コマンド
show bgp replication
表 4-23 に、各フィールドの説明を示します。
表 4-23
show bgp replication のフィールド
フィールド説明
Index
アップデートグループのインデックス番号。
Type
ピアのタイプ（内部または外部）。
Members
ダイナミックアップデートピアグループ内のメンバーの数。
Leader
ダイナミックアップデートピアグループの最初のメンバー。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-77
第4章
show bgp コマンド～ show cpu コマンド
show bgp rib-failure
show bgp rib-failure
ルーティング情報ベース（RIB）テーブルへの登録に失敗した Border Gateway Protocol（BGP）ルート
を表示するには、特権 EXEC モードで show bgp rib-failure コマンドを使用します。
show bgp rib-failure
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
特権 EXEC、ユーザ EXEC
コマンド履歴
例
リリース
9.2(1)
•
トランスペ
アレント
シングル
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show bgp rib-failure コマンドの出力例を示します。
ciscoasa# show bgp rib-failure
Network
10.1.15.0/24
10.1.16.0/24
Next Hop
10.1.35.5
10.1.15.1
RIB-failure
Higher admin distance
Higher admin distance
RIB-NH Matches
n/a
n/a
表 4-24 に、各フィールドの説明を示します。
表 4-24
show bgp rib-failure のフィールド
フィールド説明
Network
ネットワークエンティティの IP アドレス。
Next Hop
パケットを宛先ネットワークに転送するときに使用される、次のシステムの IP アド
レス。0.0.0.0 のエントリは、ルータにこのネットワークへの非 BGP ルートがあること
を示します。
RIB-failure RIB 失敗の原因。アドミニストレーティブディスタンスが高いということは、スタ
ティックルートなど優れた（低い）アドミニストレーティブディスタンスを持つルー
トが IP ルーティングテーブルにすでにあることを意味します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-78
第4章
show bgp コマンド～ show cpu コマンド
show bgp rib-failure
表 4-24
show bgp rib-failure のフィールド（続き）
フィールド説明
RIB-NH
Matches
より高いアドミニストレーティブディスタンスが RIB-failure 列に表示され、使用さ
れるアドレスファミリに対して bgp suppress-inactive が設定されている場合にだけ
適用されるルートステータス。次の 3 種類があります。
•
[Yes]：RIB のルートに BGP ルートと同じネクストホップがあるか、またはネク
ストホップが BGP ネクストホップと同じ隣接に再帰することを意味します。
•
[No]：RIB のネクストホップが BGP ルートのネクストホップとは別に再帰す
ることを意味します。
•
[n/a]：使用されるアドレスファミリに対して bgp suppress-inactive が設定され
ないことを意味します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-79
第4章
show bgp コマンド～ show cpu コマンド
show bgp summary
show bgp summary
すべての Border Gateway Protocol（BGP）接続のステータスを表示するには、ユーザ EXEC モードま
たは特権 EXEC モードで show bgp summary コマンドを使用します。
show bgp summary
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC、ユーザ EXEC
コマンド履歴
使用上のガイドライン
リリース
9.2(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
show bgp summary コマンドは、BGP ネイバーへのすべての接続について BGP パス、プレフィッ
クス、および属性情報を表示するために使用します。
プレフィックスは、IP アドレスとネットワークマスクです。これはネットワーク全体、ネット
ワークのサブセット、または単一のホストルートを表すことができます。パスは、所定の宛先へ
のルートです。デフォルトでは、BGP は宛先ごとに 1 つのパスだけをインストールします。マル
チパスルートが設定されている場合、BGP は各マルチパスルートにパスエントリをインストー
ルし、1 つのマルチパスルートにのみ最適パスとマークされます。
BGP 属性とキャッシュエントリは個別にも組み合わせても表示され、これは最適パス選択プロ
セスに影響を与えます。この出力のフィールドは、関連する BGP 機能が設定されているか、また
は属性が受信されたときに表示されます。メモリ使用量はバイト単位で表示されます。
シスコが採用している 4 バイト自律システム番号は、自律システム番号の正規表現のマッチン
グおよび出力表示形式のデフォルトとして asplain（たとえば、65538）を使用していますが、RFC
5396 に記載されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方
で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを
asdot 形式に変更するには、bgp asnotation dot コマンドに続けて、clear bgp * コマンドを実行し、
現在の BGP セッションをすべてハードリセットします。
例
次に、特権 EXEC モードでの show bgp summary コマンドの出力例を示します。
Router# show bgp summary
BGP router identifier 172.16.1.1, local AS number 100
BGP table version is 199, main routing table version 199
37 network entries using 2850 bytes of memory
59 path entries using 5713 bytes of memory
18 BGP path attribute entries using 936 bytes of memory
2 multipath network entries and 4 multipath paths
10 BGP AS-PATH entries using 240 bytes of memory
7 BGP community entries using 168 bytes of memory
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-80
第4章
show bgp コマンド～ show cpu コマンド
show bgp summary
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
90 BGP advertise-bit cache entries using 1784 bytes of memory
36 received paths for inbound soft reconfiguration
BGP using 34249 total bytes of memory
Dampening enabled.4 history paths, 0 dampened paths
BGP activity 37/2849 prefixes, 60/1 paths, scan interval 15 secs
Neighbor
V
AS MsgRcvd MsgSent
TblVer InQ OutQ Up/Down State/PfxRcd
10.100.1.1
4
200
26
22
199
0
0 00:14:23 23
10.200.1.1
4
300
21
51
199
0
0 00:13:40 0
表 4-25 に、各フィールドの説明を示します。
表 4-25
show bgp summary のフィールド
フィールド
説明
BGP router
identifier
優先度とアベイラビリティの順序で、bgp router-id コマンドによって指定さ
れたルータ ID、ループバックアドレス、または最上位 IP アドレス。
BGP table
version
BGP データベースの内部バージョン番号。
main routing
table version
メインルーティングテーブルに注入された BGP データベースの最後の
バージョン。
...network entries BGP データベースの一意のプレフィックスエントリの数。
...using ... bytes
of memory
同じ行のパス、プレフィックス、または属性のエントリのために消費されて
いるメモリ量（バイト単位）。
...path entries
using
BGP データベースのパスエントリの数。単一のパスエントリだけが特定の
宛先にインストールされます。マルチパスルートが設定されている場合、マ
ルチパスルートごとにパスエントリがインストールされます。
...multipath
network entries
using
特定の宛先にインストールされているマルチパスエントリの数。
* ...BGP
path/bestpath
attribute entries
using
パスが最適パスとして選択されている一意の BGP 属性の組み合わせの数。
* ...BGP rrinfo
entries using
ORIGINATOR 属性と CLUSTER_LIST 属性の一意の組み合わせの数。
...BGP AS-PATH 一意の AS_PATH エントリの数。
entries using
...BGP
community
entries using
BGP コミュニティ属性の一意の組み合わせの数。
*...BGP extended 拡張コミュニティ属性の一意の組み合わせの数。
community
entries using
BGP route-map
cache entries
using
BGP ルートマップの match 句と set 句の組み合わせの数。値が 0 の場合、
ルートキャッシュが空であることを示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-81
第4章
show bgp コマンド～ show cpu コマンド
show bgp summary
表 4-25
show bgp summary のフィールド（続き）
フィールド
説明
...BGP filter-list
cache entries
using
AS パスアクセスリストの permit ステートメントまたは deny ステートメン
トに一致するフィルタリストエントリの数。値が 0 の場合、フィルタリスト
キャッシュが空であることを示します。
BGP
advertise-bit
cache entries
using
（Cisco IOS Release 12.4(11)T 以降のリリースだけ）アドバタイズされたビッ
トフィールドエントリの数および関連するメモリ使用量。ビットフィール
ドエントリは、プレフィックスがピアにアドバタイズされるときに生成さ
れる情報（1 ビット）を表します。アドバタイズされたビットキャッシュは、
必要に応じてダイナミックに作成されます。
...received paths
for inbound soft
reconfiguration
インバウンドソフト再構成のために受信され保存されるパスの数。
BGP using...
BGP プロセスによって使用されるメモリの総量（バイト単位）。
Dampening
enabled...
BGP ダンプニングがイネーブルであることを示します。この行には、累積ペ
ナルティを伝送するパスの数およびダンプニングされたパスの数が表示さ
れます。
BGP activity...
パスまたはプレフィックスに対してメモリが割り当てられたか、または解放
された回数を表示します。
Neighbor
ネイバーの IP アドレス。
V
ネイバーに通知される BGP バージョン番号。
AS
自律システム番号。
MsgRcvd
ネイバーから受信されたメッセージ数。
MsgSent
ネイバーに送信されたメッセージ数。
TblVer
ネイバーに送信された BGP データベースの最終バージョン。
InQ
ネイバーで処理するためにキューに格納されたメッセージ数。
OutQ
ネイバーに送信するために、キューに格納されたメッセージ数。
Up/Down
BGP セッションが確立状態となった、または確立状態でない場合は現在の
ステータスになった時間の長さ。
State/PfxRcd
BGP セッションの現在の状態と、ネイバーまたはピアグループから受信さ
れたプレフィックスの数。最大数（neighbor maximum-prefix コマンドで設
定）に達すると、文字列「PfxRcd」がエントリに表示され、ネイバーがシャット
ダウンされて、接続がアイドルに設定されます。
アイドルステータスの（管理者）エントリは、neighbor shutdown コマンドを
使用して接続がシャットダウンされたことを示します。
show bgp summary コマンドの次の出力は、BGP ネイバー 192.168.3.2 がダイナミックに作成さ
れ、この受信範囲グループであるグループ 192 のメンバーであることを示します。この出力は、IP
プレフィックス範囲 192.168.0.0/16 がグループ 192 という名前の受信範囲グループに定義され
ることも示します。Cisco IOS Release 12.2(33)SXH 以降のリリースでは、BGP ダイナミックネイ
バー機能は、ピアグループ（受信範囲グループ）に関連付けられたサブネット範囲を使用して
BGP ネイバーピアのダイナミックな作成をサポートするようになりました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-82
第4章
show bgp コマンド～ show cpu コマンド
show bgp summary
ciscoasa# show bgp summary
BGP router identifier 192.168.3.1, local AS number 45000
BGP table version is 1, main routing table version 1
Neighbor
V
AS MsgRcvd MsgSent
TblVer InQ OutQ Up/Down State/PfxRcd
*192.168.3.2
4 50000
2
2
0
0
0 00:00:37
0
* Dynamically created based on a listen range command
Dynamically created neighbors: 1/(200 max), Subnet ranges: 1
BGP peergroup group192 listen range group members:
192.168.0.0/16
show bgp summary コマンドの次の出力は、4 バイトの異なる自律システム番号（65536 および
65550）の 2 つの BGP ネイバー（192.168.1.2 および 192.168.3.2）を示しています。ローカルな自律
システム 65538 は、4 バイト自律システム番号でもあり、その番号はデフォルトの asplain 形式で
表示されます。
Router# show bgp summary
BGP router identifier 172.17.1.99, local AS number 65538
BGP table version is 1, main routing table version 1
Neighbor
192.168.1.2
192.168.3.2
V
4
4
AS MsgRcvd MsgSent
65536
7
7
65550
4
4
TblVer
1
1
InQ OutQ Up/Down
0
0 00:03:04
0
0 00:00:15
Statd
0
0
show bgp summary コマンドの次の出力は同じ 2 つの BGP ネイバーを示していますが、4 バイト
自律システム番号は asdot 表記法の形式で表示されます。表示形式を変更するには、ルータコン
フィギュレーションモードで bgp asnotation dot コマンドを設定する必要があります。
Router# show bgp summary
BGP router identifier 172.17.1.99, local AS number 1.2
BGP table version is 1, main routing table version 1
Neighbor
192.168.1.2
192.168.3.2
V
4
4
AS MsgRcvd MsgSent
1.0
9
9
1.14
6
6
TblVer
1
1
InQ OutQ Up/Down
0
0 00:04:13
0
0 00:01:24
Statd
0
0
次に、show bgp summary slow コマンドの出力例を示します。
ciscoasa> show bgp summary slow
BGP router identifier 2.2.2.2, local AS number 100
BGP table version is 37, main routing table version 37
36 network entries using 4608 bytes of memory
36 path entries using 1872 bytes of memory
1/1 BGP path/bestpath attribute entries using 124 bytes of memory
1 BGP rrinfo entries using 24 bytes of memory
2 BGP AS-PATH entries using 48 bytes of memory
1 BGP extended community entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 6700 total bytes of memory
BGP activity 46/0 prefixes, 48/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
6.6.6.6 4 100 11 10 1 0 0 00:44:20 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-83
第4章
show bgp コマンド～ show cpu コマンド
show bgp system-config
show bgp system-config
ユーザコンテキストでシステムコンテキストの bgp の実行コンフィギュレーションを表示する
には、ユーザ EXEC モードまたは特権 EXEC モードで show bgp system-config コマンドを使用し
ます。
show bgp system-config
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC、ユーザ EXEC
コマンド履歴
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
このコマンドは、引数またはキーワードを指定せずにユーザコンテキストでだけ使用できます。
このコマンドは、システムコンテキストによってユーザコンテキストに対して適用される実行
コンフィギュレーションを確認する場合に役立つことがあります。
例
次の出力例は、show bgp system-config コマンドをユーザ EXEC モードで入力すると表示される
出力に類似しています。
ciscoasa/c1(config)# show bgp system-config
router bgp 1
bgp log-neighbor-changes
no bgp always-compare-med
no bgp asnotation dot
no bgp bestpath med
no bgp bestpath compare-routerid
bgp default local-preference 100
no bgp deterministic-med
bgp enforce-first-as
bgp maxas-limit 0
bgp transport path-mtu-discovery
timers bgp 60 180 0
address-family ipv4 unicast
bgp scan-time 0
bgp nexthop trigger enable
bgp nexthop trigger delay 5
exit-address-family
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-84
第4章
show bgp コマンド～ show cpu コマンド
show blocks
show blocks
パケットバッファの使用状況を表示するには、特権 EXEC モードで show blocks コマンドを使用
します。
show blocks [{address hex | all | assigned | free | old | pool size [summary]} [diagnostics |
dump | header | packet] | queue history | [exhaustion snapshot | history [list]
[1-MAX_NUM_SNAPSHOT | index] [detail]]
構文の説明
address hex
（オプション）このアドレスに対応するブロックを 16 進数で表示
します。
all
（オプション）すべてのブロックを表示します。
assigned
（オプション）割り当て済みでアプリケーションによって使用され
ているブロックを表示します。
detail
（オプション）一意のキュータイプごとに最初のブロックの一部
（128 バイト）を表示します。
dump
（オプション）ヘッダーとパケットの情報を含め、ブロックの内容
全体を表示します。dump と packet の相違点は、dump の場合、ヘッ
ダーとパケットに関する追加情報が含まれることです。
diagnostics
（オプション）ブロックの診断を表示します。
exhaustion snapshot
（オプション）取得されたスナップショットの最後の x 番号（x は現
時点では 10）および最後のスナップショットのタイムスタンプを
出力します。スナップショットが取得された後、5 分以上経過しな
いと別のスナップショットは取得されません。
free
（オプション）使用可能なブロックを表示します。
header
（オプション）ブロックのヘッダーを表示します。
history
1-MAX_NUM_SNAPSHOT
history オプションは、最近のスナップショットと履歴内のすべて
のスナップショットを表示します。
history index
history list オプションは、履歴内のスナップショットの要約を表
示します。
history list
history index オプションは、履歴内のスナップショットのインデッ
クスを表示します。
history 1-MAX_NUM_SNAPSHOT オプションは、履歴内の 1 つのス
ナップショットだけを表示します。
old
（オプション）1 分よりも前に割り当てられたブロックを表示し
ます。
packet
（オプション）ブロックのヘッダーおよびパケットの内容を表示し
ます。
pool size
（オプション）特定のサイズのブロックを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-85
第4章
show bgp コマンド～ show cpu コマンド
show blocks
queue history
（オプション）ASA がブロックを使い果たしたときに、ブロックが
割り当てられる位置を表示します。プール内のブロックが割り当
てられることはありますが、ブロックがキューに割り当てられる
ことはありません。この場合は、ブロックを割り当てたコードのア
ドレスが割り当て場所になります。
summary
（オプション）ブロックの使用状況に関する詳細情報を表示します。
この情報は、このクラスにブロックを割り当てたアプリケーション
のプログラムアドレス、このクラスのブロックを解放したアプリ
ケーションのプログラムアドレス、およびこのクラスの有効なブ
ロックが属しているキューを基準としてソートされています。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
マルチ
コンテキストシステム
Yes
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.0(2)
dupb ブロックは、4 バイトブロックではなく長さが 0 のブロックを使用
するようになりました。0 バイトブロック用の 1 行が追加されました。
9.1(5)
exhaustion snapshot、history list、history index、history
1-MAX_NUM_SNAPSHOT の各オプションが追加されました。
pool summary オプションが追加されました。
show blocks コマンドは、ASA が過負荷になっているかどうかを判断する場合に役立ちます。こ
のコマンドは、事前割り当て済みのシステムバッファの使用状況を表示します。トラフィックが
ASA 経由で伝送されている限り、メモリがいっぱいになっている状態は問題にはなりません。
show conn コマンドを使用すると、トラフィックが伝送されているかどうかを確認できます。ト
ラフィックが伝送されておらず、かつメモリがいっぱいになっている場合は、問題がある可能性
があります。
この情報は、SNMP を使用して表示することもできます。
セキュリティコンテキスト内で表示される情報には、使用中のブロック、およびブロック使用状
況の高基準値に関する、システム全体の情報およびコンテキスト固有の情報が含まれます。
出力の説明については、「例」を参照してください。
例
次に、シングルモードでの show blocks コマンドの出力例を示します。
ciscoasa# show blocks
SIZE
MAX
LOW
0
100
99
CNT
100
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-86
第4章
show bgp コマンド～ show cpu コマンド
show blocks
4
80
256
1550
16384
2048
1600
400
3600
4716
10
1000
1598
398
3540
3177
10
1000
1599
399
3542
3184
10
1000
表 4-26 に、各フィールドの説明を示します。
表 4-26
show blocks のフィールド
フィールド説明
SIZE
ブロックプールのサイズ（バイト単位）。それぞれのサイズは、特定のタイプを表し
ています。
0
dupb ブロックで使用されます。
4
DNS、ISAKMP、URL フィルタリング、uauth、TFTP、TCP モジュールなどのアプリ
ケーションの既存ブロックを複製します。またこのサイズのブロックは、通常、パ
ケットをドライバに送信するコードなどで使用されます。
80
TCP 代行受信で確認応答パケットを生成するために、およびフェールオーバー
hello メッセージに使用されます。
256
ステートフルフェールオーバーアップデート、syslog 処理、およびその他の TCP 機
能に使用されます。
これらのブロックは、主にステートフルフェールオーバーのメッセージに使用され
ます。アクティブな ASA は、パケットを生成してスタンバイ ASA に送信し、変換と
接続のテーブルを更新します。接続が頻繁に作成または切断されるバーストトラ
フィックが発生すると、使用可能なブロックの数が 0 まで低下することがありま
す。この状況は、1 つまたはそれ以上の接続がスタンバイ ASA に対して更新されな
かったことを示しています。ステートフルフェールオーバープロトコルは、不明な
変換または接続を次回に捕捉します。256 バイトブロックの CNT 列が長時間にわ
たって 0 またはその付近で停滞している場合は、ASA の処理している 1 秒あたりの
接続数が非常に多いために、変換テーブルと接続テーブルの同期が取れている状態
を ASA が維持できない問題が発生します。
ASA から送信される syslog メッセージも 256 バイトブロックを使用しますが、256
バイトブロックプールが枯渇するような量が発行されることは通常ありません。
CNT 列の示す 256 バイトブロックの数が 0 に近い場合は、Debugging（レベル 7）の
ログを syslog サーバに記録していないことを確認してください。この情報は、ASA
コンフィギュレーションの logging trap 行に示されています。ロギングは、デバッグ
のために詳細な情報が必要となる場合を除いて、Notification（レベル 5）以下に設定
することを推奨します。
1550
ASA で処理するイーサネットパケットを格納するために使用されます。
パケットは、ASA インターフェイスに入ると入力インターフェイスキューに配置
され、次にオペレーティングシステムに渡されてブロックに配置されます。ASA
は、パケットを許可するか拒否するかをセキュリティポリシーに基づいて決定し、
パケットを発信インターフェイス上の出力キューに配置します。ASA がトラ
フィック負荷に対応できていない場合は、使用可能なブロックの数が 0 付近で停滞
します（このコマンドの出力の CNT 列に示されます）。CNT 列が 0 の場合、ASA は
より多くのブロックを割り当てようとします。このコマンドを発行すると、1550 バ
イトブロックの最大が 8192 を超える場合があります。使用可能なブロックがなく
なった場合、ASA はパケットをドロップします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-87
第4章
show bgp コマンド～ show cpu コマンド
show blocks
表 4-26
show blocks のフィールド（続き）
フィールド説明
16384
64 ビット 66 MHz のギガビットイーサネットカード（i82543）にのみ使用されます。
イーサネットパケットの詳細については、1550 の説明を参照してください。
2048
制御の更新に使用される制御フレームまたはガイド付きフレーム。
MAX
指定したバイトブロックのプールで使用可能なブロックの最大数。起動時に、最大
限のブロック数がメモリから切り分けられます。通常、ブロックの最大数は変化し
ません。例外は 256 バイトブロックおよび 1550 バイトブロックで、ASA は必要に
応じてより多くのブロックをダイナミックに作成できます。このコマンドを発行す
ると、1550 バイトブロックの最大が 8192 を超える場合があります。
LOW
低基準値。この数は、ASA の電源がオンになった時点、またはブロックが（clear
blocks コマンドで）最後にクリアされた時点から、このサイズの使用可能なブロッ
クが最も少なくなったときの数を示しています。LOW 列が 0 である場合は、先行の
イベントでメモリがいっぱいになったことを示します。
CNT
特定のサイズのブロックプールで現在使用可能なブロックの数。CNT 列が 0 であ
る場合は、メモリが現在いっぱいであることを意味します。
次に、show blocks all コマンドの出力例を示します。
ciscoasa# show blocks all
Class 0, size 4
Block
allocd_by
freed_by
0x01799940 0x00000000 0x00101603
0x01798e80 0x00000000 0x00101603
0x017983c0 0x00000000 0x00101603
data size
0
0
0
alloccnt
0
0
0
dup_cnt oper location
0 alloc not_specified
0 alloc not_specified
0 alloc not_specified
...
Found 1000 of 1000 blocks
Displaying 1000 of 1000 blocks
表 4-27 に、各フィールドの説明を示します。
表 4-27
show blocks all のフィールド
フィールド説明
Block
ブロックのアドレス。
allocd_by
ブロックを最後に使用したアプリケーションのプログラムアドレス（使用されてい
ない場合は 0）。
freed_by
ブロックを最後に解放したアプリケーションのプログラムアドレス。
data size
ブロック内部のアプリケーションバッファまたはパケットデータのサイズ。
alloccnt
このブロックが作成されてから使用された回数。
dup_cnt
このブロックに対する現時点での参照回数（このブロックが使用されている場合）。
0 は 1 回の参照、1 は 2 回の参照を意味します。
oper
ブロックに対して最後に実行された操作。alloc、get、put、free の 4 つのいずれかです。
location
ブロックを使用しているアプリケーション。または、ブロックを最後に割り当てた
アプリケーションのプログラムアドレス（allocd_by フィールドと同じ）。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-88
第4章
show bgp コマンド～ show cpu コマンド
show blocks
次に、コンテキスト内での show blocks コマンドの出力例を示します。
ciscoasa/contexta# show blocks
SIZE
MAX
LOW
CNT INUSE
4
1600
1599
1599
0
80
400
400
400
0
256
3600
3538
3540
0
1550
4616
3077
3085
0
HIGH
0
0
1
0
次に、show blocks queue history コマンドの出力例を示します。
ciscoasa# show blocks queue history
Each Summary for User and Queue_type is followed its top 5 individual queues
Block Size: 4
Summary for User "http", Queue "tcp_unp_c_in", Blocks 1595, Queues 1396
Blk_cnt Q_cnt Last_Op Queue_Type
User
Context
186
1 put
contexta
15
1 put
contexta
1
1 put
contexta
1
1 put
contextb
1
1 put
contextc
Summary for User "aaa", Queue "tcp_unp_c_in", Blocks 220, Queues 200
Blk_cnt Q_cnt Last_Op Queue_Type
User
Context
21
1 put
contexta
1
1 put
contexta
1
1 put
contexta
1
1 put
contextb
1
1 put
contextc
Blk_cnt Q_cnt Last_Op Queue_Type
User
Context
200
1 alloc
ip_rx
tcp
contexta
108
1 get
ip_rx
udp
contexta
85
1 free
fixup
h323_ras contextb
42
1 put
fixup
skinny
contextb
Block Size: 1550
Summary for User "http", Queue "tcp_unp_c_in", Blocks 1595, Queues 1000
Blk_cnt Q_cnt Last_Op Queue_Type
User
Context
186
1 put
contexta
15
1 put
contexta
1
1 put
contexta
1
1 put
contextb
1
1 put
contextc
...
次に、show blocks queue history detail コマンドの出力例を示します。
ciscoasa# show blocks queue history detail
History buffer memory usage: 2136 bytes (default)
Each Summary for User and Queue type is followed its top 5 individual queues
Block Size: 4
Summary for User "http", Queue_Type "tcp_unp_c_in", Blocks 1595, Queues 1396
Blk_cnt Q_cnt Last_Op Queue_Type
User
Context
186
1 put
contexta
15
1 put
contexta
1
1 put
contexta
1
1 put
contextb
1
1 put
contextc
First Block information for Block at 0x.....
dup_count 0, flags 0x8000000, alloc_pc 0x43ea2a,
start_addr 0xefb1074, read_addr 0xefb118c, write_addr 0xefb1193
urgent_addr 0xefb118c, end_addr 0xefb17b2
0efb1150: 00 00 00 03 47 c5 61 c5 00 05 9a 38 76 80 a3 00 | ....G.a....8v...
0efb1160: 00 0a 08 00 45 00 05 dc 9b c9 00 00 ff 06 f8 f3 | ....E...........
0efb1170: 0a 07 0d 01 0a 07 00 50 00 17 cb 3d c7 e5 60 62 | .......P...=..`b
0efb1180: 7e 73 55 82 50 18 10 00 45 ca 00 00 2d 2d 20 49 | ~sU.P...E...-- I
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-89
第4章
show bgp コマンド～ show cpu コマンド
show blocks
0efb1190: 50 20 2d 2d 0d 0a 31 30 2e 37 2e 31 33 2e 31 09
0efb11a0: 3d 3d 3e 09 31 30 2e 37 2e 30 2e 38 30 0d 0a 0d
|
|
P --..10.7.13.1.
==>.10.7.0.80...
Summary for User "aaa", Queue "tcp_unp_c_in", Blocks 220, Queues 200
Blk_cnt Q_cnt Last_Op Queue_Type
User
Context
21
1 put
contexta
1
1 put
contexta
1
1 put
contexta
1
1 put
contextb
1
1 put
contextc
First Block information for Block at 0x.....
dup_count 0, flags 0x8000000, alloc_pc 0x43ea2a,
start_addr 0xefb1074, read_addr 0xefb118c, write_addr 0xefb1193
urgent_addr 0xefb118c, end_addr 0xefb17b2
0efb1150: 00 00 00 03 47 c5 61 c5 00 05 9a 38 76 80 a3 00 | ....G.a....8v...
0efb1160: 00 0a 08 00 45 00 05 dc 9b c9 00 00 ff 06 f8 f3 | ....E...........
0efb1170: 0a 07 0d 01 0a 07 00 50 00 17 cb 3d c7 e5 60 62 | .......P...=..`b
0efb1180: 7e 73 55 82 50 18 10 00 45 ca 00 00 2d 2d 20 49 | ~sU.P...E...-- I
0efb1190: 50 20 2d 2d 0d 0a 31 30 2e 37 2e 31 33 2e 31 09 | P --..10.7.13.1.
0efb11a0: 3d 3d 3e 09 31 30 2e 37 2e 30 2e 38 30 0d 0a 0d | ==>.10.7.0.80...
...
total_count: total buffers in this class
次に、show blocks pool summary コマンドの出力例を示します。
ciscoasa# show blocks pool 1550 summary
Class 3, size 1550
=================================================
total_count=1531
miss_count=0
Alloc_pc
valid_cnt
invalid_cnt
0x3b0a18
00000256
00000000
0x01ad0760 0x01acfe00 0x01acf4a0 0x01aceb40 00000000 0x00000000
0x3a8f6b
00001275
00000012
0x05006aa0 0x05006140 0x050057e0 0x05004520 00000000
0x00000000
=================================================
total_count=9716
miss_count=0
Freed_pc
valid_cnt
invalid_cnt
0x9a81f3
00000104
00000007
0x05006140 0x05000380 0x04fffa20 0x04ffde00 00000000
0x9a0326
00000053
00000033
0x05006aa0 0x050057e0 0x05004e80 0x05003260 00000000
0x4605a2
00000005
00000000
0x04ff5ac0 0x01e8e2e0 0x01e2eac0 0x01e17d20 00000000
...
=================================================
total_count=1531
miss_count=0
Queue
valid_cnt
invalid_cnt
0x3b0a18
00000256
00000000 Invalid Bad qtype
0x01ad0760 0x01acfe00 0x01acf4a0 0x01aceb40 00000000
0x3a8f6b
00001275
00000000 Invalid Bad qtype
0x05006aa0 0x05006140 0x050057e0 0x05004520 00000000
0x00000000
0x00000000
0x00000000
0x00000000
0x00000000
=================================================
free_cnt=8185 fails=0 actual_free=8185 hash_miss=0
03a8d3e0 03a8b7c0 03a7fc40 03a6ff20 03a6f5c0 03a6ec60 kao-f1#
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-90
第4章
show bgp コマンド～ show cpu コマンド
show blocks
次に、show blocks exhaustion history list コマンドの出力例を示します。
ciscoasa# show blocks exhaustion history list
1 Snapshot created at 18:01:03 UTC Feb 19 2014:
Snapshot created due to 16384 blocks running out
2 Snapshot created at 18:02:03 UTC Feb 19 2014:
Snapshot created due to 16384 blocks running out
3 Snapshot created at 18:03:03 UTC Feb 19 2014:
Snapshot created due to 16384 blocks running out
4 Snapshot created at 18:04:03 UTC Feb 19 2014:
Snapshot created due to 16384 blocks running out
表 4-28 に、各フィールドの説明を示します。
表 4-28
関連コマンド
show blocks pool summary のフィールド
フィールド
説明
total_count
指定したクラスのブロックの数。
miss_count
技術的な理由により、指定したカテゴリでレポートされなかったブロック
の数。
Freed_pc
このクラスのブロックを解放したアプリケーションのプログラムアドレス。
Alloc_pc
このクラスにブロックを割り当てたアプリケーションのプログラムアドレス。
Queue
このクラスの有効なブロックが属しているキュー。
valid_cnt
現時点で割り当てられているブロックの数。
invalid_cnt
現時点では割り当てられていないブロックの数。
Invalid Bad qtype
このキューが解放されて内容が無効になっているか、このキューは初期化さ
れていませんでした。
Valid
tcp_usr_conn_inp
キューは有効です。
コマンド
blocks
説明
clear blocks
システムバッファの統計情報をクリアします。
show conn
アクティブな接続を表示します。
ブロック診断に割り当てられるメモリを増やします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-91
第4章
show bgp コマンド～ show cpu コマンド
show boot device（IOS）
show boot device（IOS）
デフォルトの起動パーティションを表示するには、show boot device コマンドを使用します。
show boot device [mod_num]
構文の説明
mod_num
デフォルト
デフォルトの起動パーティションは cf:4 です。
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(1)
（オプション）モジュール番号を指定します。インストールされたモジュー
ルとその番号を表示するには、show module コマンドを使用します。
変更内容
このコマンドが追加されました。
次に、Cisco IOS ソフトウェア上でインストール済みの各 ASA の起動パーティションを表示する
show boot device コマンドの出力例を示します。
例
Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:
関連コマンド
コマンド
boot device (IOS)
説明
show module (IOS)
インストールされているすべてのモジュールを表示します。
デフォルトの起動パーティションを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-92
第4章
show bgp コマンド～ show cpu コマンド
show bootvar
show bootvar
ブートファイルとコンフィギュレーションのプロパティを表示するには、特権 EXEC モードで
show bootvar コマンドを使用します。
show bootvar
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.2(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
BOOT 変数は、さまざまなデバイスに関するブート可能イメージのリストを指定します。
CONFIG_FILE 変数は、システム初期化中に使用されるコンフィギュレーションファイルを指定
します。これらの変数は、それぞれ boot system コマンドと boot config コマンドで設定します。
例
BOOT 変数は disk0:/f1_image を保持しています。これは、システムのリロード時にブートされる
イメージです。BOOT の現在の値は、disk0:/f1_image; disk0:/f1_backupimage です。この値は、BOOT
変数が boot system コマンドで変更されているものの、実行コンフィギュレーションがまだ write
memory コマンドで保存されていないことを意味しています。実行コンフィギュレーションを保
存すると、BOOT 変数と現在の BOOT 変数が両方とも disk0:/f1_image; disk0:/f1_backupimage にな
ります。実行コンフィギュレーションが保存済みである場合、ブートローダは BOOT 変数の内容
をロードしようとします。つまり、disk0:/f1image を起動します。このイメージが存在しないか無効
である場合は、disk0:1/f1_backupimage をブートしようとします。
CONFIG_FILE 変数は、システムのスタートアップコンフィギュレーションを指します。この例
ではこの変数が設定されていないため、スタートアップコンフィギュレーションファイルは、
boot config コマンドで指定したデフォルトです。現在の CONFIG_FILE 変数は、boot config コマ
ンドで変更して、write memory コマンドで保存できます。
次に、show bootvar コマンドの出力例を示します。
ciscoasa# show bootvar
BOOT variable = disk0:/f1_image
Current BOOT variable = disk0:/f1_image; disk0:/f1_backupimage
CONFIG_FILE variable =
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-93
第4章
show bgp コマンド～ show cpu コマンド
show bootvar
Current CONFIG_FILE variable =
ciscoasa#
関連コマンド
コマンド
boot
説明
起動時に使用されるコンフィギュレーションファイルまたはイメー
ジファイルを指定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-94
第4章
show bgp コマンド～ show cpu コマンド
show bridge-group
show bridge-group
割り当てられたインターフェイス、MAC アドレス、IP アドレスなどブリッジグループ情報を表
示するには、特権 EXEC モードで show bridge-group コマンドを使用します。
show bridge-group bridge-group-number
構文の説明
bridge-group-number
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ブリッジグループ番号を 1 ～ 100 の整数で指定します。
ファイアウォールモードセキュリティコンテキスト
コマンド履歴
例
コマンドモード
ルーテッド
特権 EXEC
—
リリース
8.4(1)
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、IPv4 アドレスを指定した show bridge-group コマンドの出力例を示します。
ciscoasa# show bridge-group 1
Interfaces: GigabitEthernet0/0.101, GigabitEthernet0/0.201
Management System IP Address: 10.0.1.1 255.255.255.0
Management Current IP Address: 10.0.1.1 255.255.255.0
Management IPv6 Global Unicast Address(es):
N/A
Static mac-address entries: 0
Dynamic mac-address entries: 2
次に、IPv4 アドレスおよび IPv6 アドレスを指定した show bridge-group コマンドの出力例を示
します。
ciscoasa# show bridge-group 1
Interfaces: GigabitEthernet0/0.101, GigabitEthernet0/0.201
Management System IP Address: 10.0.1.1 255.255.255.0
Management Current IP Address: 10.0.1.1 255.255.255.0
Management IPv6 Global Unicast Address(es):
2000:100::1, subnet is 2000:100::/64
2000:101::1, subnet is 2000:101::/64
2000:102::1, subnet is 2000:102::/64
Static mac-address entries: 0
Dynamic mac-address entries: 2
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-95
第4章
show bgp コマンド～ show cpu コマンド
show bridge-group
関連コマンド
コマンド
bridge-group
説明
clear configure
interface bvi
ブリッジグループインターフェイスコンフィギュレーションをクリ
アします。
interface
インターフェイスを設定します。
interface bvi
ブリッジ仮想インターフェイスを作成します。
ip address
ブリッジグループの管理 IP アドレスを設定します。
show running-config
interface bvi
ブリッジグループインターフェイスコンフィギュレーションを表示
します。
トランスペアレントファイアウォールインターフェイスをブリッジ
グループにグループ化します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-96
第4章
show bgp コマンド～ show cpu コマンド
show call-home
show call-home
設定した Call Home 情報を表示するには、特権 EXEC モードで show call-home コマンドを使用
します。
[cluster exec] show call-home [alert-group | detail | events | mail-server status | profile {profile
_name | all} | statistics]
構文の説明
alert-group
（オプション）使用可能なアラートグループを表示します。
cluster exec
（オプション）クラスタリング環境では、あるユニットで show
call-home コマンドを発行し、そのコマンドを他のすべてのユニットで
同時に実行できます。
detail
（オプション）Call Home コンフィギュレーションの詳細を表示します。
events
（オプション）現在の検出されたイベントを表示します。
（オプション）Call Home メールサーバのステータス情報を表示します。
profile profile _name all （オプション）すべての既存プロファイルのコンフィギュレーション情
報を表示します。
statistics
（オプション）Call Home の統計情報を表示します。
mail-server status
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
8.2(2)
変更内容
9.1(3)
show cluster history コマンドおよび show cluster info コマンドの出力を含める
ために、Smart Call Home メッセージの新しいタイプが追加されました。
このコマンドが追加されました。
次に、設定された Call Home 設定を表示する show call-home コマンドの出力例を示します。
ciscoasa# show call-home
Current Smart Call-Home settings:
Smart Call-Home feature : enable
Smart Call-Home message's from address: [email protected]
Smart Call-Home message's reply-to address: [email protected]
contact person's email address: [email protected]
contact person's phone: 111-222-3333
street address: 1234 Any Street, Any city, Any state, 12345
customer ID: ExampleCorp
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-97
第4章
show bgp コマンド～ show cpu コマンド
show call-home
contract ID: X123456789
site ID: SantaClara
Mail-server[1]: Address: smtp.example.com Priority: 1
Mail-server[2]: Address: 192.168.0.1 Priority: 10
Rate-limit: 60 message(s) per minute
Available alert groups:
Keyword
State
------------------------ ------Syslog Enable
diagnostic Enable
environmental Enable
inventory Enable
configuration Enable
firewall Enable
troubleshooting Enable
report Enable
Profiles:
Profile Name: CiscoTAC-1
Profile Name: prof1
Profile Name: prof2
次に、Call Home コンフィギュレーション情報の詳細を表示する show call-home detail コマンド
の出力例を示します。
ciscoasa# show call-home detail
Description: Show smart call-home configuration in detail.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Current Smart Call-Home settings:
Smart Call-Home feature: enable
Smart Call-Home message's from address: [email protected]
Smart Call-Home message's reply-to address: [email protected]
contact person's email address: [email protected]
contact person's phone: 111-222-3333
street address: 1234 Any Street, Any city, Any state, 12345
customer ID: 111111
contract ID: 123123
site ID: SantaClara
Mail-server[1]: Address: example.example.com Priority: 1
Mail-server[2]: Address: example.example.com Priority: 10
Rate-limit: 60 message(s) per minute
Available alert groups:
Keyword State
------------------------ ------syslog Enable
diagnostic Enable
environmental Enable
inventory Enable
configuration Enable
firewall Enable
troubleshooting Enable
report Enable
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): [email protected]
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory message is scheduled monthly at 01:00
Alert-group Severity
------------------------ -----------inventory n/a
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-98
第4章
show bgp コマンド～ show cpu コマンド
show call-home
Profile Name: prof1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): [email protected]
HTTP address(es): https://kafan-lnx-01.cisco.com:8443/sch/sch.jsp
Periodic configuration message is scheduled daily at 01:00
Periodic inventory message is scheduled every 60 minutes
Alert-group Severity
------------------------ -----------configuration n/a
inventory n/a
Profile Name: prof2
Profile status: ACTIVE Preferred Message Format: short-text
Message Size Limit: 1048576 Bytes
Email address(es): [email protected]
HTTP address(es): https://example.example.com:8443/sch/sch.jsp
Periodic configuration message is scheduled every 1 minutes
Periodic inventory message is scheduled every 1 minutes
Alert-group Severity
------------------------ -----------configuration n/a
inventory n/a
次に、使用可能な Call Home イベントを表示する show call-home events コマンドの出力例を示し
ます。
ciscoasa# show call-home events
Description: Show current detected events.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Active event list:
Event client alert-group severity active (sec)
-------------------------------------------------------------------Configuration Client configuration none 5
Inventory inventory none 15
次に、使用可能な Call Home メールサーバのステータスを表示する show call-home mail-server
status コマンドの出力例を示します。
ciscoasa# show call-home mail-server status
Description: Show smart call-home configuration, status, and statistics.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Mail-server[1]: Address: example.example.com Priority: 1 [Available]
Mail-server[2]: Address: example.example.com Priority: 10 [Not Available]
次に、使用可能なアラートグループを表示する show call-home alert-group コマンドの出力例を
示します。
ciscoasa# show call-home alert-group
Description: Show smart call-home alert-group states.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Available alert groups:
Keyword State
------------------------ ------syslog Enable
diagnostic Enable
environmental Enable
inventory Enable
configuration Enable
firewall Enable
troubleshooting Enable
report Enable
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-99
第4章
show bgp コマンド～ show cpu コマンド
show call-home
次に、show call-home profile profile-name | all コマンドの出力例と、すべての定義済みプロファ
イルおよびユーザ定義プロファイルに関する情報を示します。
ciscoasa# show call-home profile {profile-name | all}
Description: Show smart call-home profile configuration.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): [email protected]
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory message is scheduled monthly at 01:00
Alert-group Severity
------------------------ -----------inventory n/a
Profile Name: prof1
Profile status: ACTIVE Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Email address(es): [email protected]
HTTP address(es): https://example.example.com:8443/sch/sch.jsp
Periodic configuration message is scheduled daily at 01:00
Periodic inventory message is scheduled every 60 minutes
Alert-group Severity
------------------------ -----------configuration n/a
inventory n/a
Profile Name: prof2
Profile status: ACTIVE Preferred Message Format: short-text
Message Size Limit: 1048576 Bytes
Email address(es): [email protected]
HTTP address(es): https://example.example.com:8443/sch/sch.jsp
Periodic configuration message is scheduled every 1 minutes
Periodic inventory message is scheduled every 1 minutes
Alert-group Severity
------------------------ -----------configuration n/a
inventory n/a
次に、Call Home の統計情報を表示する show call-home statistics コマンドの出力例を示します。
ciscoasa# show call-home statistics
Description: Show smart call-home statistics.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Message Types Total Email HTTP
-------------------- ---------------- ---------------- ---------------Total Success 0 0 0
Total In-Queue 0 0 0
Total Dropped 5 4 1
Tx Failed 5 4 1
inventory 3 2 1
configuration 2 2 0
Event Types Total
-------------------- ---------------Total Detected 2
inventory 1
configuration 1
Total In-Queue 0
Total Dropped 0
Last call-home message sent time: 2009-06-17 14:22:09 GMT-07:00
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-100
第4章
show bgp コマンド～ show cpu コマンド
show call-home
次に、Call Home の統計情報を表示する show call-home status コマンドの出力例を示します。
ciscoasa# show call-home mail-server status
Description: Show smart call-home configuration, status, and statistics.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Mail-server[1]: Address: kafan-lnx-01.cisco.com Priority: 1 [Available]
Mail-server[2]: Address: kafan-lnx-02.cisco.com Priority: 10 [Not Available]
37.ciscoasa# show call-home events
Description: Show current detected events.
Supported Modes: single mode and system context in multi mode, routed/transparent.
Output:
Active event list:
Event client alert-group severity active (sec)
-------------------------------------------------------------------Configuration Client configuration none 5
Inventory inventory none 15
次に、クラスタの Call Home の統計情報を表示する cluster exec show call-home statistics コマン
ドの出力例を示します。
ciscoasa(config)# cluster exec show call-home statistics
A(LOCAL):*************************************************************
Message Types
Total
Email
HTTP
----------------------------------- ---------------- ---------------Total Success
3
3
0
test
3
3
0
Total In-Delivering
0
0
0
Total In-Queue
0
0
0
Total Dropped
Tx Failed
configuration
test
8
8
2
6
8
8
2
6
0
0
0
0
Event Types
-------------------Total Detected
configuration
test
Total
---------------10
1
9
Total In-Processing
0
Total In-Queue
0
Total Dropped
0
Last call-home message sent time: 2013-04-15 05:37:16 GMT+00:00
B:********************************************************************
Message Types
Total
Email
HTTP
----------------------------------- ---------------- ---------------Total Success
1
1
0
test
1
1
0
Total In-Delivering
0
0
0
Total In-Queue
0
0
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-101
第4章
show bgp コマンド～ show cpu コマンド
show call-home
Total Dropped
Tx Failed
configuration
2
2
2
Event Types
-------------------Total Detected
configuration
test
Total
---------------2
1
1
Total In-Processing
0
Total In-Queue
0
Total Dropped
2
2
2
0
0
0
0
Last call-home message sent time: 2013-04-15 05:36:16 GMT+00:00
C:********************************************************************
Message Types
Total
Email
HTTP
----------------------------------- ---------------- ---------------Total Success
0
0
0
Total In-Delivering
0
0
0
Total In-Queue
0
0
0
Total Dropped
Tx Failed
configuration
2
2
2
2
2
2
0
0
0
Event Types
-------------------Total Detected
configuration
Total
---------------1
1
Total In-Processing
0
Total In-Queue
0
Total Dropped
0
Last call-home message sent time: n/a
D:********************************************************************
Message Types
Total
Email
HTTP
----------------------------------- ---------------- ---------------Total Success
1
1
0
test
1
1
0
Total In-Delivering
0
0
0
Total In-Queue
0
0
0
Total Dropped
Tx Failed
configuration
2
2
2
2
2
2
0
0
0
Event Types
-------------------Total Detected
configuration
test
Total
---------------2
1
1
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-102
第4章
show bgp コマンド～ show cpu コマンド
show call-home
Total In-Processing
0
Total In-Queue
0
Total Dropped
0
Last call-home message sent time: 2013-04-15 05:35:34 GMT+00:00
ciscoasa(config)#
関連コマンド
コマンド
call-home
説明
call-home send alert-group
特定のアラートグループメッセージを
送信します。
service call-home
Call Home をイネーブルまたはディ
セーブルにします。
Call Home コンフィギュレーション
モードを開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-103
第4章
show bgp コマンド～ show cpu コマンド
show call-home registered-module status
show call-home registered-module status
登録されたモジュールのステータスを表示するには、特権 EXEC モードで show call-home
registered-module status コマンドを使用します。
show call-home registered-module status [all]
（注）
[all] オプションは、システムコンテキストモードでのみ有効です。
構文の説明
all
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
コンテキスト単位ではなく、デバイスに基づいてモジュールステータ
スを表示します。マルチコンテキストモードでは、少なくとも 1 つの
コンテキストでモジュールがイネーブルにされている場合、「all」オプ
ションが含まれていれば、イネーブルにされていると表示されます。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
8.2(2)
Yes
•
•
Yes
•
Yes
マルチ
コンテキストシステム
—
変更内容
このコマンドが追加されました。
次に、show call-home registered-module status all の出力例を示します。
Output:
Module Name Status
---------------------------------------- -------------------Smart Call-Home enabled
Failover Standby/Active
関連コマンド
コマンド
call-home
説明
call-home send alert-group
特定のアラートグループメッセージを
送信します。
service call-home
Call Home をイネーブルまたはディセー
ブルにします。
Call Home コンフィギュレーションモー
ドを開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-104
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show capture
show capture
オプションを指定しない場合のキャプチャのコンフィギュレーションを表示するには、特権
EXEC モードで show capture コマンドを使用します。
[cluster exec] show capture [capture_name] [access-list access_list_name] [count number]
[decode] [detail] [dump] [packet-number number]
構文の説明
access-list
（オプション）特定のアクセスリスト ID の IP フィールドまたはより高位の
access_list_name フィールドに基づいて、パケットに関する情報を表示します。
capture_name
（オプション）パケットキャプチャの名前を指定します。
cluster exec
（オプション）クラスタリング環境では、あるユニットで show capture コマン
ドを発行し、そのコマンドを他のすべてのユニットで同時に実行できます。
count number
（オプション）指定したデータのパケット数を表示します。
decode
このオプションは、isakmp タイプのキャプチャがインターフェイスに適用
されている場合に役立ちます。当該のインターフェイスを通過する
ISAKMP データは、復号化の後にすべてキャプチャされ、フィールドをデ
コードした後にその他の情報とともに表示されます。
detail
（オプション）各パケットについて、プロトコル情報を追加表示します。
dump
（オプション）データリンク経由で転送されたパケットの 16 進ダンプを表
示します。
packet-number
number
指定したパケット番号から表示を開始します。
デフォルト
このコマンドには、デフォルト設定がありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
7.0(1)
変更内容
8.4(2)
IDS の出力に詳細な情報が追加されました。
9.0(1)
cluster exec オプションが追加されました。
9.2(1)
出力で vpn-user ドメイン名が filter-aaa に変更されました。
9.3(1)
SGT とイーサネットタギングの出力が追加されました。
•
Yes
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-105
第4章
show bgp コマンド～ show cpu コマンド
show capture
使用上のガイドライン
capture_name を指定した場合は、そのキャプチャのキャプチャバッファの内容が表示されます。
dump キーワードを指定しても、MAC 情報は 16 進ダンプに表示されません。
パケットのデコード出力は、パケットのプロトコルによって異なります。表 4-29 で角カッコに囲
まれている出力は、detail キーワードを指定した場合に表示されます。
表 4-29
パケットキャプチャの出力形式
パケットタイプ
キャプチャの出力形式
802.1Q
HH:MM:SS.ms [ether-hdr] VLAN-info encap-ether-packet
ARP
HH:MM:SS.ms [ether-hdr] arp-type arp-info
IP/ICMP
HH:MM:SS.ms [ether-hdr] ip-source > ip-destination: icmp:
icmp-type icmp-code [checksum-failure]
IP/UDP
HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port:
[checksum-info] udp payload-len
IP/TCP
HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port:
tcp-flags [header-check] [checksum-info] sequence-number
ack-number tcp-window urgent-info tcp-options
IP/Other
HH:MM:SS.ms [ether-hdr] src-addr dest-addr: ip-protocol
ip-length
Other
HH:MM:SS.ms ether-hdr: hex-dump
ASA が不正な形式の TCP ヘッダー付きのパケットを受信し、invalid-tcp-hdr-length という ASP
ドロップ理由のためにそのパケットをドロップした場合、そのパケットを受信したインター
フェイスでは show capture コマンドの出力にパケットが表示されません。
例
次に、キャプチャのコンフィギュレーションを表示する例を示します。
ciscoasa(config)# show capture
capture arp ethernet-type arp interface outside
capture http access-list http packet-length 74 interface inside
次に、ARP キャプチャによってキャプチャされたパケットを表示する例を示します。
ciscoasa(config)# show capture arp
2 packets captured
19:12:23.478429 arp who-has 171.69.38.89 tell 171.69.38.10
19:12:26.784294 arp who-has 171.69.38.89 tell 171.69.38.10
2 packets shown
次に、クラスタリング環境の 1 つのユニットでキャプチャされたパケットを表示する例を示し
ます。
ciscoasa(config)# show capture
capture 1 cluster type raw-data interface primary interface cluster [Buffer Full - 524187
bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]
次に、クラスタリング環境のすべてのユニットでキャプチャされたパケットを表示する例を示
します。
ciscoasa(config)# cluster exec show capture
mycapture (LOCAL):----------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-106
第4章
show bgp コマンド～ show cpu コマンド
show capture
capture 1 type raw-data interface primary [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]
yourcapture:---------------------------------------------------------------capture 1 type raw-data interface primary [Capturing - 191484 bytes]
capture 2 type raw-data interface cluster [Capturing - 532354 bytes]
次に、次のコマンドを入力した後でクラスタリング環境のクラスタ制御リンクでキャプチャさ
れたパケットの例を示します。
ciscoasa
ciscoasa
ciscoasa
ciscoasa
ciscoasa
ciscoasa
ciscoasa
(config)#
(config)#
(config)#
(config)#
(config)#
(config)#
(config)#
capture a interface cluster
capture cp interface cluster match udp any eq 49495 any
capture cp interface cluster match udp any any eq 49495
access-list cc1 extended permit udp any any eq 4193
access-list cc1 extended permit udp any eq 4193 any
capture dp interface cluster access-list cc1
capture lacp type lacp interface gigabitEthernet 0/0
ciscoasa(config)# show capture
capture a type raw-data interface cluster [Capturing - 970 bytes]
capture cp type raw-data interface cluster [Capturing - 26236 bytes]
match udp any eq 49495 any
capture dp type raw-data access-list cc1 interface cluster [Capturing - 4545230 bytes]
capture lacp type lacp interface gigabitEthernet0/0 [Capturing - 140 bytes]
次に、SGT とイーサネットタギングがインターフェイスでイネーブルになっている場合にキャ
プチャされたパケットの例を示します。
ciscoasa(config)# show capture my-inside-capture
1: 11:34:42.931012 INLINE-TAG 36 10.0.101.22 > 11.0.101.100:
2: 11:34:42.931470 INLINE-TAG 48 11.0.101.100 > 10.0.101.22:
3: 11:34:43.932553 INLINE-TAG 36 10.0.101.22 > 11.0.101.100:
4: 11.34.43.933164 INLINE-TAG 48 11.0.101.100 > 10.0.101.22:
icmp:
icmp:
icmp:
icmp:
echo
echo
echo
echo
request
reply
request
reply
SGT とイーサネットタギングがインターフェイスでイネーブルの場合、インターフェイス
は引き続きタグ付きパケットまたはタグなしパケットを受信できます。この例は、出力に
INLINE-TAG 36 があるタグ付きパケット用です。同じインターフェイスがタグなしパケッ
トを受信した場合も、出力は変わりません（つまり、「INLINE-TAG 36」エントリは出力に含ま
れません）。
関連コマンド
コマンド
capture
説明
clear capture
キャプチャバッファをクリアします。
copy capture
キャプチャファイルをサーバにコピーします。
パケットスニッフィングおよびネットワーク障害の切り分けのため
にパケットキャプチャ機能をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-107
第4章
show bgp コマンド～ show cpu コマンド
show chardrop
show chardrop
シリアルコンソールからドロップされた文字の数を表示するには、特権 EXEC モードで show
chardrop コマンドを使用します。
show chardrop
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.2(1)
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show chardrop コマンドの出力例を示します。
ciscoasa# show chardrop
Chars dropped pre-TxTimeouts: 0, post-TxTimeouts: 0
関連コマンド
コマンド
show running-config
説明
現在の動作設定を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-108
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show checkheaps
show checkheaps
checkheaps に関する統計情報を表示するには、特権 EXEC モードで show checkheaps コマンドを
使用します。チェックヒープは、ヒープメモリバッファの正常性およびコード領域の完全性を
検証する定期的なプロセスです（ダイナミックメモリはシステムヒープメモリ領域から割り当
てられます）。
show checkheaps
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
次に、show checkheaps コマンドの出力例を示します。
ciscoasa# show checkheaps
Checkheaps stats from buffer validation runs
-------------------------------------------Time elapsed since last run
: 42 secs
Duration of last run
: 0 millisecs
Number of buffers created
: 8082
Number of buffers allocated
: 7808
Number of buffers free
: 274
Total memory in use
: 43570344 bytes
Total memory in free buffers
: 87000 bytes
Total number of runs
: 310
関連コマンド
コマンド
checkheaps
説明
checkheap の確認間隔を設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-109
第4章
show bgp コマンド～ show cpu コマンド
show checksum
show checksum
コンフィギュレーションのチェックサムを表示するには、特権 EXEC モードで show checksum
コマンドを使用します。
show checksum
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドには、デフォルト設定がありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
7.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
show checksum コマンドを使用すると、コンフィギュレーションの内容のデジタルサマリーと
して機能する 4 つのグループの 16 進数を表示できます。このチェックサムが計算されるのは、コ
ンフィギュレーションをフラッシュメモリに格納するときのみです。
show config コマンドまたは show checksum コマンドの出力でチェックサムの前にドット「.」が
表示された場合、この出力は、通常のコンフィギュレーション読み込みまたは書き込みモードの
インジケータを示しています（ASA のフラッシュパーティションからの読み込み、またはフ
ラッシュパーティションへの書き込み時）。「.」は、ASA が操作に占有されているものの「ハング
アップ」していないことを示します。このメッセージは、「system processing, please wait」という
メッセージに類似しています。
例
次に、コンフィギュレーションまたはチェックサムを表示する例を示します。
ciscoasa(config)# show checksum
Cryptochecksum: 1a2833c0 129ac70b 1a88df85 650dbb81
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-110
第4章
show bgp コマンド～ show cpu コマンド
show chunkstat
show chunkstat
チャンクに関する統計情報を表示するには、特権 EXEC モードで show chunkstat コマンドを使
用します。
show chunkstat
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
次に、チャンクに関する統計情報を表示する例を示します。
ciscoasa# show chunkstat
Global chunk statistics: created 181, destroyed 34, siblings created 94, siblings
destroyed 34
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01edb4cc, name "Managed Chunk Queue Elements", data start @ 01edbd24, end
@ 01eddc54
next: 01eddc8c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 499, elt size: 16, index first free 498
# chunks in use: 1, HWM of total used: 1, alignment: 0
Per-chunk statistics: siblings created 0, siblings trimmed 0
Dump of chunk at 01eddc8c, name "Registry Function List", data start @ 01eddea4, end @
01ede348
next: 01ede37c, next_sibling: 00000000, prev_sibling: 00000000
flags 00000001
maximum chunk elt's: 99, elt size: 12, index first free 42
# chunks in use: 57, HWM of total used: 57, alignment: 0
関連コマンド
コマンド
show counters
説明
show cpu
CPU の使用状況に関する情報を表示します。
プロトコルスタックカウンタを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-111
第4章
show bgp コマンド～ show cpu コマンド
show class
show class
クラスに割り当てられたコンテキストを表示するには、特権 EXEC モードで show class コマン
ドを使用します。
show class name
構文の説明
name
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
20 文字までの文字列で名前を指定します。デフォルトクラスを表示す
るには、名前として default と入力します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
—
マルチ
コンテキストシステム
—
変更内容
このコマンドが追加されました。
次に、show class default コマンドの出力例を示します。
ciscoasa# show class default
Class Name
default
関連コマンド
Members
All
ID
1
コマンド
class
説明
clear configure class
クラスコンフィギュレーションをクリアします。
context
セキュリティコンテキストを設定します。
limit-resource
クラスのリソース制限を設定します。
member
コンテキストをリソースクラスに割り当てます。
リソースクラスを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-112
Flags
0001
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show clock
show clock
ASA に時刻を表示するには、ユーザ EXEC モードで show clock コマンドを使用します。
show clock [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）クロックソース（NTP またはユーザコンフィギュレー
ション）と現在の夏時間設定（存在する場合）を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ユーザ EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show clock コマンドの出力例を示します。
ciscoasa# show clock
12:35:45.205 EDT Tue Jul 27 2004
次に、show clock detail コマンドの出力例を示します。
ciscoasa# show clock detail
12:35:45.205 EDT Tue Jul 27 2004
Time source is user configuration
Summer time starts 02:00:00 EST Sun Apr 4 2004
Summer time ends 02:00:00 EDT Sun Oct 31 2004
関連コマンド
コマンド
clock set
説明
clock summer-time
夏時間を表示する日付の範囲を設定します。
clock timezone
タイムゾーンを設定します。
ntp server
NTP サーバを指定します。
show ntp status
NTP アソシエーションのステータスを表示します。
ASA のクロックを手動で設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-113
第4章
show bgp コマンド～ show cpu コマンド
show cluster
show cluster
クラスタ全体の集約データまたはその他の情報を表示するには、特権 EXEC モードで show
cluster コマンドを使用します。
show cluster {access-list [acl_name] | conn [count] | cpu [usage] | history | interface-mode |
memory | resource usage | traffic | xlate count}
構文の説明
access-list [acl_name]
アクセスポリシーのヒットカウンタを示します。特定の ACL のカウ
ンタを表示するには、acl_name と入力します。
conn [count]
使用中の接続の、すべてのユニットでの合計数を表示します。count
キーワードを入力すると、接続数だけが表示されます。
cpu [usage]
CPU の使用率情報を表示します。
history
クラスタスイッチング履歴を表示します。
interface-mode
クラスタインターフェイスモードを表示します（spanned または
individual）。
memory
システムメモリの使用率などの情報を表示します。
resource usage
システムリソースと使用状況を表示します。
traffic
トラフィック統計情報を表示します。
xlate count
現在の変換情報を表示します。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
例
リリース
9.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
show cluster info コマンドおよび show cluster user-identity コマンドも参照してください。
次に、show cluster access-list コマンドの出力例を示します。
ciscoasa# show cluster access-list
hitcnt display order: cluster-wide aggregated result, unit-A, unit-B, unit-C, unit-D
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 101; 122 elements; name hash: 0xe7d586b5
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-114
第4章
show bgp コマンド～ show cpu コマンド
show cluster
access-list 101 line 1 extended permit tcp 192.168.143.0 255.255.255.0 any eq www
(hitcnt=0, 0, 0, 0, 0) 0x207a2b7d
access-list 101 line 2 extended permit tcp any 192.168.143.0 255.255.255.0 (hitcnt=0, 0,
0, 0, 0) 0xfe4f4947
access-list 101 line 3 extended permit tcp host 192.168.1.183 host 192.168.43.238
(hitcnt=1, 0, 0, 0, 1) 0x7b521307
access-list 101 line 4 extended permit tcp host 192.168.1.116 host 192.168.43.238
(hitcnt=0, 0, 0, 0, 0) 0x5795c069
access-list 101 line 5 extended permit tcp host 192.168.1.177 host 192.168.43.238
(hitcnt=1, 0, 0, 1, 0) 0x51bde7ee
access list 101 line 6 extended permit tcp host 192.168.1.177 host 192.168.43.13
(hitcnt=0, 0, 0, 0, 0) 0x1e68697c
access-list 101 line 7 extended permit tcp host 192.168.1.177 host 192.168.43.132
(hitcnt=2, 0, 0, 1, 1) 0xc1ce5c49
access-list 101 line 8 extended permit tcp host 192.168.1.177 host 192.168.43.192
(hitcnt=3, 0, 1, 1, 1) 0xb6f59512
access-list 101 line 9 extended permit tcp host 192.168.1.177 host 192.168.43.44
(hitcnt=0, 0, 0, 0, 0) 0xdc104200
access-list 101 line 10 extended permit tcp host 192.168.1.112 host 192.168.43.44
(hitcnt=429, 109, 107, 109, 104)
0xce4f281d
access-list 101 line 11 extended permit tcp host 192.168.1.170 host 192.168.43.238
(hitcnt=3, 1, 0, 0, 2) 0x4143a818
access-list 101 line 12 extended permit tcp host 192.168.1.170 host 192.168.43.169
(hitcnt=2, 0, 1, 0, 1) 0xb18dfea4
access-list 101 line 13 extended permit tcp host 192.168.1.170 host 192.168.43.229
(hitcnt=1, 1, 0, 0, 0) 0x21557d71
access-list 101 line 14 extended permit tcp host 192.168.1.170 host 192.168.43.106
(hitcnt=0, 0, 0, 0, 0) 0x7316e016
access-list 101 line 15 extended permit tcp host 192.168.1.170 host 192.168.43.196
(hitcnt=0, 0, 0, 0, 0) 0x013fd5b8
access-list 101 line 16 extended permit tcp host 192.168.1.170 host 192.168.43.75
(hitcnt=0, 0, 0, 0, 0) 0x2c7dba0d
使用中の接続の、すべてのユニットでの合計数を表示するには、次のとおりに入力します。
ciscoasa# show cluster conn count
Usage Summary In Cluster:*********************************************
200 in use (cluster-wide aggregated)
cl2(LOCAL):***********************************************************
100 in use, 100 most used
cl1:******************************************************************
100 in use, 100 most used
関連コマンド
コマンド
show cluster info
説明
show cluster
user-identity
クラスタユーザ ID 情報と統計情報を表示します。
クラスタ情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-115
第4章
show bgp コマンド～ show cpu コマンド
show cluster info
show cluster info
クラスタ情報を表示するには、特権 EXEC モードで show cluster info コマンドを使用します。
show cluster info [clients | conn-distribution | goid [options] | health | incompatible-config |
loadbalance | old-members | packet-distribution | trace [options] | transport {asp | cp}]
構文の説明
clients
（オプション）登録クライアントのバージョンを表示します。
conn-distribution
（オプション）クラスタ内の接続分布を表示します。
goid [options]
（オプション）グローバルオブジェクト ID データベースを示します。次
のオプションがあります。
•
classmap
•
conn-set
•
hwidb
•
idfw-domain
•
idfw-group
•
interface
•
policymap
•
virtual-context
health
（オプション）ヘルスモニタリング情報を表示します。
incompatible-config
（オプション）現在の実行コンフィギュレーションのクラスタリングと
互換性のないコマンドを表示します。このコマンドは、クラスタリング
をイネーブルにする前に役立ちます。
loadbalance
（オプション）ロードバランシング情報を表示します。
old-members
（オプション）クラスタの以前のメンバーを表示します。
packet-distribution
（オプション）クラスタのパケット分布を表示します。
trace [options]
（オプション）クラスタリング制御モジュールイベントトレースを表
示します。次のオプションがあります。
transport {asp | cp}
•
latest [number]：最新の number のイベントを表示します。number は
1 ～ 2147483647 の範囲です。デフォルトではすべてが表示されます。
•
level level：レベルでイベントをフィルタリングします。level は all、
critical、debug、informational、warning のいずれかです。
•
module module：モジュールでイベントをフィルタリングします。
module は ccp、datapath、fsm、general、hc、license、rpc、transport の
いずれかです。
•
time {[month day] [hh:mm:ss]}：指定した時刻または日付より前のイ
ベントを表示します。
（オプション）次のトランスポート関連の統計情報を表示します。
•
asp：データプレーンのトランスポート統計情報。
•
cp：コントロールプレーントランスポート統計情報。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-116
第4章
show bgp コマンド～ show cpu コマンド
show cluster info
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
9.0(1)
変更内容
9.3(1)
show cluster info health コマンドのモジュールに対するサポートの強
化が追加されました。
このコマンドが追加されました。
オプションを指定しない場合、show cluster info コマンドはクラスタの名前とステータス、クラ
スタメンバー、メンバーのステータスなど、一般的なクラスタ情報を表示します。
統計情報をクリアするには、clear cluster info コマンドを使用します。
show cluster コマンドおよび show cluster user-identity コマンドも参照してください。
例
次に、show cluster info コマンドの出力例を示します。
ciscoasa# show cluster info
Cluster stbu: On
This is "C" in state SLAVE
ID
: 0
Version
: 100.8(0.52)
Serial No.: P3000000025
CCL IP
: 10.0.0.3
CCL MAC
: 000b.fcf8.c192
Last join : 17:08:59 UTC Sep 26 2011
Last leave: N/A
Other members in the cluster:
Unit "D" in state SLAVE
ID
: 1
Version
: 100.8(0.52)
Serial No.: P3000000001
CCL IP
: 10.0.0.4
CCL MAC
: 000b.fcf8.c162
Last join : 19:13:11 UTC Sep 23 2011
Last leave: N/A
Unit "A" in state MASTER
ID
: 2
Version
: 100.8(0.52)
Serial No.: JAB0815R0JY
CCL IP
: 10.0.0.1
CCL MAC
: 000f.f775.541e
Last join : 19:13:20 UTC Sep 23 2011
Last leave: N/A
Unit "B" in state SLAVE
ID
: 3
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-117
第4章
show bgp コマンド～ show cpu コマンド
show cluster info
Version
:
Serial No.:
CCL IP
:
CCL MAC
:
Last join :
Last leave:
100.8(0.52)
P3000000191
10.0.0.2
000b.fcf8.c61e
19:13:50 UTC Sep 23 2011
19:13:36 UTC Sep 23 2011
次に、show cluster info incompatible-config コマンドの出力例を示します。
ciscoasa(cfg-cluster)# show cluster info incompatible-config
INFO: Clustering is not compatible with following commands which given a user's
confirmation upon enabling clustering, can be removed automatically from running-config.
policy-map global_policy
class scansafe-http
inspect scansafe http-map fail-close
policy-map global_policy
class scansafe-https
inspect scansafe https-map fail-close
INFO: No manually-correctable incompatible configuration is found.
次に、show cluster info trace コマンドの出力例を示します。
ciscoasa# show cluster info trace
Feb 02 14:19:47.456 [DBUG]Receive CCP message: CCP_MSG_LOAD_BALANCE
Feb 02 14:19:47.456 [DBUG]Receive CCP message: CCP_MSG_LOAD_BALANCE
Feb 02 14:19:47.456 [DBUG]Send CCP message to all: CCP_MSG_KEEPALIVE from 80-1 at MASTER
次に、ASA 5500-X での show cluster info health コマンドの出力例を示します。
ciscoasa# show cluster info health
Member ID to name mapping:
0 - A
1 - B(myself)
GigabitEthernet0/0
Management0/0
0
up
up
1
up
up
ips (policy off)
sfr (policy off)
Unit overall
Cluster overall
up
None
healthy
healthy
None
up
healthy
上記の出力には、ASA IPS（ips）と ASA FirePOWER（sfr）の両方のモジュールが表示されます。モ
ジュールごとに ASA は「policy on」または「policy off」を使用してサービスポリシーが設定され
たかどうかを示します。次に例を示します。
class-map sfr-class
match sfr-traffic
policy-map sfr-policy
class sfr-class
sfr inline fail-close
service-policy sfr interface inside
上記の設定により、ASA FirePOWER モジュール（「sfr」）は「policy on」と表示されます。あるモ
ジュールが、あるクラスタメンバーでは「up」、他のメンバーでは「down」または「None」になって
いる場合、そのモジュールが down となっているメンバーはクラスタから除外されます。ただし、
サービスポリシーが設定されていない場合、クラスタメンバーはクラスタから除外されませ
ん。モジュールステータスは、モジュールが実行中である場合にのみ関連します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-118
第4章
show bgp コマンド～ show cpu コマンド
show cluster info
次に、ASA 5585-X での show cluster info health コマンドの出力例を示します。
ciscoasa# show cluster info health
spyker-13# sh clu info heal
Member ID to name mapping:
0 - A(myself) 1 - B
GigabitEthernet0/0
SSM Card (policy off)
Unit overall
Cluster overall
0 1
upup
upup
healthyhealth
healthyhealth
サービスポリシーにモジュールを設定した場合は、出力に「policy on」と表示されます。サービス
ポリシーを設定しない場合は、モジュールがシャーシに存在しても、出力に「policy off」と表示さ
れます。
関連コマンド
コマンド
show cluster
説明
show cluster
user-identity
クラスタユーザ ID 情報と統計情報を表示します。
クラスタ全体の集約データを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-119
第4章
show bgp コマンド～ show cpu コマンド
show cluster user-identity
show cluster user-identity
クラスタ全体のユーザ ID 情報と統計情報を表示するには、特権 EXEC モードで show cluster
user-identity コマンドを使用します。
show cluster user-identity {statistics [user name | user-group group_name] |
user [active [domain name] | user name | user-group group_name] [list [detail] | all [list
[detail] | inactive {domain name | user-group group_name] [list [detail]]}
構文の説明
active
アクティブな IP/ユーザマッピングがあるユーザを表示します。
all
ユーザデータベース内のすべてのユーザを表示します。
domain name
ドメインのユーザ情報を表示します。
inactive
非アクティブな IP/ユーザマッピングがあるユーザを表示します。
list [detail]
ユーザのリストを表示します。
statistics
クラスタユーザ ID 統計情報を表示します。
user
ユーザデータベースを表示します。
user name
特定のユーザの情報を表示します。
user-group
group_name
特定のグループの各ユーザの情報を表示します。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
リリース
9.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
show cluster info コマンドおよび show cluster コマンドも参照してください。
関連コマンド
コマンド
show cluster
説明
show cluster info
クラスタ情報を表示します。
クラスタ全体の集約データを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-120
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show compression svc
show compression svc
ASA で SVC 接続の圧縮統計情報を表示するには、特権 EXEC モードで show compression svc コ
マンドを使用します。
show compression svc
デフォルト
このコマンドにデフォルトの動作はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
グローバルコンフィギュ
レーション
コマンド履歴
例
リリース
7.1(1)
•
—
•
マルチ
コンテキストシステム
Yes
—
変更内容
このコマンドが追加されました。
次に、show compression svc コマンドの出力例を示します。
ciscoasa# show compression svc
Compression SVC Sessions
Compressed Frames
Compressed Data In (bytes)
Compressed Data Out (bytes)
Expanded Frames
Compression Errors
Compression Resets
Compression Output Buf Too Small
Compression Ratio
Decompressed Frames
Decompressed Data In
関連コマンド
Yes
トランスペ
アレント
シングル
1
249756
0048042
4859704
1
0
0
0
2.06
876687
279300233
コマンド
compression
説明
svc compression
特定のグループまたはユーザに対して SVC 接続を介する HTTP データ
の圧縮をイネーブルにします。
すべての SVC 接続および WebVPN 接続の圧縮をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-121
第4章
show bgp コマンド～ show cpu コマンド
show configuration
show configuration
ASA でフラッシュメモリに保存されているコンフィギュレーションを表示するには、特権
EXEC モードで show configuration コマンドを使用します。
show configuration
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
ルーテッド
• Yes
トランスペ
アレント
シングル
• Yes
• Yes
マルチ
コンテキストシステム
• Yes
• Yes
コマンド履歴
リリース
7.0(1)
使用上のガイドライン
show configuration コマンドは、ASA のフラッシュメモリに保存されているコンフィギュレー
ションを表示します。show running-config コマンドとは異なり、show configuration コマンドの
実行ではそれほど多くの CPU リソースが使用されません。
変更内容
このコマンドが変更されました。
ASA のメモリ内のアクティブなコンフィギュレーション（保存されているコンフィギュレー
ションの変更など）を表示するには、show running-config コマンドを使用します。
例
次に、show configuration コマンドの出力例を示します。
ciscoasa# show configuration
: enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.2.5 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.132.12.6 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 10.0.0.5 255.255.0.0
!
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-122
第4章
show bgp コマンド～ show cpu コマンド
show configuration
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/newImage
ftp mode passive
access-list acl1 extended permit ip any any
access-list mgcpacl extended permit udp any any eq 2727
access-list mgcpacl extended permit udp any any eq 2427
access-list mgcpacl extended permit udp any any eq tftp
access-list mgcpacl extended permit udp any any eq 1719
access-list permitIp extended permit ip any any
pager lines 25
logging enable
logging console debugging
logging buffered debugging
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
icmp permit any dmz
asdm image disk0:/pdm
no asdm history enable
arp timeout 14400
global (outside) 1 10.132.12.50-10.132.12.52
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group permitIp in interface inside
access-group permitIp in interface outside
access-group mgcpacl in interface dmz
!
router ospf 1
network 10.0.0.0 255.255.0.0 area 192.168.2.0
network 192.168.2.0 255.255.255.0 area 192.168.2.0
log-adj-changes
redistribute static subnets
default-information originate
!
route outside 0.0.0 0.0.0.0 10.132.12.1 1
route outside 10.129.0.0 255.255.0.0 10.132.12.1 1
route outside 88.0.0.0 255.0.0.0 10.132.12.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 10.132.12.0 255.255.255.0 outside
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-123
第4章
show bgp コマンド～ show cpu コマンド
show configuration
http 192.168.2.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.0 255.255.255.0 inside
telnet 10.132.12.0 255.255.255.0 outside
telnet timeout 5
ssh 192.168.2.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect mgcp
policy-map type inspect mgcp mgcpapp
parameters
call-agent 150.0.0.210 101
gateway 50.0.0.201 101
gateway 100.0.0.201 101
command-queue 150
!
service-policy global_policy global
webvpn
memory-size percent 25
enable inside
internal-password enable
onscreen-keyboard logon
username snoopy password /JcYsjvxHfBHc4ZK encrypted
prompt hostname context
Cryptochecksum:62bf8f5de9466cdb64fe758079594635:
end
関連コマンド
コマンド
configure
説明
端末から ASA を設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-124
第4章
show bgp コマンド～ show cpu コマンド
show configuration session
show configuration session
現在のコンフィギュレーションセッションおよびセッション内での変更を表示するには、特権
EXEC モードで show configuration session コマンドを使用します。
show configuration session [session_name]
構文の説明
session_name
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
既存のコンフィギュレーションセッションの名前。このパラメータを
省略した場合、既存のすべてのセッションが表示されます。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
9.3(2)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
このコマンドは、ACL およびそのオブジェクトの編集用に独立したセッションを作成する
configure session コマンドとともに使用します。このコマンドは、セッション名と、そのセッショ
ンで行われたすべてのコンフィギュレーション変更を表示します。
コミット済みとして示されているセッションについて、変更が想定どおりに機能していないと
判断した場合は、そのセッションを開いて、その変更を取り消すことができます。
例
次に、すべての使用可能なセッションの例を示します。
ciscoasa# show configuration session
config-session abc (un-committed)
access-list abc permit ip any any
access-list abc permit tcp any any
config-session abc2 (un-committed)
object network test
host 1.1.1.1
object network test2
host 2.2.2.2
ciscoasa#
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-125
第4章
show bgp コマンド～ show cpu コマンド
show configuration session
関連コマンド
コマンド
clear configuration
session
説明
clear session
コンフィギュレーションセッションの内容をクリアするか、またはそ
のアクセスフラグをリセットします。
configure session
セッションを作成するか、または開きます。
コンフィギュレーションセッションとその内容を削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-126
第4章
show bgp コマンド～ show cpu コマンド
show conn
show conn
指定した接続タイプの接続状態を表示するには、特権 EXEC モードで show conn コマンドを使
用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。
show conn [count | [all] [detail] [long] [state state_type] [protocol {tcp | udp}] [scansafe]
[address src_ip[-src_ip] [netmask mask]] [port src_port[-src_port]]
[address dest_ip[-dest_ip] [netmask mask]] [port dest_port[-dest_port]]
[user-identity | user [domain_nickname\]user_name | user-group
[domain_nickname\\]user_group_name] | security-group] [zone zone_name [zone zone_name]
[...]]
構文の説明
address
（オプション）指定した送信元 IP アドレスまたは宛先 IP アドレスとの
接続を表示します。
all
（オプション）通過トラフィックの接続に加えて、デバイスへの接続と
デバイスからの接続を表示します。
count
（オプション）アクティブな接続の数を表示します。
dest_ip
（オプション）宛先 IP アドレス（IPv4 または IPv6）を指定します。範囲を
指定するには、IP アドレスをダッシュ（-）で区切ります。次に例を示し
ます。
10.1.1.1-10.1.1.5
dest_port
（オプション）宛先ポート番号を指定します。範囲を指定するには、ポー
ト番号をダッシュ（-）で区切ります。次に例を示します。
1000-2000
detail
（オプション）変換タイプとインターフェイスの情報を含め、接続の詳
細を表示します。
long
（オプション）接続をロングフォーマットで表示します。
netmask mask
（オプション）指定した IP アドレスで使用するサブネットマスクを指
定します。
port
（オプション）指定した送信元ポートまたは宛先ポートとの接続を表示
します。
protocol {tcp | udp}
（オプション）接続プロトコルを指定します（tcp または udp）。
scansafe
（オプション）クラウド Web セキュリティサーバに転送される接続を
表示します。
security-group
（オプション）表示されるすべての接続が指定したセキュリティグ
ループに属することを指定します。
src_ip
（オプション）送信元 IP アドレス（IPv4 または IPv6）を指定します。範囲
を指定するには、IP アドレスをダッシュ（-）で区切ります。次に例を示
します。
10.1.1.1-10.1.1.5
src_port
（オプション）送信元ポート番号を指定します。範囲を指定するには、
ポート番号をダッシュ（-）で区切ります。次に例を示します。
1000-2000
state state_type
（オプション）接続状態タイプを指定します。接続状態タイプに使用で
きるキーワードのリストについては、表 4-30 を参照してください。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-127
第4章
show bgp コマンド～ show cpu コマンド
show conn
user
[domain_nickname\]
user_name
（オプション）表示されるすべての接続が指定したユーザに属すること
を指定します。domain_nickname 引数が含まれていない場合、ASA はデ
フォルトドメインのユーザに関する情報を表示します。
user-group
[domain_nickname\\]
user_group_name
（オプション）表示されるすべての接続が指定したユーザグループに
属することを指定します。domain_nickname 引数が含まれていない場
合、ASA はデフォルトドメインのユーザグループに関する情報を表
示します。
user-identity
（オプション）ASA がアイデンティティファイアウォール機能に対す
るすべての接続を表示することを指定します。接続を表示する場合、
ASA は一致するユーザを識別するとそのユーザ名と IP アドレスを表
示します。同様に、ASA は一致するホストを識別するとそのホスト名
と IP アドレスを表示します。
zone [zone_name]
（オプション）ゾーンの接続を表示します。long キーワードと detail キー
ワードは、接続が構築されたプライマリインターフェイスと、トラ
フィックの転送に使用される現在のインターフェイスを表示します。
デフォルト
デフォルトでは、すべての通過接続が表示されます。デバイスへの管理接続も表示するには、all
キーワードを使用する必要があります。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
ルーテッド
•
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
7.0(8)/7.2(4)/8.0(4)
変更内容
7.2(5)/8.0(5)/8.1(2)/8.2(4)/
8.3(2)
tcp_embryonic 状態タイプが追加されました。このタイプは、i フラ
グを伴うすべての TCP 接続（不完全接続）を表示します。UDP の i フ
ラグ接続は表示されません。
8.2(1)
TCP ステートバイパスに b フラグが追加されました。
8.4(2)
アイデンティティファイアウォールをサポートするために
user-identity、user、user-group の各キーワードが追加されました。
9.0(1)
クラスタリングのサポートが追加されました。scansafe キーワード
および security-group キーワードが追加されました。
9.3(2)
zone キーワードが追加されました。
構文が簡略化され、「ローカル」と「外部」の概念の代わりに送信元と
宛先の概念を使用するようになりました。新しい構文では、送信元
アドレスを最初のアドレスとして入力し、宛先アドレスを 2 番目の
アドレスとして入力します。以前の構文では、foreign や fport など
のキーワードを使用して宛先アドレスおよびポートを設定してい
ました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-128
Yes
トランスペ
アレント
シングル
第4章
show bgp コマンド～ show cpu コマンド
show conn
使用上のガイドライン
（注）
show conn コマンドは、アクティブな TCP 接続および UDP 接続の数を表示し、さまざまなタイプ
の接続に関する情報を提供します。接続のテーブル全体を参照するには、show conn all コマンド
を使用します。
ASA で第 2 の接続を許すピンホールが作成された場合、このピンホールは、show conn コマンド
では不完全な接続として表示されます。この不完全な接続をクリアするには、clear conn コマン
ドを使用します。
表 4-30 に、show conn state コマンドを使用するときに指定できる接続タイプを示します。複数の
接続タイプを指定する場合、キーワードの区切りにはカンマを使用します。ただし、スペースは
必要ありません。
表 4-30
接続状態のタイプ
キーワード
表示される接続タイプ
up
アップ状態の接続
conn_inbound
着信接続
ctiqbe
CTIQBE 接続
data_in
着信データ接続
data_out
発信データ接続
finin
FIN 着信接続
finout
FIN 発信接続
h225
H.225 接続
h323
H.323 接続
http_get
HTTP get 接続
mgcp
MGCP 接続
nojava
Java アプレットへのアクセスを拒否する接続
rpc
RPC 接続
service_module
SSM によってスキャンされる接続
sip
SIP 接続
skinny
SCCP 接続
smtp_data
SMTP メールデータ接続
sqlnet_fixup_data
SQL*Net データインスペクションエンジン接続
tcp_embryonic
TCP 初期接続
vpn_orphan
孤立した VPN トンネルフロー
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-129
第4章
show bgp コマンド～ show cpu コマンド
show conn
detail オプションを使用すると、表 4-31 に示した接続フラグを使用して、変換タイプとインター
フェイスに関する情報が表示されます。
表 4-31
フラグ
接続フラグ
説明
a
SYN に対する外部 ACK を待機
A
SYN に対する内部 ACK を待機
b
TCP ステートバイパス
B
外部からの初期 SYN
C
コンピュータテレフォニーインターフェイスクイックバッファエンコーディング
（CTIQBE）メディア接続
d
dump
D
DNS
E
外部バック接続。これは、内部ホストから開始される必要があるセカンダリデータ接
続です。たとえば、内部クライアントが PASV コマンドを発行し、外部サーバが受け入
れた後、ASA は FTP を使用してこのフラグが設定された外部バック接続を事前割り当
てします。内部クライアントがサーバに接続しようとすると、ASA はこの接続試行を
拒否します。外部サーバだけが事前割り当て済みのセカンダリ接続を使用できます。
f
内部 FIN
F
外部 FIN
g
メディアゲートウェイコントロールプロトコル（MGCP）接続
G
接続がグループの一部1
h
H.225
H
H.323
i
不完全な TCP 接続または UDP 接続
I
着信データ
k
Skinny Client Control Protocol（SCCP）メディア接続
K
GTP t3 応答
m
SIP メディア接続
M
SMTP データ
O
発信データ
p
複製（未使用）
P
内部バック接続。これは、内部ホストから開始される必要があるセカンダリデータ接
続です。たとえば、内部クライアントが PORT コマンドを発行し、外部サーバが受け入
れた後、ASA は FTP を使用してこのフラグが設定された内部バック接続を事前割り
当てします。外部サーバがクライアントに接続しようとすると、ASA はこの接続試行
を拒否します。内部クライアントだけが事前割り当て済みのセカンダリ接続を使用で
きます。
q
SQL*Net データ
r
確認応答された内部 FIN
R
TCP 接続に対する、確認応答された外部 FIN
R
UDP RPC2
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-130
第4章
show bgp コマンド～ show cpu コマンド
show conn
表 4-31
フラグ
接続フラグ（続き）
説明
s
外部 SYN を待機
S
内部 SYN を待機
t
SIP 一時接続3
T
SIP 接続4
U
アップ
V
VPN の孤立
W
WAAS
X
CSC SSM などのサービスモジュールによって検査
y
クラスタリングの場合、バックアップオーナーフローを識別します。
Y
クラスタリングの場合、ディレクタフローを識別します。
z
クラスタリングの場合、フォワーダフローを識別します。
Z
クラウド Web セキュリティ
1. G フラグは、接続がグループの一部であることを示します。GRE および FTP の Strict フィックスアップによって設定
され、制御接続と関連するすべてのセカンダリ接続を指定します。制御接続が切断されると、関連するすべてのセカ
ンダリ接続も切断されます。
2. show conn コマンド出力の各行は 1 つの接続（TCP または UDP）を表すため、1 行に 1 つの R フラグだけが存在します。
3. UDP 接続の場合、値 t は接続が 1 分後にタイムアウトすることを示しています。
4. UDP 接続の場合、値 T は、timeout sip コマンドを使用して指定した値に従って接続がタイムアウトすることを示し
ています。
（注）
DNS サーバを使用する接続の場合、show conn コマンドの出力で、接続の送信元ポートが DNS
サーバの IP アドレスに置き換えられることがあります。
複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル（送
信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル）が同じものである場合、それらの
セッションに対しては接続が 1 つだけ作成されます。DNS ID は app_id で追跡され、各 app_id の
アイドルタイマーは独立して実行されます。
app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答が ASA を通過できるの
は、限られた期間内だけであり、リソースの継続使用はできません。ただし、show conn コマンド
を入力すると、DNS 接続のアイドルタイマーが新しい DNS セッションによってリセットされて
いるように見えます。これは共有 DNS 接続の性質によるものであり、仕様です。
（注）
timeout conn コマンドで定義した非アクティブ期間（デフォルトは 1:00:00）中に TCP トラ
フィックがまったく発生しなかった場合は、接続が終了し、対応する接続フラグエントリも表示
されなくなります。
LAN-to-LAN トンネルまたはネットワーク拡張モードトンネルがドロップし、回復しない場合
は、孤立したトンネルフローが数多く発生します。このようなフローはトンネルのダウンによっ
て切断されませんが、これらのフローを介して通過を試みるすべてのデータがドロップされま
す。show conn コマンドの出力では、このような孤立したフローを V フラグで示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-131
第4章
show bgp コマンド～ show cpu コマンド
show conn
次の TCP 接続方向性フラグが同じセキュリティインターフェイス間の接続に適用された場合
（same-security permit コマンドを参照）、フラグの方向は関係ありません。これは、同じセキュリ
ティインターフェイスの場合、「内部」や「外部」が存在しないためです。ASA は同じセキュリ
ティ接続にこれらのフラグを使用する必要があるため、ASA は他の接続の特性に基づいて、ある
フラグを別のフラグよりも優先して選択することがあります（たとえば、f と F）が、選択された
方向性は無視してください。
•
B：外部からの初期 SYN
•
a：SYN に対する外部 ACK を待機
•
A：SYN に対する内部 ACK を待機
•
f：内部 FIN
•
F：外部 FIN
•
s：外部 SYN を待機
•
S：内部 SYN を待機
特定の接続に関する情報を表示するには、security-group キーワードを入力し、接続元と接続先
の両方でセキュリティグループテーブル値またはセキュリティグループ名を指定します。ASA
は、指定のセキュリティグループテーブル値またはセキュリティグループ名に一致する接続を
表示します。
接続元および接続先のセキュリティグループテーブル値または接続元および接続先のセキュ
リティグループ名を指定せずに security-group キーワードを指定すると、ASA はすべての SXP
接続のデータを表示します。
ASA は、接続データを security_group_name (SGT_value) の形式で表示するか、またはセキュリ
ティグループ名が不明な場合は単に SGT_value として表示します。
（注）
スタブ接続が低速パスを通過しないため、セキュリティグループデータはスタブ接続には使用
できません。スタブ接続には、接続の所有者にパケットを転送するために必要な情報だけが保持
されます。
単一のセキュリティグループの名前を指定して、クラスタ内のすべての接続を表示できます。た
とえば、次の例では、クラスタのすべてのユニットのセキュリティグループ mktg に一致する接
続が表示されます。
ciscoasa# show cluster conn security-group name mktg
例
複数の接続タイプを指定する場合、キーワードの区切りにはカンマを使用します。ただし、ス
ペースは必要ありません。次に、アップ状態の RPC 接続、H.323 接続、および SIP 接続に関する情
報を表示する例を示します。
ciscoasa# show conn state up,rpc,h323,sip
次に、show conn count コマンドの出力例を示します。
ciscoasa# show conn count
54 in use, 123 most used
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-132
第4章
show bgp コマンド～ show cpu コマンド
show conn
次に、show conn コマンドの出力例を示します。次に、内部ホスト 10.1.1.15 から 10.10.49.10 の外
部 Telnet サーバへの TCP セッション接続の例を示します。B フラグが存在しないため、接続は内
部から開始されています。「U」、「I」および「O」フラグは、接続がアクティブであり、着信データと
発信データを受信したことを示します。
ciscoasa# show conn
54 in use, 123 most used
TCP out 10.10.49.10:23 in 10.1.1.15:1026 idle 0:00:22, bytes 1774, flags UIO
UDP out 10.10.49.10:31649 in 10.1.1.15:1028 idle 0:00:14, bytes 0, flags DTCP dmz 10.10.10.50:50026 inside 192.168.1.22:5060, idle 0:00:24, bytes 1940435, flags
UTIOB
TCP dmz 10.10.10.50:49764 inside 192.168.1.21:5060, idle 0:00:42, bytes 2328346, flags
UTIOB
TCP dmz 10.10.10.51:50196 inside 192.168.1.22:2000, idle 0:00:04, bytes 31464, flags UIB
TCP dmz 10.10.10.51:52738 inside 192.168.1.21:2000, idle 0:00:09, bytes 129156, flags UIOB
TCP dmz 10.10.10.50:49764 inside 192.168.1.21:0, idle 0:00:42, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):49736 inside 192.168.1.21:0, idle 0:01:32, bytes 0,
flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:00:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:01:34, bytes 0,
flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:02:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:03:34, bytes 0,
flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:04:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:05:34, bytes 0,
flags Ti
TCP dmz 10.10.10.50:50026 inside 192.168.1.22:0, idle 0:06:24, bytes 0, flags Ti
TCP outside 192.168.1.10(20.20.20.24):50663 inside 192.168.1.22:0, idle 0:07:34, bytes 0,
flags Ti
次に、show conn コマンドの出力例を示します。接続が SSM によってスキャンされていることを
示す「X」フラグが含まれています。
ciscoasa# show conn address 10.0.0.122 state service_module
TCP out 10.1.0.121:22 in 10.0.0.122:34446 idle 0:00:03, bytes 2733, flags UIOX
次に、show conn detail コマンドの出力例を示します。次に、外部ホスト 10.10.49.10 から内部ホス
ト 10.1.1.15 への UDP 接続の例を示します。D フラグは、DNS 接続であることを示しています。
1028 は、接続上の DNS ID です。
ciscoasa# show conn detail
54 in use, 123 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, b - TCP state-bypass or nailed, C - CTIQBE media,
D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, n - GUP
O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
V - VPN orphan, W - WAAS,
X - inspected by service module
TCP outside:10.10.49.10/23 inside:10.1.1.15/1026,
flags UIO, idle 39s, uptime 1D19h, timeout 1h0m, bytes 1940435
UDP outside:10.10.49.10/31649 inside:10.1.1.15/1028,
flags dD, idle 39s, uptime 1D19h, timeout 1h0m, bytes 1940435
TCP dmz:10.10.10.50/50026 inside:192.168.1.22/5060,
flags UTIOB, idle 39s, uptime 1D19h, timeout 1h0m, bytes 1940435
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-133
第4章
show bgp コマンド～ show cpu コマンド
show conn
TCP dmz:10.10.10.50/49764 inside:192.168.1.21/5060,
flags UTIOB, idle 56s, uptime 1D19h, timeout 1h0m, bytes 2328346
TCP dmz:10.10.10.51/50196 inside:192.168.1.22/2000,
flags UIB, idle 18s, uptime 1D19h, timeout 1h0m, bytes 31464
TCP dmz:10.10.10.51/52738 inside:192.168.1.21/2000,
flags UIOB, idle 23s, uptime 1D19h, timeout 1h0m, bytes 129156
TCP outside:10.132.64.166/52510 inside:192.168.1.35/2000,
flags UIOB, idle 3s, uptime 1D21h, timeout 1h0m, bytes 357405
TCP outside:10.132.64.81/5321 inside:192.168.1.22/5060,
flags UTIOB, idle 1m48s, uptime 1D21h, timeout 1h0m, bytes 2083129
TCP outside:10.132.64.81/5320 inside:192.168.1.21/5060,
flags UTIOB, idle 1m46s, uptime 1D21h, timeout 1h0m, bytes 2500529
TCP outside:10.132.64.81/5319 inside:192.168.1.22/2000,
flags UIOB, idle 31s, uptime 1D21h, timeout 1h0m, bytes 32718
TCP outside:10.132.64.81/5315 inside:192.168.1.21/2000,
flags UIOB, idle 14s, uptime 1D21h, timeout 1h0m, bytes 358694
TCP outside:10.132.64.80/52596 inside:192.168.1.22/2000,
flags UIOB, idle 8s, uptime 1D21h, timeout 1h0m, bytes 32742
TCP outside:10.132.64.80/52834 inside:192.168.1.21/2000,
flags UIOB, idle 6s, uptime 1D21h, timeout 1h0m, bytes 358582
TCP outside:10.132.64.167/50250 inside:192.168.1.35/2000,
flags UIOB, idle 26s, uptime 1D21h, timeout 1h0m, bytes 375617
次に、show conn コマンドの出力例を示します。V フラグで示されているとおり、孤立したフロー
が存在します。
ciscoasa# show conn
16 in use, 19 most used
TCP out 192.168.110.251:7393 in 192.168.150.252:21 idle 0:00:00, bytes 1048, flags UOVB
TCP out 192.168.110.251:21137 in 192.168.150.252:21 idle 0:00:00, bytes 1048, flags UIOB
孤立したフローがあるこのような接続へのレポートを制限するには、次の例で示すように、show
conn state コマンドに vpn_orphan オプションを追加します。
ciscoasa# show conn state vpn_orphan
14 in use, 19 most used
TCP out 192.168.110.251:7393 in 192.168.150.252:5013, idle 0:00:00, bytes 2841019, flags
UOVB
クラスタリングの場合、接続フローをトラブルシューティングするには、最初にすべてのユニッ
トの接続を一覧表示します。それには、マスターユニットで cluster exec show conn コマンドを入
力します。ディレクタ（Y）、バックアップ（y）、およびフォワーダ（z）のフラグを持つフローを探し
ます。次の例には、3 つのすべての ASA での 172.18.124.187:22 から 192.168.103.131:44727 への
SSH 接続が表示されています。ASA1 には z フラグがあり、この接続のフォワーダであることを表
しています。ASA3 には Y フラグがあり、この接続のディレクタであることを表しています。
ASA2 には特別なフラグはなく、これがオーナーであることを表しています。アウトバウンド方向
では、この接続のパケットは ASA2 の内部インターフェイスに入り、外部インターフェイスから
出ていきます。インバウンド方向では、この接続のパケットは ASA1 および ASA3 の外部イン
ターフェイスに入り、クラスタ制御リンクを介して ASA2 に転送され、次に ASA2 の内部イン
ターフェイスから出ていきます。
ciscoasa/ASA1/master# cluster exec show conn
ASA1(LOCAL):**********************************************************
18 in use, 22 most used
Cluster stub connections: 0 in use, 5 most used
TCP outside 172.18.124.187:22 inside 192.168.103.131:44727, idle 0:00:00, bytes
37240828, flags z
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-134
第4章
show bgp コマンド～ show cpu コマンド
show conn
ASA2:*****************************************************************
12 in use, 13 most used
Cluster stub connections: 0 in use, 46 most used
TCP outside 172.18.124.187:22 inside 192.168.103.131:44727, idle 0:00:00, bytes
37240828, flags UIO
ASA3:*****************************************************************
10 in use, 12 most used
Cluster stub connections: 2 in use, 29 most used
TCP outside 172.18.124.187:22 inside 192.168.103.131:44727, idle 0:00:03, bytes 0, flags
Y
ASA2 での show conn detail の出力は、最新のフォワーダが ASA1 であったことを示しています。
ciscoasa/ASA2/slave# show conn detail
12 in use, 13 most used
Cluster stub connections: 0 in use, 46 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, b - TCP state-bypass or nailed, C - CTIQBE media,
D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, n - GUP
O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
V - VPN orphan, W - WAAS, Z - Scansafe redirection,
X - inspected by service module
Y - director stub flow
y - backup stub flow
z - forwarder stub flow
TCP outside: 172.18.124.187/22 inside: 192.168.103.131/44727,
flags UIO , idle 0s, uptime 25s, timeout 1h0m, bytes 1036044, cluster sent/rcvd bytes
0/1032983, cluster sent/rcvd total bytes 0/1080779, owners (1,255)
Traffic received at interface outside
Locally received: 0 (0 byte/s)
From most recent forwarder ASA1: 1032983 (41319 byte/s)
Traffic received at interface inside
Locally received: 3061 (122 byte/s)
次に、アイデンティティファイアウォール機能の接続を表示する例を示します。
ciscoasa# show conn user-identity ?
exec mode commands/options:
all
Enter this keyword to show conns including to-the-box and from-the-box
detail
Enter this keyword to show conn in detail
long
Enter this keyword to show conn in long format
port
Enter this keyword to specify port
protocol Enter this keyword to specify conn protocol
state
Enter this keyword to specify conn state
|
Output modifiers
ciscoasa# show conn user-identity
1219 in use, 1904 most used
UDP inside (www.yahoo.com))10.0.0.2:1587 outside (user1)192.0.0.2:30000, idle 0:00:00,
bytes 10, flags UDP inside (www.yahoo.com)10.0.0.2:1586 outside (user2)192.0.0.1:30000, idle 0:00:00,
bytes 10, flags –
UDP inside 10.0.0.34:1586 outside 192.0.0.25:30000, idle 0:00:00, bytes 10, flags –
…
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-135
第4章
show bgp コマンド～ show cpu コマンド
show conn
ciscoasa# show conn user user1
2 in use
UDP inside (www.yahoo.com))10.0.0.2:1587 outside (user1)192.0.0.2:30000, idle 0:00:00,
bytes 10, flags –
show conn long zone コマンドの次の出力を参照してください。
ciscoasa# show conn long zone zone-inside zone zone-outside
TCP outside-zone:outside1(outside2): 10.122.122.1:1080 inside-zone:inside1(inside2):
10.121.121.1:34254, idle 0:00:02, bytes 10, flags UO
関連コマンド
コマンド
clear conn
説明
inspect ctiqbe
CTIQBE アプリケーションインスペクションをイネーブルにします。
inspect h323
H.323 アプリケーションインスペクションをイネーブルにします。
inspect mgcp
MGCP アプリケーションインスペクションをイネーブルにします。
inspect sip
Java アプレットを HTTP トラフィックから削除します。
inspect skinny
SCCP アプリケーションインスペクションをイネーブルにします。
接続をクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-136
第4章
show bgp コマンド～ show cpu コマンド
show console-output
show console-output
現在キャプチャされているコンソール出力を表示するには、特権 EXEC モードで show
console-output コマンドを使用します。
show console-output
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show console-output コマンドの出力例を示します。コンソール出力がない場合、次のメッ
セージが表示されます。
ciscoasa# show console-output
Sorry, there are no messages to display
関連コマンド
コマンド
説明
clear configure console デフォルトのコンソール接続設定に戻します。
clear configure
コンフィギュレーションのアイドル時間継続時間をデフォルトに戻し
timeout
ます。
console timeout
ASA に対するコンソール接続のアイドルタイムアウトを設定します。
show running-config
console timeout
ASA に対するコンソール接続のアイドルタイムアウトを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-137
第4章
show bgp コマンド～ show cpu コマンド
show context
show context
割り当てられているインターフェイス、コンフィギュレーションファイルの URL、および設定
済みコンテキストの数を含めてコンテキスト情報を表示するには（または、システム実行スペー
スからすべてのコンテキストのリストを表示するには）、特権 EXEC モードで show context コマ
ンドを使用します。
show context [name | detail | count]
構文の説明
count
（オプション）設定済みコンテキストの数を表示します。
detail
（オプション）実行状態および内部使用のための情報を含めて、コンテ
キストに関する詳細な情報を表示します。
name
（オプション）コンテキスト名を設定します。名前を指定しない場合、
ASA はすべてのコンテキストを表示します。コンテキスト内で入力で
きるのは、現在のコンテキスト名のみです。
デフォルト
システム実行スペースでは、名前を指定しない場合、ASA はすべてのコンテキストを表示します。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
—
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.0(2)
割り当てられた IPS 仮想センサーについての情報が追加されました。
このコマンドが追加されました。
使用上のガイドライン
出力の説明については、「例」を参照してください。
例
次に、show context コマンドの出力例を示します。この例では、3 つのコンテキストが表示されて
います。
ciscoasa# show context
Context Name
*admin
Interfaces
GigabitEthernet0/1.100
GigabitEthernet0/1.101
contexta
GigabitEthernet0/1.200
GigabitEthernet0/1.201
contextb
GigabitEthernet0/1.300
GigabitEthernet0/1.301
Total active Security Contexts: 3
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-138
URL
flash:/admin.cfg
flash:/contexta.cfg
flash:/contextb.cfg
第4章
show bgp コマンド～ show cpu コマンド
show context
表 4-32 に、各フィールドの説明を示します。
表 4-32
show context のフィールド
フィールド
説明
Context Name
すべてのコンテキスト名が表示されます。アスタリスク（*）の付いているコ
ンテキスト名は、管理コンテキストです。
Interfaces
このコンテキストに割り当てられたインターフェイス。
URL
ASA がコンテキストのコンフィギュレーションをロードする URL。
次に、システム実行スペースでの show context detail コマンドの出力例を示します。
ciscoasa# show context detail
Context "admin", has been created, but initial ACL rules not complete
Config URL: flash:/admin.cfg
Real Interfaces: Management0/0
Mapped Interfaces: Management0/0
Real IPS Sensors: ips1, ips2
Mapped IPS Sensors: highsec, lowsec
Flags: 0x00000013, ID: 1
Context "ctx", has been created, but initial ACL rules not complete
Config URL: ctx.cfg
Real Interfaces: GigabitEthernet0/0.10, GigabitEthernet0/1.20,
GigabitEthernet0/2.30
Mapped Interfaces: int1, int2, int3
Real IPS Sensors: ips1, ips3
Mapped IPS Sensors: highsec, lowsec
Flags: 0x00000011, ID: 2
Context "system", is a system resource
Config URL: startup-config
Real Interfaces:
Mapped Interfaces: Control0/0, GigabitEthernet0/0,
GigabitEthernet0/0.10, GigabitEthernet0/1, GigabitEthernet0/1.10,
GigabitEthernet0/1.20, GigabitEthernet0/2, GigabitEthernet0/2.30,
GigabitEthernet0/3, Management0/0, Management0/0.1
Flags: 0x00000019, ID: 257
Context "null", is a system resource
Config URL: ... null ...
Real Interfaces:
Mapped Interfaces:
Flags: 0x00000009, ID: 258
表 4-33 に、各フィールドの説明を示します。
表 4-33
コンテキストの状態
フィールド
説明
Context
コンテキストの名前。ヌルコンテキストの情報は内部でのみ使
用されます。system というコンテキストは、システム実行スペー
スを表しています。
State Message:
コンテキストの状態。次に、表示される可能性のあるメッセージ
を示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-139
第4章
show bgp コマンド～ show cpu コマンド
show context
表 4-33
コンテキストの状態（続き）
フィールド
説明
Has been created, but
initial ACL rules not
complete
ASA はコンフィギュレーションを解析しましたが、デフォルト
セキュリティポリシーを確立するためのデフォルト ACL をま
だダウンロードしていません。デフォルトセキュリティポリ
シーは、すべてのコンテキストに対して最初に適用されるもの
で、下位セキュリティレベルから上位セキュリティレベルへの
トラフィック送信を禁止したり、アプリケーションインスペク
ションおよびその他のパラメータをイネーブルにします。この
セキュリティポリシーによって、コンフィギュレーションが解
析されてからコンフィギュレーションの ACL がコンパイルさ
れるまでの間に、トラフィックが ASA をいっさい通過しないこ
とが保証されます。コンフィギュレーションの ACL は非常に高
速でコンパイルされるため、この状態が表示されることはほと
んどありません。
Has been created, but not
initialized
context name コマンドを入力しましたが、まだ config-url コマン
ドを入力していません。
Has been created, but the
config hasn’t been parsed
デフォルトの ACL がダウンロードされましたが、まだ ASA がコ
ンフィギュレーションを解析していません。この状態が表示され
る場合は、ネットワーク接続に問題があるために、コンフィギュ
レーションのダウンロードが失敗した可能性があります。また
は、config-url コマンドをまだ入力していません。コンフィギュ
レーションをリロードするには、コンテキスト内から copy
startup-config running-config を入力します。システムから、
config-url コマンドを再度入力します。または、ブランクの実行コ
ンフィギュレーションの設定を開始します。
Is a system resource
この状態に該当するのは、システム実行スペースとヌルコンテ
キストのみです。ヌルコンテキストはシステムによって使用さ
れ、この情報は内部でのみ使用されます。
Is a zombie
no context コマンドまたは clear context コマンドを使用してコン
テキストを削除しましたが、コンテキストの情報は、ASA がコン
テキスト ID を新しいコンテキストに再利用するか、セキュリ
ティアプライアンスを再起動するまでメモリに保持されます。
Is active
このコンテキストは現在実行中であり、コンテキストコンフィ
ギュレーションのセキュリティポリシーに従ってトラフィック
を通過させることができます。
Is ADMIN and active
このコンテキストは管理コンテキストであり、現在実行中です。
Was a former ADMIN, but clear configure context コマンドを使用して管理コンテキストを
is now a zombie
削除しましたが、コンテキストの情報は、ASA がコンテキスト
ID を新しいコンテキストに再利用するか、セキュリティアプラ
イアンスを再起動するまでメモリに保持されます。
Real Interfaces
このコンテキストに割り当てられたインターフェイス。インター
フェイスの ID を allocate-interface コマンドでマッピングした場
合、表示されるのはインターフェイスの実際の名前です。
Mapped Interfaces
インターフェイスの ID を allocate-interface コマンドでマッピ
ングした場合、表示されるのはマッピングされた名前です。イン
ターフェイスをマッピングしなかった場合は、実際の名前がも
う一度表示されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-140
第4章
show bgp コマンド～ show cpu コマンド
show context
表 4-33
コンテキストの状態（続き）
フィールド
説明
Real IPS Sensors
AIP SSM をインストールしている場合に、コンテキストに割り
当てられる IPS 仮想センサー。センサー名を allocate-ips コマン
ドでマッピングした場合、表示されるのはセンサーの実際の名
前です。
Mapped IPS Sensors
センサー名を allocate-ips コマンドでマッピングした場合、表示
されるのはマッピングされた名前です。センサー名をマッピン
グしなかった場合は、実際の名前がもう一度表示されます。
Flag
内部でのみ使用されます。
ID
このコンテキストの内部 ID。
次に、show context count コマンドの出力例を示します。
ciscoasa# show context count
Total active contexts: 2
関連コマンド
コマンド
admin-context
説明
allocate-interface
コンテキストにインターフェイスを割り当てます。
changeto
コンテキスト間またはコンテキストとシステム実行スペースの間で切
り替えを行います。
config-url
コンテキストコンフィギュレーションの場所を指定します。
context
システムコンフィギュレーションにセキュリティコンテキストを作
成し、コンテキストコンフィギュレーションモードを開始します。
管理コンテキストを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-141
第4章
show bgp コマンド～ show cpu コマンド
show controller
show controller
存在するすべてのインターフェイスについて、コントローラ固有の情報を表示するには、特権
EXEC モードで show controller コマンドを使用します。
show controller [slot] [physical_interface] [pci [bridge [bridge-id [port-num]]]] [detail]
構文の説明
bridge
（オプション）ASA 5585-X の PCI ブリッジ固有の情報を表示します。
bridge-id
（オプション）ASA 5585-X の一意の各 PCI ブリッジ ID を表示します。
detail
（オプション）コントローラの詳細を表示します。
pci
（オプション）ASA 5585-X の PCI コンフィギュレーション領域の先頭
256 バイトとともに PCI デバイスの要約を表示します。
physical_interface
（オプション）インターフェイス ID を指定します。
port-num
（オプション）ASA 5585-X 適応型 ASA の各 PCI ブリッジ内の一意の
ポート番号を表示します。
slot
（オプション）ASA 5580 の PCI-e バスおよびスロットの情報のみを表
示します。
デフォルト
インターフェイスを指定しない場合、このコマンドはすべてのインターフェイスの情報を表示
します。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
トランスペ
ルーテッドアレント
シングル
•
•
Yes
•
Yes
コンテキストシステム
•
Yes
•
Yes
リリース
7.2(1)
変更内容
8.0(2)
このコマンドは ASA 5505 のみではなく、すべてのプラットフォームに
適用されるようになりました。detail キーワードが追加されました。
8.1(1)
ASA 5580 用に slot キーワードが追加されました。
8.2(5)
IPS SSP がインストールされた ASA 5585-X 用に pci、bridge、bridge-id、
port-num の各オプションが追加されました。また、すべての ASA モデ
ル用に、ポーズフレームを送信して 1 ギガビットイーサネットイン
ターフェイスでのフロー制御を可能にするためのサポートが追加され
ました。
8.6(1)
ASA とソフトウェアモジュール間の制御トラフィックに使用される
ASA 5512-X から ASA 5555-X Internal-Control0/0 までのインターフェ
イス用と、ASA とソフトウェアモジュールへのデータトラフィックに
使用される Internal-Data0/1 インターフェイス用に、detail キーワード
のサポートが追加されました。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-142
Yes
マルチ
第4章
show bgp コマンド～ show cpu コマンド
show controller
使用上のガイドライン
例
このコマンドは、内部的不具合やカスタマーにより発見された不具合を調査するときに、Cisco
TAC がコントローラについての有用なデバッグ情報を収集するために役立ちます。実際の出力
は、モデルとイーサネットコントローラによって異なります。このコマンドは、IPS SSP がインス
トールされている ASA 5585-X の対象となるすべての PCI ブリッジに関する情報も表示します。
ASA サービスモジュールの場合、show controller コマンドの出力に PCIe スロット情報は表示さ
れません。
次に、show controller コマンドの出力例を示します。
ciscoasa# show controller
Ethernet0/0:
Marvell 88E6095 revision 2, switch port 7
PHY Register:
Control:
0x3000 Status:
0x786d
Identifier1:
0x0141 Identifier2:
0x0c85
Auto Neg:
0x01e1 LP Ability:
0x40a1
Auto Neg Ex:
0x0005 PHY Spec Ctrl: 0x0130
PHY Status:
0x4c00 PHY Intr En:
0x0400
Int Port Sum: 0x0000 Rcv Err Cnt:
0x0000
Led select:
0x1a34
Reg 29:
0x0003 Reg 30:
0x0000
Port Registers:
Status:
0x0907 PCS Ctrl:
0x0003
Identifier:
0x0952 Port Ctrl:
0x0074
Port Ctrl-1:
0x0000 Vlan Map:
0x077f
VID and PRI:
0x0001 Port Ctrl-2:
0x0cc8
Rate Ctrl:
0x0000 Rate Ctrl-2:
0x3000
Port Asc Vt:
0x0080
In Discard Lo: 0x0000 In Discard Hi: 0x0000
In Filtered:
0x0000 Out Filtered: 0x0000
Global Registers:
Control:
0x0482
--------------------------------------------------------------------Number of VLANs: 1
--------------------------------------------------------------------Vlan[db]\Port| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
--------------------------------------------------------------------<0001[01]> | EUT| EUT| EUT| EUT| EUT| EUT| EUT| EUT| EUM| NM | NM |
--------------------------------------------------------------------....
Ethernet0/6:
Marvell 88E6095 revision 2, switch port 1
PHY Register:
Control:
0x3000 Status:
Identifier1:
0x0141 Identifier2:
Auto Neg:
0x01e1 LP Ability:
Auto Neg Ex:
0x0004 PHY Spec Ctrl:
PHY Status:
0x0040 PHY Intr En:
Int Port Sum: 0x0000 Rcv Err Cnt:
Led select:
0x1a34
Reg 29:
0x0003 Reg 30:
Port Registers:
Status:
0x0007 PCS Ctrl:
Identifier:
0x0952 Port Ctrl:
Port Ctrl-1:
0x0000 Vlan Map:
VID and PRI:
0x0001 Port Ctrl-2:
0x7849
0x0c85
0x0000
0x8130
0x8400
0x0000
0x0000
0x0003
0x0077
0x07fd
0x0cc8
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-143
第4章
show bgp コマンド～ show cpu コマンド
show controller
Rate Ctrl:
0x0000 Rate Ctrl-2:
0x3000
Port Asc Vt:
0x0002
In Discard Lo: 0x0000 In Discard Hi: 0x0000
In Filtered:
0x0000 Out Filtered: 0x0000
----Inline power related counters and registers---Power on fault: 0 Power off fault: 0
Detect enable fault: 0 Detect disable fault: 0
Faults: 0
Driver counters:
I2C Read Fail: 0
I2C Write Fail: 0
Resets: 1 Initialized: 1
PHY reset error: 0
LTC4259 registers:
INTRPT STATUS = 0x88 INTRPT MASK
= 0x00 POWER EVENT
= 0x00
DETECT EVENT = 0x03 FAULT EVENT
= 0x00 TSTART EVENT = 0x00
SUPPLY EVENT = 0x02 PORT1 STATUS = 0x06 PORT2 STATUS = 0x06
PORT3 STATUS = 0x00 PORT4 STATUS = 0x00 POWER STATUS = 0x00
OPERATE MODE = 0x0f DISC.ENABLE = 0x30 DT/CLASS ENBL = 0x33
TIMING CONFIG = 0x00 MISC.CONFIG = 0x00
...
Internal-Data0/0:
Y88ACS06 Register settings:
rap
ctrl_status
irq_src
irq_msk
irq_hw_err_src
irq_hw_err_msk
bmu_cs_rxq
bmu_cs_stxq
bmu_cs_atxq
0xe0004000
0xe0004004
0xe0004008
0xe000400c
0xe0004010
0xe0004014
0xe0004060
0xe0004068
0xe000406c
=
=
=
=
=
=
=
=
=
0x00000000
0x5501064a
0x00000000
0x00000000
0x00000000
0x00001000
0x002aaa80
0x01155540
0x012aaa80
Bank 2: MAC address registers:
....
次に、show controller detail コマンドの出力例を示します。
ciscoasa# show controller gigabitethernet0/0 detail
GigabitEthernet0/0:
Intel i82546GB revision 03
Main Registers:
Device Control:
Device Status:
Extended Control:
RX Config:
TX Config:
RX Control:
TX Control:
TX Inter Packet Gap:
RX Filter Cntlr:
RX Chksum:
0xf8260000
0xf8260008
0xf8260018
0xf8260180
0xf8260178
0xf8260100
0xf8260400
0xf8260410
0xf8260150
0xf8265000
=
=
=
=
=
=
=
=
=
=
0x003c0249
0x00003347
0x000000c0
0x0c000000
0x000001a0
0x04408002
0x000400fa
0x00602008
0x00000000
0x00000300
RX Descriptor Registers:
RX Descriptor 0 Cntlr:
RX Descriptor 0 AddrLo:
RX Desccriptor 0 AddrHi:
RX Descriptor 0 Length:
RX Descriptor 0 Head:
RX Descriptor 0 Tail:
RX Descriptor 1 Cntlr:
0xf8262828
0xf8262800
0xf8262804
0xf8262808
0xf8262810
0xf8262818
0xf8262828
=
=
=
=
=
=
=
0x00010000
0x01985000
0x00000000
0x00001000
0x00000000
0x000000ff
0x00010000
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-144
第4章
show bgp コマンド～ show cpu コマンド
show controller
RX
RX
RX
RX
RX
Descriptor
Descriptor
Descriptor
Descriptor
Descriptor
1
1
1
1
1
AddrLo:
AddrHi:
Length:
Head:
Tail:
0xf8260138
0xf826013c
0xf8260140
0xf8260148
0xf8260150
=
=
=
=
=
0x00000000
0x00000000
0x00000000
0x00000000
0x00000000
TX Descriptor Registers:
TX Descriptor 0 Cntlr:
TX Descriptor 0 AddrLo:
TX Descriptor 0 AddrHi:
TX Descriptor 0 Length:
TX Descriptor 0 Head:
TX Descriptor 0 Tail:
0xf8263828
0xf8263800
0xf8263804
0xf8263808
0xf8263810
0xf8263818
=
=
=
=
=
=
0x00000000
0x01987000
0x00000000
0x00001000
0x00000000
0x00000000
RX Address Array:
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
Ethernet Address
0012.d948.ef58
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
Not Valid!
0:
1:
2:
3:
4:
5:
6:
7:
8:
9:
a:
b:
c:
d:
e:
f:
PHY Registers:
Phy Control:
Phy Status:
Phy ID 1:
Phy ID 2:
Phy Autoneg Advertise:
Phy Link Partner Ability:
Phy Autoneg Expansion:
Phy Next Page TX:
Phy Link Partnr Next Page:
Phy 1000T Control:
Phy 1000T Status:
Phy Extended Status:
0x1140
0x7969
0x0141
0x0c25
0x01e1
0x41e1
0x0007
0x2801
0x0000
0x0200
0x4000
0x3000
Detailed Output - RX Descriptor Ring:
rx_bd[000]: baddr
pkt chksum
rx_bd[001]: baddr
pkt chksum
=
=
=
=
0x019823A2,
0x0000,
0x01981A62,
0x0000,
length
errors
length
errors
=
=
=
=
0x0000,
0x00,
0x0000,
0x00,
status
special
status
special
=
=
=
=
0x00
0x0000
0x00
0x0000
........
次に、ASA 5512-X から ASA 5555-X までの内部インターフェイスに対する show controller detail
コマンドの出力例を示します。
ciscoasa# show controller detail
Internal-Control0/0:
ASA IPS/VM Back Plane TunTap Interface , port id 9
Major Configuration Parameters
Device Name
: en_vtun
Linux Tun/Tap Device : /dev/net/tun/tap1
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-145
第4章
show bgp コマンド～ show cpu コマンド
show controller
Num of Transmit Rings
Num of Receive Rings
Ring Size
Max Frame Length
Out of Buffer
Reset
Drop
Transmit Ring [0]:
tx_pkts_in_queue
tx_pkts
tx_bytes
Receive Ring [0]:
rx_pkts_in_queue
rx_pkts
rx_bytes
rx_drops
:
:
:
:
:
:
:
1
1
128
1550
0
0
0
: 0
: 176
: 9664
:
:
:
:
0
0
0
0
Internal-Data0/1:
ASA IPS/VM Management Channel TunTap Interface , port id 9
Major Configuration Parameters
Device Name
: en_vtun
Linux Tun/Tap Device : /dev/net/tun/tap2
Num of Transmit Rings : 1
Num of Receive Rings : 1
Ring Size
: 128
Max Frame Length
: 1550
Out of Buffer
: 0
Reset
: 0
Drop
: 0
Transmit Ring [0]:
tx_pkts_in_queue
: 0
tx_pkts
: 176
tx_bytes
: 9664
Receive Ring [0]:
rx_pkts_in_queue
: 0
rx_pkts
: 0
rx_bytes
: 0
rx_drops
: 0
次に、show controller slot コマンドの出力例を示します。
Slot
---3.
Card Description
---------------ASA 5580 2 port 10GE SR Fiber Interface Card
PCI-e Bandwidth Cap.
---------------------Bus: x4, Card: x8
4.
ASA 5580 4 port GE Copper Interface Card
Bus: x4, Card: x4
5.
ASA 5580 2 port 10GE SR Fiber Interface Card
Bus: x8, Card: x8
6.
ASA 5580 4 port GE Fiber Interface Card
Bus: x4, Card: x4
7.
empty
Bus: x8
8.
empty
Bus: x8
次に、show controller pci コマンドの出力例を示します。
ciscoasa# show controller pci
PCI Evaluation Log:
--------------------------------------------------------------------------Empty
PCI Bus:Device.Function (hex): 00:00.0 Vendor ID: 0x8086 Device ID: 0x3406
---------------------------------------------------------------------------
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-146
第4章
show bgp コマンド～ show cpu コマンド
show controller
PCI Configuration
0x00: 86 80 06 34
0x10: 00 00 00 00
0x20: 00 00 00 00
0x30: 00 00 00 00
0x40: 00 00 00 00
0x50: 00 00 00 00
0x60: 05 90 02 01
0x70: 00 00 00 00
0x80: 00 00 00 00
0x90: 10 e0 42 00
0xa0: 00 00 41 30
0xb0: 00 00 00 00
0xc0: 01 00 00 00
0xd0: 00 00 00 00
0xe0: 01 00 03 c8
0xf0: 00 00 00 00
Space
00 00
00 00
00 00
60 00
00 00
00 00
00 00
00 00
00 00
20 80
00 00
3e 00
00 00
00 00
08 00
00 00
(hex):
10 00 22
00 00 00
00 00 00
00 00 00
00 00 00
00 00 00
00 00 00
00 00 00
00 00 00
00 00 00
00 00 c0
00 00 09
00 00 00
00 00 00
00 00 00
00 00 00
00
00
00
00
00
00
00
00
00
00
07
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
06
00
00
00
00
00
00
00
00
00
01
00
00
00
00
00
10
00
86
05
00
00
00
00
00
41
00
00
00
00
00
00
00
00
80
01
00
00
00
00
00
3c
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
3b
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
Link Capabilities: x4, Gen1
Link Status: x4, Gen1
関連コマンド
コマンド
show interface
説明
show tech-support
Cisco TAC による問題の診断を可能にするような情報を表示します。
インターフェイス統計情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-147
第4章
show bgp コマンド～ show cpu コマンド
show coredump filesystem
show coredump filesystem
コアダンプファイルシステムの内容を表示するには、show coredump filesystem コマンドを入
力します。
show coredump filesystem
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトでは、コアダンプはイネーブルではありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
8.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
このコマンドは、コアダンプファイルシステムの内容を表示します。
例
次に、show coredump filesystem コマンドを入力して、最近生成されたすべてのコアダンプの内
容を表示する例を示します。
ciscoasa(config)# show coredump filesystem
Coredump Filesystem Size is 100 MB
Filesystem type is FAT for disk0
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/loop0 102182 75240 26942 74% /mnt/disk0/coredumpfsys
Directory of disk0:/coredumpfsys/
246 -rwx 20205386 19:14:53 Nov 26 2008 core_lina.2008Nov26_191244.203.11.gz
247 -rwx 36707919 19:17:27 Nov 26 2008 core_lina.2008Nov26_191456.203.6.gz
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-148
第4章
show bgp コマンド～ show cpu コマンド
show coredump filesystem
関連コマンド
コマンド
coredump enable
説明
clear configure coredump
コアダンプファイルシステムに現在保存されているコアダンプ
をすべて削除し、コアダンプログをクリアします。コアダンプ
ファイルシステム自体での作業はないため、コアダンプコンフィ
ギュレーションが変更されたり、影響を受けたりすることはあり
ません。
clear coredump
コアダンプファイルシステムに現在保存されているコアダンプ
をすべて削除し、コアダンプログをクリアします。コアダンプ
ファイルシステム自体での作業はないため、コアダンプコンフィ
ギュレーションが変更されたり、影響を受けたりすることはあり
ません。
show coredump log
コアダンプログを表示します。
コアダンプ機能をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-149
第4章
show bgp コマンド～ show cpu コマンド
show coredump log
show coredump log
コアダンプログの内容を新しい順に表示するには、show coredump log コマンドを入力します。
コアダンプログの内容を古い順に表示するには、show coredump log reverse コマンドを入力し
ます。
show coredump log
show coredump log [reverse]
構文の説明
reverse
デフォルト
デフォルトでは、コアダンプはイネーブルではありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
最も古いコアダンプログを表示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
グローバルコンフィギュ
レーション
コマンド履歴
リリース
8.2(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
このコマンドは、コアダンプログの内容を表示します。ログは、現在ディスク上にあるものを反
映しています。
例
次に、これらのコマンドの出力例を示します。
ciscoasa(config)# show coredump log
[ 1 ] Wed Feb 18 22:12:09 2009: Coredump completed for module 'lina', coredump file
'core_lina.2009Feb18_221032.203.6.gz', size 971722752 bytes, compressed size 21293688
[ 2 ] Wed Feb 18 22:11:01 2009: Filesystem full on 'disk0', removing module coredump
record 'core_lina.2009Feb18_213558.203.11.gz'
[ 3 ] Wed Feb 18 22:10:32 2009: Coredump started for module 'lina', generating coredump
file 'core_lina.2009Feb18_221032.203.6.gz' on 'disk0'
[ 4 ] Wed Feb 18 21:37:35 2009: Coredump completed for module 'lina', coredump file
'core_lina.2009Feb18_213558.203.11.gz', size 971722752 bytes, compressed size 21286383
[ 5 ] Wed Feb 18 21:35:58 2009: Coredump started for module 'lina', generating coredump
file 'core_lina.2009Feb18_213558.203.11.gz' on 'disk0'
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-150
第4章
show bgp コマンド～ show cpu コマンド
show coredump log
（注）
新しいコアダンプ用の領域を確保するため、古いコアダンプファイルは削除されます。これは、
コアダンプファイルシステムがいっぱいになり、現在のコアダンプ用の領域が必要になった場
合に、ASA によって自動的に行われます。このため、クラッシュが発生してコアダンプが上書き
されないように、できるだけ早くコアダンプをアーカイブすることが不可欠となります。
ciscoasa(config)# show coredump log reverse
[ 1 ] Wed Feb 18 21:35:58 2009: Coredump started for module 'lina', generating coredump
file 'core_lina.2009Feb18_213558.203.11.gz' on 'disk0''
[ 2 ] Wed Feb 18 21:37:35 2009: Coredump completed for module 'lina', coredump file
'core_lina.2009Feb18_213558.203.11.gz', size 971722752 bytes, compressed size 21286383
[ 3 ] Wed Feb 18 22:10:32 2009: Coredump started for module 'lina', generating coredump
file 'core_lina.2009Feb18_221032.203.6.gz' on 'disk0'
[ 4 ] Wed Feb 18 22:11:01 2009: Filesystem full on 'disk0', removing module coredump
record 'core_lina.2009Feb18_213558.203.11.gz'
[ 5 ] Wed Feb 18 22:12:09 2009: Coredump completed for module 'lina', coredump file
'core_lina.2009Feb18_221032.203.6.gz', size 971722752 bytes, compressed size 21293688
関連コマンド
コマンド
coredump enable
説明
clear configure coredump
コアダンプファイルシステムに現在保存されているコアダンプ
をすべて削除し、コアダンプログをクリアします。コアダンプ
ファイルシステム自体での作業はないため、コアダンプコンフィ
ギュレーションが変更されたり、影響を受けたりすることはあり
ません。
clear coredump
コアダンプファイルシステムに現在保存されているコアダンプ
をすべて削除し、コアダンプログをクリアします。コアダンプ
ファイルシステム自体での作業はないため、コアダンプコンフィ
ギュレーションが変更されたり、影響を受けたりすることはあり
ません。
show coredump filesystem
コアダンプファイルシステムの内容を表示します。
コアダンプ機能をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-151
第4章
show bgp コマンド～ show cpu コマンド
show counters
show counters
プロトコルスタックカウンタを表示するには、特権 EXEC モードで show counters コマンドを
使用します。
show counters [all | context context-name | summary | top N ] [detail] [protocol protocol_name
[:counter_name]] [ threshold N]
構文の説明
all
フィルタの詳細を表示します。
context context-name
コンテキスト名を指定します。
:counter_name
カウンタを名前で指定します。
詳細なカウンタ情報を表示します。
protocol protocol_name 指定したプロトコルのカウンタを表示します。
summary
カウンタの要約を表示します。
detail
threshold N
指定したしきい値以上のカウンタのみを表示します。指定できる範囲
は 1 ～ 4294967295 です。
top N
指定したしきい値以上のカウンタを表示します。指定できる範囲は 1 ～ 4294967295 です。
デフォルト
show counters summary detail threshold 1
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
ルーテッド
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
7.2(1)
変更内容
9.2(1)
イベントマネージャのカウンタが追加されました。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-152
トランスペ
アレント
シングル
•
Yes
第4章
show bgp コマンド～ show cpu コマンド
show counters
例
次に、すべてのカウンタを表示する例を示します。
ciscoasa# show counters all
Protocol
Counter
IOS_IPC
IN_PKTS
IOS_IPC
OUT_PKTS
Value
2
2
Context
single_vf
single_vf
ciscoasa# show counters
Protocol
Counter
NPCP
IN_PKTS
NPCP
OUT_PKTS
IOS_IPC
IN_PKTS
IOS_IPC
OUT_PKTS
IP
IN_PKTS
IP
OUT_PKTS
IP
TO_ARP
IP
TO_UDP
UDP
IN_PKTS
UDP
DROP_NO_APP
FIXUP
IN_PKTS
UAUTH
IPV6_UNSUPPORTED
IDFW
HIT_USER_LIMIT
Value
7195
7603
869
865
380
411
105
9
9
9
202
27
2
Context
Summary
Summary
Summary
Summary
Summary
Summary
Summary
Summary
Summary
Summary
Summary
Summary
Summary
次に、カウンタの要約を表示する例を示します。
ciscoasa# show counters summary
Protocol
Counter
Value
IOS_IPC
IN_PKTS
2
IOS_IPC
OUT_PKTS
2
Context
Summary
Summary
次に、コンテキストのカウンタを表示する例を示します。
ciscoasa# show counters context single_vf
Protocol
Counter
Value
Context
IOS_IPC
IN_PKTS
4
single_vf
IOS_IPC
OUT_PKTS
4
single_vf
次に、イベントマネージャのカウンタを表示する例を示します。
ciscoasa# show counters protocol eem
Protocol
Counter
Value
EEM
SYSLOG
22
EEM
COMMANDS
6
EEM
FILES
3
関連コマンド
コマンド
clear counters
Context
Summary
Summary
Summary
説明
プロトコルスタックカウンタをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-153
第4章
show bgp コマンド～ show cpu コマンド
show cpu
show cpu
CPU の使用状況に関する情報を表示するには、特権 EXEC モードで show cpu コマンドを使用し
ます。
[cluster exec] show cpu [usage core-id | profile | dump | detailed]
マルチコンテキストモードでは、システムコンフィギュレーションから次のように入力します。
[cluster exec] show cpu [usage] [context {all | context_name}]
構文の説明
all
すべてのコンテキストを表示することを指定します。
cluster exec
（オプション）クラスタリング環境では、あるユニットで show cpu コマ
ンドを発行し、そのコマンドを他のすべてのユニットで同時に実行で
きます。
context
1 つのコンテキストを表示することを指定します。
context_name
表示するコンテキストの名前を指定します。
core-id
プロセッサコアの数を指定します。
detailed
（オプション）CPU の内部使用に関する詳細な情報を表示します。
dump
（オプション）TTY にダンププロファイリングデータを表示します。
profile
（オプション）CPU プロファイリングデータを表示します。
usage
（オプション）CPU 使用状況を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
ルーテッド
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.6(1)
ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X をサポートする
ために、core-id オプションが追加されました。
9.1(2)
show cpu profile コマンドと show cpu profile dump コマンドの出力が
更新されました。
9.2(1)
仮想プラットフォームの CPU 使用状況が ASAv の出力に追加されま
した。
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-154
トランスペ
アレント
シングル
第4章
show bgp コマンド～ show cpu コマンド
show cpu
使用上のガイドライン
CPU 使用状況は、5 秒ごとの負荷の近似値を使用し、この概算値をさらに以降の 2 つの移動平均
に適用することによって算出されます。
show cpu コマンドを使用すると、プロセス関連の負荷を検出できます（つまり、show process コ
マンドを、シングルモードとマルチコンテキストモードのシステムコンフィギュレーションの
両方で実行した場合に表示される項目の代わりに、アクティビティを表示できます）。
さらに、マルチコンテキストモードでは、プロセス関連負荷を分散するよう、設定されたすべて
のコンテキストで消費される CPU に要求できます。このためには、各コンテキストに変更して
show cpu コマンドを入力するか、show cpu context コマンドを入力します。
プロセス関連の負荷は、最も近い整数に丸められますが、コンテキスト関連の負荷の場合は精度
を表す小数桁が 1 桁追加されます。たとえば、show cpu コマンドをシステムコンテキストから入
力すると、show cpu context system コマンドを入力した場合とは異なる数値が示されます。前者
は show cpu context all コマンドで表示される要約とほぼ同じですが、後者はその要約の一部に
すぎません。
show cpu profile dump コマンドを cpu profile activate コマンドとともに使用して、CPU 問題の
トラブルシューティング時に TAC が使用する情報を収集できます。show cpu profile dump コマ
ンドの出力は 16 進表記です。
CPU プロファイラが開始条件の発生を待機している場合、show cpu profile コマンドは次の出力
を表示します。
CPU profiling started: 12:45:57.209 UTC Wed Nov 14 2012
CPU Profiling waiting on starting condition.
Core 0: 0 out of 10 samples collected.
Core 1: 0 out of 10 samples collected.
Core 2: 0 out of 10 samples collected.
Core 3: 0 out of 10 samples collected.
CP
0 out of 10 samples collected.
ASAv に関して、次のライセンスガイドラインに注意してください。
•
•
許可される vCPU の数は、インストールされている vCPU プラットフォームライセンスに
よって決定されます。
–
ライセンス vCPU の数が、プロビジョニングされた vCPU の数と一致する場合、状態は
Compliant になります。
–
ライセンス vCPU の数が、プロビジョニングされた vCPU の数を下回る場合、状態は
Noncompliant: Over-provisioned になります。
–
ライセンス vCPU の数が、プロビジョニングされた vCPU の数を超える場合、状態は
Compliant: Under-provisioned になります。
メモリ制限は、プロビジョニングされた vCPU の数によって決定されます。
– プロビジョニングされたメモリが上限にある場合、状態は Compliant になります。
– プロビジョニングされたメモリが上限を超える場合、状態は Noncompliant:
Over-provisioned になります。
– プロビジョニングされたメモリが上限を下回る場合、状態は Compliant:
Under-provisioned になります。
•
周波数予約制限は、プロビジョニングされた vCPU の数によって決定されます。
– 周波数予約メモリが必要最低限（1000 MHz）以上である場合、状態は Compliant になり
ます。
– 周波数予約メモリが必要最低限（1000 MHz）未満である場合、状態は Compliant:
Under-provisioned になります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-155
第4章
show bgp コマンド～ show cpu コマンド
show cpu
たとえば、次の出力は、ライセンスが適用されていないことを示します。許可される vCPU の数
はライセンスされた数を示し、Noncompliant: Over-provisioned は、製品がライセンスされたリ
ソースよりも多いリソースを使用して実行されていることを示しています。
Virtual platform CPU resources
-----------------------------Number of vCPUs
:
Number of allowed vCPUs
:
vCPU Status
:
例
1
0
Noncompliant: Over-provisioned
次に、CPU 使用状況を表示する例を示します。
ciscoasa# show cpu usage
CPU utilization for 5 seconds = 18%; 1 minute: 18%; 5 minutes: 18%
次に、CPU の使用状況に関する情報を表示する例を示します。
ciscoasa# show cpu detailed
Break down of per-core data path versus control point cpu usage:
Core
5 sec
1 min
5 min
Core 0
0.0 (0.0 + 0.0) 3.3 (0.0 + 3.3) 2.4 (0.0 + 2.4)
Current control point elapsed versus the maximum control point elapsed for:
5 seconds = 99.0%; 1 minute: 99.8%; 5 minutes: 95.9%
CPU utilization of external processes for:
5 seconds = 0.2%; 1 minute: 0.0%; 5 minutes: 0.0%
Total CPU utilization for:
5 seconds = 0.2%; 1 minute: 3.3%; 5 minutes: 2.5%
（注）
「Current control point elapsed versus the maximum control point elapsed for」という文は、コントロー
ルポイントの現在の負荷が、定義された期間内に検出された最大負荷と比較されることを意味
します。これは絶対値ではなく比率です。5 秒間隔に対して 99% という数値は、コントロールポ
イントの現在の負荷が、その 5 秒間隔における最大負荷の 99% であることを意味します。負荷が
常に増加し続ける場合、負荷は常に 100% になります。ただし、最大絶対値が定義されていないた
め、実際の CPU には引き続き多くの空き容量がある可能性があります。
次に、マルチモードでシステムコンテキストの CPU 使用状況を表示する例を示します。
ciscoasa# show cpu context system
CPU utilization for 5 seconds = 9.1%; 1 minute: 9.2%; 5 minutes: 9.1%
次に、すべてのコンテキストの CPU 使用状況を表示する例を示します。
ciscoasa# show cpu usage context all
5 sec 1 min 5 min Context Name
9.1%
9.2%
9.1% system
0.0%
0.0%
0.0% admin
5.0%
5.0%
5.0% one
4.2%
4.3%
4.2% two
次に、「one」というコンテキストの CPU 使用状況を表示する例を示します。
ciscoasa/one# show cpu usage
CPU utilization for 5 seconds = 5.0%; 1 minute: 5.0%; 5 minutes: 5.0%
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-156
第4章
show bgp コマンド～ show cpu コマンド
show cpu
次の例では、プロファイラが稼働し、1000 個のサンプルの格納が命令されます。
ciscoasa#
Activated
Use "show
profiling
cpu
CPU
cpu
and
profile activate
profiling for 1000 samples.
profile" to display the progress or "show cpu profile dump" to interrupt
display the incomplete results.
次に、プロファイリングのステータス（in-progress および completed）の例を示します。
ciscoasa# show cpu profile
CPU profiling started: 13:45:10.400 PST Fri Nov 16 2012
CPU profiling currently in progress:
Core 0: 209 out of 1000 samples collected.
Use "show cpu profile dump" to see the results after it is complete or to interrupt
profiling and display the incomplete results.
ciscoasa# show cpu profile dump
Cisco Adaptive Security Appliance Software Version 9.1(2)
Hardware:
ASA5555
CPU profiling started: 09:13:32.079 UTC Wed Jan 30 2013
No CPU profiling process specified.
No CPU profiling trigger specified.
cores: 2
Process virtual address map:
--------------------------…
--------------------------End of process map
Samples for core 0 - stopped
{0x00000000007eadb6,0x000000000211ee7e} ...
次に、ASAv の CPU 使用状況の例を示します。
ciscoasa# show cpu
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
Virtual platform CPU resources
-----------------------------Number of vCPUs
:
Number of allowed vCPUs
:
vCPU Status
:
2
2
Compliant
Frequency Reservation
Minimum required
Frequency Limit
Maximum allowed
Frequency Status
Average Usage (30 seconds)
1000 MHz
1000 MHz
4000 MHz
56000 MHz
Compliant
136 MHz
:
:
:
:
:
:
次に、ASAv の CPU 使用状況の詳細の例を示します。
Break down of per-core data path versus control point cpu
Core
5 sec
1 min
5 min
Core 0
0.0 (0.0 + 0.0) 0.0 (0.0 + 0.0) 0.0 (0.0 +
Core 1
0.0 (0.0 + 0.0) 0.2 (0.2 + 0.0) 0.0 (0.0 +
Core 2
0.0 (0.0 + 0.0) 0.0 (0.0 + 0.0) 0.0 (0.0 +
Core 3
0.0 (0.0 + 0.0) 0.1 (0.0 + 0.1) 0.0 (0.0 +
usage:
0.0)
0.0)
0.0)
0.0)
Current control point elapsed versus the maximum control point elapsed for:
5 seconds = 0.0%; 1 minute: 0.0%; 5 minutes: 0.0%
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-157
第4章
show bgp コマンド～ show cpu コマンド
show cpu
CPU utilization of external processes for:
5 seconds = 0.0%; 1 minute: 0.0%; 5 minutes: 0.0%
Total CPU utilization for:
5 seconds = 0.1%; 1 minute: 0.1%; 5 minutes: 0.1%
Virtual platform CPU resources
-----------------------------Number of vCPUs
:
Number of allowed vCPUs
:
vCPU Status
:
4
4
Compliant
Frequency Reservation
Minimum required
Frequency Limit
Maximum allowed
Frequency Status
Average Usage (30 seconds)
1000 MHz
1000 MHz
20000 MHz
20000 MHz
Compliant
99 MHz
:
:
:
:
:
:
復号化する場合は、この情報をコピーし、TAC に提供します。
関連コマンド
コマンド
show counters
説明
cpu profile activate
CPU プロファイリングをアクティブにします。
プロトコルスタックカウンタを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
4-158
CH A P T E R
5
show crashinfo コマンド～ show curpriv
コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-1
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
show crashinfo
フラッシュメモリに格納されているクラッシュファイルの内容を表示するには、特権 EXEC
モードで show crashinfo コマンドを使用します。
show crashinfo [save]
構文の説明
save
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）クラッシュ情報をフラッシュメモリに保存するように
ASA が設定されているかどうかを表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
リリース
7.0(1)
変更内容
9.1(5)
出力に show process コマンド内のスレッド ID（TID）が表示されるよう
になりました。
このコマンドが追加されました。
クラッシュファイルがテストクラッシュから生成された（crashinfo test コマンドで生成され
た）場合、クラッシュファイルの最初のストリングは「: Saved_Test_Crash」であり、最後のスト
リングは「: End_Test_Crash」です。クラッシュファイルが実際のクラッシュから生成されたる
場合、クラッシュファイルの最初の行の文字列は「: Saved_Crash」で、最後の文字列は
「: End_Crash」です（crashinfo force page-fault コマンドまたは crashinfo force watchdog コマン
ドを使用して発生させたクラッシュを含む）。
クラッシュデータがフラッシュにまったく保存されていない場合や、clear crashinfo コマンドを
入力してクラッシュデータをクリアしていた場合は、show crashinfo コマンドを実行するとエ
ラーメッセージが表示されます。
例
次に、現在のクラッシュ情報コンフィギュレーションを表示する例を示します。
ciscoasa# show crashinfo save
crashinfo save enable
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-2
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
次に、クラッシュファイルテストの出力例を示します（このテストによって、ASA が実際にク
ラッシュすることはありません。このテストで提供されるのは、シミュレートされたサンプル
ファイルです）。
ciscoasa(config)# crashinfo test
ciscoasa(config)# exit
ciscoasa# show crashinfo
: Saved_Test_Crash
Thread Name: ci/console (Old pc 0x001a6ff5 ebp 0x00e88920)
Traceback:
0: 00323143
1: 0032321b
2: 0010885c
3: 0010763c
4: 001078db
5: 00103585
6: 00000000
vector 0x000000ff (user defined)
edi 0x004f20c4
esi 0x00000000
ebp 0x00e88c20
esp 0x00e88bd8
ebx 0x00000001
edx 0x00000074
ecx 0x00322f8b
eax 0x00322f8b
error code n/a
eip 0x0010318c
cs 0x00000008
eflags 0x00000000
CR2 0x00000000
F-flags : 0x2
F-flags2 : 0x0
F-flags3 : 0x10000
F-flags4 : 0x0
F-bytes : 0
Stack dump: base:0x00e8511c size:16384, active:1476
0x00e89118: 0x004f1bb4
0x00e89114: 0x001078b4
0x00e89110-0x00e8910c: 0x00000000
0x00e89108-0x00e890ec: 0x12345678
0x00e890e8: 0x004f1bb4
0x00e890e4: 0x00103585
0x00e890e0: 0x00e8910c
0x00e890dc-0x00e890cc: 0x12345678
0x00e890c8: 0x00000000
0x00e890c4-0x00e890bc: 0x12345678
0x00e890b8: 0x004f1bb4
0x00e890b4: 0x001078db
0x00e890b0: 0x00e890e0
0x00e890ac-0x00e890a8: 0x12345678
0x00e890a4: 0x001179b3
0x00e890a0: 0x00e890b0
0x00e8909c-0x00e89064: 0x12345678
0x00e89060: 0x12345600
0x00e8905c: 0x20232970
0x00e89058: 0x616d2d65
0x00e89054: 0x74002023
0x00e89050: 0x29676966
0x00e8904c: 0x6e6f6328
0x00e89048: 0x31636573
0x00e89044: 0x7069636f
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-3
第5章
show crashinfo
0x00e89040: 0x64786970
0x00e8903c-0x00e88e50:
0x00e88e4c: 0x000a7473
0x00e88e48: 0x6574206f
0x00e88e44: 0x666e6968
0x00e88e40: 0x73617263
0x00e88e3c-0x00e88e38:
0x00e88e34: 0x12345600
0x00e88e30-0x00e88dfc:
0x00e88df8: 0x00316761
0x00e88df4: 0x74706100
0x00e88df0: 0x12345600
0x00e88dec-0x00e88ddc:
0x00e88dd8: 0x00000070
0x00e88dd4: 0x616d2d65
0x00e88dd0: 0x74756f00
0x00e88dcc: 0x00000000
0x00e88dc8: 0x00e88e40
0x00e88dc4: 0x004f20c4
0x00e88dc0: 0x12345600
0x00e88dbc: 0x00000000
0x00e88db8: 0x00000035
0x00e88db4: 0x315f656c
0x00e88db0: 0x62616e65
0x00e88dac: 0x0030fcf0
0x00e88da8: 0x3011111f
0x00e88da4: 0x004df43c
0x00e88da0: 0x0053fef0
0x00e88d9c: 0x004f1bb4
0x00e88d98: 0x12345600
0x00e88d94: 0x00000000
0x00e88d90: 0x00000035
0x00e88d8c: 0x315f656c
0x00e88d88: 0x62616e65
0x00e88d84: 0x00000000
0x00e88d80: 0x004f20c4
0x00e88d7c: 0x00000001
0x00e88d78: 0x01345678
0x00e88d74: 0x00f53854
0x00e88d70: 0x00f7f754
0x00e88d6c: 0x00e88db0
0x00e88d68: 0x00e88d7b
0x00e88d64: 0x00f53874
0x00e88d60: 0x00e89040
0x00e88d5c-0x00e88d54:
0x00e88d50-0x00e88d4c:
0x00e88d48: 0x004f1bb4
0x00e88d44: 0x00e88d7c
0x00e88d40: 0x00e88e40
0x00e88d3c: 0x00f53874
0x00e88d38: 0x004f1bb4
0x00e88d34: 0x0010763c
0x00e88d30: 0x00e890b0
0x00e88d2c: 0x00e88db0
0x00e88d28: 0x00e88d88
0x00e88d24: 0x0010761a
0x00e88d20: 0x00e890b0
0x00e88d1c: 0x00e88e40
0x00e88d18: 0x00f53874
0x00e88d14: 0x0010166d
0x00e88d10: 0x0000000e
0x00e88d0c: 0x00f53874
0x00e88d08: 0x00f53854
0x00e88d04: 0x0048b301
0x00000000
0x00000000
0x00000000
0x00000000
0x12345678
0x00000000
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-4
show crashinfo コマンド～ show curpriv コマンド
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
0x00e88d00: 0x00e88d30
0x00e88cfc: 0x0000000e
0x00e88cf8: 0x00f53854
0x00e88cf4: 0x0048a401
0x00e88cf0: 0x00f53854
0x00e88cec: 0x00f53874
0x00e88ce8: 0x0000000e
0x00e88ce4: 0x0048a64b
0x00e88ce0: 0x0000000e
0x00e88cdc: 0x00f53874
0x00e88cd8: 0x00f7f96c
0x00e88cd4: 0x0048b4f8
0x00e88cd0: 0x00e88d00
0x00e88ccc: 0x0000000f
0x00e88cc8: 0x00f7f96c
0x00e88cc4-0x00e88cc0: 0x0000000e
0x00e88cbc: 0x00e89040
0x00e88cb8: 0x00000000
0x00e88cb4: 0x00f5387e
0x00e88cb0: 0x00f53874
0x00e88cac: 0x00000002
0x00e88ca8: 0x00000001
0x00e88ca4: 0x00000009
0x00e88ca0-0x00e88c9c: 0x00000001
0x00e88c98: 0x00e88cb0
0x00e88c94: 0x004f20c4
0x00e88c90: 0x0000003a
0x00e88c8c: 0x00000000
0x00e88c88: 0x0000000a
0x00e88c84: 0x00489f3a
0x00e88c80: 0x00e88d88
0x00e88c7c: 0x00e88e40
0x00e88c78: 0x00e88d7c
0x00e88c74: 0x001087ed
0x00e88c70: 0x00000001
0x00e88c6c: 0x00e88cb0
0x00e88c68: 0x00000002
0x00e88c64: 0x0010885c
0x00e88c60: 0x00e88d30
0x00e88c5c: 0x00727334
0x00e88c58: 0xa0ffffff
0x00e88c54: 0x00e88cb0
0x00e88c50: 0x00000001
0x00e88c4c: 0x00e88cb0
0x00e88c48: 0x00000002
0x00e88c44: 0x0032321b
0x00e88c40: 0x00e88c60
0x00e88c3c: 0x00e88c7f
0x00e88c38: 0x00e88c5c
0x00e88c34: 0x004b1ad5
0x00e88c30: 0x00e88c60
0x00e88c2c: 0x00e88e40
0x00e88c28: 0xa0ffffff
0x00e88c24: 0x00323143
0x00e88c20: 0x00e88c40
0x00e88c1c: 0x00000000
0x00e88c18: 0x00000008
0x00e88c14: 0x0010318c
0x00e88c10-0x00e88c0c: 0x00322f8b
0x00e88c08: 0x00000074
0x00e88c04: 0x00000001
0x00e88c00: 0x00e88bd8
0x00e88bfc: 0x00e88c20
0x00e88bf8: 0x00000000
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-5
第5章
show crashinfo
0x00e88bf4: 0x004f20c4
0x00e88bf0: 0x000000ff
0x00e88bec: 0x00322f87
0x00e88be8: 0x00f5387e
0x00e88be4: 0x00323021
0x00e88be0: 0x00e88c10
0x00e88bdc: 0x004f20c4
0x00e88bd8: 0x00000000 *
0x00e88bd4: 0x004eabb0
0x00e88bd0: 0x00000001
0x00e88bcc: 0x00f5387e
0x00e88bc8-0x00e88bc4: 0x00000000
0x00e88bc0: 0x00000008
0x00e88bbc: 0x0010318c
0x00e88bb8-0x00e88bb4: 0x00322f8b
0x00e88bb0: 0x00000074
0x00e88bac: 0x00000001
0x00e88ba8: 0x00e88bd8
0x00e88ba4: 0x00e88c20
0x00e88ba0: 0x00000000
0x00e88b9c: 0x004f20c4
0x00e88b98: 0x000000ff
0x00e88b94: 0x001031f2
0x00e88b90: 0x00e88c20
0x00e88b8c: 0xffffffff
0x00e88b88: 0x00e88cb0
0x00e88b84: 0x00320032
0x00e88b80: 0x37303133
0x00e88b7c: 0x312f6574
0x00e88b78: 0x6972772f
0x00e88b74: 0x342f7665
0x00e88b70: 0x64736666
0x00e88b6c: 0x00020000
0x00e88b68: 0x00000010
0x00e88b64: 0x00000001
0x00e88b60: 0x123456cd
0x00e88b5c: 0x00000000
0x00e88b58: 0x00000008
Cisco XXX Firewall Version X.X
Cisco XXX Device Manager Version X.X
Compiled on Fri 15-Nov-04 14:35 by root
hostname up 10 days 0 hours
Hardware:
XXX-XXX, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
0: ethernet0: address is 0003.e300.73fd, irq 10
1: ethernet1: address is 0003.e300.73fe, irq 7
2: ethernet2: address is 00d0.b7c8.139e, irq 9
Licensed Features:
Failover:
Disabled
VPN-DES:
Enabled
VPN-3DES-AES:
Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards:
Enabled
URL-filtering:
Enabled
Inside Hosts:
Unlimited
Throughput:
Unlimited
IKE peers:
Unlimited
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-6
show crashinfo コマンド～ show curpriv コマンド
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
This XXX has a Restricted (R) license.
Serial Number: 480430455 (0x1ca2c977)
Running Activation Key: 0xc2e94182 0xc21d8206 0x15353200 0x633f6734
Configuration last modified by enable_15 at 13:49:42.148 UTC Wed Nov 20 2004
------------------ show clock -----------------15:34:28.129 UTC Sun Nov 24 2004
------------------ show memory -----------------Free memory:
Used memory:
------------Total memory:
50444824 bytes
16664040 bytes
---------------67108864 bytes
------------------ show conn count -----------------0 in use, 0 most used
------------------ show xlate count -----------------0 in use, 0 most used
------------------ show vpn-sessiondb summary -----------------Active Session Summary
Sessions:
SSL VPN
Clientless only
With client
Email Proxy
IPsec LAN-to-LAN
IPsec Remote Access
VPN Load Balancing
Totals
:
:
:
:
:
:
:
:
Active
2
0
2
0
1
0
0
3
: Cumulative : Peak Concurrent : Inactive
:
2 :
2
:
0 :
0
:
2 :
2 :
0
:
0 :
0
:
1 :
1
:
0 :
0
:
0 :
0
:
3
License Information:
Shared VPN License Information:
SSL VPN
:
Allocated to this device :
Allocated in network
:
Device limit
:
IPsec
:
SSL VPN :
Configured :
Configured :
Active
IPsec
:
1
SSL VPN
:
2
AnyConnect Mobile :
0
Linksys Phone
:
0
Totals
:
3
1500
50
50
750
750
52
:
:
:
:
:
:
750
Active :
1
Load :
52
Active :
2
Load :
Cumulative : Peak Concurrent
1 :
1
10 :
2
0 :
0
0 :
0
11
0%
4%
Tunnels:
IKE
IPsec
Clientless
SSL-Tunnel
DTLS-Tunnel
Totals
:
:
:
:
:
:
Active
1
1
2
2
2
8
: Cumulative : Peak Concurrent
:
1 :
1
:
1 :
1
:
2 :
2
:
2 :
2
:
2 :
2
:
8
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-7
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
------------------ show blocks -----------------SIZE
4
80
256
1550
MAX
1600
400
500
1188
LOW
1600
400
499
795
CNT
1600
400
500
927
------------------ show interface -----------------interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0003.e300.73fd
IP address 172.23.59.232, subnet mask 255.255.0.0
MTU 1500 bytes, BW 10000 Kbit half duplex
6139 packets input, 830375 bytes, 0 no buffer
Received 5990 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
90 packets output, 6160 bytes, 0 underruns
0 output errors, 13 collisions, 0 interface resets
0 babbles, 0 late collisions, 47 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (5/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet1 "inside" is up, line protocol is down
Hardware is i82559 ethernet, address is 0003.e300.73fe
IP address 10.1.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 60 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/1)
interface ethernet2 "intf2" is administratively down, line protocol is down
Hardware is i82559 ethernet, address is 00d0.b7c8.139e
IP address 127.0.0.1, subnet mask 255.255.255.255
MTU 1500 bytes, BW 10000 Kbit half duplex
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
------------------ show cpu usage -----------------CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
------------------ show process -----------------PC
Hsi
Lsi
Lwe
Lwe
Hwe
Hwe
Lsi
SP
001e3329
001e80e9
00117e3a
003cee95
003d2d18
003d2c91
002ec97d
STATE
00763e7c
00807074
009dc2e4
009de464
009e155c
009e360c
00b1a464
Runtime SBASE Stack
Process
TID
0053e5c8 0
00762ef4 3784/4096 arp_timer 0x000000000000000a
0053e5c8 0
008060fc 3792/4096 FragDBGC 0x000000000000006b
00541d18
0 009db46c 3704/4096 dbgtrace
00537718
0 009dc51c 8008/8192 Logger
005379c8
0 009df5e4 8008/8192 tcp_fast
005379c8
0 009e1694 8008/8192 tcp_slow
0053e5c8
0 00b194dc 3928/4096 xlate clean
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-8
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
Lsi
Mrd
Lsi
Hsi
Hwe
Lsi
Hwe
Mwe
Hwe
Mwe
Lwe
Lwe
Hwe
Hwe
Hwe
H*
Csi
Hwe
Hwe
Hwe
Hsi
Crd
Lsi
Hwe
Cwe
Hwe
Hwe
Hwe
Hwe
Cwe
Hwe
Hwe
Hwe
Hwe
Cwe
Hwe
Hwe
Hwe
Hwe
Mwe
002ec88b
002e3a17
00423dd5
002d59fc
0020e301
002d377c
0020bd07
00205e25
003864e3
00255a65
002e450e
002e471e
001e5368
001e5368
001e5368
001a6ff5
002dd8ab
002cb4d1
003d17d1
003e71d4
001db3ca
001db37f
001db435
001e5398
001dcdad
001e5398
001e5398
001e5398
001e5398
001dcdad
001e5398
001e5398
001e5398
001e5398
001e542d
001e5398
001e5398
001e5398
003d1a65
0035cafa
00b1b504
00c8f8d4
00d3a22c
00d3b2bc
00d5957c
00d7292c
00d9c12c
00d9e1ec
00db26bc
00dc9244
00e7bb94
00e7cc44
00e7ed44
00e80e14
00e82ee4
0009ff2c
00e8a124
00f2bfbc
00f2e0bc
00f2f20c
00f30fc4
00f32084
00f33124
00f441dc
00f4523c
00f4633c
00f47404
00f4849c
00f495bc
00f4a61c
00f4b71c
00f4c7e4
00f4d87c
00f4e99c
00f4fa6c
00f50afc
00f51bc4
00f52c5c
00f78284
00f7a63c
0053e5c8
0053e600
0053e5c8
0053e5c8
0053e5c8
0053e5c8
0050bb90
0053e5c8
00557920
0053e5c8
00552c30
00553368
00730674
007305d4
00730534
0053e5b0
0053e5c8
0051e360
00828cf0
00537d20
0053e5c8
0053ea40
0053e5c8
008121e0
00872b48
008121bc
00812198
00812174
00812150
008ea850
0081212c
00812108
008120e4
008120c0
00730534
0081209c
00812078
00812054
008140f8
0053e5c8
0
0
0
0
0
0
0
0
0
0
0
0
0
0
2470
4820
0
0
0
0
0
508286220
0
0
120
10
0
0
0
0
0
0
0
0
0
0
0
0
0
0
00b1a58c
00c8d93c
00d392a4
00d3a354
00d55614
00d719a4
00d9b1c4
00d9c274
00db0764
00dc8adc
00e7ad1c
00e7bdcc
00e7ce9c
00e7ef6c
00e8103c
00e8511c
00e891cc
00f2a134
00f2c1e4
00f2e294
00f3004c
00f310fc
00f321ac
00f43294
00f44344
00f453f4
00f464cc
00f475a4
00f48674
00f49724
00f4a7d4
00f4b8ac
00f4c984
00f4da54
00f4eb04
00f4fbb4
00f50c8c
00f51d64
00f77fdc
00f786c4
3888/4096 uxlate clean
7908/8192 tcp_intercept_times
3900/4096 route_process
3780/4096 PIX Garbage Collecr
16048/16384 isakmp_time_keepr
3928/4096 perfmon
3944/4096 IPsec
7860/8192 IPsec timer handler
6904/8192 qos_metric_daemon
1436/2048 IP Background
3704/4096 pix/trace
3704/4096 pix/tconsole
7228/8192 pix/intf0
7228/8192 pix/intf1
4892/8192 pix/intf2
12860/16384 ci/console
3396/4096 update_cpu_usage
7692/8192 uauth_in
7896/8192 uauth_thread
3960/4096 udp_timer
3784/4096 557mcfix
3688/4096 557poll
3700/4096 557timer
3912/4096 fover_ip0
3528/4096 ip/0:0
3532/4096 icmp0
3896/4096 udp_thread/0
3456/4096 tcp_thread/0
3912/4096 fover_ip1
3832/4096 ip/1:1
3912/4096 icmp1
3896/4096 udp_thread/1
3832/4096 tcp_thread/1
3912/4096 fover_ip2
3944/4096 ip/2:2
3912/4096 icmp2
3896/4096 udp_thread/2
3832/4096 tcp_thread/2
300/1024 listen/http1
7640/8192 Crypto CA
------------------ show failover -----------------No license for Failover
------------------ show traffic -----------------outside:
received (in 865565.090 secs):
6139 packets
830375 bytes
0 pkts/sec
0 bytes/sec
transmitted (in 865565.090 secs):
90 packets
6160 bytes
0 pkts/sec
0 bytes/sec
inside:
received (in 865565.090 secs):
0 packets
0 bytes
0 pkts/sec
0 bytes/sec
transmitted (in 865565.090 secs):
1 packets
60 bytes
0 pkts/sec
0 bytes/sec
intf2:
received (in 865565.090 secs):
0 packets
0 bytes
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-9
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo
0 pkts/sec
0 bytes/sec
transmitted (in 865565.090 secs):
0 packets
0 bytes
0 pkts/sec
0 bytes/sec
------------------ show perfmon ------------------
PERFMON STATS:
Xlates
Connections
TCP Conns
UDP Conns
URL Access
URL Server Req
TCP Fixup
TCPIntercept
HTTP Fixup
FTP Fixup
AAA Authen
AAA Author
AAA Account
: End_Test_Crash
関連コマンド
Current
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
Average
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
コマンド
clear crashinfo
説明
crashinfo force
ASA を強制的にクラッシュさせます。
crashinfo save disable
クラッシュ情報のフラッシュメモリへの書き込みをディセーブルに
します。
crashinfo test
ASA でフラッシュメモリ内のファイルにクラッシュ情報を保存でき
るかどうかをテストします。
クラッシュファイルの内容を削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-10
第5章
show crashinfo コマンド～ show curpriv コマンド
show crashinfo console
show crashinfo console
crashinfo console コマンドのコンフィギュレーション設定を表示するには、show crashinfo
console コマンドを入力します。
show crashinfo console
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドには、デフォルト設定がありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(4)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
FIPS 140-2 に準拠していることにより、キーやパスワードなどのクリティカルセキュリティパ
ラメータをクリプト境界（シャーシ）の外側に配布することが禁止されています。アサートまた
はチェックヒープのエラーによってデバイスがクラッシュしたとき、コンソールにダンプされ
るスタック領域やメモリ領域には、機密データが含まれていることがあります。この出力は、
FIPS モードでは表示されないようにする必要があります。
例
sw8-5520(config)# show crashinfo console
crashinfo console enable
関連コマンド
コマンド
clear configure fips
説明
crashinfo console disable
フラッシュに対するクラッシュ書き込みの読み取り、書き込み、
およびコンフィギュレーションをディセーブルにします。
fips enable
システムまたはモジュールで FIPS 準拠を強制するためのポリ
シーチェックをイネーブルまたはディセーブルにします。
show running-config fips
ASA で実行されている FIPS コンフィギュレーションを表示し
ます。
NVRAM に保存されているシステムまたはモジュールの FIPS コ
ンフィギュレーション情報をクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-11
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
show crypto accelerator statistics
ハードウェア暗号アクセラレータ MIB 内のグローバルな統計情報またはアクセラレータ固有の
統計情報を表示するには、グローバルコンフィギュレーションモードまたは特権 EXEC モード
で show crypto accelerator statistics コマンドを使用します。
show crypto accelerator statistics
構文の説明
このコマンドには、キーワードや変数はありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
使用上のガイドライン
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
•
特権 EXEC
•
Yes
•
Yes
•
Yes
—
リリース
7.0(1)
Yes
—
—
変更内容
このコマンドが追加されました。
出力統計情報は、次のように定義されます。
Accelerator 0 はソフトウェアベースの暗号エンジンの統計情報を示します。
Accelerator 1 はハードウェアベースの暗号エンジンの統計情報を示します。
RSA 統計情報には、デフォルトでソフトウェアで実行される、2048 ビットキーの RSA 処理が表
示されます。つまり、2048 ビットキーがある場合、IKE/SSL VPN は、IPsec/SSL ネゴシエーション
フェーズ中にソフトウェアで RSA 処理を実行します。実際の IPsec/SSL トラフィックは、引き続
きハードウェアを使用して処理されます。これにより、同時に開始された同時セッションが数多
くある場合、CPU の高使用となります。このため、RSA キー処理が複数発生し、CPU の高使用と
なる可能性があります。このようにして CPU の高使用状態となった場合は、1024 ビットキーを
使用して、ハードウェアで RSA キー処理を実行する必要があります。このためには、アイデン
ティティ証明書を再度登録する必要があります。リリース 8.3(2) 以降では、5510 から 5550 のプ
ラットフォームで crypto engine large-mod-accel コマンドを使用して、ハードウェアでこれらの処
理を実行することもできます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-12
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
2048 ビットの RSA キーを使用しており、ソフトウェアで RSA 処理が実行されている場合は、
CPU プロファイリングを使用して、CPU の高使用状況の原因となっている関数を特定できます。
通常、bn_* 関数と BN_* 関数は RSA に使用される大規模なデータセットでの数学的処理であ
り、ソフトウェアでの RSA 処理中に CPU の使用状況を確認する場合に最も役立ちます。次に例
を示します。
@@@@@@@@@@@@@@@@@@................................36.50% : _bn_mul_add_words
@@@@@@@@@.........................................19.75% : _bn_sqr_comba8
Diffie-Hellman 統計情報には、ソフトウェアで 1024 より大きいモジュラスサイズの暗号処理が
実行されたことが表示されます（DH5（Diffie-Hellman グループ 5 が 1536 を使用しています）な
ど）。この場合、2048 ビットキー証明書はソフトウェアで処理されます。このため、数多くのセッ
ションが実行されるときに CPU の高使用状況となります。
（注）
ASA 5505（Cavium CN505 プロセッサ搭載）のみが、ハードウェアにより高速化される 768 ビットお
よび 1024 ビットのキー生成の Diffie-Hellman グループ 1 および 2 をサポートしています。
Diffie-Hellman グループ 5（1536 ビットのキー生成）は、ソフトウェアで実行されます。
適応型セキュリティアプライアンスでは 1 つの暗号エンジンが IPsec 処理および SSL 処理を実
行します。起動時にハードウェア暗号アクセラレータにロードされたクリプト（Cavium）マイク
ロコードのバージョンを表示するには、show version コマンドを入力します。次に例を示します。
ciscoasa(config) show version
Cisco Adaptive Security Appliance Software Version 8.0(4)8
Device Manager Version 6.1(5)
Compiled on Wed 15-Oct-09 17:27 by builders
System image file is “disk0:/interim/asa804-8-k8.bin”
Config file at boot was "startup-config"
asa up 5 days 17 hours
Hardware:
ASA5505, 512 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 512MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode
: CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPsec microcode : CNlite-MC-IPSECm-MAIN-2.05
DSA 統計情報には、2 つのフェーズでのキー生成が表示されます。最初のフェーズは、アルゴリ
ズムパラメータの選択です。このパラメータは、システムの他のユーザと共有することがありま
す。2 番目のフェーズは、1 人のユーザ用の秘密キーと公開キーの算出です。
SSL 統計情報には、ハードウェア暗号アクセラレータへの SSL トランザクションで使用される、
プロセッサ集約的な公開キーの暗号化アルゴリズムに関するレコードが表示されます。
RNG 統計情報には、キーとして使用する同じ乱数のセットを自動的に生成できる送信元とレ
シーバに関するレコードが表示されます。
例
次に、グローバルコンフィギュレーションモードで、グローバルな暗号アクセラレータ統計情
報を表示する例を示します。
ciscoasa # show crypto accelerator statistics
Crypto Accelerator Status
------------------------[Capacity]
Supports hardware crypto: True
Supports modular hardware crypto: False
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-13
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
Max accelerators: 1
Max crypto throughput: 100 Mbps
Max crypto connections: 750
[Global Statistics]
Number of active accelerators: 1
Number of non-operational accelerators: 0
Input packets: 700
Input bytes: 753488
Output packets: 700
Output error packets: 0
Output bytes: 767496
[Accelerator 0]
Status: Active
Software crypto engine
Slot: 0
Active time: 167 seconds
Total crypto transforms: 7
Total dropped packets: 0
[Input statistics]
Input packets: 0
Input bytes: 0
Input hashed packets: 0
Input hashed bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[Output statistics]
Output packets: 0
Output bad packets: 0
Output bytes: 0
Output hashed packets: 0
Output hashed bytes: 0
Encrypted packets: 0
Encrypted bytes: 0
[Diffie-Hellman statistics]
Keys generated: 0
Secret keys derived: 0
[RSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
Encrypted packets: 0
Encrypted bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[DSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
[SSL statistics]
Outbound records: 0
Inbound records: 0
[RNG statistics]
Random number requests: 98
Random number request failures: 0
[Accelerator 1]
Status: Active
Encryption hardware device : Cisco ASA-55x0 on-board accelerator
(revision 0x0)
Boot microcode
: CNlite-MC-Boot-Cisco-1.2
SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
IPsec microcode : CNlite-MC-IPSECm-MAIN-2.03
Slot: 1
Active time: 170 seconds
Total crypto transforms: 1534
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-14
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
Total dropped packets: 0
[Input statistics]
Input packets: 700
Input bytes: 753544
Input hashed packets: 700
Input hashed bytes: 736400
Decrypted packets: 700
Decrypted bytes: 719944
[Output statistics]
Output packets: 700
Output bad packets: 0
Output bytes: 767552
Output hashed packets: 700
Output hashed bytes: 744800
Encrypted packets: 700
Encrypted bytes: 728352
[Diffie-Hellman statistics]
Keys generated: 97
Secret keys derived: 1
[RSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
Encrypted packets: 0
Encrypted bytes: 0
Decrypted packets: 0
Decrypted bytes: 0
[DSA statistics]
Keys generated: 0
Signatures: 0
Verifications: 0
[SSL statistics]
Outbound records: 0
Inbound records: 0
[RNG statistics]
Random number requests: 1
Random number request failures: 0
次の表に、各出力エントリの説明を示します。
出力
説明
Capacity
このセクションは、ASA がサポートできる暗号アクセラ
レーションに関連しています。
Supports hardware crypto
（True/False）ASA はハードウェア暗号アクセラレーションを
サポートできます。
Supports modular hardware crypto
（True/False）サポートされている任意のハードウェア暗号
アクセラレータを個別のプラグインカードまたはモジュー
ルとして挿入できます。
Max accelerators
ASA でサポートされるハードウェア暗号アクセラレータの
最大数。
Mac crypto throughput
ASA の最大定格 VPN スループット。
Max crypto connections
ASA のサポート対象 VPN トンネルの最大数。
Global Statistics
このセクションは、ASA の複合ハードウェア暗号アクセラ
レータに関連しています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-15
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
出力（続き）
説明（続き）
Number of active accelerators
アクティブなハードウェアアクセラレータの数。アクティ
ブなハードウェアアクセラレータが初期化されており、
crypto コマンドの処理に使用可能です。
Number of non-operational
accelerators
非アクティブなハードウェアアクセラレータの数。非アク
ティブなハードウェアアクセラレータが検出されました。
初期化が完了していないか、障害が発生して使用できなく
なっています。
Input packets
すべてのハードウェア暗号アクセラレータで処理される着
信パケットの数。
Input bytes
処理される着信パケット内のデータのバイト数。
Output packets
すべてのハードウェア暗号アクセラレータで処理される発
信パケットの数。
Output error packets
エラーが検出された、すべてのハードウェア暗号アクセラ
レータで処理される発信パケットの数。
Output bytes
処理される発信パケット内のデータのバイト数。
Accelerator 0
これらのセクションはそれぞれ、暗号アクセラレータに関
連しています。最初のセクション（Accelerator 0）は、常に、ソ
フトウェアの暗号エンジンです。ハードウェアアクセラ
レータではありませんが、ASA はこのソフトウェアの暗号
エンジンを使用して、特定のクリプトタスクを実行します。
ここには、その統計情報が表示されます。Accelerators 1 以上
は、常にハードウェア暗号アクセラレータです。
Status
アクセラレータのステータス。アクセラレータが初期化され
ているか、アクティブか、あるいは失敗したかを示します。
Software crypto engine
アクセラレータのタイプとファームウェアバージョン（該
当する場合）。
Slot
アクセラレータのスロット番号（該当する場合）。
Active time
アクセラレータがアクティブ状態であった時間の長さ。
Total crypto transforms
アクセラレータによって実行された crypto コマンドの合
計数。
Total dropped packets
エラーのためアクセラレータによってドロップされたパ
ケットの合計数。
Input statistics
このセクションは、アクセラレータで処理された入力トラ
フィックに関連しています。入力トラフィックは、復号か認
証、またはその両方を行う必要がある暗号文と見なされます。
Input packets
アクセラレータによって処理された入力パケットの数。
Input bytes
アクセラレータによって処理された入力バイト数。
Input hashed packets
アクセラレータがハッシュを実行したパケットの数。
Input hashed bytes
アクセラレータがハッシュを実行したバイト数。
Decrypted packets
アクセラレータが対称復号化を実行したパケットの数。
Decrypted bytes
アクセラレータが対称復号化を実行したバイト数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-16
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
出力（続き）
説明（続き）
Output statistics
このセクションは、アクセラレータで処理された出力トラ
フィックに関連しています。入力トラフィックは、暗号化か
ハッシュ、またはその両方を実行する必要があるクリアテ
キストと見なされます。
Output packets
アクセラレータによって処理された出力パケットの数。
Output bad packets
エラーが検出された、アクセラレータで処理された出力パ
ケットの数。
Output bytes
アクセラレータによって処理された出力バイト数。
Output hashed packets
アクセラレータが出力ハッシュを実行したパケットの数。
Output hashed bytes
アクセラレータが出力ハッシュを実行したバイト数。
Encyrpted packets
アクセラレータが対称暗号化を実行したパケットの数。
Encyrpted bytes
アクセラレータが対称暗号化を実行したバイト数。
Diffie-Hellman statistics
このセクションは、Diffie-Hellman のキー交換処理に関連し
ています。
Keys generated
アクセラレータによって生成された Diffie-Hellman キー
セットの数。
Secret keys derived
アクセラレータによって生成された Diffie-Hellman 共有秘
密の数。
RSA statistics
このセクションは、RSA 暗号処理に関連しています。
Keys generated
アクセラレータによって生成された RSA キーセットの数。
Signatures
アクセラレータによって実行された RSA シグニチャ処理
の数。
Verifications
アクセラレータによって実行された RSA シグニチャ確認
の数。
Encrypted packets
アクセラレータが RSA 暗号化を実行したパケットの数。
Decrypted packets
アクセラレータが RSA 復号化を実行したパケットの数。
Decrypted bytes
アクセラレータが RSA 復号化を実行したデータのバイト数。
DSA statistics
このセクションは、DSA 処理に関連しています。DSA は
バージョン 8.2 以上ではサポートされないため、この統計情
報は表示されません。
Keys generated
アクセラレータによって生成された DSA キーセットの数。
Signatures
アクセラレータによって実行された DSA シグニチャ処理
の数。
Verifications
アクセラレータによって実行された DSA シグニチャ確認
の数。
SSL statistics
このセクションは、SSL レコード処理に関連しています。
Outbound records
アクセラレータによって暗号化され、認証された SSL レ
コードの数。
Inbound records
アクセラレータによって復号化され、認証された SSL レ
コードの数。
RNG statistics
このセクションは、乱数生成に関連しています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-17
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto accelerator statistics
関連コマンド
出力（続き）
説明（続き）
Random number requests
アクセラレータに対する乱数の要求の数。
Random number request failures
アクセラレータに対する乱数要求のうち、失敗した要求の数。
コマンド
clear crypto accelerator
statistics
説明
clear crypto protocol
statistics
暗号アクセラレータ MIB にあるプロトコル固有の統計情報をク
リアします。
show crypto protocol
statistics
暗号アクセラレータ MIB からプロトコル固有の統計情報を表示
します。
暗号アクセラレータ MIB にあるグローバルおよびアクセラレー
タ固有の統計情報をクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-18
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca certificates
show crypto ca certificates
特定のトラストポイントに関連付けられている証明書、またはシステムにインストールされて
いるすべての証明書を表示するには、グローバルコンフィギュレーションモードまたは特権
EXEC モードで show crypto ca certificates コマンドを使用します。
show crypto ca certificates [trustpointname]
構文の説明
trustpointname
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）トラストポイントの名前。名前を指定しない場合は、
ASA にインストールされているすべての証明書が表示されます。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
•
Yes
—
特権 EXEC
•
Yes
•
Yes
•
Yes
•
Yes
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、show crypto ca certificates コマンドの出力例を示します。
ciscoasa(config)# show crypto ca certificates tp1
CA Certificate
Status: Available
Certificate Serial Number 2957A3FF296EF854FD0D6732FE25B45
Certificate Usage: Signature
Issuer:
CN = ms-root-sha-06-2004
OU = rootou
O = cisco
L = franklin
ST - massachusetts
C = US
EA = [email protected]
Subject:
CN = ms-root-sha-06-2004
OU = rootou
O = cisco
L = franklin
ST = massachusetts
C = US
EA = example.com
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-19
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca certificates
CRL Distribution Point
ldap://w2kadvancedsrv/CertEnroll/ms-root-sha-06-2004.crl
Validity Date:
start date: 14:11:40 UTC Jun 26 2004
end date: 14:01:30 UTC Jun 4 2022
Associated Trustpoints: tp2 tp1
ciscoasa(config)#
関連コマンド
コマンド
crypto ca authenticate
説明
crypto ca crl request
指定されたトラストポイントのコンフィギュレーションパラ
メータに基づいて CRL を要求します。
crypto ca enroll
CA を使用して、登録プロセスを開始します。
crypto ca import
指定されたトラストポイントに証明書をインポートします。
crypto ca trustpoint
指定されたトラストポイントでトラストポイントコンフィギュ
レーションモードを開始します。
指定されたトラストポイントの CA 証明書を取得します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-20
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca crl
show crypto ca crl
キャッシュされているすべての CRL、または指定したトラストポイントでキャッシュされてい
るすべての CRL を表示するには、グローバルコンフィギュレーションモードまたは特権 EXEC
モードで show crypto ca crl コマンドを使用します。
show crypto ca crl [trustpool | trustpoint <trustpointname>]
構文の説明
trustpoint
trustpointname
（オプション）トラストポイントの名前。名前を指定しない場合は、
ASA にキャッシュされているすべての CRL が表示されます。
trustpool
trustpool の名前。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
•
Yes
—
特権 EXEC
•
Yes
•
Yes
•
Yes
•
Yes
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、show crypto ca crl コマンドの出力例を示します。
ciscoasa(config)# show crypto ca crl tp1
CRL Issuer Name:
cn=ms-sub1-ca-5-2004,ou=Franklin DevTest,o=Cisco
Systems,l=Franklin,st=MA,c=US,[email protected]
LastUpdate: 19:45:53 UTC Dec 24 2004
NextUpdate: 08:05:53 UTC Jan 1 2005
Retrieved from CRL Distribution Point:
http://win2k-ad2.frk-ms-pki.cisco.com/CertEnroll/ms-sub1-ca-5-2004.crl
Associated Trustpoints: tp1
ciscoasa(config)#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-21
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca crl
関連コマンド
コマンド
crypto ca authenticate
説明
crypto ca crl request
指定されたトラストポイントのコンフィギュレーションパラ
メータに基づいて CRL を要求します。
crypto ca enroll
CA を使用して、登録プロセスを開始します。
crypto ca import
指定されたトラストポイントに証明書をインポートします。
crypto ca trustpoint
指定されたトラストポイントでトラストポイントコンフィギュ
レーションモードを開始します。
指定されたトラストポイントの CA 証明書を取得します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-22
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server
show crypto ca server
ASA でローカル CA コンフィギュレーションのステータスを表示するには、CA サーバコンフィ
ギュレーションモード、グローバルコンフィギュレーションモード、または特権 EXEC モード
で show crypto ca server コマンドを使用します。
show crypto ca server
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
アレント
シングル
マルチ
CA サーバコンフィギュレー • Yes
ション
—
•
Yes
—
—
コマンドモード
コマンド履歴
例
ルーテッド
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
8.0(2)
変更内容
このコマンドが追加されました。
次に、show crypto ca server コマンドの出力例を示します。
ciscoasa# show crypto ca server
#Certificate Server LOCAL-CA-SERVER:
Status: disabled
State: disabled
Server's configuration is unlocked (enter "no shutdown" to lock it)
Issuer name: CN=asa1.cisco.com
CA cert fingerprint: -Not foundLast certificate issued serial number: 0x0
CA certificate expiration timer: 00:00:00 UTC Jan 1 2009
CRL not present.
Current primary storage dir: nvram:
ciscoasa#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-23
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server
関連コマンド
コマンド
crypto ca server
説明
debug crypto ca server
ローカル CA サーバを設定するときに、デバッグメッセージを表
示します。
show crypto ca server
certificate
ローカル CA の証明書を Base-64 形式で表示します。
show crypto ca server crl
ローカル CA CRL のライフタイムを表示します。
CA サーバコンフィギュレーションモードの CLI コマンドセッ
トにアクセスできるようにします。これらのコマンドを使用する
ことで、ローカル CA を設定および管理できます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-24
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server cert-db
show crypto ca server cert-db
ローカル CA サーバ証明書の全部またはサブセット（特定のユーザに発行されたものも含む）を
表示するには、CA サーバコンフィギュレーションモード、グローバルコンフィギュレーション
モード、または特権 EXEC モードで show crypto ca server cert-db コマンドを使用します。
show crypto ca server cert-db [username username | allowed | enrolled | expired | on-hold]
[serial certificate-serial-number]
構文の説明
証明書のステータスに関係なく、登録を許可されたユーザを表示
するように指定します。
有効な証明書を持つユーザを表示するように指定します。
allowed
enrolled
期限切れの証明書を保持しているユーザを表示するように指定し
ます。
expired
まだ登録されていないユーザを表示するように指定します。
serial certificate-serial-number 表示する特定の証明書のシリアル番号を指定します。シリアル
番号は 16 進形式である必要があります。
username username
証明書の所有者を指定します。username は、ユーザ名または電子
メールアドレスです。電子メールアドレスの場合、エンドユー
ザに連絡を取りワンタイムパスワード（OTP）を配布するために
使用される電子メールアドレスになります。エンドユーザの電
子メール通知をイネーブルにするには、電子メールアドレスが
必要です。
on-hold
デフォルト
デフォルトでは、ユーザ名も証明書シリアル番号も指定されていない場合、発行された証明書の
データベース全体が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
コマンド履歴
マルチ
コンテキストシステム
CA サーバコンフィギュレー • Yes
ション
—
•
Yes
—
—
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
8.0(2)
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-25
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server cert-db
使用上のガイドライン
show crypto ca server cert-db コマンドは、ローカル CA サーバによって発行されたユーザ証明書
のリストを表示します。1 つ以上の任意の証明書タイプキーワードを付けて、または任意の証明
書シリアル番号を付けて、特定のユーザ名を指定することで、証明書データベースのサブセット
を表示できます。
キーワードまたはシリアル番号なしでユーザ名を指定すると、そのユーザに対して発行された
証明書がすべて表示されます。ユーザごとに、出力には、ユーザ名、電子メールアドレス、ドメイン
名、登録が許可される期間、およびユーザに登録招待が通知された回数が表示されます。
また、出力には次の情報も表示されます。
•
NOTIFIED フィールドは、複数のリマインダをサポートするために必要です。これにより、登録
およびリマインダ通知を試行するためにユーザに OTP の通知を行う必要があるタイミングが
追跡されます。このフィールドは、最初は 0 に設定されています。ユーザ入力に登録許可のマー
クが付くと、このフィールドは増分して 1 になります。この時点で、最初の OTP 通知が生成さ
れます。
•
NOTIFY フィールドは、リマインダが送信されるたびに増分します。OTP が期限切れになる
までに 3 つの通知が送信されます。ユーザが登録を許可されたとき、有効期間の中間点、およ
び有効期間の 3/4 を経過した時点で通知が送信されます。このフィールドは、管理者が開始
した登録でのみ使用されます。自動証明書更新の場合、証明書データベース内の NOTIFY
フィールドが使用されます。
（注）
有効期限前に証明書の更新がユーザに通知される回数を追跡する場合にはこのコマン
ドの通知カウンタが使用され、証明書の登録がユーザに通知される回数を追跡する場
合には show crypto ca server user-db の通知カウンタが使用されます。更新通知は、cert-db
で追跡され、user-db には含まれません。
それぞれの証明書には、証明書のシリアル番号、発行日付と有効期限日付、および証明書のス
テータス（Revoked/Not Revoked）が表示されます。
例
次に、CA サーバが asa に対して発行した証明書をすべて表示するよう要求する例を示します。
ciscoasa# show crypto ca server cert-db username asa
Username: asa
Renewal allowed until: Not Allowed
Number of times user notified: 0
PKCS12 file stored until: 10:28:05 UTC Wed Sep 25 2013
Certificates Issued:
serial:
0x2
issued:
10:28:04 UTC Tue Sep 24 2013
expired: 10:28:04 UTC Thu Sep 26 2013
status:
Not Revoked
次に、ローカル CA サーバによって発行された、シリアル番号が 0x2 の証明書をすべて表示する
よう要求する例を示します。
ciscoasa# show crypto ca server cert-db serial 2
Username:asa
Renewal allowed until: Not Allowed
Number of times user notified: 0
PKCS12 file stored until: 10:28:05 UTC Wed Sep 25 2013
Certificates Issued:
serial:
0x2
issued:
10:28:04 UTC Tue Sep 24 2013
expired: 10:28:04 UTC Thu Sep 26 2013
status:
Not Revoked
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-26
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server cert-db
次に、ローカル CA サーバによって発行された証明書をすべて表示するよう要求する例を示し
ます。
ciscoasa# show crypto ca server cert-db
Username: asa
Renewal allowed until: Not Allowed
Number of times user notified: 0
PKCS12 file stored until: 10:28:05 UTC Wed Sep 25 2013
Certificates Issued:
serial:
0x2
issued:
10:28:04 UTC Tue Sep 24 2013
expired: 10:28:04 UTC Thu Sep 26 2013
status:
Not Revoked
関連コマンド
コマンド
crypto ca server
説明
crypto ca server revoke
ローカル CA サーバが発行した証明書を、証明書データベースと
CRL の両方で失効としてマークします。
lifetime crl
CRL のライフタイムを指定します。
CA サーバコンフィギュレーションモードの CLI コマンドセットに
アクセスできるようにします。これらのコマンドを使用することで、
ローカル CA を設定および管理できます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-27
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server certificate
show crypto ca server certificate
ローカル CA サーバの証明書を Base-64 形式で表示するには、CA サーバコンフィギュレーショ
ンモード、グローバルコンフィギュレーションモード、または特権 EXEC モードで show crypto
ca server certificate コマンドを使用します。
show crypto ca server certificate
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
トランスペ
アレント
シングル
マルチ
Yes
—
•
Yes
—
—
ルーテッド
CA サーバコンフィギュレー •
コンテキストシステム
ション
コマンド履歴
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
8.0(2)
変更内容
このコマンドが追加されました。
使用上のガイドライン
show crypto ca server certificate コマンドにより、ローカル CA サーバの証明書が Base-64 形式で
表示されます。この表示画面では、ローカル CA サーバを信頼する必要がある他のデバイスに証
明書をエクスポートするときに、その証明書をカットアンドペーストできます。
例
次に、show crypto ca server certificate コマンドの出力例を示します。
ciscoasa# show crypto ca server certificate
The base64 encoded local CA certificate follows:
MIIXlwIBAzCCF1EGCSqGSIb3DQEHAaCCF0IEghc+MIIXOjCCFzYGCSqGSIb3DQEHBqCCFycwghcjAgEAMIIXHAYJKo
ZIhvcNAQcBMBsGCiqGSIb3DQEMAQMwDQQIjph4SxJoyTgCAQGAghbw3v4bFy+GGG2dJnB4OLphsUM+IG3SDOiDwZG9
n1SvtMieoxd7Hxknxbum06JDrujWKtHBIqkrm+td34qlNE1iGeP2YC94/NQ2z+4kS+uZzwcRhl1KEZTS1E4L0fSaC3
uMTxJq2NUHYWmoc8pi4CIeLj3h7VVMy6qbx2AC8I+q57+QG5vG5l5Hi5imwtYfaWwPEdPQxaWZPrzoG1J8BFqdPa1j
BGhAzzuSmElm3j/2dQ3Atro1G9nIsRHgV39fcBgwz4fEabHG7/Vanb+fj81d5nlOiJjDYYbP86tvbZ2yOVZR6aKFVI
0b2AfCr6PbwfC9U8Z/aF3BCyM2sN2xPJrXva94CaYrqyotZdAkSYA5KWScyEcgdqmuBeGDKOncTknfgy0XM+fG5rb3
qAXy1GkjyFI5Bm9Do6RUROoG1DSrQrKeq/hj….
ciscoasa#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-28
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server certificate
関連コマンド
コマンド
crypto ca server
説明
issuer-name
認証局証明書のサブジェクト名 DN を指定します。
keysize
ユーザ証明書登録で生成される公開キーと秘密キーのサイズを指定
します。
lifetime
CA 証明書と発行済みの証明書のライフタイムを指定します。
show crypto ca server
ローカル CA コンフィギュレーションを ASCII テキスト形式で表示
します。
CA サーバコンフィギュレーションモードの CLI コマンドセットに
アクセスできるようにします。これらのコマンドを使用することで、
ローカル CA を設定および管理できます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-29
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server crl
show crypto ca server crl
ローカル CA の現在の CRL を表示するには、CA サーバコンフィギュレーションモード、グロー
バルコンフィギュレーションモード、または特権 EXEC モードで show crypto ca server crl コマ
ンドを使用します。
show crypto ca server crl
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
アレント
シングル
マルチ
CA サーバコンフィギュレー • Yes
ション
—
•
Yes
—
—
コマンドモード
コマンド履歴
例
ルーテッド
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
8.0(2)
変更内容
このコマンドが追加されました。
次に、show crypto ca server crl コマンドの出力例を示します。
ciscoasa# show crypto ca server crl
asa5540(config)# sh cry ca ser crl
Certificate Revocation List:
Issuer: cn=asa5540.frqa.cisco.com
This Update: 07:32:27 UTC Oct 16 2006
Next Update: 13:32:27 UTC Oct 16 2006
Number of CRL entries: 0
CRL size: 232 bytes
asa5540(config)#
ciscoasa#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-30
コンテキストシステム
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server crl
関連コマンド
コマンド
cdp-url
説明
crypto ca server
CA サーバコンフィギュレーションモードの CLI コマンドセットに
アクセスできるようにします。これらのコマンドを使用することで、
ローカル CA を設定および管理できます。
crypto ca server revoke
ローカル CA サーバが発行した証明書を、証明書データベースと
CRL で失効としてマークします。
lifetime crl
CRL のライフタイムを指定します。
show crypto ca server
CA コンフィギュレーションのステータスを表示します。
CA が発行する証明書に含める CRL 分散ポイント（CDP）を指定しま
す。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-31
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server user-db
show crypto ca server user-db
ローカル CA サーバのユーザデータベースに含まれているユーザを表示するには、CA サーバコ
ンフィギュレーションモード、グローバルコンフィギュレーションモード、または特権 EXEC
モードで show crypto ca server user-db コマンドを使用します。
show crypto ca server user-db [ expired | allowed | on-hold | enrolled]
構文の説明
allowed
（オプション）証明書のステータスに関係なく、登録を許可されたユー
ザを表示するように指定します。
enrolled
（オプション）有効な証明書を持つユーザを表示するように指定します。
expired
（オプション）期限切れの証明書を保持しているユーザを表示するよう
に指定します。
on-hold
（オプション）まだ登録されていないユーザを表示するように指定し
ます。
デフォルト
デフォルトでは、キーワードが入力されない場合にはデータベース内のすべてのユーザが表示
されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
コマンド履歴
例
コンテキストシステム
CA サーバコンフィギュレー • Yes
ション
—
•
Yes
—
—
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
8.0(2)
変更内容
このコマンドが追加されました。
次に、現在登録されているユーザを表示する例を示します。
ciscoasa# show crypto ca server user-db enrolled
Username
DN
Certificate issued
exampleusercn=Example User,o=...5/31/2009
ciscoasa#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-32
マルチ
Certificate expiration
5/31/2010
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca server user-db
使用上のガイドライン
証明書の登録がユーザに通知される回数を追跡する場合にはこのコマンドの通知カウンタが使
用され、有効期限前に証明書の更新がユーザに通知される回数を追跡する場合には show crypto
ca server cert-db の通知カウンタが使用されます。更新通知は、cert-db で追跡され、user-db には含
まれません。
関連コマンド
コマンド
crypto ca server user-db add
説明
crypto ca server user-db allow
CA サーバデータベース内の特定のユーザまたはユーザのサ
ブセットに、ローカル CA への登録を許可します。
CA サーバのユーザデータベースにユーザを追加します。
crypto ca server user-db remove CA サーバのユーザデータベースからユーザを削除します。
crypto ca server user-db write
ローカル CA データベースで設定されているユーザ情報をス
トレージに書き込みます。
show crypto ca server cert-db
ローカル CA によって発行された証明書をすべて表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-33
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca trustpool
show crypto ca trustpool
trustpool を構成する証明書を表示するには、特権 EXEC モードで show crypto ca trustpool コマ
ンドを使用します。
show crypto ca trustpool [detail]
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドは、すべての trustpool を省略形式で表示します。「detail」オプションを指定した場合
は、追加の情報が含まれます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
9.0(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
show crypto ca trustpool コマンドの出力には、各証明書のフィンガープリントの値が含まれます。
これらの値は削除操作で必要です。
例
ciscoasa# show crypto ca trustpool
CA Certificate
Status: Available
Certificate Serial Number: 6c386c409f4ff4944154635da520ed4c
Certificate Usage: Signature
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: cn=bxb2008-root
dc=bdb2008
dc=mycompany
dc=com
Subject Name:
cn=bxb2008-root
dc=bxb2008
dc=cisco
dc=com
Validity Date:
start date:17:21:06 EST Jan 14 2009
end date:17:31:06 EST Jan 14 2024
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-34
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca trustpool
CA Certificate
Status: Available
Certificate Serial Number: 58d1c756000000000059
Certificate Usage: Signature
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=bxb2008-root
dc=bxb2008
dc=mycompany
dc=com
Subject Name:
cn=BXB2008SUB1-CA
dc=bxb2008
dc=cisco
dc=com
OCSP AIA:
URL: http://bxb2008-1.bxb2008.mycompany.com/ocsp
CRL Distribution Points:
(1) http://bxb2008-1.bxb2008.mycompany.com/CertEnroll/bxb2008-root.crl
Validity Date:
start date:11:54:34 EST May 18 2009
end date:12:04:34 EST May 18 2011
関連コマンド
コマンド
clear crypto ca trustpool
説明
crypto ca trustpool import
PKI trustpool を構成する証明書をインポートします。
crypto ca trustpool remove
指定した単一の証明書を trustpool から削除します。
trustpool からすべての証明書を削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-35
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca trustpool policy
show crypto ca trustpool policy
設定済みの trustpool ポリシーを表示し、適用された証明書マップを処理してそれらがポリシー
に与える影響を表示するには、特権 EXEC モードで show crypto ca trustpool policy コマンドを
使用します。
show crypto ca trustpool policy
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
9.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
変更内容
このコマンドが追加されました。
ciscoasa(config)# sh run cry ca cert map
crypto ca certificate map map1 1
issuer-name eq cn = mycompany manufacturing ca
issuer-name eq cn = mycompany ca
crypto ca certificate map map 2 1
issuer-name eq cn = mycompany manufacturing ca
issuer-name eq cn = mycompany ca2
ciscoasa(config)#
ciscoasa(config)# sh run crypto ca trustpool policy
crypto ca trustpool policy
revocation-check none
match certificate map2 allow expired-certificate
match certificate map1 skip revocation-check
crl cache-time 123
ciscoasa(config)#
ciscoasa# show crypto ca trustpool policy
800 trustpool certificates installed
Trustpool Policy
Trustpool revocation checking is disabled
CRL cache time: 123 seconds
CRL next update field: required and forced
Policy overrides:
map: map1
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-36
•
Yes
マルチ
コンテキストシステム
—
—
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ca trustpool policy
match:issuer-name eq cn=Mycompany Manufacturing CA
match:issuer-name eq cn=Mycompany CA
action:skip revocation-check
map: map2
match: issuer-name eq cn=mycompany Manufacturing CA
match: issuer-name eq cn=mycompany CA2
action: allowed expired certificates
ciscoasa(config)#
関連コマンド
コマンド
crypto ca trustpool policy
説明
trustpool ポリシーを定義するコマンドを提供するサブモードを
開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-37
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto debug-condition
show crypto debug-condition
IPsec および ISAKMP のデバッグメッセージに対して現在設定されているフィルタ、一致しない
状態、およびエラー状態を表示するには、グローバルコンフィギュレーションモードで show
crypto debug-condition コマンドを使用します。
show crypto debug-condition
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
グローバルコンフィギュ
レーション
コマンド履歴
例
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
8.0(2)
変更内容
9.0(1)
マルチコンテキストモードのサポートが追加されました。
—
このコマンドが追加されました。
次に、フィルタリング条件を表示する例を示します。
ciscoasa(config)# show crypto debug-condition
Crypto conditional debug is turned ON
IKE debug context unmatched flag: OFF
IPsec debug context unmatched flag: ON
IKE peer IP address filters:
1.1.1.0/24
2.2.2.2
IKE user name filters:
my_user
関連コマンド
コマンド
debug crypto condition
説明
IPsec および ISAKMP デバッグメッセージのフィルタリング条
件を設定します。
debug crypto condition error フィルタリング条件が指定されているかどうかのデバッグメッ
セージを表示します。
debug crypto condition
フィルタリングに十分なコンテキスト情報が含まれていない
unmatched
IPsec および ISAKMP のデバッグメッセージを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-38
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ikev1 sa
show crypto ikev1 sa
IKEv1 ランタイム SA データベースを表示するには、グローバルコンフィギュレーションモー
ドまたは特権 EXEC モードで show crypto ikev1 sa コマンドを使用します。
show crypto ikev1 sa [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
SA データベースに関する詳細出力を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
使用上のガイドライン
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
•
特権 EXEC
•
Yes
—
•
Yes
—
Yes
—
—
リリース
8.4(1)
変更内容
9.0(1)
マルチコンテキストモードのサポートが追加されました。
このコマンドが追加されました。
このコマンドの出力には、次のフィールドが含まれています。
detail オプションを指定しない場合。
IKE Peer
Type
209.165.200.225 L2L
Dir
Rky
State
Init
No
MM_Active
Dir
Rky
State
Encrypt Hash Auth
Lifetime
Init
No
MM_Active
3des
86400
detail オプションを指定した場合。
IKE Peer
Type
209.165.200.225 L2L
md5
preshrd
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-39
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ikev1 sa
例
次に、グローバルコンフィギュレーションモードで、SA データベースに関する詳細情報を表示
する例を示します。
ciscoasa(config)# show crypto ikev1 sa detail
IKE Peer Type Dir
Rky State
1 209.165.200.225 User Resp No
Encrypt Hash
AM_Active 3des
Auth
SHA
Lifetime
preshrd 86400
IKE Peer Type Dir
Rky State
2 209.165.200.226 User Resp No
Encrypt Hash
AM_ACTIVE 3des
Auth
SHA
Lifetime
preshrd 86400
IKE Peer Type Dir
Rky State
3 209.165.200.227 User Resp No
Encrypt Hash
AM_ACTIVE 3des
Auth
SHA
Lifetime
preshrd 86400
IKE Peer Type Dir
Rky State
4 209.165.200.228 User Resp No
Encrypt Hash
AM_ACTIVE 3des
Auth
SHA
Lifetime
preshrd 86400
ciscoasa(config)#
関連コマンド
コマンド
show crypto ikev2 sa
説明
show running-config
crypto isakmp
アクティブな ISAKMP コンフィギュレーションをすべて表示します。
IKEv2 ランタイム SA データベースを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-40
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ikev2 sa
show crypto ikev2 sa
IKEv2 ランタイム SA データベースを表示するには、グローバルコンフィギュレーションモー
ドまたは特権 EXEC モードで show crypto ikev2 sa コマンドを使用します。
show crypto ikev2 sa [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
SA データベースに関する詳細出力を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
使用上のガイドライン
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
•
特権 EXEC
•
Yes
—
•
Yes
—
Yes
—
—
リリース
8.4(1)
変更内容
9.0(1)
マルチコンテキストモードのサポートが追加されました。
このコマンドが追加されました。
このコマンドの出力には、次のフィールドが含まれています。
detail オプションを指定しない場合。
IKE Peer
Type
209.165.200.225 L2L
Dir
Rky
State
Init
No
MM_Active
Dir
Rky
State
Encrypt Hash Auth
Lifetime
Init
No
MM_Active
3des
86400
detail オプションを指定した場合。
IKE Peer
Type
209.165.200.225 L2L
md5
preshrd
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-41
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ikev2 sa
例
次に、グローバルコンフィギュレーションモードで、SA データベースに関する詳細情報を表示
する例を示します。
ciscoasa(config)# show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id
Local
Remote
Status
Role
671069399
10.0.0.0/500 10.255.255.255/500
READY
INITIATOR
Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/188 sec
Session-id: 1
Status Description: Negotiation done
Local spi: 80173A0373C2D403
Remote spi: AE8AEFA1B97DBB22
Local id: asa
Remote id: asa1
Local req mess id: 8
Remote req mess id: 7
Local next mess id: 8
Remote next mess id: 7
Local req queued: 8
Remote req queued: 7
Local window: 1
Remote window: 1
DPD configured for 10 seconds, retry 2
NAT-T is not detected
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 0.0.0.0/0 - 255.255.255.255/65535
ESP spi in/out: 0x242a3da5/0xe6262034
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-GCM, keysize: 128, esp_hmac: N/A
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
関連コマンド
コマンド
show crypto ikev1 sa
説明
show running-config
crypto isakmp
アクティブな ISAKMP コンフィギュレーションをすべて表示します。
IKEv1 ランタイム SA データベースを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-42
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec df-bit
show crypto ipsec df-bit
指定したインターフェイスの IPsec パケットの IPsec DF ビットポリシーを表示するには、グ
ローバルコンフィギュレーションモードまたは特権 EXEC モードで show crypto ipsec df-bit コ
マンドを使用します。
show crypto ipsec df-bit interface
構文の説明
interface
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
インターフェイス名を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、inside というインターフェイスの IPsec DF ビットポリシーを表示する例を示します。
ciscoasa(config)# show crypto ipsec df-bit inside
df-bit inside copy
ciscoasa(config)#
関連コマンド
コマンド
crypto ipsec df-bit
説明
crypto ipsec fragmentation
IPsec パケットのフラグメンテーションポリシーを設定
します。
show crypto ipsec fragmentation
IPsec パケットのフラグメンテーションポリシーを表示
します。
IPsec パケットの IPsec DF ビットポリシーを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-43
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec fragmentation
show crypto ipsec fragmentation
IPsec パケットのフラグメンテーションポリシーを表示するには、グローバルコンフィギュレー
ションモードまたは特権 EXEC モードで show crypto ipsec fragmentation コマンドを使用します。
show crypto ipsec fragmentation interface
構文の説明
interface
コマンドモード
次の表に、コマンドを入力できるモードを示します。
インターフェイス名を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、グローバルコンフィギュレーションモードで、inside という名前のインターフェイスの
IPsec フラグメンテーションポリシーを表示する例を示します。
ciscoasa(config)# show crypto ipsec fragmentation inside
fragmentation inside before-encryption
ciscoasa(config)#
関連コマンド
コマンド
crypto ipsec fragmentation
説明
crypto ipsec df-bit
IPsec パケットの DF ビットポリシーを設定します。
show crypto ipsec df-bit
指定したインターフェイスの DF ビットポリシーを表示します。
IPsec パケットのフラグメンテーションポリシーを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-44
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec policy
show crypto ipsec policy
OSPFv3 で提供される IPsec セキュアソケット API（SS API）セキュリティポリシー情報を表示
するには、グローバルコンフィギュレーションモードまたは特権 EXEC モードで show crypto
ipsec policy コマンドを使用します。このコマンドの別の形式である show ipsec policy を使用す
ることもできます。
show crypto ipsec policy [name]
構文の説明
name
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ポリシー名を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、グローバルコンフィギュレーションモードで、CSSU-UTF という名前のポリシーについ
て暗号セキュアソケット API でインストールされたポリシー情報を表示する例を示します。
ciscoasa(config)# show crypto ipsec policy
Crypto IPsec client security policy data
Policy name:
CSSU-UTF
Policy refcount: 0
Inbound ESP SPI:
1031 (0x407)
Outbound ESP SPI:
1031 (0x407)
Inbound ESP Auth Key:
0123456789abcdef
Outbound ESP Auth Key:
0123456789abcdef
Inbound ESP Cipher Key:
Outbound ESP Cipher Key:
Transform set:
esp-sha-hmac
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-45
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec policy
関連コマンド
コマンド
show crypto ipsec
fragmentation
説明
show crypto ipsec sa
IPsec SA のリストを表示します。
show crypto ipsec df-bit
指定したインターフェイスの DF ビットポリシーを表示します。
show crypto sockets
暗号セキュアソケットおよびソケット状態を表示します。
IPsec パケットのフラグメンテーションポリシーを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-46
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
show crypto ipsec sa
IPsec SA のリストを表示するには、グローバルコンフィギュレーションモードまたは特権
EXEC モードで show crypto ipsec sa コマンドを使用します。このコマンドの別の形式である
show ipsec sa を使用することもできます。
show crypto ipsec sa [entry | identity | map map-name | peer peer-addr] [detail]
構文の説明
detail
（オプション）表示されているものに対する詳細なエラー情報を表示
します。
entry
（オプション）IPsec SA をピアアドレスの順に表示します。
identity
（オプション）IPsec SA を ID の順に表示します。ESP は含まれません。
これは簡略化された形式です。
map map-name
（オプション）指定されたクリプトマップの IPsec SA を表示します。
peer peer-addr
（オプション）指定されたピア IP アドレスの IPsec SA を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
9.0(1)
OSPFv3、マルチコンテキストモード、トランスフォームと IV サイズ
部分における Suite-B アルゴリズム、および ESPV3 IPsec 出力に対す
るサポートが追加されました。
このコマンドが追加されました。
次に、グローバルコンフィギュレーションモードで、OSPFv3 として識別されるトンネルを含む
IPsec SA を表示する例を示します。
ciscoasa(config)# show crypto ipsec sa
interface: outside2
Crypto map tag: def, local addr: 10.132.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (172.20.0.21/255.255.255.255/0/0)
current_peer: 172.20.0.21
dynamic allocated peer ip: 10.135.1.5
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-47
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1145, #pkts decrypt: 1145, #pkts verify: 1145
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 2, #pre-frag failures: 1, #fragments created: 10
#PMTUs sent: 5, #PMTUs rcvd: 2, #decapstulated frags needing reassembly: 1
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.132.0.17, remote crypto endpt.: 172.20.0.21
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={L2L, Transport, Manual
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec):
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={L2L, Transport, Manual
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec):
IV size: 8 bytes
replay detection support: Y
key, (OSPFv3), }
548
key, (OSPFv3), }
548
Crypto map tag: def, local addr: 10.132.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
ciscoasa(config)#
（注）
IPsec SA ポリシーに、フラグメンテーションは IPsec 処理の前に発生すると明記されている場合、
フラグメンテーション統計情報は、フラグメンテーション前の統計情報です。SA ポリシーに、フ
ラグメンテーションは IPsec 処理の後に発生すると明記されている場合、フラグメンテーション
後の統計情報が表示されます。
次に、グローバルコンフィギュレーションモードで、def という名前のクリプトマップの IPsec
SA を表示する例を示します。
ciscoasa(config)# show crypto ipsec sa map def
cryptomap: def
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
#pkts
#pkts
#pkts
#pkts
#send
encaps: 0, #pkts encrypt: 0, #pkts digest: 0
decaps: 1146, #pkts decrypt: 1146, #pkts verify: 1146
compressed: 0, #pkts decompressed: 0
not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
errors: 0, #recv errors: 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-48
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 480
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 480
IV size: 8 bytes
replay detection support: Y
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
#pkts
#pkts
#pkts
#pkts
#send
encaps: 73672, #pkts encrypt: 73672, #pkts digest: 73672
decaps: 78824, #pkts decrypt: 78824, #pkts verify: 78824
compressed: 0, #pkts decompressed: 0
not compressed: 73672, #pkts comp failed: 0, #pkts decomp failed: 0
errors: 0, #recv errors: 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 263
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 263
IV size: 8 bytes
replay detection support: Y
ciscoasa(config)#
次に、グローバルコンフィギュレーションモードで、キーワード entry に対する IPsec SA を表示
する例を示します。
ciscoasa(config)# show crypto ipsec sa entry
peer address: 10.132.0.21
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-49
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
dynamic allocated peer ip: 90.135.1.5
#pkts
#pkts
#pkts
#pkts
#send
encaps: 0, #pkts encrypt: 0, #pkts digest: 0
decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
compressed: 0, #pkts decompressed: 0
not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
errors: 0, #recv errors: 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 429
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 429
IV size: 8 bytes
replay detection support: Y
peer address: 10.135.1.8
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
#pkts
#pkts
#pkts
#pkts
#send
encaps: 73723, #pkts encrypt: 73723, #pkts digest: 73723
decaps: 78878, #pkts decrypt: 78878, #pkts verify: 78878
compressed: 0, #pkts decompressed: 0
not compressed: 73723, #pkts comp failed: 0, #pkts decomp failed: 0
errors: 0, #recv errors: 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 212
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 212
IV size: 8 bytes
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-50
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
replay detection support: Y
ciscoasa(config)#
次に、グローバルコンフィギュレーションモードで、キーワード entry detail を使用して IPsec
SA を表示する例を示します。
ciscoasa(config)# show crypto ipsec sa entry detail
peer address: 10.132.0.21
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
encaps: 0, #pkts encrypt: 0, #pkts digest: 0
decaps: 1148, #pkts decrypt: 1148, #pkts verify: 1148
compressed: 0, #pkts decompressed: 0
not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
no sa (send): 0, #pkts invalid sa (rcv): 0
encaps failed (send): 0, #pkts decaps failed (rcv): 0
invalid prot (rcv): 0, #pkts verify failed: 0
invalid identity (rcv): 0, #pkts invalid len (rcv): 0
replay rollover (send): 0, #pkts replay rollover (rcv): 0
replay failed (rcv): 0
internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
inbound esp sas:
spi: 0x1E8246FC (511854332)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 322
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xDC15BF68 (3692412776)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 3, crypto-map: def
sa timing: remaining key lifetime (sec): 322
IV size: 8 bytes
replay detection support: Y
peer address: 10.135.1.8
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
encaps: 73831, #pkts encrypt: 73831, #pkts digest: 73831
decaps: 78989, #pkts decrypt: 78989, #pkts verify: 78989
compressed: 0, #pkts decompressed: 0
not compressed: 73831, #pkts comp failed: 0, #pkts decomp failed: 0
no sa (send): 0, #pkts invalid sa (rcv): 0
encaps failed (send): 0, #pkts decaps failed (rcv): 0
invalid prot (rcv): 0, #pkts verify failed: 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-51
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
#pkts
#pkts
#pkts
#pkts
invalid identity (rcv): 0, #pkts invalid len (rcv): 0
replay rollover (send): 0, #pkts replay rollover (rcv): 0
replay failed (rcv): 0
internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
inbound esp sas:
spi: 0xB32CF0BD (3006066877)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 104
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x3B6F6A35 (997157429)
transform: esp-3des esp-md5-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 4, crypto-map: def
sa timing: remaining key lifetime (sec): 104
IV size: 8 bytes
replay detection support: Y
ciscoasa(config)#
次に、キーワード identity を使用した IPsec SA の例を示します。
ciscoasa(config)# show crypto ipsec sa identity
interface: outside2
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
#pkts
#pkts
#pkts
#pkts
#send
encaps: 0, #pkts encrypt: 0, #pkts digest: 0
decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
compressed: 0, #pkts decompressed: 0
not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
errors: 0, #recv errors: 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
#pkts
#pkts
#pkts
#pkts
#send
encaps: 73756, #pkts encrypt: 73756, #pkts digest: 73756
decaps: 78911, #pkts decrypt: 78911, #pkts verify: 78911
compressed: 0, #pkts decompressed: 0
not compressed: 73756, #pkts comp failed: 0, #pkts decomp failed: 0
errors: 0, #recv errors: 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-52
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
次に、キーワード identity および detail を使用した IPsec SA の例を示します。
ciscoasa(config)# show crypto ipsec sa identity detail
interface: outside2
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.132.0.21/255.255.255.255/0/0)
current_peer: 10.132.0.21
dynamic allocated peer ip: 90.135.1.5
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
encaps: 0, #pkts encrypt: 0, #pkts digest: 0
decaps: 1147, #pkts decrypt: 1147, #pkts verify: 1147
compressed: 0, #pkts decompressed: 0
not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
no sa (send): 0, #pkts invalid sa (rcv): 0
encaps failed (send): 0, #pkts decaps failed (rcv): 0
invalid prot (rcv): 0, #pkts verify failed: 0
invalid identity (rcv): 0, #pkts invalid len (rcv): 0
replay rollover (send): 0, #pkts replay rollover (rcv): 0
replay failed (rcv): 0
internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.132.0.21
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: DC15BF68
Crypto map tag: def, local addr: 172.20.0.17
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
current_peer: 10.135.1.8
dynamic allocated peer ip: 0.0.0.0
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
#pkts
encaps: 73771, #pkts encrypt: 73771, #pkts digest: 73771
decaps: 78926, #pkts decrypt: 78926, #pkts verify: 78926
compressed: 0, #pkts decompressed: 0
not compressed: 73771, #pkts comp failed: 0, #pkts decomp failed: 0
no sa (send): 0, #pkts invalid sa (rcv): 0
encaps failed (send): 0, #pkts decaps failed (rcv): 0
invalid prot (rcv): 0, #pkts verify failed: 0
invalid identity (rcv): 0, #pkts invalid len (rcv): 0
replay rollover (send): 0, #pkts replay rollover (rcv): 0
replay failed (rcv): 0
internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 172.20.0.17, remote crypto endpt.: 10.135.1.8
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 3B6F6A35
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-53
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec sa
関連コマンド
コマンド
説明
clear configure isakmp すべての ISAKMP コンフィギュレーションをクリアします。
clear configure isakmp すべての ISAKMP ポリシーコンフィギュレーションをクリアします。
policy
clear isakmp sa
IKE ランタイム SA データベースをクリアします。
isakmp enable
IPsec ピアが ASA と通信するインターフェイス上の ISAKMP ネゴシ
エーションをイネーブルにします。
show running-config
isakmp
アクティブな ISAKMP コンフィギュレーションをすべて表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-54
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec stats
show crypto ipsec stats
IPsec 統計情報のリストを表示するには、グローバルコンフィギュレーションモードまたは特権
EXEC モードで show crypto ipsec stats コマンドを使用します。
show crypto ipsec stats
構文の説明
このコマンドには、キーワードや変数はありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
コマンド履歴
例
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、グローバルコンフィギュレーションモードで、IPsec 統計情報を表示する例を示します。
ciscoasa(config)# show crypto ipsec stats
IPsec Global Statistics
----------------------Active tunnels: 2
Previous tunnels: 9
Inbound
Bytes: 4933013
Decompressed bytes: 4933013
Packets: 80348
Dropped packets: 0
Replay failures: 0
Authentications: 80348
Authentication failures: 0
Decryptions: 80348
Decryption failures: 0
Decapsulated fragments needing reassembly: 0
Outbound
Bytes: 4441740
Uncompressed bytes: 4441740
Packets: 74029
Dropped packets: 0
Authentications: 74029
Authentication failures: 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-55
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec stats
Encryptions: 74029
Encryption failures: 0
Fragmentation successes: 3
Pre-fragmentation successes:2
Post-fragmentation successes: 1
Fragmentation failures: 2
Pre-fragmentation failures:1
Post-fragmentation failures: 1
Fragments created: 10
PMTUs sent: 1
PMTUs recvd: 2
Protocol failures: 0
Missing SA failures: 0
System capacity failures: 0
ciscoasa(config)#
関連コマンド
例
コマンド
clear ipsec sa
説明
crypto ipsec transform-set
トランスフォームセットを定義します。
show ipsec sa
指定されたパラメータに基づいて IPsec SA を表示します。
show ipsec sa summary
IPsec SA の要約を表示します。
指定されたパラメータに基づいて、IPsec SA またはカウンタをク
リアします。
次に、グローバルコンフィギュレーションモードで ISAKMP 統計情報を表示する例を示します。
ciscoasa(config)# show crypto isakmp stats
Global IKE Statistics
Active Tunnels: 132
Previous Tunnels: 132
In Octets: 195471
In Packets: 1854
In Drop Packets: 925
In Notifys: 0
In P2 Exchanges: 132
In P2 Exchange Invalids: 0
In P2 Exchange Rejects: 0
In P2 Sa Delete Requests: 0
Out Octets: 119029
Out Packets: 796
Out Drop Packets: 0
Out Notifys: 264
Out P2 Exchanges: 0
Out P2 Exchange Invalids: 0
Out P2 Exchange Rejects: 0
Out P2 Sa Delete Requests: 0
Initiator Tunnels: 0
Initiator Fails: 0
Responder Fails: 0
System Capacity Fails: 0
Auth Fails: 0
Decrypt Fails: 0
Hash Valid Fails: 0
No Sa Fails: 0
ciscoasa(config)#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-56
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto ipsec stats
関連コマンド
コマンド
説明
clear configure crypto すべての ISAKMP コンフィギュレーションをクリアします。
isakmp
clear configure crypto すべての ISAKMP ポリシーコンフィギュレーションをクリアします。
isakmp policy
clear crypto isakmp sa IKE ランタイム SA データベースをクリアします。
crypto isakmp enable IPsec ピアが ASA と通信するインターフェイス上の ISAKMP ネゴシ
エーションをイネーブルにします。
show running-config
アクティブな ISAKMP コンフィギュレーションをすべて表示します。
crypto isakmp
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-57
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto isakmp sa
show crypto isakmp sa
IKE ランタイム SA データベースを表示するには、グローバルコンフィギュレーションモード
または特権 EXEC モードで show crypto isakmp sa コマンドを使用します。
show crypto isakmp sa [detail]
構文の説明
detail
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
SA データベースに関する詳細出力を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
使用上のガイドライン
マルチ
トランスペ
ルーテッドアレント
シングル
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
7.0(1)
変更内容
7.2(1)
このコマンドは廃止されました。show crypto isakmp sa コマンドに置
き換えられました。
9.0(1)
マルチコンテキストモードのサポートが追加されました。
show isakmp sa コマンドが追加されました。
このコマンドの出力には、次のフィールドが含まれています。
detail オプションを指定しない場合。
IKE Peer
Type
209.165.200.225 L2L
Dir
Rky
State
Init
No
MM_Active
Dir
Rky
State
Encrypt Hash Auth
Lifetime
Init
No
MM_Active
3des
86400
detail オプションを指定した場合。
IKE Peer
Type
209.165.200.225 L2L
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-58
md5
preshrd
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto isakmp sa
例
次に、グローバルコンフィギュレーションモードで、SA データベースに関する詳細情報を表示
する例を示します。
ciscoasa(config)# show crypto isakmp sa detail
IKE Peer Type Dir
Rky State
1 209.165.200.225 User Resp No
Encrypt Hash
AM_Active 3des
Auth
SHA
Lifetime
preshrd 86400
IKE Peer Type Dir
Rky State
2 209.165.200.226 User Resp No
Encrypt Hash
AM_ACTIVE 3des
Auth
SHA
Lifetime
preshrd 86400
IKE Peer Type Dir
Rky State
3 209.165.200.227 User Resp No
Encrypt Hash
AM_ACTIVE 3des
Auth
SHA
Lifetime
preshrd 86400
IKE Peer Type Dir
Rky State
4 209.165.200.228 User Resp No
Encrypt Hash
AM_ACTIVE 3des
Auth
SHA
Lifetime
preshrd 86400
ciscoasa(config)#
関連コマンド
コマンド
説明
clear configure crypto すべての ISAKMP コンフィギュレーションをクリアします。
isakmp
clear configure crypto すべての ISAKMP ポリシーコンフィギュレーションをクリアします。
isakmp policy
clear crypto isakmp sa IKE ランタイム SA データベースをクリアします。
crypto isakmp enable IPsec ピアが ASA と通信するインターフェイス上の ISAKMP ネゴシ
エーションをイネーブルにします。
show running-config
アクティブな ISAKMP コンフィギュレーションをすべて表示します。
crypto isakmp
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-59
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto isakmp stats
show crypto isakmp stats
実行時統計情報を表示するには、グローバルコンフィギュレーションモードまたは特権 EXEC
モードで show crypto isakmp stats コマンドを使用します。
show crypto isakmp stats
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
コマンド履歴
使用上のガイドライン
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
7.0(1)
変更内容
7.2(1)
show isakmp stats コマンドが廃止されました。show crypto isakmp
stats コマンドに置き換えられました。
show isakmp stats コマンドが追加されました。
このコマンドの出力には、次のフィールドが含まれています。
•
Global IKE Statistics
•
Active Tunnels
•
In Octets
•
In Packets
•
In Drop Packets
•
In Notifys
•
In P2 Exchanges
•
In P2 Exchange Invalids
•
In P2 Exchange Rejects
•
In P2 Sa Delete Requests
•
Out Octets
•
Out Packets
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-60
マルチ
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto isakmp stats
例
•
Out Drop Packets
•
Out Notifys
•
Out P2 Exchanges
•
Out P2 Exchange Invalids
•
Out P2 Exchange Rejects
•
Out P2 Sa Delete Requests
•
Initiator Tunnels
•
Initiator Fails
•
Responder Fails
•
System Capacity Fails
•
Auth Fails
•
Decrypt Fails
•
Hash Valid Fails
•
No Sa Fails
次に、グローバルコンフィギュレーションモードで ISAKMP 統計情報を表示する例を示します。
ciscoasa(config)# show crypto isakmp stats
Global IKE Statistics
Active Tunnels: 132
Previous Tunnels: 132
In Octets: 195471
In Packets: 1854
In Drop Packets: 925
In Notifys: 0
In P2 Exchanges: 132
In P2 Exchange Invalids: 0
In P2 Exchange Rejects: 0
In P2 Sa Delete Requests: 0
Out Octets: 119029
Out Packets: 796
Out Drop Packets: 0
Out Notifys: 264
Out P2 Exchanges: 0
Out P2 Exchange Invalids: 0
Out P2 Exchange Rejects: 0
Out P2 Sa Delete Requests: 0
Initiator Tunnels: 0
Initiator Fails: 0
Responder Fails: 0
System Capacity Fails: 0
Auth Fails: 0
Decrypt Fails: 0
Hash Valid Fails: 0
No Sa Fails: 0
ciscoasa(config)#
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-61
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto isakmp stats
関連コマンド
コマンド
説明
clear configure crypto すべての ISAKMP コンフィギュレーションをクリアします。
isakmp
clear configure crypto すべての ISAKMP ポリシーコンフィギュレーションをクリアします。
isakmp policy
clear crypto isakmp sa IKE ランタイム SA データベースをクリアします。
crypto isakmp enable IPsec ピアが ASA と通信するインターフェイス上の ISAKMP ネゴシ
エーションをイネーブルにします。
show running-config
アクティブな ISAKMP コンフィギュレーションをすべて表示します。
crypto isakmp
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-62
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto key mypubkey
show crypto key mypubkey
ECDSA キーのキー名、使用方法、および楕円曲線サイズを表示するには、グローバルコンフィ
ギュレーションモードまたは特権 EXEC モードで show crypto key mypubkey コマンドを使用
します。
show crypto key mypubkey dsa | rsa
構文の説明
コマンドモード
dsa
キー名を指定します。
rsa
キー名を指定します。
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
—
•
Yes
—
—
特権 EXEC
•
Yes
—
•
Yes
—
—
リリース
7.0(1)
変更内容
show crypto key mypubkey コマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-63
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto protocol statistics
show crypto protocol statistics
暗号アクセラレータ MIB 内のプロトコル固有の統計情報を表示するには、グローバルコンフィ
ギュレーションモードまたは特権 EXEC モードで show crypto protocol statistics コマンドを使
用します。
show crypto protocol statistics protocol
構文の説明
protocol
統計情報を表示するプロトコルの名前を指定します。プロトコルの選
択肢は次のとおりです。
ikev1：インターネットキー交換バージョン 1。
ipsec：IP セキュリティフェーズ 2 プロトコル。
ssl：Secure Sockets Layer（SSL）
other：新規プロトコル用に予約済み。
all：現在サポートされているすべてのプロトコル。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、グローバルコンフィギュレーションモードで、指定したプロトコルに関する暗号アクセ
ラレータ統計情報を表示する例を示します。
ciscoasa # show crypto protocol statistics ikev1
[IKEv1 statistics]
Encrypt packet requests: 39
Encapsulate packet requests: 39
Decrypt packet requests: 35
Decapsulate packet requests: 35
HMAC calculation requests: 84
SA creation requests: 1
SA rekey requests: 3
SA deletion requests: 2
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-64
マルチ
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto protocol statistics
Next phase key allocation requests: 2
Random number generation requests: 0
Failed requests: 0
ciscoasa # show crypto protocol statistics ipsec
[IPsec statistics]
Encrypt packet requests: 700
Encapsulate packet requests: 700
Decrypt packet requests: 700
Decapsulate packet requests: 700
HMAC calculation requests: 1400
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
ciscoasa # show crypto protocol statistics ssl
[SSL statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
ciscoasa # show crypto protocol statistics other
[Other statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 99
Failed requests: 0
ciscoasa # show crypto protocol statistics all
[IKEv1 statistics]
Encrypt packet requests: 46
Encapsulate packet requests: 46
Decrypt packet requests: 40
Decapsulate packet requests: 40
HMAC calculation requests: 91
SA creation requests: 1
SA rekey requests: 3
SA deletion requests: 3
Next phase key allocation requests: 2
Random number generation requests: 0
Failed requests: 0
[IKEv2 statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-65
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto protocol statistics
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[IPsec statistics]
Encrypt packet requests: 700
Encapsulate packet requests: 700
Decrypt packet requests: 700
Decapsulate packet requests: 700
HMAC calculation requests: 1400
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[SSL statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[SSH statistics are not supported]
[SRTP statistics are not supported]
[Other statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 99
Failed requests: 0
ciscoasa #
関連コマンド
コマンド
clear crypto accelerator
statistics
説明
clear crypto protocol
statistics
暗号アクセラレータ MIB にあるプロトコル固有の統計情報をク
リアします。
show crypto accelerator
statistics
暗号アクセラレータ MIB からグローバルおよびアクセラレータ
固有の統計情報を表示します。
暗号アクセラレータ MIB にあるグローバルおよびアクセラレー
タ固有の統計情報をクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-66
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto sockets
show crypto sockets
暗号セキュアソケット情報を表示するには、グローバルコンフィギュレーションモードまたは
特権 EXEC モードで show crypto sockets コマンドを使用します。
show crypto sockets
構文の説明
このコマンドには、キーワードや変数はありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
例
ルーテッド
トランスペ
アレント
シングル
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
•
Yes
—
—
特権 EXEC
•
Yes
•
Yes
•
Yes
—
—
リリース
7.0(1)
変更内容
このコマンドが追加されました。
次に、グローバルコンフィギュレーションモードで、暗号セキュアソケット情報を表示する例
を示します。
ciscoasa(config)# show crypto sockets
Number of Crypto Socket connections 1
Gi0/1
Peers: (local): 2001:1::1
(remote): ::
Local Ident (addr/plen/port/prot): (2001:1::1/64/0/89)
Remote Ident (addr/plen/port/prot): (::/0/0/89)
IPsec Profile: "CSSU-UTF"
Socket State: Open
Client: "CSSU_App(UTF)" (Client State: Active)
Crypto Sockets in Listen state:
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-67
第5章
show crashinfo コマンド～ show curpriv コマンド
show crypto sockets
次の表に、show crypto sockets コマンド出力のフィールドを示します。
関連コマンド
フィールド
説明
Number of Crypto Socket connections
システム内の暗号ソケットの数。
Socket State
この状態は、アクティブな IPsec セキュリティアソシ
エーション（SA）が存在することを意味する Open か、ま
たはアクティブな IPsec SA が存在しないことを意味す
る Closed のどちらかです。
Client
アプリケーションの名前とその状態。
Flags
このフィールドが「shared」になっている場合、ソケット
は複数のトンネルインターフェイスで共有されます。
Crypto Sockets in Listen state
暗号 IPsec プロファイルの名前。
コマンド
show crypto ipsec policy
説明
暗号セキュアソケット API でインストールされたポリシー情報
を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-68
第5章
show crashinfo コマンド～ show curpriv コマンド
show csc node-count
show csc node-count
CSC SSM がスキャンしたトラフィックのノード数を表示するには、特権 EXEC モードで show
csc node-count コマンドを使用します。
show csc node-count [yesterday]
構文の説明
yesterday
デフォルト
デフォルトで表示されるノードカウントは、午前 0 時からスキャンされたノード数です。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）CSC SSM が前日の 24 時間（午前 0 時から翌日の午前 0
時まで）スキャンしたトラフィックのノード数を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
トランスペ
ルーテッドアレント
シングル
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
ノードとは、固有の送信元 IP アドレス、または ASA により保護されているネットワーク上のデ
バイスのアドレスです。ASA は、毎日のノードカウントを追跡し、ユーザライセンスの強制のた
めに CSC SSM に伝えます。
例
次に、CSC SSM が午前 0 時以降にスキャンしたノードの数を表示する show csc node-count コマ
ンドの出力例を示します。
ciscoasa# show csc node-count
Current node count is 1
次に、CSC SSM が過去 24 時間（午前 0 時から翌日の午前 0 時まで）にスキャンしたトラフィック
のノード数を表示する show csc node-count コマンドの出力例を示します。
ciscoasa(config)# show csc node-count yesterday
Yesterday’s node count is 2
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-69
第5章
show crashinfo コマンド～ show curpriv コマンド
show csc node-count
関連コマンド
csc
ネットワークトラフィックを CSC SSM に送信して、CSC
SSM で設定されているとおりに FTP、HTTP、POP3、および
SMTP をスキャンします。
現在のクラスマップコンフィギュレーションを表示します。
show running-config policy-map 現在のポリシーマップコンフィギュレーションを表示し
ます。
show running-config
現在のサービスポリシーコンフィギュレーションを表示し
service-policy
ます。
show running-config class-map
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-70
第5章
show crashinfo コマンド～ show curpriv コマンド
show ctiqbe
show ctiqbe
ASA を越えて確立された CTIQBE セッションの情報を表示するには、特権 EXEC モードで show
ctiqbe コマンドを使用します。
show ctiqbe
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(1)
使用上のガイドライン
（注）
例
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
show ctiqbe コマンドは、ASA を越えて確立された CTIQBE セッションの情報を表示します。
debug ctiqbe や show local-host とともに、このコマンドは、CTIQBE インスペクションエンジン
の問題のトラブルシューティングに使用されます。
show ctiqbe コマンドを使用する前に pager コマンドを設定することを推奨します。多くの
CTIQBE セッションが存在し、pager コマンドが設定されていない場合、show ctiqbe コマンドの
出力が最後まで到達するには、しばらく時間がかかることがあります。
次の条件における show ctiqbe コマンドの出力例を示します。ASA を越えてセットアップされて
いるアクティブ CTIQBE セッションは 1 つだけです。そのセッションは、ローカルアドレス
10.0.0.99 の内部 CTI デバイス（たとえば、Cisco IP SoftPhone）と 172.29.1.77 の外部 Cisco
CallManager の間で確立されています。ここで、TCP ポート 2748 は、Cisco CallManager です。この
セッションのハートビート間隔は 120 秒です。
ciscoasa# | show ctiqbe
Total: 1
| LOCAL | FOREIGN | STATE | HEARTBEAT
--------------------------------------------------------------1 | 10.0.0.99/1117 172.29.1.77/2748 | 1 | 120
| RTP/RTCP: PAT xlates: mapped to 172.29.1.99(1028 | 1029)
| MEDIA: Device ID 27 | Call ID 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-71
第5章
show crashinfo コマンド～ show curpriv コマンド
show ctiqbe
| Foreign 172.29.1.99 | (1028 | 1029)
| Local | 172.29.1.88 | (26822 | 26823)
| ---------------------------------------------CTI デバイスは、すでに CallManager に登録されています。デバイスの内部アドレスおよび RTP
受信ポートは 172.29.1.99 の UDP ポート 1028 に PAT 変換されています。RTCP 受信ポートは
UDP 1029 に PAT 変換されています。
で始まる行は、内部 CTI デバイスが外部 CallManager に登録され、CTI デ
バイスのアドレスとポートがその外部インターフェイスに PAT 変換されている場合に限り表示
されます。この行は、CallManager が内部インターフェイス上に位置する場合、または内部 CTI デ
バイスのアドレスとポートが、CallManager が使用しているのと同じ外部インターフェイスに
NAT 変換されている場合は、表示されません。
RTP/RTCP: PAT xlates:
この出力は、コールがこの CTI デバイスと 172.29.1.88 にある別の電話機の間に確立されている
ことを示します。他の電話機の RTP および RTCP 受信ポートは、UDP 26822 および 26823 です。
ASA は 2 番目の電話機と CallManager に関連する CTIQBE セッションレコードを維持できない
ので、他の電話機は、CallManager と同じインターフェイス上にあります。CTI デバイス側のアク
ティブコールレッグは、Device ID 27 および Call ID 0 で確認できます。
次に、これらの CTIBQE 接続に対する xlate 情報を示します。
ciscoasa# show xlate debug
3 in use, 3 most used
Flags: D | DNS, d | dump, I | identity, i | inside, n | no random,
| o | outside, r | portmap, s | static
TCP PAT from inside:10.0.0.99/1117 to outside:172.29.1.99/1025 flags ri idle 0:00:22
timeout 0:00:30
UDP PAT from inside:10.0.0.99/16908 to outside:172.29.1.99/1028 flags ri idle 0:00:00
timeout 0:04:10
UDP PAT from inside:10.0.0.99/16909 to outside:172.29.1.99/1029 flags ri idle 0:00:23
timeout 0:04:10
ciscoasa#
関連コマンド
コマンド
class-map
説明
inspect ctiqbe
CTIQBE アプリケーションインスペクションをイネーブルにします。
service-policy
1 つ以上のインターフェイスにポリシーマップを適用します。
show conn
さまざまな接続タイプの接続状態を表示します。
timeout
さまざまなプロトコルおよびセッションタイプのアイドル状態の最
大継続時間を設定します。
セキュリティアクションを適用するトラフィッククラスを定義し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-72
第5章
show crashinfo コマンド～ show curpriv コマンド
show ctl-file
show ctl-file
電話プロキシで使用される CTL ファイルの内容を表示するには、グローバルコンフィギュレー
ションモードで show ctl-file コマンドを使用します。
show ctl-file filename [parsed]
構文の説明
filename
データベースに格納されているセキュアモードに対応した電話を表示
します。
parsed
（オプション）指定した CTL ファイルの詳細情報を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
8.2(1)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
フラッシュメモリに格納されている CTL ファイルのファイル名を指定する場合は、ディスク番
号、ファイル名、および拡張を disk0:/testctl.tlv のように指定します。show ctl-file コマンドを
使用すると、電話プロキシインスタンスの設定時のデバッグに役立ちます。
例
次に、show ctl-file コマンドを使用して、CTL ファイルの一般情報を表示する例を示します。
ciscoasa# show ctl-file disk0:/ctlfile.tlv
Total Number of Records: 1
CTL Record Number 1
Subject Name:
serialNumber=JMX1215L2TX+hostname=ciscoasa
Issuer Name:
serialNumber=JMX1215L2TX+hostname=ciscoasa
Function:
cucm
IP Address:
192.168.52.102
Associated Trustpoint:
cucm_primary
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-73
第5章
show crashinfo コマンド～ show curpriv コマンド
show ctl-file
次に、show ctl-file コマンドを使用して、CTL ファイルの詳細情報を表示する例を示します。
ciscoasa# show ctl-file disk0:/ctlfile.tlv parsed
TAG 0x01: Version: Maj 1, Min 2
TAG 0x02: Header Len: Len 288
TAG 0x03: Signer ID: Len 103
TAG 0x04: Signer Name: Len 45 Name: <cn=_internal_myctl_SAST_0,ou=STG,o=Cisco Inc>
TAG 0x05: Cert SN: Len 4 SN: c43c9048
TAG 0x06: CA Name: Len 45 Name: <cn=_internal_myctl_SAST_0,ou=STG,o=Cisco Inc>
TAG 0x07: Signature: Len 15
TAG 0x08: Digest Alg: Len 1 Name: SHA-1
TAG 0x09: Sig Alg Info: Len 8
TAG 0x0A: Sig Alg: Len 1 Name: RSA
TAG 0x0B: Modulus: Len 1 Name: 1024
TAG 0x0C: Sig Block: Len 128 Signature:
521debcf b7a77ea8 94eba5f7 f3c8b0d8 3337a9fa 267ce1a7 202b2c8b 2ac980d3
9608f64d e7cd82df e205e5bf 74a1d9c4 fae20f90 f3d2746a e90f439e ef93fca7
d4925551 72daa414 2c55f249 ef7e6dc2 bcb9f9b5 39be8238 5011eecb ce37e4d1
866e6550 6779c3fd 25c8bab0 6e9be32c 7f79fe34 5575e3af ea039145 45ce3158
TAG 0x0E: File Name: Len 12 Name: <CTLFile.tlv>
TAG 0x0F: Timestamp: Len 4 Timestamp: 48903cc6
### CTL RECORD No.1 ###
TAG 0x01: Rcd Len: Len 731
TAG 0x03: Sub Name: Len 43 Sub Name: <serialNumber=JMX1215L2TX+hostname=ciscoasa>
TAG 0x04: Function: Len 2 Func: CCM
TAG 0x05: Cert Issuer: Len 43 Issuer Name: <serialNumber=JMX1215L2TX+hostname=ciscoasa>
TAG 0x06: Cert SN: Len 4 Cert SN: 15379048
TAG 0x07: Pub Key: Len 140 Pub Key:
30818902 818100ad a752b4e6 89769a49 13115e52 1209b3ef 96a179af 728c29d7
af7fed4e c759d0ea cebd7587 dd4f7c4c 322da86b 3a677c08 ce39ce60 2525f6d2
50fe87cf 2aea60a5 690ec985 10706e5a 30ad26db e6fdb243 159758ed bb487525
f901ef4a 658445de 29981546 3867d2d1 ce519ee4 62c7be32 51037c3c 751c0ad6
040bedbb 3e984502 03010001
TAG 0x09: Cert: Len 469 X.509v3 Cert:
308201d1 3082013a a0030201 02020415 37904830 0d06092a 864886f7 0d010104
0500302d 312b3012 06035504 05130b4a 4d583132 31354c32 54583015 06092a86
4886f70d 01090216 08636973 636f6173 61301e17 0d303830 37333030 39343033
375a170d 31383037 32383039 34303337 5a302d31 2b301206 03550405 130b4a4d
58313231 354c3254 58301506 092a8648 86f70d01 09021608 63697363 6f617361
30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00ada752
b4e68976 9a491311 5e521209 b3ef96a1 79af728c 29d7af7f ed4ec759 d0eacebd
7587dd4f 7c4c322d a86b3a67 7c08ce39 ce602525 f6d250fe 87cf2aea 60a5690e
c9851070 6e5a30ad 26dbe6fd b2431597 58edbb48 7525f901 ef4a6584 45de2998
15463867 d2d1ce51 9ee462c7 be325103 7c3c751c 0ad6040b edbb3e98 45020301
0001300d 06092a86 4886f70d 01010405 00038181 005d82b7 ac45dbf8 bd911d4d
a330454a a2784a4b 5ef898b1 482e0bbf 4a86ed86 9019820b 00e80361 fd7b2518
9efa746c b98b1e23 fcc0793c de48de6d 6b1a4998 cd6f4e66 ba661d3a d200739a
ae679c7c 94f550fb a6381b94 1eae389e a9ec4b11 30ba31f3 33cd184e 25647174
ce00231d 102d5db3 c9c111a6 df37eb43 66f3d2d5 46
TAG 0x0A: IP Addr: Len 4 IP Addr: 192.168.52.102
関連コマンド
コマンド
説明
ctl-file（グローバル）
電話プロキシを作成するための CTL インスタンスを指定するか、または
フラッシュメモリに格納されている CTL ファイルを解析します。
ctl-file
（Phone-Proxy）
phone proxy
電話プロキシの設定時に使用する CTL インスタンスを指定します。
電話プロキシインスタンスを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-74
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts environment-data
show cts environment-data
ASA に Cisco TrustSec の環境データのリフレッシュ処理のヘルス状態とステータスを表示する
には、特権 EXEC モードで show cts environment-data コマンドを使用します。
show cts environment-data
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
9.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
このコマンドは、フェールオーバーコンフィギュレーションのスタンバイ状態のデバイスでは
サポートされません。スタンバイ状態のデバイスでこのコマンドを入力すると、次のエラーメッ
セージが表示されます。
ERROR: This command is only permitted on the active device.
このコマンドは、クラスタリングコンフィギュレーションのマスターユニットでのみサポート
されます。スレーブユニットでこのコマンドを入力すると、次のエラーメッセージが表示され
ます。
This command is only permitted on the master device.
例
次に、show cts environment-data コマンドの出力例を示します。
ciscoasa# show cts environment-data
CTS Environment Data
====================
Status:
Last download attempt:
Environment Data Lifetime:
Last update time:
Env-data expires in:
Env-data refreshes in:
Active
Successful
1200 secs
18:12:07 EST Feb 27 2012
0:00:12:24 (dd:hr:mm:sec)
0:00:02:24 (dd:hr:mm:sec)
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-75
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts environment-data
関連コマンド
コマンド
show running-config
cts
説明
show cts pac
PAC のコンポーネントを表示します。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-76
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts environment-data sg-table
show cts environment-data sg-table
ASA に Cisco TrustSec の常駐セキュリティグループテーブルを表示するには、特権 EXEC モー
ドで show cts environment-data sg-table コマンドを使用します。
show cts environment-data sg-table
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
9.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
このコマンドは、フェールオーバーコンフィギュレーションのスタンバイ状態のデバイスでは
サポートされません。スタンバイ状態のデバイスでこのコマンドを入力すると、次のエラーメッ
セージが表示されます。
ERROR: This command is only permitted on the active device.
このコマンドは、クラスタリングコンフィギュレーションのマスターユニットでのみサポート
されます。スレーブユニットでこのコマンドを入力すると、次のエラーメッセージが表示され
ます。
This command is only permitted on the master device.
例
次に、show cts environment-data sg-table コマンドの出力例を示します。
ciscoasa# show cts environment-data sg-table
Security Group Table:
Valid until: 18:32:07 EST Feb 27 2012
Showing 9 of 9 entries
SG Name
------ANY
ExampleSG1
ExampleSG13
SG Tag
-----65535
2
14
Type
------------unicast
unicast
unicast
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-77
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts environment-data sg-table
ExampleSG14
ExampleSG15
ExampleSG16
ExampleSG17
ExampleSG18
Unknown
関連コマンド
15
16
17
18
19
0
コマンド
show running-config
cts
説明
show cts pac
PAC のコンポーネントを表示します。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-78
unicast
unicast
unicast
unicast
unicast
unicast
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts pac
show cts pac
ASA に Cisco TrustSec の Protected Access Credential（PAC）のコンポーネントを表示するには、特
権 EXEC モードで show cts pac コマンドを使用します。
show cts pac
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
9.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
show cts pac コマンドは、PAC 情報（有効期間など）を表示します。PAC のライフタイムが経過す
ると ASA がセキュリティグループテーブルの更新を取得できなくなるため、有効期間は重要で
す。管理者は、Identity Services Engine のセキュリティグループテーブルとの同期を保つために、
古い PAC の期限が切れる前に新しい PAC を要求する必要があります。
このコマンドは、フェールオーバーコンフィギュレーションのスタンバイ状態のデバイスでは
サポートされません。スタンバイ状態のデバイスでこのコマンドを入力すると、次のエラーメッ
セージが表示されます。
ERROR: This command is only permitted on the active device.
このコマンドは、クラスタリングコンフィギュレーションのマスターユニットでのみサポート
されます。スレーブユニットでこのコマンドを入力すると、次のエラーメッセージが表示され
ます。
This command is only permitted on the master device.
例
次に、show cts pac コマンドの出力例を示します。
ciscoasa# show cts pac
PAC-Info:
Valid until: Jul 28 2012 08:03:23
AID:
6499578bc0240a3d8bd6591127ab270c
I-ID:
BrianASA36
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-79
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts pac
A-ID-Info:
Identity Services Engine
PAC-type:
Cisco Trustsec
PAC-Opaque:
000200b000030001000400106499578bc0240a3d8bd6591127ab270c00060094000301
00d75a3f2293ff3b1310803b9967540ff7000000134e2d2deb00093a803d227383e2b9
7db59ed2eeac4e469fcb1eeb0ac2dd84e76e13342a4c2f1081c06d493e192616d43611
8ff93d2af9b9135bb95127e8b9989db36cf1667b4fe6c284e220c11e1f7dbab91721d1
00e9f47231078288dab83a342ce176ed2410f1249780882a147cc087942f52238fc9b4
09100e1758
関連コマンド
コマンド
show running-config
cts
説明
show cts environment
環境データのリフレッシュ処理のヘルス状態とステータスを表示し
ます。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-80
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sgt-map
show cts sgt-map
制御パスの IP アドレスセキュリティグループテーブルマネージャエントリを表示するには、
特権 EXEC モードで show cts sgt-map コマンドを使用します。
show cts sgt-map [sgt sgt] [address ipv4 | address ipv6 [/prefix] | ipv4 | ipv6] [name] [brief |
detail]
構文の説明
address ipv4/ipv6
/prefix
特定の IPv4 または IPv6 IP アドレスまたはサブネットの IP アドレスセ
キュリティグループテーブルマッピングのみを表示します。
brief
IP アドレスセキュリティグループテーブルマッピングの要約を表示し
ます。
detail
IP アドレスセキュリティグループテーブルマッピングを表示します。
ipv4
IPv4 アドレスセキュリティグループテーブルマッピングを表示しま
す。デフォルトで、IPv4 アドレスセキュリティグループテーブルマップ
のみが表示されます。
ipv6
IPv6 アドレスセキュリティグループテーブルマッピングを表示します。
name
セキュリティグループ名が一致する IP アドレスセキュリティグループ
テーブルマッピングを表示します。
sgt sgt
セキュリティグループテーブルが一致する IP アドレスセキュリティグ
ループテーブルマッピングのみを表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
9.0(1)
変更内容
9.3(1)
「CLI-HI」ソースからの IP-SGT バインディング情報が含まれるように出
力が更新されました。これは、cts role-based sgt-map コマンドにより移入
されます。
このコマンドが追加されました。
このコマンドは、制御パスの IP アドレスセキュリティグループテーブルマネージャエントリ
を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-81
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sgt-map
例
次に、show cts sgt-map コマンドの出力例を示します。
ciscoasa# show cts sgt-map
Active IP-SGT Bindings Information
IP Address
SGT Source
============================================
<IP address> <SGT value> <Source type>
IP-SGT Active Bindings Summary
============================================
Total number of <Source type> bindings = <Total number of the entries from a source type>
Total number of active CONFIG bindings = <Total number of mapping entries>
ciscoasa# show cts sgt-map
Active IP-SGT Bindings Information
IP Address
SGT Source
============================================
1.1.1.1
7 CLI-HI
10.10.10.1
7 CLI-HI
10.10.10.10
3 LOCAL
10.10.100.1
7 CLI-HI
198.26.208.31 7
SXP
IP-SGT Active Bindings Summary
============================================
Total number of LOCAL
bindings = 1
Total number of CLI-HI
bindings = 3
Total number of SXP
bindings = 1
Total number of active
bindings = 5
次に、show cts sgt-map ipv6 コマンドの出力例を示します。
ciscoasa# show cts sgt-map ipv6
Active IP-SGT Bindings Information
IP Address
SGT
Source
============================================================
3330::1
17
SXP
FE80::A8BB:CCFF:FE00:110
17
SXP
IP-SGT Active Bindings Summary
============================================
Total number of SXP
bindings = 2
Total number of active
bindings = 2
次に、show cts sgt-map ipv6 detail コマンドの出力例を示します。
ciscoasa# show cts sgt-map ipv6 detail
Active IP-SGT Bindings Information
IP Address
Security Group
Source
=========================================================================
3330::1
2345
SXP
1280::A8BB:CCFF:FE00:110
Security Tech Business Unit(12345)
SXP
IP-SGT Active Bindings Summary
===================================
Total number of SXP bindings
= 2
Total number of active bindings = 2
次に、show cts sgt-map ipv6 brief コマンドの出力例を示します。
ciscoasa# show cts sgt-map ipv6 brief
Active IP-SGT Bindings Information
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-82
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sgt-map
IP-SGT Active Bindings Summary
====================================
Total number of SXP bindings
= 2
Total number of active bindings = 2
次に、show cts sgt-map address コマンドの出力例を示します。
ciscoasa# show cts sgt-map address 10.10.10.5 mask 255.255.255.255
Active IP-SGT Bindings Information
IP Address
SGT
Source
============================================================
10.10.10.5
1234
SXP
IP-SGT Active Bindings Summary
============================================
Total number of SXP
bindings = 1
Total number of active
bindings = 1
関連コマンド
コマンド
show running-config cts
説明
show cts environment
環境データのリフレッシュ処理のヘルス状態とステータスを表示
します。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-83
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sxp connections
show cts sxp connections
ASA に Security eXchange Protocol（SXP）接続を表示するには、特権 EXEC モードで show cts sxp
connections コマンドを使用します。
show cts sxp connections [peer peer addr] [local local addr] [ipv4 | ipv6] [status {on | off |
delete-hold-down | pending-on}] [mode {speaker | listener}] [brief]
構文の説明
brief
（オプション）SXP 接続の要約を表示します。
delete-hold-down
（オプション）TCP 接続は ON 状態であったときに終了しました（TCP が
ダウンしています）。この状態になる可能性があるのは、リスナーモード
で設定された ASA のみです。
ipv4
（オプション）IPv4 アドレスとの SXP 接続を表示します。
ipv6
（オプション）IPv6 アドレスとの SXP 接続を表示します。
listener
（オプション）リスナーモードで設定された ASA を表示します。
local local addr
（オプション）一致したローカル IP アドレスとの SXP 接続を表示します。
mode
（オプション）一致したモードとの SXP 接続を表示します。
off
（オプション）TCP 接続は開始されていません。ASA は、この状態のとき
のみ TCP 接続を再試行します。
on
（オプション）SXP OPEN または SXP OPEN RESP メッセージを受信しま
した。SXP 接続が正常に確立されました。ASA は、この状態のときのみ
SXP メッセージを交換します。
peer peer addr
（オプション）一致したピア IP アドレスとの SXP 接続を表示します。
pending-on
（オプション）SXP OPEN メッセージがピアに送信されました。ピアから
の応答を待機しています。
speaker
（オプション）スピーカーモードで設定された ASA を表示します。
status
（オプション）一致したステータスとの SXP 接続を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
9.0(1)
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-84
トランスペ
アレント
シングル
•
Yes
マルチ
コンテキストシステム
•
Yes
—
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sxp connections
使用上のガイドライン
次の条件に該当する場合、SXP 状態が変わります。
•
ピアが SXP の設定を解除したり、SXP をディセーブルにしたために、SXP リスナーがその
SXP 接続をドロップした場合、SXP リスナーは OFF 状態に移行します。
•
ピアがクラッシュしたり、インターフェイスがシャットダウンしたために、SXP リスナーが
その SXP 接続をドロップした場合、SXP リスナーは DELETE_HOLD_DOWN 状態に移行し
ます。
•
最初の 2 つの条件のいずれかが発生すると、SXP スピーカーは OFF 状態に移行します。
このコマンドは、フェールオーバーコンフィギュレーションのスタンバイ状態のデバイスでは
サポートされません。スタンバイ状態のデバイスでこのコマンドを入力すると、次のエラーメッ
セージが表示されます。
ERROR: This command is only permitted on the active device.
このコマンドは、クラスタリングコンフィギュレーションのマスターユニットでのみサポート
されます。スレーブユニットでこのコマンドを入力すると、次のエラーメッセージが表示され
ます。
This command is only permitted on the master device.
例
次に、show cts sxp connections コマンドの出力例を示します。
ciscoasa# show cts sxp connections
SXP
: Enabled
Highest version
: 2
Default password : Set
Default local IP : Not Set
Reconcile period : 120 secs
Retry open period : 10 secs
Retry open timer : Not Running
Total number of SXP connections : 3
Total number of SXP connection shown : 3
--------------------------------------------------------------Peer IP
: 2.2.2.1
Local IP
: 2.2.2.2
Conn status
: On
Local mode
: Listener
Ins number
: 1
TCP conn password : Default
Delete hold down timer : Not Running
Reconciliation timer
: Not Running
Duration since last state change: 0:00:01:25 (dd:hr:mm:sec)
--------------------------------------------------------------Peer IP
: 3.3.3.1
Local IP
: 3.3.3.2
Conn status
: On
Local mode
: Listener
Ins number
: 2
TCP conn password : None
Delete hold down timer : Not Running
Reconciliation timer
: Not Running
Duration since last state change: 0:01:02:20 (dd:hr:mm:sec)
--------------------------------------------------------------Peer IP
: 4.4.4.1
Local IP
: 4.4.4.2
Conn status
: On
Local mode
: Speaker
Ins number
: 1
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-85
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sxp connections
TCP conn password : Set
Delete hold down timer : Not Running
Reconciliation timer
: Not Running
Duration since last state change: 0:03:01:20 (dd:hr:mm:sec)
関連コマンド
コマンド
show running-config cts
説明
show cts environment
環境データのリフレッシュ処理のヘルス状態とステータスを表示
します。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-86
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sxp sgt-map
show cts sxp sgt-map
ASA に、Cisco TrustSec の Security eXchange Protocol（SXP）モジュール内の現在の IP アドレスセ
キュリティグループテーブルマッピングデータベースエントリを表示するには、特権 EXEC
モードで show cts sxp sgt-map コマンドを使用します。
show cts sxp sgt-map [peer peer_addr] [sgt sgt] [address ipv4 | address ipv6 [/prefix] | ipv4 | ipv6]
[name] [brief | detail] [status]
構文の説明
address ipv4/ipv6
/prefix
特定の IPv4 または IPv6 IP アドレスまたはサブネットの IP アドレスセ
キュリティグループテーブルマッピングのみを表示します。
brief
IP アドレスセキュリティグループテーブルマッピングの要約を表示し
ます。
detail
セキュリティグループテーブル情報を表示します。セキュリティグ
ループの名前が使用できない場合、セキュリティグループテーブル値の
みが角カッコなしで表示されます。
ipv4
IPv4 アドレスとの IP アドレスセキュリティグループテーブルマッピ
ングを表示します。デフォルトで、IPv4 アドレスとの IP アドレスセキュ
リティグループテーブルマッピングのみが表示されます。
ipv6
IPv6 アドレスとの IP アドレスセキュリティグループテーブルマッピ
ングを表示します。
name
セキュリティグループ名が一致する IP アドレスセキュリティグループ
テーブルマッピングを表示します。
peer peer addr
ピア IP アドレスが一致する IP アドレスセキュリティグループテーブ
ルマッピングのみを表示します。
sgt sgt
セキュリティグループテーブルが一致する IP アドレスセキュリティ
グループテーブルマッピングのみを表示します。
status
アクティブまたは非アクティブなマッピング済みエントリを表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
トランスペ
ルーテッドアレント
シングル
特権 EXEC
コマンド履歴
リリース
9.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-87
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sxp sgt-map
使用上のガイドライン
このコマンドは、SXP から統合されたアクティブな IP アドレスセキュリティグループテーブ
ルのマッピング済みエントリを表示します。
このコマンドは、フェールオーバーコンフィギュレーションのスタンバイ状態のデバイスでは
サポートされません。スタンバイ状態のデバイスでこのコマンドを入力すると、次のエラーメッ
セージが表示されます。
ERROR: This command is only permitted on the active device.
このコマンドは、クラスタリングコンフィギュレーションのマスターユニットでのみサポート
されます。スレーブユニットでこのコマンドを入力すると、次のエラーメッセージが表示され
ます。
This command is only permitted on the master device.
例
次に、show cts sxp sgt-map コマンドの出力例を示します。
ciscoasa# show cts sxp sgt-map
Total number of IP-SGT mappings : 3
SGT
IPv4
Peer IP
Ins Num
:
:
:
:
7
2.2.2.1
2.2.2.1
1
SGT
IPv4
Peer IP
Ins Num
:
:
:
:
7
2.2.2.0
3.3.3.1
1
SGT
IPv6
Peer IP
Ins Num
:
:
:
:
7
FE80::A8BB:CCFF:FE00:110
2.2.2.1
1
次に、show cts sxp sgt-map detail コマンドの出力例を示します。
ciscoasa# show cts sxp sgt-map detail
Total number of IP-SGT mappings : 3
SGT
IPv4
Peer IP
Ins Num
Status
:
:
:
:
:
STBU(7)
2.2.2.1
2.2.2.1
1
Active
SGT
IPv4
Peer IP
Ins Num
Status
:
:
:
:
:
STBU(7)
2.2.2.0
3.3.3.1
1
Inactive
SGT
IPv6
Peer IP
Ins Num
Status
:
:
:
:
:
6
1234::A8BB:CCFF:FE00:110
2.2.2.1
1
Active
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-88
第5章
show crashinfo コマンド～ show curpriv コマンド
show cts sxp sgt-map
次に、show cts sxp sgt-map brief コマンドの出力例を示します。
ciscoasa# show cts sxp sgt-map brief
Total number of IP-SGT mappings : 3
SGT, IPv4: 7, 2.2.2.1
SGT, IPv4: 7, 3.3.3.0
SGT, IPv6: 7, FE80::A8BB:CCFF:FE00:110
関連コマンド
コマンド
show running-config cts
説明
show cts environment
環境データのリフレッシュ処理のヘルス状態とステータスを表示
します。
実行コンフィギュレーションの SXP 接続を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-89
第5章
show crashinfo コマンド～ show curpriv コマンド
show curpriv
show curpriv
現在のユーザ特権を表示するには、show curpriv コマンドを使用します。
show curpriv
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
コマンド履歴
マルチ
コンテキストシステム
グローバルコンフィギュ
レーション
•
Yes
•
Yes
—
—
•
Yes
特権 EXEC
•
Yes
•
Yes
—
—
•
Yes
ユーザ EXEC
•
Yes
•
Yes
—
—
•
Yes
リリース
7.0(1)
変更内容
CLI ガイドラインに準拠するように変更されました。
使用上のガイドライン
show curpriv コマンドは、現在の特権レベルを表示します。特権レベルの数値が小さいほど、特
権レベルが低いことを示しています。
例
次に、enable_15 という名前のユーザが異なる特権レベルにある場合の show curpriv コマンドの
出力例を示します。username は、ユーザがログインしたときに入力した名前を示します。P_PRIV
は、ユーザが enable コマンドを入力したことを示します。P_CONF は、ユーザが config terminal
コマンドを入力したことを示します。
ciscoasa(config)# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV P_CONF
ciscoasa(config)# exit
ciscoasa(config)# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV
ciscoasa(config)# exit
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-90
第5章
show crashinfo コマンド～ show curpriv コマンド
show curpriv
ciscoasa(config)# show curpriv
Username : enable_1
Current privilege level : 1
Current Mode/s : P_UNPR
ciscoasa(config)#
次に、既知の動作の例を示します。イネーブルモードからディセーブルモードに移行した場合、
最初にログインしたユーザ名が enable_1 に置き換わります。
ciscoasa(config)# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV P_CONF
ciscoasa(config)# exit
ciscoasa# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV
ciscoasa# exit
Logoff
Type help or '?' for a list of available commands.
ciscoasa# show curpriv
Username : enable_1
Current privilege level : 1
Current Mode/s : P_UNPR
ciscoasa#
関連コマンド
コマンド
clear configure privilege
説明
show running-config
privilege
コマンドの特権レベルを表示します。
コンフィギュレーションから privilege コマンドステートメントを
削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-91
第5章
show curpriv
Cisco ASA シリーズコマンドリファレンス、S コマンド
5-92
show crashinfo コマンド～ show curpriv コマンド
CH A P T E R
6
show ddns update interface コマンド～ show
environmentevent manager コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-1
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show ddns update interface
show ddns update interface
ASA インターフェイスに割り当てられた DDNS 方式を表示するには、特権 EXEC モードで show
ddns update interface コマンドを使用します。
show ddns update interface [interface-name]
構文の説明
interface-name
デフォルト
interface-name ストリングを省略すると、各インターフェイスに割り当てられている DDNS 方式
が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）ネットワークインターフェイスの名前。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
7.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、inside インターフェイスに割り当てられている DDNS 方式を表示する例を示します。
例
ciscoasa# show ddns update interface inside
Dynamic DNS Update on inside:
Update Method Name
Update Destination
ddns-2
not available
ciscoasa#
関連コマンド
コマンド
説明
ddns（DDNS アップデート
方式モード）
作成済みの DDNS 方式に対して、DDNS アップデート方式の
タイプを指定します。
ddns update（インターフェイス
コンフィギュレーションモー
ド）
ASA インターフェイスを DDNS アップデート方式または
DDNS アップデートホスト名に関連付けます。
ddns update method（グローバ
ルコンフィギュレーション
モード）
show ddns update method
DNS のリソースレコードをダイナミックにアップデートす
るための方式を作成します。
show running-config ddns
実行コンフィギュレーションに設定されているすべての
DDNS 方式のタイプおよび間隔を表示します。
設定済みの DDNS 方式ごとにタイプと間隔を表示します。
DDNS アップデートを実行する DHCP サーバ。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-2
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show ddns update method
show ddns update method
実行コンフィギュレーションの DDNS アップデート方式を表示するには、特権 EXEC モードで
show ddns update method コマンドを使用します。
show ddns update method [method-name]
構文の説明
method-name
デフォルト
method-name ストリングを省略すると、設定されているすべての DDNS アップデート方式が表
示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）設定済み DDNS アップデート方式の名前。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.2(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、ddns-2 という名前の DDNS 方式を表示する例を示します。
ciscoasa(config)# show ddns update method ddns-2
Dynamic DNS Update Method: ddns-2
IETF standardized Dynamic DNS 'A' and 'PTR' records update
Maximum update interval: 0 days 0 hours 10 minutes 0 seconds
ciscoasa(config)#
関連コマンド
コマンド
説明
ddns（DDNS アップデート
方式モード）
作成済みの DDNS 方式に対して、DDNS アップデート方式の
タイプを指定します。
ddns update（インターフェイス
コンフィギュレーションモー
ド）
ASA インターフェイスをダイナミック DNS（DDNS）アップ
デート方式または DDNS アップデートホスト名に関連付け
ます。
ddns update method（グローバ
ルコンフィギュレーション
モード）
DNS のリソースレコードをダイナミックにアップデートす
るための方式を作成します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-3
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show ddns update method
コマンド
show ddns update interface
説明
show running-config ddns
実行コンフィギュレーションに設定されているすべての
DDNS 方式のタイプおよび間隔を表示します。
設定済みの各 DDNS 方式に関連付けられたインターフェイ
スを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-4
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show debug
show debug
現在のデバッグコンフィギュレーションを表示するには、show debug コマンドを使用します。
show debug [command [keywords]]
構文の説明
command
（オプション）現在の設定を表示する debug コマンドを指定します。
keywords
（オプション）各 command について、command に続く keywords は、関連する
debug コマンドによりサポートされる keywords と同一です。
デフォルト
このコマンドには、デフォルト設定がありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
（注）
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.0(2)
使用可能なコマンド値のリストに eigrp キーワードが追加されました。
8.4(1)
使用可能なコマンド値のリストに route キーワードが追加されました。
9.2(1)
使用可能なコマンド値のリストに event manager キーワードが追加され
ました。
このコマンドが追加されました。
各 command について、command に続く keywords は、関連する debug コマンドによりサポートさ
れる keywords と同一です。サポートされている構文については、関連する debug コマンドを参照
してください。
各 command を使用できるかどうかは、該当する debug コマンドをサポートするコマンドモード
によって異なります。
有効な command 値は次のとおりです。
•
aaa
•
appfw
•
arp
•
asdm
•
context
•
crypto
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-5
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show debug
•
ctiqbe
•
ctm
•
cxsc
•
dhcpc
•
dhcpd
•
dhcprelay
•
disk
•
dns
•
eigrp
•
email
•
entity
•
event manager
•
fixup
•
fover
•
fsm
•
ftp
•
generic
•
gtp
•
h323
•
http
•
http-map
•
icmp
•
igmp
•
ils
•
imagemgr
•
ipsec-over-tcp
•
ipv6
•
iua-proxy
•
kerberos
•
ldap
•
mfib
•
mgcp
•
mrib
•
ntdomain
•
ntp
•
ospf
•
parser
•
pim
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-6
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show debug
例
•
pix
•
pptp
•
radius
•
rip
•
route
•
rtsp
•
sdi
•
sequence
•
sfr
•
sip
•
skinny
•
smtp
•
sqlnet
•
ssh
•
ssl
•
sunrpc
•
tacacs
•
timestamps
•
vpn-sessiondb
•
webvpn
•
xdmcp
•
xml
show debug コマンドを使用して、すべてのデバッグコンフィギュレーション、特定の機能のデ
バッグコンフィギュレーション、および機能の一部に対するデバッグコンフィギュレーション
を表示できます。
次のコマンドでは、認証、アカウンティング、およびフラッシュメモリのデバッグをイネーブル
にします。
ciscoasa# debug aaa authentication
debug aaa authentication enabled at level 1
ciscoasa# debug aaa accounting
debug aaa accounting enabled at level 1
ciscoasa# debug disk filesystem
debug disk filesystem enabled at level 1
ciscoasa# show debug
debug aaa authentication enabled at level 1
debug aaa accounting enabled at level 1
debug disk filesystem enabled at level 1
ciscoasa# show debug aaa
debug aaa authentication enabled at level 1
debug aaa authorization is disabled.
debug aaa accounting enabled at level 1
debug aaa internal is disabled.
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-7
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show debug
debug aaa vpn is disabled.
ciscoasa# show debug aaa accounting
debug aaa accounting enabled at level 1
ciscoasa#
関連コマンド
コマンド
debug
説明
すべての debug コマンドを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-8
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show debug mmp
show debug mmp
MMP インスペクションモジュールの現在のデバッグ設定を表示するには、特権 EXEC モードで
show debug mmp コマンドを使用します。
show debug mmp
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
8.0(4)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、MMP インスペクションモジュールの現在のデバッグ設定を表示するために show debug
mmp コマンドを使用する例を示します。
ciscoasa# show debug mmp
debug mmp enabled at level 1
関連コマンド
コマンド
debug mmp
説明
inspect mmp
MMP インスペクションエンジンを設定します。
MMP イベントのインスペクションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-9
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dhcpd
show dhcpd
DHCP バインディング情報、状態情報、および統計情報を表示するには、特権 EXEC モードまた
はグローバルコンフィギュレーションモードで show dhcpd コマンドを使用します。
show dhcpd {binding [IP_address] | state | statistics}
構文の説明
binding
所定のサーバ IP アドレスおよび関連するクライアントハードウェアア
ドレスについてのバインディング情報とリースの長さを表示します。
IP_address
指定した IP アドレスのバインディング情報を表示します。
state
DHCP サーバの状態（現在のコンテキストでイネーブルかどうか、各イ
ンターフェイスについてイネーブルかどうかなど）を表示します。
statistics
統計情報（アドレスプール、バインディング、期限切れバインディン
グ、不正な形式のメッセージ、送信済みメッセージ、および受信メッ
セージなどの数）を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
オプションの IP アドレスを show dhcpd binding コマンドに含めた場合は、その IP アドレスのバ
インディングだけが表示されます。
show dhcpd binding | state | statistics コマンドはグローバルコンフィギュレーションモードで
も使用可能です。
例
次に、show dhcpd binding コマンドの出力例を示します。
ciscoasa# show dhcpd binding
IP Address Client-id
Lease Expiration Type
10.0.1.100 0100.a0c9.868e.43 84985 seconds automatic
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-10
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dhcpd
次に、show dhcpd state コマンドの出力例を示します。
ciscoasa# show dhcpd state
Context Not Configured for DHCP
Interface outside, Not Configured for DHCP
Interface inside, Not Configured for DHCP
次に、show dhcpd statistics コマンドの出力例を示します。
ciscoasa# show dhcpd statistics
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
関連コマンド
Address pools
Automatic bindings
Expired bindings
Malformed messages
1
1
1
0
Message
BOOTREQUEST
DHCPDISCOVER
DHCPREQUEST
DHCPDECLINE
DHCPRELEASE
DHCPINFORM
Received
0
1
2
0
0
0
Message
BOOTREPLY
DHCPOFFER
DHCPACK
DHCPNAK
Sent
0
1
1
1
コマンド
clear configure dhcpd
説明
clear dhcpd
DHCP サーババインディングおよび統計情報カウンタをクリアします。
すべての DHCP サーバ設定を削除します。
dhcpd lease
クライアントに付与される DHCP 情報のリースの長さを定義します。
show running-config
dhcpd
現在の DHCP サーバコンフィギュレーションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-11
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dhcprelay state
show dhcprelay state
DHCP リレーエージェントの状態を表示するには、特権 EXEC モードまたはグローバルコン
フィギュレーションモードで show dhcprelay state コマンドを使用します。
show dhcprelay state
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
このコマンドは、現在のコンテキストおよび各インターフェイスについての DHCP リレーエー
ジェントの状態情報を表示します。
次に、show dhcprelay state コマンドの出力例を示します。
ciscoasa# show dhcprelay state
Context Configured as DHCP Relay
Interface outside, Not Configured for DHCP
Interface infrastructure, Configured for DHCP RELAY SERVER
Interface inside, Configured for DHCP RELAY
関連コマンド
コマンド
show dhcpd
説明
show dhcprelay
statistics
DHCP リレーの統計情報を表示します。
show running-config
dhcprelay
DHCP リレーエージェントの現在のコンフィギュレーションを表示
します。
DHCP サーバの統計情報と状態情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-12
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dhcprelay statistics
show dhcprelay statistics
DHCP リレーの統計情報を表示するには、特権 EXEC モードで show dhcprelay statistics コマン
ドを使用します。
show dhcprelay statistics
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
•
リリース
7.0(1)
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
show dhcprelay statistics コマンドの出力は、clear dhcprelay statistics コマンドを入力するまで増
加します。
例
次に、show dhcprelay statistics コマンドの出力例を示します。
ciscoasa# show dhcprelay statistics
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
Packets Relayed
BOOTREQUEST
DHCPDISCOVER
DHCPREQUEST
DHCPDECLINE
DHCPRELEASE
DHCPINFORM
BOOTREPLY
DHCPOFFER
DHCPACK
DHCPNAK
ciscoasa#
0
7
3
0
0
0
0
7
3
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-13
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dhcprelay statistics
関連コマンド
コマンド
clear configure
dhcprelay
説明
clear dhcprelay
statistics
DHCP リレーエージェントの統計カウンタをクリアします。
debug dhcprelay
DHCP リレーエージェントのデバッグ情報を表示します。
show dhcprelay state
DHCP リレーエージェントの状態を表示します。
show running-config
dhcprelay
DHCP リレーエージェントの現在のコンフィギュレーションを表示
します。
DHCP リレーエージェントの設定をすべて削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-14
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show disk
show disk
ASA のフラッシュメモリの内容だけを表示するには、特権 EXEC モードで show disk コマンド
を使用します。
show disk[0 | 1] [filesys | all] controller
構文の説明
0|1
内部フラッシュメモリ（0、デフォルト）または外部フラッシュメモリ
（1）を指定します。
all
フラッシュメモリの内容とファイルシステム情報を表示します。
controller
フラッシュコントローラのモデル番号を指定します。
filesys
コンパクトフラッシュカードについての情報を表示します。
デフォルト
デフォルトでは、このコマンドは内部フラッシュメモリを示します。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
次に、show disk コマンドの出力例を示します。
ciscoasa# show
-#- --length-11 1301
12 1949
13 2551
14 609223
15 1619
16 3184
17 4787
20 1792
21 7765184
22 1674
23 1863
24 1197
25 608554
26 5124096
27 5124096
28 2074
29 5124096
disk
-----date/time-----Feb 21 2005 18:01:34
Feb 21 2005 20:13:36
Jan 06 2005 10:07:36
Jan 21 2005 07:14:18
Jul 16 2004 16:06:48
Aug 03 2004 07:07:00
Mar 04 2005 12:32:18
Jan 21 2005 07:29:24
Mar 07 2005 19:38:30
Nov 11 2004 02:47:52
Jan 21 2005 07:29:18
Jan 19 2005 08:17:48
Jan 13 2005 06:20:54
Feb 20 2005 08:49:28
Mar 01 2005 17:59:56
Jan 13 2005 08:13:26
Mar 07 2005 19:56:58
path
test.cfg
test1.cfg
test2.cfg
test3.cfg
test4.cfg
old_running.cfg
test5.cfg
test6.cfg
test7.cfg
test8.cfg
test9.cfg
test10.cfg
backupconfig.cfg
cdisk1
cdisk2
test11.cfg
cdisk3
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-15
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show disk
30
31
32
33
34
35
1276
7756788
7579792
7764344
5124096
15322
Jan
Feb
Mar
Mar
Feb
Mar
28
24
08
04
24
04
2005
2005
2005
2005
2005
2005
08:31:58
12:59:46
11:06:56
12:17:46
11:50:50
12:30:24
lead
asdmfile.dbg
asdmfile1.dbg
asdmfile2.dbg
cdisk4
hs_err.log
10170368 bytes available (52711424 bytes used)
次に、show disk filesys コマンドの出力例を示します。
ciscoasa# show disk filesys
******** Flash Card Geometry/Format Info ********
COMPACT FLASH CARD GEOMETRY
Number of Heads:
4
Number of Cylinders
978
Sectors per Cylinder
32
Sector Size
512
Total Sectors
125184
COMPACT FLASH CARD FORMAT
Number of FAT Sectors
61
Sectors Per Cluster
8
Number of Clusters
15352
Number of Data Sectors 122976
Base Root Sector
123
Base FAT Sector
1
Base Data Sector
155
次に、show disk controller コマンドの出力例を示します。
ciscoasa# show disk:1 controller
Flash Model: TOSHIBA THNCF064MBA
関連コマンド
コマンド
dir
説明
ディレクトリの内容を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-16
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dns
show dns
すべてまたは指定された完全修飾ドメイン名（FQDN）ホストの現在の解決済み DNS アドレスを
表示するには、特権 EXEC モードで show dns コマンドを使用します。
show dns [host fqdn_name]
構文の説明
fqdn_name
（オプション）選択したホストの FQDN を指定します。
host
（オプション）指定したホストの IP アドレスを指定します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、show dns コマンドの出力例を示します。
ciscoasa# show dns
Name:
www.example1.com
Address: 10.1.3.1
Address: 10.1.3.3
Address: 10.4.1.2
Name: www.example2.com
Address: 10.2.4.1
Address: 10.5.2.1
Name: server.ddns-exampleuser.com
Address: fe80::21e:8cff:feb5:4faa
Address: 10.10.10.2
（注）
TTL 00:03:01
TTL 00:00:36
TTL 00:01:01
TTL 00:25:13
TTL 00:25:01
TTL 00:00:41
TTL 00:25:01
FQDN ホストがアクティブ化されていない場合は、このコマンドによる出力はありません。
次に、show dns host コマンドの出力例を示します。
ciscoasa# show dns host www.example.com
Name:
www.example.com
Address: 10.1.3.1 TTL 00:03:01
Address: 10.1.9.5 TTL 00:00:36
Address: 10.1.1.2 TTL 00:01:01
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-17
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dns
関連コマンド
コマンド
clear dns-hosts
説明
dns domain-lookup
ASA によるネームルックアップの実行をイネーブルにします。
dns name-server
DNS サーバアドレスを設定します。
DNS キャッシュをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-18
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dns-hosts
show dns-hosts
DNS キャッシュを表示するには、特権 EXEC モードで show dns-hosts コマンドを使用します。
DNS キャッシュには、DNS サーバからのダイナミックに学習されたエントリおよび手動で入力
された名前と IP アドレスが含まれます。
show dns-hosts
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
次に、show dns-hosts コマンドの出力例を示します。
ciscoasa# show dns-hosts
Host
ns2.example.com
ns1.example.com
snowmass.example.com
server.example.com
関連コマンド
Yes
トランスペ
アレント
シングル
Flags
(temp,
(temp,
(temp,
(temp,
OK)
OK)
OK)
OK)
Age Type
0
IP
0
IP
0
IP
0
IP
Address(es)
10.102.255.44
192.168.241.185
10.94.146.101
10.94.146.80
コマンド
clear dns-hosts
説明
dns domain-lookup
ASA によるネームルックアップの実行をイネーブルにします。
dns name-server
DNS サーバアドレスを設定します。
dns retries
ASA が応答を受信しないときに、DNS サーバのリストを再試行する回
数を指定します。
dns timeout
次の DNS サーバを試行するまでに待機する時間を指定します。
DNS キャッシュをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-19
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dns-hosts
表 11 に、各フィールドの説明を示します。
表 6-1
関連コマンド
show dns-hosts の各フィールド
フィールド
説明
Host
ホスト名を表示します。
Flags
次の組み合わせとしてエントリのステータスを表示します。
•
temp：このエントリは DNS サーバから取得されたため、一時的です。ASA
は、非アクティブになって 72 時間後にこのエントリを削除します。
•
perm：このエントリは name コマンドを使用して追加されたため、永続
的です。
•
OK：このエントリは有効です。
•
??：このエントリは疑わしいため、再検証が必要です。
•
EX：このエントリは期限切れです。
Age
このエントリが最後に参照されてからの時間数を表示します。
Type
DNS レコードのタイプを表示します。この値は常に IP です。
Address(es)
IP アドレス。
コマンド
clear dns-hosts
説明
dns domain-lookup
ASA によるネームルックアップの実行をイネーブルにします。
dns name-server
DNS サーバアドレスを設定します。
dns retries
ASA が応答を受信しないときに、DNS サーバのリストを再試行する回
数を指定します。
dns timeout
次の DNS サーバを試行するまでに待機する時間を指定します。
DNS キャッシュをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-20
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter data
show dynamic-filter data
ボットネットトラフィックフィルタダイナミックデータベースに関する情報（ダイナミック
データベースの最終ダウンロード日、データベースのバージョン情報、データベース内のエント
リ数、10 個のサンプルエントリなど）を表示するには、特権 EXEC モードで show dynamic-filter
data コマンドを使用します。
show dynamic-filter data
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
リリース
8.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
ダイナミックデータベース情報を表示するには、最初に dynamic-filter use-database コマンドと
dynamic-filter updater-client enable コマンドを使用して、データベースの使用とダウンロードを
イネーブルにします。
例
次に、show dynamic-filter data コマンドの出力例を示します。
ciscoasa# show dynamic-filter data
Traffic filter is using downloaded database version '907'
Fetched at 18:00:16 UTC Jan 22 2009, size: 674381
Sample names from downloaded database:
example.com, example.net, example.org,
cisco.example, cisco.invalid, bad.example.com
bad.example.net, bad.example.org, bad.cisco.example
bad.cisco.ivalid
Total entries in Dynamic Filter database:
Dynamic data: 40909 domain names , 1080 IPv4 addresses
Local data: 0 domain names , 0 IPv4 addresses
Active rules in Dynamic Filter asp table:
Dynamic data: 0 domain names , 1080 IPv4 addresses
Local data: 0 domain names , 0 IPv4 addresses
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-21
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter data
関連コマンド
コマンド
address
説明
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
clear configure dynamic-filter 実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングデー
dns-snoop
タをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをクリ
アします。
clear dynamic-filter statistics ボットネットトラフィックフィルタの統計情報をクリアします。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを
実行するために、ASA が DNS サーバに DNS 要求を送信できる
ようにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編集
します。
dynamic-filter database fetch
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベースか
ら検索します。
dynamic-filter database purge ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist ブラックリストに登録されているトラフィックを自動でドロッ
プします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラスま
たはすべてのトラフィックのボットネットトラフィックフィ
ルタをイネーブルにします。
dynamic-filter updater-client ダイナミックデータベースのダウンロードをイネーブルにし
enable
ます。
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編集
します。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィルタ
スヌーピングをイネーブルにします。
name
ブラックリストまたはホワイトリストに名前を追加します。
show asp table dynamic-filter 高速セキュリティパスにインストールされているボットネッ
トトラフィックフィルタルールを表示します。
show dynamic-filter data
ダイナミックデータベースが最後にダウンロードされた日時、
データベースのバージョン、データベースに含まれているエン
トリの数、10 個のサンプルエントリなど、ダイナミックデータ
ベースに関する情報を表示します。
show dynamic-filter reports
上位 10 個のボットネットサイト、ポート、および感染したホス
トに関するレポートを生成します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-22
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter data
コマンド
show dynamic-filter statistics
説明
show dynamic-filter
updater-client
サーバの IP アドレス、ASA が次にサーバに接続する日時、最後
にインストールされたデータベースのバージョンなど、アップ
デートサーバに関する情報を表示します。
show running-config
dynamic-filter
ボットネットトラフィックフィルタの実行コンフィギュレー
ションを表示します。
ボットネットトラフィックフィルタでモニタされた接続の数、
およびこれらの接続のうち、ホワイトリスト、ブラックリスト、
グレイリストに一致する接続の数を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-23
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter dns-snoop
show dynamic-filter dns-snoop
ボットネットトラフィックフィルタの DNS スヌーピングサマリー（または実際の IP アドレス
と名前）を表示するには、特権 EXEC モードで show dynamic-filter dns-snoop コマンドを使用し
ます。
show dynamic-filter dns-snoop [detail]
構文の説明
detail
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）DNS 応答からスヌーピングされた IP アドレスと名前を
表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
使用上のガイドライン
リリース
8.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
この出力には、ブラックリストに一致する名前だけでなく、すべての検査済み DNS データが含
まれます。スタティックエントリの DNS データは含まれません。
DNS スヌーピングデータを消去するには、clear dynamic-filter dns-snoop コマンドを入力します。
例
次に、show dynamic-filter dns-snoop コマンドの出力例を示します。
ciscoasa# show dynamic-filter dns-snoop
DNS Reverse Cache Summary Information:
75 addresses, 124 names, 997 dnsrc address buckets
次に、show dynamic-filter dns-snoop detail コマンドの出力例を示します。
ciscoasa# show dynamic-filter dns-snoop detail
DNS Reverse Cache Summary Information:
75 addresses, 124 names, 997 dnsrc address buckets
DNS reverse Cache Information:
[10.67.22.34] flags=0x22, cat=2, unit=0 b:g:w=3:0:0, cookie=0xda148218
[www3.example.com] cat=2, ttl=3
[www.bad.example.com] cat=2, ttl=3
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-24
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter dns-snoop
[www.example.com] cat=2, ttl=3
[10.6.68.133] flags=0x2, cat=2, unit=0 b:g:w=1:0:0, cookie=0xda13ed60
[cisco.example] cat=2, ttl=73
[10.166.226.25] flags=0x2, cat=2, unit=0 b:g:w=1:0:0, cookie=0xda608cb8
[cisco.invalid] cat=2, ttl=2
関連コマンド
コマンド
address
説明
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
clear configure dynamic-filter 実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングデー
dns-snoop
タをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをクリ
アします。
clear dynamic-filter statistics ボットネットトラフィックフィルタの統計情報をクリアします。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを
実行するために、ASA が DNS サーバに DNS 要求を送信できる
ようにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編集
します。
dynamic-filter database fetch
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベースか
ら検索します。
dynamic-filter database purge ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist ブラックリストに登録されているトラフィックを自動でドロッ
プします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラスま
たはすべてのトラフィックのボットネットトラフィックフィ
ルタをイネーブルにします。
dynamic-filter updater-client ダイナミックデータベースのダウンロードをイネーブルにし
enable
ます。
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編集
します。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィルタ
スヌーピングをイネーブルにします。
name
ブラックリストまたはホワイトリストに名前を追加します。
show asp table dynamic-filter 高速セキュリティパスにインストールされているボットネッ
トトラフィックフィルタルールを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-25
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter dns-snoop
コマンド
show dynamic-filter data
説明
show dynamic-filter reports
上位 10 個のボットネットサイト、ポート、および感染したホス
トに関するレポートを生成します。
show dynamic-filter statistics
ボットネットトラフィックフィルタでモニタされた接続の数、
およびこれらの接続のうち、ホワイトリスト、ブラックリスト、
グレイリストに一致する接続の数を表示します。
show dynamic-filter
updater-client
サーバの IP アドレス、ASA が次にサーバに接続する日時、最後
にインストールされたデータベースのバージョンなど、アップ
デートサーバに関する情報を表示します。
show running-config
dynamic-filter
ボットネットトラフィックフィルタの実行コンフィギュレー
ションを表示します。
ダイナミックデータベースが最後にダウンロードされた日時、
データベースのバージョン、データベースに含まれているエン
トリの数、10 個のサンプルエントリなど、ダイナミックデータ
ベースに関する情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-26
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter reports top
show dynamic-filter reports top
ボットネットトラフィックフィルタによって分類された、上位 10 件のマルウェアサイト、ポー
ト、および感染ホストのレポートを生成するには、特権 EXEC モードで show dynamic-filter
reports top コマンドを使用します。
show dynamic-filter reports top [malware-sites | malware-ports | infected-hosts]
構文の説明
malware-ports
（オプション）上位 10 件のマルウェアポートのレポートを表示します。
malware-sites
（オプション）上位 10 件のマルウェアサイトのレポートを表示します。
infected-hosts
（オプション）上位 10 件の感染ホストのレポートを表示します。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
8.2(1)
変更内容
8.2(2)
botnet-sites キーワードおよび botnet-ports キーワードは
malware-sites および malware-ports に変更されました。malware-sites
レポートには、ドロップした接続数と、各サイトの脅威レベルおよび
カテゴリが含まれています。最終クリアタイムスタンプが追加されま
した。脅威イベントについては、重大度レベルが警告から通知に変更
されました。脅威イベントは 5 分ごとにトリガーできます。
このコマンドが追加されました。
このレポートはデータのスナップショットで、統計情報の収集開始以降の上位 10 項目に一致し
ない場合があります。
レポートデータを消去するには、clear dynamic-filter reports top コマンドを入力します。
例
次に、show dynamic-filter reports top malware-sites コマンドの出力例を示します。
ciscoasa# show dynamic-filter reports top malware-sites
Site
Connections logged dropped Threat Level Category
-------------------------------------------------------------------------------------bad1.example.com (10.67.22.34)
11
0
2
Botnet
bad2.example.com (209.165.200.225)
8
8
3
Virus
bad1.cisco.example(10.131.36.158)
6
6
3
Virus
bad2.cisco.example(209.165.201.1)
2
2
3
Trojan
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-27
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter reports top
horrible.example.net(10.232.224.2)
nono.example.org(209.165.202.130)
2
1
2
1
3
3
Botnet
Virus
Last clearing of the top sites report: at 13:41:06 UTC Jul 15 2009
次に、show dynamic-filter reports top malware-ports コマンドの出力例を示します。
ciscoasa# show dynamic-filter reports top malware-ports
Port
Connections logged
-------------------------------------------------------------------------------------tcp 1000
617
tcp 2001
472
tcp 23
22
tcp 1001
19
udp 2000
17
udp 2001
17
tcp 8080
9
tcp 80
3
tcp >8192
2
Last clearing of the top ports report: at 13:41:06 UTC Jul 15 2009
次に、show dynamic-filter reports top infected-hosts コマンドの出力例を示します。
ciscoasa# show dynamic-filter reports top infected-hosts
Host
Connections logged
-------------------------------------------------------------------------------------10.10.10.51(inside)
1190
10.12.10.10(inside)
10
10.10.11.10(inside)
5
Last clearing of the top infected-hosts report: at 13:41:06 UTC Jul 15 2009
関連コマンド
コマンド
address
説明
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
clear configure dynamic-filter 実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter dns-snoop ボットネットトラフィックフィルタの DNS スヌーピングデー
タをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをクリ
アします。
clear dynamic-filter statistics ボットネットトラフィックフィルタの統計情報をクリアし
ます。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを実
行するために、ASA が DNS サーバに DNS 要求を送信できるよ
うにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編集し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-28
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter reports top
コマンド
説明
dynamic-filter database fetch ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベースか
ら検索します。
dynamic-filter database purge ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist ブラックリストに登録されているトラフィックを自動でドロッ
プします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラスま
たはすべてのトラフィックのボットネットトラフィックフィル
タをイネーブルにします。
dynamic-filter updater-client ダイナミックデータベースのダウンロードをイネーブルにし
enable
ます。
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編集し
ます。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィルタ
スヌーピングをイネーブルにします。
ブラックリストまたはホワイトリストに名前を追加します。
show asp table dynamic-filter 高速セキュリティパスにインストールされているボットネット
トラフィックフィルタルールを表示します。
show dynamic-filter data
ダイナミックデータベースが最後にダウンロードされた日時、
データベースのバージョン、データベースに含まれているエン
トリの数、10 個のサンプルエントリなど、ダイナミックデータ
ベースに関する情報を表示します。
show dynamic-filter dns-snoop ボットネットトラフィックフィルタの DNS スヌーピングの概
要を表示します。detail キーワードを指定した場合は、実際の IP
アドレスおよび名前を表示します。
show dynamic-filter statistics ボットネットトラフィックフィルタでモニタされた接続の数、
およびこれらの接続のうち、ホワイトリスト、ブラックリスト、
グレイリストに一致する接続の数を表示します。
show dynamic-filter
サーバの IP アドレス、ASA が次にサーバに接続する日時、最後
updater-client
にインストールされたデータベースのバージョンなど、アップ
デートサーバに関する情報を表示します。
show running-config
ボットネットトラフィックフィルタの実行コンフィギュレー
dynamic-filter
ションを表示します。
name
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-29
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter reports infected-hosts
show dynamic-filter reports infected-hosts
ボットネットトラフィックフィルタで分類された、感染したホストのレポートを生成するに
は、特権 EXEC モードで show dynamic-filter reports infected-hosts コマンドを使用します。
show dynamic-filter reports infected-hosts {max-connections | latest-active | highest-threat |
subnet ip_address netmask | all}
構文の説明
all
バッファに格納されている感染したホストの情報をすべて表示しま
す。この表示には、数千ものエントリが含まれることがあります。CLI
ではなく、ASDM を使用して PDF を生成できます。
highest-threat
脅威レベルが最高のマルウェアサイトに接続する 20 個のホストを表
示します。
latest-active
最近アクティビティを行った 20 個のホストを表示します。各ホストに
ついて、アクセスした 5 件のマルウェアサイトに関する詳細情報が表
示されます。
max-connections
接続数が最も多い感染ホストを 20 個表示します。
subnet ip_address
netmask
指定されたサブネット内のホストを最大 20 個表示します。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
8.2(2)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
これらのレポートには、感染ホストの詳細な履歴が含まれ、感染ホスト、閲覧したマルウェアサ
イト、およびマルウェアポートの間の相関関係が示されます。
レポートデータを消去するには、clear dynamic-filter reports infected-hosts コマンドを入力します。
例
次に、show dynamic-filter reports infected hosts all コマンドの出力例を示します。
ciscoasa# show dynamic-filter reports infected-hosts all
Total 2 infected-hosts in buffer
Host (interface)
Latest malicious conn time, filter action Conn logged, dropped
=======================================================================================================
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-30
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter reports infected-hosts
192.168.1.4 (internal)
15:39:40 UTC Sep 17 2009, dropped
3
3
Malware-sites connected to (not ordered)
Site
Latest conn port, time, filter action
Conn logged, dropped Threat-level Category
------------------------------------------------------------------------------------------------------10.73.210.27 (bad.example.com)
80, 15:39:31 UTC Sep 17 2009, dropped
2
2
very-high Malware
10.65.2.119 (bad2.example.com)
0, 15:39:40 UTC Sep 17 2009, dropped
1
1
very-high admin-added
=======================================================================================================
192.168.1.2 (internal)
15:39:01 UTC Sep 17 2009, dropped
5
5
Malware-sites connected to (not ordered)
Site
Latest conn port, time, filter action
Conn logged, dropped Threat-level Category
------------------------------------------------------------------------------------------------------10.131.36.158 (bad.example.com)
0, 15:37:46 UTC Sep 17 2009, dropped
1
1
very-high admin-added
10.65.2.119 (bad2.example.com)
0, 15:37:53 UTC Sep 17 2009, dropped
1
1
very-high admin-added
20.73.210.27 (bad3.example.com)
80, 15:39:01 UTC Sep 17 2009, dropped
3
3
very-high Malware
=======================================================================================================
Last clearing of the infected-hosts report: Never
関連コマンド
コマンド
address
説明
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
clear configure dynamic-filter 実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングデー
dns-snoop
タをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをクリ
アします。
clear dynamic-filter statistics ボットネットトラフィックフィルタの統計情報をクリアし
ます。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを
実行するために、ASA が DNS サーバに DNS 要求を送信できる
ようにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編集
します。
dynamic-filter database fetch
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベースか
ら検索します。
dynamic-filter database purge ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist ブラックリストに登録されているトラフィックを自動でドロッ
プします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラスま
たはすべてのトラフィックのボットネットトラフィックフィ
ルタをイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-31
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter reports infected-hosts
コマンド
dynamic-filter updater-client
enable
説明
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編集
します。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィルタ
スヌーピングをイネーブルにします。
name
ブラックリストまたはホワイトリストに名前を追加します。
ダイナミックデータベースのダウンロードをイネーブルにし
ます。
show asp table dynamic-filter 高速セキュリティパスにインストールされているボットネッ
トトラフィックフィルタルールを表示します。
show dynamic-filter data
ダイナミックデータベースが最後にダウンロードされた日時、
データベースのバージョン、データベースに含まれているエン
トリの数、10 個のサンプルエントリなど、ダイナミックデータ
ベースに関する情報を表示します。
show dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングの概
dns-snoop
要を表示します。detail キーワードを指定した場合は、実際の IP
アドレスおよび名前を表示します。
show dynamic-filter statistics ボットネットトラフィックフィルタでモニタされた接続の数、
およびこれらの接続のうち、ホワイトリスト、ブラックリスト、
グレイリストに一致する接続の数を表示します。
show dynamic-filter
サーバの IP アドレス、ASA が次にサーバに接続する日時、最後
updater-client
にインストールされたデータベースのバージョンなど、アップ
デートサーバに関する情報を表示します。
show running-config
ボットネットトラフィックフィルタの実行コンフィギュレー
dynamic-filter
ションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-32
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter statistics
show dynamic-filter statistics
ボットネットトラフィックフィルタを使用して、ホワイトリスト、ブラックリスト、およびグレ
イリストとして分類された接続の数を表示するには、特権 EXEC モードで show dynamic-filter
statistics コマンドを使用します。
show dynamic-filter statistics [interface name] [detail]
構文の説明
detail
（オプション）各脅威レベルで分類またはドロップされたパケットの数
を表示します。
interface name
（オプション）特定のインターフェイスの統計情報を表示します。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
8.2(1)
変更内容
8.2(2)
各脅威レベルで分類またはドロップされたパケット数を表示するた
めの detail キーワードが追加されました。脅威イベントについては、
重大度レベルが警告から通知に変更されました。脅威イベントは 5 分
ごとにトリガーできます。
このコマンドが追加されました。
グレイリストには、複数のドメイン名に関連付けられているが、これらすべてのドメイン名がブ
ラックリストに記載されているわけではないアドレスが含められます。
統計情報をクリアするには、clear dynamic-filter statistics コマンドを入力します。
例
次に、show dynamic-filter statistics コマンドの出力例を示します。
ciscoasa# show dynamic-filter statistics
Enabled on interface outside
Total conns classified 11, ingress 11, egress 0
Total whitelist classified 0, ingress 0, egress 0
Total greylist classified 0, dropped 0, ingress 0, egress 0
Total blacklist classified 11, dropped 5, ingress 11, egress 0
Enabled on interface inside
Total conns classified 1182, ingress 1182, egress 0
Total whitelist classified 3, ingress 3, egress 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-33
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter statistics
Total greylist classified 0, dropped 0, ingress 0, egress 0
Total blacklist classified 1179, dropped 1000, ingress 1179, egress 0
次に、show dynamic-filter statistics interface outside detail コマンドの出力例を示します。
ciscoasa# show dynamic-filter statistics interface outside detail
Enabled on interface outside
Total conns classified 2108, ingress 2108, egress 0
Total whitelist classified 0, ingress 0, egress 0
Total greylist classified 1, dropped 1, ingress 0, egress 0
Threat level 5 classified 1, dropped 1, ingress 0, egress 0
Threat level 4 classified 0, dropped 0, ingress 0, egress 0
...
Total blacklist classified 30, dropped 20, ingress 11, egress 2
Threat level 5 classified 6, dropped 6, ingress 4, egress 2
Threat level 4 classified 5, dropped 5, ingress 5, egress 0
関連コマンド
コマンド
address
説明
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
clear configure dynamic-filter 実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングデー
dns-snoop
タをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをクリ
アします。
clear dynamic-filter statistics ボットネットトラフィックフィルタの統計情報をクリアし
ます。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを
実行するために、ASA が DNS サーバに DNS 要求を送信できる
ようにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編集
します。
dynamic-filter database fetch
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベースか
ら検索します。
dynamic-filter database purge ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist ブラックリストに登録されているトラフィックを自動でドロッ
プします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラスま
たはすべてのトラフィックのボットネットトラフィックフィ
ルタをイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-34
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter statistics
コマンド
dynamic-filter updater-client
enable
説明
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編集
します。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィルタ
スヌーピングをイネーブルにします。
name
ブラックリストまたはホワイトリストに名前を追加します。
ダイナミックデータベースのダウンロードをイネーブルにし
ます。
show asp table dynamic-filter 高速セキュリティパスにインストールされているボットネッ
トトラフィックフィルタルールを表示します。
show dynamic-filter data
ダイナミックデータベースが最後にダウンロードされた日時、
データベースのバージョン、データベースに含まれているエン
トリの数、10 個のサンプルエントリなど、ダイナミックデータ
ベースに関する情報を表示します。
show dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングの概
dns-snoop
要を表示します。detail キーワードを指定した場合は、実際の IP
アドレスおよび名前を表示します。
show dynamic-filter reports
上位 10 個のボットネットサイト、ポート、および感染したホス
トに関するレポートを生成します。
show dynamic-filter
サーバの IP アドレス、ASA が次にサーバに接続する日時、最後
updater-client
にインストールされたデータベースのバージョンなど、アップ
デートサーバに関する情報を表示します。
show running-config
ボットネットトラフィックフィルタの実行コンフィギュレー
dynamic-filter
ションを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-35
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter updater-client
show dynamic-filter updater-client
ボットネットトラフィックフィルタのアップデートサーバに関する情報（サーバの IP アドレ
ス、ASA がサーバに接続する次のタイミング、インストールされているデータベースのバージョ
ンなど）を表示するには、特権 EXEC モードで show dynamic-filter updater-client コマンドを使
用します。
show dynamic-filter updater-client
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
グローバルコンフィギュ
レーション
コマンド履歴
例
リリース
8.2(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
—
変更内容
このコマンドが追加されました。
次に、show dynamic-filter updater-client コマンドの出力例を示します。
ciscoasa# show dynamic-filter updater-client
Traffic Filter updater client is enabled
Updater server url is https://10.15.80.240:446
Application name: trafmon, version: 1.0
Encrypted UDI:
0bb93985f42d941e50dc8f022350d1a8de96ba6c1f6d45f4bc0ead02a7d5990be32f483b
5715cd80a215cedadd4e5ffe
Next update is in 00:02:00
Database file version is '907' fetched at 22:51:41 UTC Oct 16 2006,
size: 521408
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-36
•
Yes
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter updater-client
関連コマンド
コマンド
address
説明
IP アドレスをブラックリストまたはホワイトリストに追加し
ます。
clear configure dynamic-filter 実行ボットネットトラフィックフィルタコンフィギュレー
ションをクリアします。
clear dynamic-filter
ボットネットトラフィックフィルタの DNS スヌーピングデー
dns-snoop
タをクリアします。
clear dynamic-filter reports
ボットネットトラフィックフィルタのレポートデータをクリ
アします。
clear dynamic-filter statistics ボットネットトラフィックフィルタの統計情報をクリアし
ます。
dns domain-lookup
サポートされているコマンドに対してネームルックアップを
実行するために、ASA が DNS サーバに DNS 要求を送信できる
ようにします。
dns server-group
ASA の DNS サーバを指定します。
dynamic-filter
ambiguous-is-black
グレイリストに登録されているトラフィックをブラックリス
トに登録されているトラフィックと同様のアクションで処理
します。
dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリストを編集
します。
dynamic-filter database fetch
ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で取得します。
dynamic-filter database find
ドメイン名または IP アドレスをダイナミックデータベースか
ら検索します。
dynamic-filter database purge ボットネットトラフィックフィルタのダイナミックデータ
ベースを手動で削除します。
dynamic-filter drop blacklist ブラックリストに登録されているトラフィックを自動でドロッ
プします。
dynamic-filter enable
アクセスリストを指定しない場合に、トラフィックのクラスま
たはすべてのトラフィックのボットネットトラフィックフィ
ルタをイネーブルにします。
dynamic-filter updater-client ダイナミックデータベースのダウンロードをイネーブルにし
enable
ます。
dynamic-filter use-database
ダイナミックデータベースの使用をイネーブルにします。
dynamic-filter whitelist
ボットネットトラフィックフィルタのホワイトリストを編集
します。
inspect dns
dynamic-filter-snoop
DNS インスペクションとボットネットトラフィックフィルタ
スヌーピングをイネーブルにします。
name
ブラックリストまたはホワイトリストに名前を追加します。
show asp table dynamic-filter 高速セキュリティパスにインストールされているボットネッ
トトラフィックフィルタルールを表示します。
show dynamic-filter data
ダイナミックデータベースが最後にダウンロードされた日時、
データベースのバージョン、データベースに含まれているエン
トリの数、10 個のサンプルエントリなど、ダイナミックデータ
ベースに関する情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-37
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show dynamic-filter updater-client
コマンド
show dynamic-filter
dns-snoop
説明
show dynamic-filter reports
上位 10 個のボットネットサイト、ポート、および感染したホス
トに関するレポートを生成します。
show dynamic-filter statistics
ボットネットトラフィックフィルタでモニタされた接続の数、
およびこれらの接続のうち、ホワイトリスト、ブラックリスト、
グレイリストに一致する接続の数を表示します。
show running-config
dynamic-filter
ボットネットトラフィックフィルタの実行コンフィギュレー
ションを表示します。
ボットネットトラフィックフィルタの DNS スヌーピングの概
要を表示します。detail キーワードを指定した場合は、実際の IP
アドレスおよび名前を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-38
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp events
show eigrp events
EIGRP イベントログを表示するには、特権 EXEC モードで show eigrp events コマンドを使用し
ます。
show eigrp [as-number] events [{start end} | type]
構文の説明
as-number
（オプション）イベントログを表示している EIGRP プロセスの自律シ
ステム番号を指定します。ASA がサポートする EIGRP ルーティング
プロセスは 1 つだけであるため、自律システム番号を指定する必要は
ありません。
end
（オプション）出力されるエントリを、インデックス番号 start で開始
され、インデックス番号 end で終了するエントリに限定します。
start
（オプション）ログエントリのインデックス番号を指定する数値。開始
番号を指定すると、出力は指定されたイベントで開始し、end 引数で指
定されたイベントで終了します。有効な値は、1 ～ 4294967295 です。
type
（オプション）記録されるイベントを表示します。
デフォルト
start および end を指定しない場合、すべてのログエントリが表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
8.0(2)
変更内容
9.0(1)
マルチコンテキストモードがサポートされています。
—
このコマンドが追加されました。
show eigrp events の出力では最大 500 件のイベントが表示されます。イベントが最大数に到達す
ると、新しいイベントは出力の末尾に追加され、古いイベントは出力の先頭から削除されます。
clear eigrp events コマンドを使用すると、EIGRP イベントログをクリアできます。
show eigrp events type コマンドは、EIGRP イベントのロギングステータスを表示します。デフォ
ルトでは、ネイバー変更、ネイバー警告、および DUAL FSM メッセージが記録されます。ネイバー
変更イベントのロギングは、no eigrp log-neighbor-changes コマンドを使用してディセーブルにで
きます。ネイバー警告イベントのロギングは、no eigrp log-neighbor-warnings コマンドを使用して
ディセーブルにできます。DUAL FSM イベントのロギングはディセーブルにできません。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-39
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp events
例
次に、show eigrp events コマンドの出力例を示します。
ciscoasa# show eigrp events
Event information
1
12:11:23.500
2
12:11:23.500
3
12:11:23.500
4
12:11:23.500
5
12:11:23.500
6
12:11:23.500
7
12:11:23.500
8
12:11:23.500
9
12:11:23.500
10
12:11:23.500
11
12:11:23.500
for AS 100:
Change queue emptied, entries: 4
Metric set: 10.1.0.0/16 53760
Update reason, delay: new if 4294967295
Update sent, RD: 10.1.0.0/16 4294967295
Update reason, delay: metric chg 4294967295
Update sent, RD: 10.1.0.0/16 4294967295
Route install: 10.1.0.0/16 10.130.60.248
Find FS: 10.1.0.0/16 4294967295
Rcv update met/succmet: 53760 28160
Rcv update dest/nh: 10.1.0.0/16 10.130.60.248
Metric set: 10.1.0.0/16 4294967295
次に、show eigrp events コマンドで開始番号と終了番号を定義したときの出力例を示します。
ciscoasa# show eigrp events 3 8
Event information
3
12:11:23.500
4
12:11:23.500
5
12:11:23.500
6
12:11:23.500
7
12:11:23.500
8
12:11:23.500
for AS 100:
Update reason, delay: new if 4294967295
Update sent, RD: 10.1.0.0/16 4294967295
Update reason, delay: metric chg 4294967295
Update sent, RD: 10.1.0.0/16 4294967295
Route install: 10.1.0.0/16 10.130.60.248
Find FS: 10.1.0.0/16 4294967295
次に、EIGRP イベントログのエントリがない場合の show eigrp events コマンドの出力例を示し
ます。
ciscoasa# show eigrp events
Event information for AS 100:
Event log is empty.
次に、show eigrp events type コマンドの出力例を示します。
ciscoasa# show eigrp events type
EIGRP-IPv4 Event Logging for AS 100:
Log Size
500
Neighbor Changes Enable
Neighbor Warnings Enable
Dual FSM
Enable
関連コマンド
コマンド
clear eigrp events
説明
eigrp log-neighbor-changes
ネイバー変更イベントのロギングをイネーブルにします。
eigrp log-neighbor-warnings
ネイバー警告イベントのロギングをイネーブルにします。
EIGRP イベントロギングバッファをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-40
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp interfaces
show eigrp interfaces
EIGRP ルーティングに参加しているインターフェイスを表示するには、特権 EXEC モードで
show eigrp interfaces コマンドを使用します。
show eigrp [as-number] interfaces [if-name] [detail]
構文の説明
as-number
（オプション）アクティブインターフェイスを表示する EIGRP プロセ
スの自律システム番号を指定します。ASA がサポートする EIGRP
ルーティングプロセスは 1 つだけであるため、自律システム番号を指
定する必要はありません。
detail
（オプション）詳細情報を表示します。
if-name
（オプション）nameif コマンドで指定されたインターフェイスの名前。
インターフェイス名を指定すると、指定されたインターフェイスに表
示が制限されます。
デフォルト
インターフェイス名を指定しない場合、すべての EIGRP インターフェイスの情報が表示され
ます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
トランスペ
ルーテッドアレント
シングル
•
Yes
—
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
8.0(2)
変更内容
9.0(1)
マルチコンテキストモードがサポートされています。
—
このコマンドが追加されました。
show eigrp interfaces コマンドを使用して、EIGRP がアクティブなインターフェイスを判別し、
それらのインターフェイスに関連する EIGRP についての情報を学習します。
インターフェイスが指定された場合、そのインターフェイスのみが表示されます。指定されない
場合、EIGRP を実行しているすべてのインターフェイスが表示されます。
自律システムが指定された場合、指定された自律システムについてのルーティングプロセスの
みが表示されます。指定されない場合、すべての EIGRP プロセスが表示されます。
例
次に、show eigrp interfaces コマンドの出力例を示します。
ciscoasa# show eigrp interfaces
EIGRP-IPv4 interfaces for process 100
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-41
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp interfaces
Interface
mgmt
outside
inside
Peers
0
1
1
Xmit Queue
Un/Reliable
0/0
0/0
0/0
Mean
SRTT
0
337
10
Pacing Time
Un/Reliable
11/434
0/10
1/63
Multicast
Flow Timer
0
0
103
Pending
Routes
0
0
0
表 6-2 に、この出力で表示される重要なフィールドの説明を示します。
表 6-2
関連コマンド
show eigrp interfaces のフィールドの説明
フィールド
説明
process
EIGRP ルーティングプロセスの自律システム番号です。
Peers
直接接続されているピアの数。
Xmit Queue
Un/Reliable
信頼性の低い送信キューおよび信頼性の高い送信キューに残っている
パケットの数。
Mean SRTT
平均のスムーズラウンドトリップ時間間隔（秒）。
Pacing Time
Un/Reliable
EIGRP パケット（信頼性の低いパケットおよび信頼性の高いパケット）
をインターフェイスに送信するタイミングを決定するために使用され
るペーシング時間（秒）。
Multicast Flow
Timer
ASA がマルチキャスト EIGRP パケットを送信する最大秒数。
Pending Routes
送信キュー内で送信を待機しているパケット内のルートの数。
コマンド
network
説明
EIGRP ルーティングプロセスに参加するネットワークおよびイン
ターフェイスを定義します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-42
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp neighbors
show eigrp neighbors
EIGRP ネイバーテーブルを表示するには、特権 EXEC モードで show eigrp neighbors コマンド
を使用します。
show eigrp [as-number] neighbors [detail | static] [if-name]
構文の説明
as-number
（オプション）ネイバーエントリを削除する EIGRP プロセスの自律シ
ステム番号を指定します。ASA がサポートする EIGRP ルーティング
プロセスは 1 つだけであるため、自律システム番号を指定する必要は
ありません。
detail
（オプション）詳細なネイバー情報を表示します。
if-name
（オプション）nameif コマンドで指定されたインターフェイスの名前。
インターフェイス名を指定する場合、そのインターフェイスを介して
学習されたすべてのネイバーテーブルエントリが表示されます。
static
（オプション）neighbor コマンドを使用してスタティックに定義され
た EIGRP ネイバーを表示します。
デフォルト
インターフェイス名を指定しない場合、すべてのインターフェイスを介して学習されたネイ
バーが表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
ルーテッド
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
8.0(2)
変更内容
9.0(1)
マルチコンテキストモードがサポートされています。
—
このコマンドが追加されました。
clear eigrp neighbors コマンドを使用して、ダイナミックに学習されたネイバーを EIGRP ネイ
バーテーブルからクリアできます。
static キーワードを使用しない限り、スタティックネイバーは出力に含まれません。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-43
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp neighbors
例
次に、show eigrp neighbors コマンドの出力例を示します。
ciscoasa# show eigrp neighbors
EIGRP-IPv4 Neighbors for process 100
Address
Interface
172.16.81.28
172.16.80.28
172.16.80.31
Ethernet1
Ethernet0
Ethernet0
Holdtime
(secs)
13
14
12
Uptime
(h:m:s)
0:00:41
0:02:01
0:02:02
Q
Count
0
0
0
Seq
Num
11
10
4
SRTT
(ms)
4
12
5
RTO
(ms)
20
24
20
表 6-3 に、この出力で表示される重要なフィールドの説明を示します。
表 6-3
show eigrp neighbors のフィールドの説明
フィールド
説明
process
EIGRP ルーティングプロセスの自律システム番号です。
Address
EIGRP ネイバーの IP アドレス。
Interface
ASA がネイバーから hello パケットを受信するインターフェイス。
Holdtime
ASA がダウンと宣言されるまでにネイバーからの応答を待機する時間
の長さ（秒単位）。このホールド時間は hello パケットでネイバーから受信
し、その時点から、別の hello パケットをネイバーから受信するまで減少
します。
ネイバーがデフォルトのホールド時間を使用している場合は、この数値
は 15 未満です。ピアがデフォルト以外のホールド時間を設定している場
合は、デフォルト以外のホールド時間が表示されます。
この値が 0 に達すると、ASA は、ネイバーを到達不能と見なします。
Uptime
ASA がこのネイバーからの応答を最初に受信してからの経過時間（時:
分:秒）。
Q Count
ASA が送信を待機している EIGRP パケット（アップデート、クエリー、
応答）の数。
Seq Num
ネイバーから受信した最後のアップデート、クエリー、または応答パ
ケットのシーケンス番号。
SRTT
スムーズラウンドトリップ時間。これは、EIGRP パケットをこのネイ
バーに送信し、ASA がそのパケットの確認応答を受信するために必要な
ミリ秒数です。
RTO
Retransmission Timeout（再送信のタイムアウト）（ミリ秒）。これは、ASA
が再送信キューからネイバーにパケットを再送信するまでに待機する
時間です。
次に、show eigrp neighbors static コマンドの出力例を示します。
ciscoasa# show eigrp neighbors static
EIGRP-IPv4 neighbors for process 100
Static Address
Interface
192.168.1.5
management
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-44
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp neighbors
表 6-4 に、この出力で表示される重要なフィールドの説明を示します。
表 6-4
show ip eigrp neighbors static のフィールドの説明
フィールド
説明
process
EIGRP ルーティングプロセスの自律システム番号です。
Static Address
EIGRP ネイバーの IP アドレス。
Interface
ASA がネイバーから hello パケットを受信するインターフェイス。
次に、show eigrp neighbors detail コマンドの出力例を示します。
ciscoasa# show eigrp neighbors detail
EIGRP-IPv4 neighbors for process 100
H
Address
Interface
3
0
2
1
1.1.1.3
Et0/0
Version 12.2/1.2, Retrans: 0, Retries:
Restart time 00:01:05
10.4.9.5
Fa0/0
Version 12.2/1.2, Retrans: 0, Retries:
10.4.9.10
Fa0/0
Version 12.2/1.2, Retrans: 1, Retries:
10.4.9.6
Fa0/0
Version 12.2/1.2, Retrans: 1, Retries:
Hold Uptime
SRTT
(sec)
(ms)
12 00:04:48 1832
RTO
Q Seq Tye
Cnt Num
5000 0 14
0
11 00:04:07
768
4608
0
4
S
13 1w0d
1
3000
0
6
S
12 1w0d
1
3000
0
4
S
0
0
0
表 6-5 に、この出力で表示される重要なフィールドの説明を示します。
表 6-5
show ip eigrp neighbors details のフィールドの説明
フィールド
説明
process
EIGRP ルーティングプロセスの自律システム番号です。
H
この列は、指定されたネイバーとの間で確立されたピアリングセッション
の順番を示します。順番は、0 から始まる連続した番号で指定されます。
Address
EIGRP ネイバーの IP アドレス。
Interface
ASA がネイバーから hello パケットを受信するインターフェイス。
Holdtime
ASA がダウンと宣言されるまでにネイバーからの応答を待機する時間の長
さ（秒単位）。このホールド時間は hello パケットでネイバーから受信し、その
時点から、別の hello パケットをネイバーから受信するまで減少します。
ネイバーがデフォルトのホールド時間を使用している場合は、この数値は
15 未満です。ピアがデフォルト以外のホールド時間を設定している場合
は、デフォルト以外のホールド時間が表示されます。
この値が 0 に達すると、ASA は、ネイバーを到達不能と見なします。
Uptime
ASA がこのネイバーからの応答を最初に受信してからの経過時間（時:分:
秒）。
SRTT
スムーズラウンドトリップ時間。これは、EIGRP パケットをこのネイバー
に送信し、ASA がそのパケットの確認応答を受信するために必要なミリ秒
数です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-45
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp neighbors
表 6-5
関連コマンド
show ip eigrp neighbors details のフィールドの説明（続き）
フィールド
説明
RTO
Retransmission Timeout（再送信のタイムアウト）（ミリ秒）。これは、ASA が
再送信キューからネイバーにパケットを再送信するまでに待機する時間
です。
Q Count
ASA が送信を待機している EIGRP パケット（アップデート、クエリー、応
答）の数。
Seq Num
ネイバーから受信した最後のアップデート、クエリー、または応答パケッ
トのシーケンス番号。
Version
指定されたピアが実行中のソフトウェアバージョン。
Retrans
パケットを再送した回数。
Retries
パケットの再送を試行した回数。
Restart time
指定されたネイバーが再起動してからの経過時間（時:分:秒）。
コマンド
clear eigrp neighbors
説明
EIGRP ネイバーテーブルをクリアします。
debug eigrp neighbors EIGRP ネイバーデバッグメッセージを表示します。
debug ip eigrp
EIGRP パケットデバッグメッセージを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-46
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp topology
show eigrp topology
EIGRP トポロジテーブルを表示するには、特権 EXEC モードで show eigrp topology コマンドを
使用します。
show eigrp [as-number] topology [ip-addr [mask] | active | all-links | pending | summary |
zero-successors]
構文の説明
active
（オプション）EIGRP トポロジテーブル内のアクティブエントリのみ
表示します。
all-links
（オプション）EIGRP トポロジテーブル内のすべてのルート（フィー
ジブルサクセサでない場合も）を表示します。
as-number
（オプション）EIGRP プロセスの自律システム番号を指定します。ASA
がサポートする EIGRP ルーティングプロセスは 1 つだけであるた
め、自律システム番号を指定する必要はありません。
ip-addr
（オプション）表示するトポロジテーブルからの IP アドレスを定義し
ます。マスクと一緒に指定した場合、エントリの詳細な説明が提供さ
れます。
mask
（オプション）ip-addr 引数に適用するネットワークマスクを定義し
ます。
pending
（オプション）ネイバーからのアップデートを待機しているか、ネイ
バーへの応答を待機している、EIGRP トポロジテーブル内のすべて
のエントリを表示します。
summary
（オプション）EIGRP トポロジテーブルの要約を表示します。
zero-successors
（オプション）EIGRP トポロジテーブル内の使用可能なルートを表示
します。
デフォルト
フィージブルサクセサであるルートのみが表示されます。all-links キーワードを使用すると、
フィージブルサクセサでないものも含めたすべてのルートが表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
ルーテッド
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
8.0(2)
変更内容
9.0(1)
マルチコンテキストモードがサポートされています。
—
このコマンドが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-47
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp topology
使用上のガイドライン
clear eigrp topology コマンドを使用して、ダイナミックエントリをトポロジテーブルから削除
できます。
例
次に、show eigrp topology コマンドの出力例を示します。
ciscoasa# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.1.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 10.2.1.0 255.255.255.0, 2 successors, FD is 0
via 10.16.80.28 (46251776/46226176), Ethernet0
via 10.16.81.28 (46251776/46226176), Ethernet1
P 10.2.1.0 255.255.255.0, 1 successors, FD is 307200
via Connected, Ethernet1
via 10.16.81.28 (307200/281600), Ethernet1
via 10.16.80.28 (307200/281600), Ethernet0
表 6-6 に、この出力で表示される重要なフィールドの説明を示します。
表 6-6
show eigrp topology のフィールド情報
フィールド
説明
Codes
このトポロジテーブルエントリの状態。Passive および Active は、この宛先
に関する EIGRP 状態を示し、Update、Query、および Reply は、送信中のパ
ケットのタイプを示します。
P - Passive
ルートは良好だと認識され、この宛先についての EIGRP 計算は実行されま
せん。
A - Active
この宛先についての EIGRP 計算が実行されます。
U - Update
この宛先にアップデートパケットが送信されたことを示します。
Q - Query
この宛先にクエリーパケットが送信されたことを示します。
R - Reply
この宛先に応答パケットが送信されたことを示します。
r - Reply status
ソフトウェアがクエリーを送信し、応答を待機しているときに設定される
フラグ。
address mask
宛先の IP アドレスとマスク。
successors
サクセサの数。この数値は、IP ルーティングテーブル内のネクストホップ
の数に対応します。「successors」が大文字で表示される場合、ルートまたは
ネクストホップは遷移状態です。
FD
フィージブルディスタンス。フィージブルディスタンスは、宛先に到達す
るための最適なメトリックか、ルートがアクティブだったときに認識され
た最適なメトリックです。この値はフィージビリティコンディション
チェックに使用されます。レポートされたルータのディスタンス（スラッ
シュの後のメトリック）がフィージブルディスタンスより小さい場合、
フィージビリティコンディションが満たされて、そのパスはフィージブル
サクセサになります。ソフトウェアは、パスをフィージブルサクセサだと
判断した後は、その宛先にクエリーを送信する必要はありません。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-48
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp topology
表 6-6
show eigrp topology のフィールド情報
フィールド
説明
via
この宛先についてソフトウェアに通知したピアの IP アドレス。これらのエ
ントリの最初の n 個（n はサクセサの数）は、現在のサクセサです。リスト内
の残りのエントリはフィージブルサクセサです。
(cost/adv_cost)
最初の数値は宛先へのコストを表す EIGRP メトリックです。2 番目の数値
はこのピアがアドバタイズした EIGRP メトリックです。
interface
情報の学習元のインターフェイス。
次に、IP アドレスとともに使用した show eigrp topology の出力例を示します。出力は内部ルート
についてのものです。
ciscoasa# show eigrp topology 10.2.1.0 255.255.255.0
EIGRP-IPv4 (AS 100): Topology Default-IP-Routing-Table(0) entry for entry for 10.2.1.0
255.255.255.0
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 281600
Routing Descriptor Blocks:
0.0.0.0 (Ethernet0/0), from Connected, Send flag is 0x0
Composite metric is (281600/0), Route is Internal
Vector metric:
Minimum bandwidth is 10000 Kbit
Total delay is 1000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 0
次に、IP アドレスとともに使用した show eigrp topology の出力例を示します。出力は外部ルート
についてのものです。
ciscoasa# show eigrp topology 10.4.80.0 255.255.255.0
EIGRP-IPv4 (AS 100): Topology Default-IP-Routing-Table(0) entry for entry for 10.4.80.0
255.255.255.0
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 409600
Routing Descriptor Blocks:
10.2.1.1 (Ethernet0/0), from 10.2.1.1, Send flag is 0x0
Composite metric is (409600/128256), Route is External
Vector metric:
Minimum bandwidth is 10000 Kbit
Total delay is 6000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
External data:
Originating router is 10.89.245.1
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-49
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp topology
関連コマンド
コマンド
clear eigrp topology
説明
ダイナミックに検出されたエントリを EIGRP トポロジテーブルから
クリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-50
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp traffic
show eigrp traffic
送受信された EIGRP パケットの数を表示するには、特権 EXEC モードで show eigrp traffic コマ
ンドを使用します。
show eigrp [as-number] traffic
構文の説明
as-number
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）イベントログを表示している EIGRP プロセスの自律シ
ステム番号を指定します。ASA がサポートする EIGRP ルーティング
プロセスは 1 つだけであるため、自律システム番号を指定する必要は
ありません。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
•
Yes
トランスペ
アレント
シングル
—
•
Yes
マルチ
コンテキストシステム
•
Yes
リリース
8.0(2)
変更内容
9.0(1)
マルチコンテキストモードがサポートされています。
—
このコマンドが追加されました。
使用上のガイドライン
clear eigrp traffic コマンドを使用すると、EIGRP トラフィックの統計情報をクリアできます。
例
次に、show eigrp traffic コマンドの出力例を示します。
ciscoasa# show eigrp traffic
EIGRP-IPv4 Traffic Statistics for AS 100
Hellos sent/received: 218/205
Updates sent/received: 7/23
Queries sent/received: 2/0
Replies sent/received: 0/2
Acks sent/received: 21/14
Input queue high water mark 0, 0 drops
SIA-Queries sent/received: 0/0
SIA-Replies sent/received: 0/0
Hello Process ID: 1719439416
PDM Process ID: 1719439824
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-51
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show eigrp traffic
表 6-7 に、この出力で表示される重要なフィールドの説明を示します。
表 6-7
関連コマンド
show eigrp traffic のフィールドの説明
フィールド
説明
process
EIGRP ルーティングプロセスの自律システム番号です。
Hellos sent/received
送受信された hello パケットの数。
Updates sent/received
送受信されたアップデートパケットの数。
Queries sent/received
送受信されたクエリーパケットの数。
Replies sent/received
送受信された応答パケットの数。
Acks sent/received
送受信された確認応答パケットの数。
Input queue high water
mark/drops
最大受信しきい値に接近している受信パケット数および廃棄パ
ケットの数。
SIA-Queries sent/received
送受信された Stuck-in-active クエリー。
SIA-Replies sent/received
送受信された Stuck-in-active 応答。
コマンド
debug eigrp packets
説明
debug eigrp transmit
送信された EIGRP メッセージのデバッグ情報を表示します。
送受信された EIGRP パケットのデバッグ情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-52
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show environment
show environment
システムコンポーネントのシステム環境情報を表示するには、特権 EXEC モードで show
environment コマンドを使用します。
show environment [driver | fans | power-supply | temperature] [chassis | cpu | voltage]
構文の説明
chassis
（オプション）温度表示をシャーシに限定します。
cpu
（オプション）温度表示をプロセッサに限定します。ASA 5580-40 では、4
つのプロセッサの情報が表示されます。ASA 5580-20 では、2 つのプロ
セッサの情報が表示されます。
driver
（オプション）環境モニタリング（IPMI）ドライバステータスを表示しま
す。ドライバステータスは次のいずれかになります。
fans
power-supply
•
RUNNING：ドライバは動作中です。
•
STOPPED：エラーが原因でドライバが停止しています。
（オプション）冷却ファンの動作ステータスを表示します。ステータスは
次のいずれかになります。
•
OK：ファンは正常に動作中です。
•
Failed：ファンが故障しているため交換が必要です。
（オプション）電源の動作ステータスを表示します。各電源モジュールの
ステータスは次のいずれかになります。
•
OK：電源は正常に動作中です。
•
Failed：電源が故障しているため交換が必要です。
•
Not Present：指定された電源が設置されていません。
電源モジュールの冗長性ステータスも表示されます。冗長性ステータス
は次のいずれかになります。
temperature
•
OK：ユニットはリソースが完全な状態で正常に動作中です。
•
Lost：ユニットに冗長性はありませんが、最低限のリソースで正常に
動作中です。これ以上の障害が発生した場合は、システムはシャット
ダウンされます。
•
N/A：ユニットは電源の冗長性に対応するように設定されていません。
（オプション）プロセッサとシャーシの温度およびステータスを表示しま
す。温度は摂氏で示されます。ステータスは次のいずれかになります。
•
OK：温度は通常の動作範囲内にあります。
•
Critical：温度は通常の動作範囲外です。
動作範囲は次のように分類されます。
voltage
•
70 度未満：OK
•
70 ～ 80：暖かい
•
80 ～90：危険
•
90 を超える：回復不可能
（オプション）CPU 電圧チャネル 1 ～ 24 の値を表示します。動作ステータ
スは除きます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-53
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show environment
デフォルト
キーワードが指定されていない場合は、ドライバを除くすべての動作情報が表示されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
（注）
例
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
Yes
リリース
8.1(1)
変更内容
8.4(2)
ASA 5585-X SSP の出力が追加されました。さらに、デュアル SSP イン
ストールのサポートが追加されました。
8.4.4(1)
ASA 5515-X、ASA 5525-X、5545-X、および ASA 5555-X で表示される電
源温度が、出力で変更されました。
8.6(1)
ASA 5545-X および ASA 5555-X の CPU 電圧レギュレータ温度イベン
トの出力が追加されました。電源入力ステータスの出力が追加されま
した。電圧センサーの出力が追加されました。
このコマンドが追加されました。
ASA 5545-X、5555-X、5580 および 5585-X の動作環境情報を表示できます。この情報には、ファン
および電源の動作ステータスと、CPU およびシャーシの温度およびステータスが含まれます。
ASA 5580-40 では 4 基の CPU、ASA 5580-20 では 2 基の CPU についての情報が表示されます。
デュアル SSP インストールの場合、冷却ファンおよび電源の出力は、シャーシマスターのセン
サーによってのみ示されます。
次に、show environment コマンドの一般的な出力例を示します。
ciscoasa# show environment
Cooling Fans:
----------------------------------Power Supplies:
-------------------------------Left Slot (PS0): 6900 RPM - OK (Power Supply Fan)
Right Slot (PS1): 7000 RPM - OK (Power Supply Fan) Power Supplies:
----------------------------------Power Supply Unit Redundancy: OK
Temperature:
-------------------------------Left Slot (PS0): 26 C - OK (Power Supply Temperature)
Right Slot (PS1): 27 C - OK (Power Supply Temperature)
Cooling Fans:
-------------------------------Left Slot (PS0): 6900 RPM - OK (Power Supply Fan)
Right Slot (PS1): 7000 RPM - OK (Power Supply Fan)
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-54
•
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show environment
Temperature:
----------------------------------Processors:
-------------------------------Processor 1: 44.0 C - OK (CPU1 Core Temperature)
Processor 2: 45.0 C - OK (CPU2 Core Temperature)
Chassis:
-------------------------------Ambient 1: 28.0 C - OK (Chassis Front Temperature)
Ambient 2: 40.5 C - OK (Chassis Back Temperature)
Ambient 3: 28.0 C - OK (CPU1 Front Temperature)
Ambient 4: 36.50 C - OK (CPU1 Back Temperature)
Ambient 5: 34.50 C - OK (CPU2 Front Temperature)
Ambient 6: 43.25 C - OK (CPU2 Back Temperature)
Power Supplies:
-------------------------------Left Slot (PS0): 26 C - OK (Power Supply Temperature)
Right Slot (PS1): 27 C - OK (Power Supply Temperature)
次に、show environment driver コマンドの出力例を示します。
ciscoasa# show environment driver
Cooling Fans:
----------------------------------Chassis Fans:
-------------------------------Cooling Fan 1: 5888 RPM - OK
Cooling Fan 2: 5632 RPM - OK
Cooling Fan 3: 5888 RPM - OK
Power Supplies:
-------------------------------Left Slot (PS0): N/A
Right Slot (PS1): 8448 RPM - OK
Power Supplies:
----------------------------------Left Slot (PS0): Not Present
Right Slot (PS1): Present
Left Slot (PS0): N/A
Right Slot (PS1): 33 C - OK
Left Slot (PS0): N/A
Right Slot (PS1): 8448 RPM - OK
Temperature:
----------------------------------Processors:
-------------------------------Processor 1: 70.0 C - OK
Chassis:
-------------------------------Ambient 1: 36.0 C - OK (Chassis Back Temperature)
Ambient 2: 31.0 C - OK (Chassis Front Temperature)
Ambient 3: 39.0 C - OK (Chassis Back Left Temperature)
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-55
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show environment
Power Supplies:
-------------------------------Left Slot (PS0): N/A
Right Slot (PS1): 33 C - OK
Voltage:
----------------------------------Channel 1: 1.168 V - (CPU Core 0.46V-1.4V)
Channel 2: 11.954 V - (12V)
Channel 3: 4.998 V - (5V)
Channel 4: 3.296 V - (3.3V)
Channel 5: 1.496 V - (DDR3 1.5V)
Channel 6: 1.048 V - (PCH 1.5V)
次に、ASA 5555-X の場合の show environment コマンドの出力例を示します。
ciscoasa# show environment
Cooling Fans:
----------------------------------Chassis Fans:
-------------------------------Power Supplies:
-------------------------------Left Slot (PS0): 9728 RPM - OK
Right Slot (PS1): 0 RPM - OK
Power Supplies:
----------------------------------Left Slot (PS0): Present
Right Slot (PS1): Present
Power Input:
-------------------------------Left Slot (PS0): OK
Right Slot (PS1): Failure Detected
Temperature:
-------------------------------Left Slot (PS0): 29 C - OK
Right Slot (PS1): N/A
Processors:
-------------------------------Processor 1: 81.0 C - OK
Chassis:
-------------------------------Ambient 1: 39.0 C - OK (Chassis Back Temperature)
Ambient 2: 32.0 C - OK (Chassis Front Temperature)
Ambient 3: 47.0 C - OK (Chassis Back Left Temperature)
Power Supplies:
-------------------------------Left Slot (PS0): 33 C - OK
Right Slot (PS1): -128 C - OK
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-56
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show environment
次に、デュアル SSP インストールの ASA 5585-X シャーシマスターの場合の show environment
コマンドの出力例を示します。
ciscoasa(config)# show environment
Cooling Fans:
----------------------------------Power Supplies:
-------------------------------Left Slot (PS0): 7000 RPM - OK (Fan Module Fan)
Right Slot (PS1): 6900 RPM - OK (Power Supply Fan)
Power Supplies:
----------------------------------Power Supply Unit Redundancy: N/A
Power Supplies:
-------------------------------Left Slot (PS0): 64 C - OK (Fan Module Temperature)
Right Slot (PS1): 64 C - OK (Power Supply Temperature)
Power Supplies:
-------------------------------Left Slot (PS0): 7000 RPM - OK (Fan Module Fan)
Right Slot (PS1): 6900 RPM - OK (Power Supply Fan)
Temperature:
----------------------------------Processors:
-------------------------------Processor 1: 48.0 C - OK (CPU1 Core Temperature)
Processor 2: 47.0 C - OK (CPU2 Core Temperature)
Chassis:
-------------------------------Ambient 1: 25.5 C - OK (Chassis Front Temperature)
Ambient 2: 37.5 C - OK (Chassis Back Temperature)
Ambient 3: 31.50 C - OK (CPU1 Back Temperature)
Ambient 4: 27.75 C - OK (CPU1 Front Temperature)
Ambient 5: 38.25 C - OK (CPU2 Back Temperature)
Ambient 6: 34.0 C - OK (CPU2 Front Temperature)
Power Supplies:
-------------------------------Left Slot (PS0): 64 C - OK (Fan Module Temperature)
Right Slot (PS1): 64 C - OK (Power Supply Temperature)
Voltage:
----------------------------------Channel 1: 3.310 V - (3.3V (U142 VX1))
Channel 2: 1.492 V - (1.5V (U142 VX2))
Channel 3: 1.053 V - (1.05V (U142 VX3))
Channel 4: 3.328 V - (3.3V_STDBY (U142 VP1))
Channel 5: 11.675 V - (12V (U142 VP2))
Channel 6: 4.921 V - (5.0V (U142 VP3))
Channel 7: 6.713 V - (7.0V (U142 VP4))
Channel 8: 9.763 V - (IBV (U142 VH))
Channel 9: 1.048 V - (1.05VB (U209 VX2))
Channel 10: 1.209 V - (1.2V (U209 VX3))
Channel 11: 1.109 V - (1.1V (U209 VX4))
Channel 12: 0.999 V - (1.0V (U209 VX5))
Channel 13: 3.324 V - (3.3V STDBY (U209 VP1))
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-57
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show environment
Channel
Channel
Channel
Channel
Channel
Channel
Channel
Channel
Channel
Channel
Channel
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
2.504
1.799
1.899
9.763
2.048
2.048
2.048
2.048
1.516
1.515
8.937
V
V
V
V
V
V
V
V
V
V
V
-
(2.5V (U209 VP2))
(1.8V (U209 VP3))
(1.9V (U209 VP4))
(IBV (U209 VH))
(VTT CPU0 (U83 VX2))
(VTT CPU1 (U83 VX3))
(VCC CPU0 (U83 VX4))
(VCC CPU1 (U83 VX5))
(1.5VA (U83 VP1))
(1.5VB (U83 VP2))
(IBV (U83 VH))
CPU 電圧レギュレータ温度イベントにより ASA がシャットダウンされた場合は、次の警告メッ
セージが表示されます。
WARNING: ASA was previously shut down due to a CPU Voltage Regulator running beyond the
max thermal operating temperature. The chassis and CPU need to be inspected immediately
for ventilation issues.
詳細については、syslog メッセージガイドの syslog メッセージ 735024 を参照してください。
関連コマンド
コマンド
show version
説明
ハードウェアおよびソフトウェアのバージョンを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-58
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show event manager
show event manager
設定された各イベントマネージャアプレットに関する情報を表示するには、特権 EXEC モード
で show event manager コマンドを使用します。
show event manager
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンドデフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
グローバルコンフィギュ
レーション
コマンド履歴
例
リリース
9.2(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
次に、show event manager コマンドの出力例を示します。
ciscoasa# show event manager
event manager applet 21, hits 1, last 2014/01/19 06:47:46
last file disk0:/eem-21-20140119-064746.log
event countdown 21 secs, left 0 secs, hits 1, last 2014/01/19 06:47:47
action 1 cli command "sh ver", hits 1, last 2014/01/19 06:47:46
関連コマンド
コマンド
show running-config event
manager
説明
イベントマネージャの実行コンフィギュレーションを表示し
ます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-59
第6章
show ddns update interface コマンド～ show environmentevent manager コマンド
show event manager
Cisco ASA シリーズコマンドリファレンス、S コマンド
6-60
CH A P T E R
7
show failover コマンド～ show ipsec stats
traffic コマンド
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-1
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
show failover
ユニットのフェールオーバーステータスに関する情報を表示するには、特権 EXEC モードで
show failover コマンドを使用します。
show failover [group num | history | interface | state | statistics]
構文の説明
group
指定されたフェールオーバーグループの実行状態を表示します。
history
フェールオーバー履歴を表示します。フェールオーバー履歴には、過
去のフェールオーバーでの状態変更や、状態変更の理由が表示されま
す。履歴情報はデバイスをリブートするとクリアされます。
interface
フェールオーバーおよびステートフルリンク情報を表示します。
num
フェールオーバーグループの番号。
state
両方のフェールオーバーユニットのフェールオーバー状態を表示し
ます。表示される情報は、ユニットのプライマリまたはセカンダリス
テータス、ユニットのアクティブ/ スタンバイステータス、最後にレ
ポートされたフェールオーバーの理由などがあります。障害の理由が
解消されても、障害の理由は出力に残ります。
statistics
フェールオーバーコマンドインターフェイスの送受信パケット数を
表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
トランスペ
ルーテッドアレント
シングル
•
•
Yes
•
Yes
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.2(2)
このコマンドが変更されました。出力には、ファイアウォールイン
ターフェイスおよびフェールオーバーインターフェイスの IPv6 アド
レスが含まれます。ステートフルフェールオーバーの統計情報出力に
は、IPv6 ネイバー探索テーブル（IPv6 ND tbl）のアップデートについて
の情報が含まれます。
このコマンドが変更されました。出力の情報が追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-2
Yes
マルチ
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
使用上のガイドライン
show failover コマンドは、ダイナミックフェールオーバー情報、インターフェイスステータス、
およびステートフルフェールオーバーの統計情報を表示します。
IPv4 と IPv6 の両方のアドレスがインターフェイスで設定されている場合は、両方のアドレスが
出力に表示されます。インターフェイスには複数の IPv6 アドレスを設定できるため、リンクロー
カルアドレスのみが表示されます。インターフェイスに IPv4 アドレスが設定されていない場
合、出力の IPv4 アドレスは 0.0.0.0 として表示されます。インターフェイスに IPv6 アドレスが設
定されていない場合、アドレスは単純に出力から省かれます。
Stateful Failover Logical Update Statistics 出力は、ステートフルフェールオーバーがイネーブルの
場合のみ表示されます。「xerr」および「rerr」の値はフェールオーバーのエラーではなく、パケット
送受信エラーの数を示します。
（注）
ステートフルフェールオーバーは、ASA 5505 では使用できません。したがって、ステートフル
フェールオーバーの統計情報出力も使用できません。
show failover コマンド出力で、ステートフルフェールオーバーの各フィールドには次の値があ
ります。
•
Stateful Obj の値は次のとおりです。
– xmit：送信されたパケットの数を示します。
– xerr：送信エラーの数を示します。
– rcv：受信したパケットの数を示します。
– rerr：受信エラーの数を示します。
•
各行は、次に示す特定のオブジェクトスタティックカウントを表します。
– General：すべてのステートフルオブジェクトの合計を示します。
– sys cmd：login または stay alive などの論理アップデートのシステムコマンドを示します。
– up time：ASA のアップタイムの値（アクティブな ASA がスタンバイの ASA に渡す）を示
します。
– RPC services：リモートプロシージャコール接続情報。
– TCP conn：ダイナミック TCP 接続情報。
– UDP conn：ダイナミック UDP 接続情報。
– ARP tbl：ダイナミック ARP テーブル情報。
– Xlate_Timeout：接続変換タイムアウト情報を示します。
– IPv6 ND tbl：IPv6 ネイバー探索テーブル情報。
– VPN IKE upd：IKE 接続情報。
– VPN IPSEC upd：IPSec 接続情報。
– VPN CTCP upd：cTCP トンネル接続情報。
– VPN SDI upd：SDI AAA 接続情報。
– VPN DHCP upd：トンネル型 DHCP 接続情報。
– SIP Session：SIP シグナリングセッション情報。
– Route Session：ルート同期アップデートの LU 統計情報
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-3
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
フェールオーバー IP アドレスを入力しない場合、show failover コマンドでは IP アドレス 0.0.0.0
が表示され、インターフェイスのモニタリングは「waiting」状態のままになります。フェールオー
バーを機能させるにはフェールオーバー IP アドレスを設定する必要があります。
表 7-1 に、フェールオーバーのインターフェイス状態の説明を示します。
表 7-1
フェールオーバーインターフェイス状態
状態
説明
Normal
インターフェイスは稼働中で、ピアユニットの対応するインター
フェイスから hello パケットを受信中です。
Normal (Waiting)
インターフェイスは稼働中ですが、ピアユニットの対応するイン
ターフェイスから hello パケットをまだ受信していません。イン
ターフェイスのスタンバイ IP アドレスが設定されていること、お
よび 2 つのインターフェイス間の接続が存在することを確認して
ください。
Normal (Not-Monitored)
インターフェイスは動作中ですが、フェールオーバープロセスに
よってモニタされていません。モニタされていないインターフェ
イスの障害によってフェールオーバーはトリガーされません。
No Link
物理リンクがダウンしています。
No Link (Waiting)
物理リンクがダウンし、インターフェイスはピアユニットの対応
するインターフェイスから hello パケットをまだ受信していませ
ん。リンクが復元した後、スタンバイ IP アドレスがそのインター
フェイスに設定されているかどうか、および 2 つのインターフェ
イス間が接続されているかどうかを確認します。
No Link (Not-Monitored)
物理リンクがダウンしていますが、フェールオーバープロセスに
よってモニタされていません。モニタされていないインターフェ
イスの障害によってフェールオーバーはトリガーされません。
Link Down
物理リンクは動作中ですが、インターフェイスは管理上ダウンし
ています。
Link Down (Waiting)
物理リンクは動作中ですが、インターフェイスは管理上ダウンし
ており、インターフェイスはピアユニットの対応するインター
フェイスから hello パケットをまだ受信していません。インター
フェイスを動作状態にした後（インターフェイスコンフィギュ
レーションモードで no shutdown コマンドを使用）、スタンバイ IP
アドレスがそのインターフェイスに設定されているかどうか、お
よび 2 つのインターフェイス間が接続されているかどうかを確認
します。
Link Down
(Not-Monitored)
物理リンクは動作中ですが、インターフェイスは管理上ダウンし
ており、フェールオーバープロセスによってモニタされていませ
ん。モニタされていないインターフェイスの障害によってフェー
ルオーバーはトリガーされません。
Testing
ピアユニットの対応するインターフェイスから hello パケットが
届かないため、インターフェイスはテストモードです。
Failed
インターフェイスのテストに失敗し、インターフェイスは障害が
発生したとしてマークされます。インターフェイスの障害によっ
てフェールオーバー基準が満たされた場合、インターフェイスの
障害によって、セカンダリユニットまたはフェールオーバーグ
ループへのフェールオーバーが発生します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-4
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
マルチコンフィギュレーションモードでは、show failover コマンドのみがセキュリティコンテ
キストで使用でき、任意のキーワードを入力できません。
例
次に、Active/Standby フェールオーバーでの show failover コマンドの出力例を示します。ASA は
ASA 5500 シリーズの ASA で、各 ASA のスロット 1 の詳細で示されているように、それぞれ CSC
SSM を装備しています。このセキュリティアプライアンスでは、フェールオーバーリンク
（folink）と inside インターフェイスに IPv6 アドレスを使用しています。
ciscoasa# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: folink Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.3/FE80::20d:29ff:fe1d:69f0): Normal
Interface outside (10.132.9.3): Normal
Interface folink (0.0.0.0/fe80::2a0:c9ff:fe03:101): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.3/24
CSC-SSM, 5.0 (Build#1176)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.4/FE80::20d:29ff:fe2b:7ba6): Normal
Interface outside (10.132.9.4): Normal
Interface folink (0.0.0.0/fe80::2e0:b6ff:fe07:3096): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.4/24
CSC-SSM, 5.0 (Build#1176)
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj
xmit
xerr
rcv
General
0
0
0
sys cmd
1733
0
1733
up time
0
0
0
RPC services
0
0
0
TCP conn
6
0
0
UDP conn
0
0
0
ARP tbl
106
0
0
Xlate_Timeout
0
0
0
IPv6 ND tbl
22
0
0
VPN IKE upd
15
0
0
VPN IPSEC upd
90
0
0
VPN CTCP upd
0
0
0
VPN SDI upd
0
0
0
VPN DHCP upd
0
0
0
SIP Session
0
0
0
Route Session
165
0
70
rerr
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
6
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-5
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
Logical Update Queue Information
Cur
Max
Total
Recv Q:
0
2
1733
Xmit Q:
0
2
15225
次に、Active/Active フェールオーバーでの show failover コマンドの出力例を示します。この例で
は、管理コンテキストでのみ IPv6 アドレスをインターフェイスに割り当てています。
ciscoasa# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 4 seconds
Interface Policy 1
Monitored Interfaces 8 of 250 maximum
failover replication http
Group 1 last failover at: 13:40:18 UTC Dec 9 2004
Group 2 last failover at: 13:40:06 UTC Dec 9 2004
This host:
Group 1
Group 2
Primary
State:
Active time:
State:
Active time:
Active
2896 (sec)
Standby Ready
0 (sec)
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.11)S91(0.11)) status (Up)
admin Interface outside (10.132.8.5): Normal
admin Interface folink (10.132.9.5/fe80::2a0:c9ff:fe03:101): Normal
admin Interface inside (10.130.8.5/fe80::2a0:c9ff:fe01:101): Normal
admin Interface fourth (10.130.9.5/fe80::3eff:fe11:6670): Normal
ctx1 Interface outside (10.1.1.1): Normal
ctx1 Interface inside (10.2.2.1): Normal
ctx2 Interface outside (10.3.3.2): Normal
ctx2 Interface inside (10.4.4.2): Normal
Other host:
Group 1
Group 2
Secondary
State:
Active time:
State:
Active time:
Standby Ready
190 (sec)
Active
3322 (sec)
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.1)S91(0.1)) status (Up)
admin Interface outside (10.132.8.6): Normal
admin Interface folink (10.132.9.6/fe80::2a0:c9ff:fe03:102): Normal
admin Interface inside (10.130.8.6/fe80::2a0:c9ff:fe01:102): Normal
admin Interface fourth (10.130.9.6/fe80::3eff:fe11:6671): Normal
ctx1 Interface outside (10.1.1.2): Normal
ctx1 Interface inside (10.2.2.2): Normal
ctx2 Interface outside (10.3.3.1): Normal
ctx2 Interface inside (10.4.4.1): Normal
Stateful Failover Logical Update Statistics
Link : third GigabitEthernet0/2 (up)
Stateful Obj
xmit
xerr
General
0
0
sys cmd
380
0
up time
0
0
RPC services
0
0
TCP conn
1435
0
UDP conn
0
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-6
rcv
0
380
0
0
1450
0
rerr
0
0
0
0
0
0
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
ARP tbl
124
Xlate_Timeout
0
IPv6 ND tbl
22
VPN IKE upd
15
VPN IPSEC upd
90
VPN CTCP upd
0
VPN SDI upd
0
VPN DHCP upd
0
SIP Session
0
0
0
0
0
0
0
0
0
65
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Logical Update Queue Information
Cur
Max
Total
Recv Q:
0
1
1895
Xmit Q:
0
0
1940
次に、ASA 5505 シリーズのでの show failover コマンドの出力例を示します。
Failover On
Failover unit Primary
Failover LAN Interface: fover Vlan150 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(0)55, Mate 7.2(0)55
Last Failover at: 19:59:58 PST Apr 6 2006
This host: Primary - Active
Active time: 34 (sec)
slot 0: ASA5505 hw/sw rev (1.0/7.2(0)55) status (Up Sys)
Interface inside (192.168.1.1): Normal
Interface outside (192.168.2.201): Normal
Interface dmz (172.16.0.1): Normal
Interface test (172.23.62.138): Normal
slot 1: empty
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5505 hw/sw rev (1.0/7.2(0)55) status (Up Sys)
Interface inside (192.168.1.2): Normal
Interface outside (192.168.2.211): Normal
Interface dmz (172.16.0.2): Normal
Interface test (172.23.62.137): Normal
slot 1: empty
次に、アクティブ-アクティブセットアップでの show failover state コマンドの出力例を示しま
す。
ciscoasa(config)# show failover state
This host Group 1
Group 2
Other host Group 1
Group 2
State
Secondary
Failed
Failed
Primary
Active
Active
Last Failure Reason
Date/Time
Backplane Failure
Backplane Failure
03:42:29 UTC Apr 17 2009
03:42:29 UTC Apr 17 2009
Comm Failure
Comm Failure
03:41:12 UTC Apr 17 2009
03:41:12 UTC Apr 17 2009
====Configuration State===
Sync Done
====Communication State===
Mac set
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-7
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
次に、アクティブ-スタンバイセットアップでの show failover state コマンドの出力例を示します。
ciscoasa(config)# show failover state
This host
-
Other host -
State
Primary
Negotiation
Secondary
Not Detected
Last Failure Reason
Date/Time
Backplane Failure
15:44:56 UTC Jun 20 2009
Comm Failure
15:36:30 UTC Jun 20 2009
====Configuration State===
Sync Done
====Communication State===
Mac set
表 7-2 に、show failover state コマンドの出力の説明を示します。
表 7-2
show failover state の出力の説明
フィールド
説明
Configuration State
コンフィギュレーションの同期化の状態を表示します。
スタンバイユニットで可能なコンフィギュレーション状態は、次の
とおりです。
•
Config Syncing - STANDBY：コンフィギュレーションの同期化
が実行されているときに設定されます。
•
Interface Config Syncing - STANDBY
•
Sync Done - STANDBY：スタンバイユニットが、アクティブユ
ニットとのコンフィギュレーションの同期化を完了したときに
設定されます。
アクティブユニットで可能なコンフィギュレーション状態は、次の
とおりです。
Communication State
Date/Time
•
Config Syncing：スタンバイユニットに対してコンフィギュレー
ションの同期化を実行しているときにアクティブユニット上で
設定されます。
•
Interface Config Syncing
•
Sync Done：アクティブユニットが、スタンバイユニットに対し
てコンフィギュレーションの同期化を正常に完了したときに設
定されます。
•
Ready for Config Sync：スタンバイユニットがコンフィギュレー
ションの同期化を受信する準備が完了したという信号を送ると
きにアクティブユニット上で設定されます。
MAC アドレスの同期化のステータスを表示します。
•
Mac set：MAC アドレスがピアユニットからこのユニットに同
期化されました。
•
Updated Mac：MAC アドレスが更新され、他のユニットに対して
同期化する必要がある場合に使用されます。また、ユニットが遷
移期間中に、ピアユニットから同期化されたローカル MAC アド
レスを更新する場合にも使用されます。
障害の日付およびタイムスタンプを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-8
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
表 7-2
show failover state の出力の説明（続き）
フィールド
説明
Last Failure Reason
最後にレポートされた障害の理由を表示します。この情報は、障害の
条件が解消されてもクリアされません。この情報は、フェールオー
バーが発生した場合にのみ変更されます。
可能な障害の理由は次のとおりです。
•
Ifc Failure：障害が発生したインターフェイスの数がフェール
オーバー基準を満たし、フェールオーバーが発生しました。
•
Comm Failure：フェールオーバーリンクに障害が発生したか、
ピアがダウンしています。
•
Backplane Failure
State
ユニットの Primary/Secondary および Active/Standby ステータスを表
示します。
This host/Other host
This host は、コマンドが実行されたデバイスについての情報を示し
ます。Other host は、フェールオーバーのペアとなる他のデバイスに
ついての情報を示します。
次に、show failover history コマンドの出力例を示します。
ciscoasa(config)# show failover history
==========================================================================
Group
From State
To State
Reason
==========================================================================
...
03:42:29 UTC Apr 17 2009
0
Sync Config
Failed
Backplane failed
03:42:29 UTC Apr 17 2009
1
Standby Ready
Backplane failed
Failed
03:42:29 UTC Apr 17 2009
2
Standby Ready
Backplane failed
Failed
03:44:39 UTC Apr 17 2009
0
Failed
Backplane operational
Negotiation
03:44:40 UTC Apr 17 2009
1
Failed
Backplane operational
Negotiation
03:44:40 UTC Apr 17 2009
2
Failed
Backplane operational
Negotiation
==========================================================================
各エントリには、状態変更が発生した時刻および日付、開始状態、結果状態、および状態変更の理
由が示されます。最も新しいエントリが表示の末尾に配置されます。古いエントリが上部に表示
されます。最大で 60 エントリを表示できます。エントリが最大数に到達した場合、最も古いエン
トリが出力の上部から削除され、新しいエントリが末尾に追加されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-9
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
表 7-3 に、フェールオーバーの状態を示します。状態には永続的と一時的の 2 つのタイプがあり
ます。永続的な状態とは、障害などの何らかの事象によって状態変更が発生するまで、ユニット
が維持できる状態のことです。一時的な状態とは、ユニットが永続的な状態に到達するまでの間
に経過する状態です。
表 7-3
フェールオーバーの状態
状態
説明
Disabled
フェールオーバーはディセーブルです。これは永続的な状態です。
Failed
ユニットは障害状態です。これは永続的な状態です。
Negotiation
ユニットはピアとの接続を確立し、ピアとネゴシエートして、ソフト
ウェアバージョンの互換性を判別し、Active/Standby ロールを決定し
ます。ネゴシエートされたロールに基づき、ユニットはスタンバイユ
ニット状態またはアクティブユニット状態になるか、障害状態にな
ります。これは一時的な状態です。
Not Detected
ASA はピアの存在を検出できません。このことは、フェールオーバー
がイネーブルな状態で ASA が起動されたが、ピアが存在しない、また
はピアの電源がオフである場合に発生する可能性があります。
スタンバイユニット状態
Cold Standby
ユニットはピアがアクティブ状態に到達するのを待機します。ピア
ユニットがアクティブ状態に到達すると、このユニットは Standby
Config 状態に進みます。これは一時的な状態です。
Sync Config
ユニットはピアユニットから実行コンフィギュレーションを要求し
ます。コンフィギュレーションの同期化中にエラーが発生した場合、
ユニットは初期化状態に戻ります。これは一時的な状態です。
Sync File System
ユニットはピアシステムとファイルシステムを同期化します。これ
は一時的な状態です。
Bulk Sync
ユニットはピアから状態情報を受信します。この状態は、ステートフ
ルフェールオーバーがイネーブルの場合にのみ発生します。これは
一時的な状態です。
Standby Ready
ユニットは、アクティブユニットに障害が発生した場合に引き継ぐ
準備が完了しています。これは永続的な状態です。
アクティブユニット状態
Just Active
ユニットがアクティブユニットになったときの最初の状態です。この
状態にあるとき、ユニットがアクティブになること、および IP アドレ
スと MAC アドレスをインターフェイスに設定することをピアに通知
するメッセージがピアに送信されます。これは一時的な状態です。
Active Drain
ピアからのキューメッセージが廃棄されます。これは一時的な状態
です。
Active Applying Config
ユニットはシステムコンフィギュレーションを適用します。これは
一時的な状態です。
Active Config Applied
ユニットはシステムコンフィギュレーションの適用を完了しまし
た。これは一時的な状態です。
Active
ユニットはアクティブで、トラフィックを処理しています。これは永
続的な状態です。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-10
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
それぞれの状態変更の後に状態変更の理由が続きます。この理由は、ユニットが一時的な状態か
ら永続的な状態に進んでも、通常同じままになります。次に、可能性がある状態変更の理由を示
します。
•
エラーなし
•
CI config cmd によって設定されている
•
フェールオーバー状態チェック
•
フェールオーバーインターフェイスの準備ができた
•
HELLO が受信されない
•
他のユニットのソフトウェアバージョンが異なっている
•
他のユニットの動作モードが異なっている
•
他のユニットのライセンスが異なっている
•
他のユニットのシャーシコンフィギュレーションが異なっている
•
他のユニットのカードコンフィギュレーションが異なっている
•
他のユニットからアクティブ状態を要求された
•
他のユニットからスタンバイ状態を要求された
•
他のユニットが、このユニットに障害があるとレポートした
•
他のユニットが、そのユニットに障害があるとレポートした
•
コンフィギュレーションの不一致
•
アクティブユニットが検出された
•
アクティブユニットが検出されなかった
•
コンフィギュレーションの同期化が行われた
•
通信障害から回復した
•
他のユニットの VLAN コンフィギュレーションが異なっている
•
VLAN コンフィギュレーションを確認できない
•
コンフィギュレーションの同期化が不完全である
•
コンフィギュレーションの同期化に失敗した
•
インターフェイスチェック
•
このユニットの通信が失敗した
•
フェールオーバーメッセージの ACK を受信しなかった
•
同期後の学習状態で他のユニットが動作しなくなった
•
ピアの電源が検出されない
•
フェールオーバーケーブルがない
•
HA 状態の進行に失敗した
•
サービスカード障害が検出された
•
他のユニットのサービスカードに障害が発生した
•
このユニットのサービスカードはピアと同様である
•
LAN インターフェイスが未設定状態になった
•
ピアユニットがリロードされた
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-11
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover
•
シリアルケーブルから LAN ベース fover に切り替わった
•
コンフィギュレーション同期化の状態を確認できない
•
自動アップデート要求
•
原因不明
次に、show failover interface コマンドの出力例を示します。デバイスのフェールオーバーイン
ターフェイスに IPv6 アドレスが設定されています。
ciscoasa(config)# sh fail int
interface folink GigabitEthernet0/2
System IP Address: 2001:a0a:b00::a0a:b70/64
My IP Address
: 2001:a0a:b00::a0a:b70
Other IP Address : 2001:a0a:b00::a0a:b71
関連コマンド
コマンド
show running-config
failover
説明
現在のコンフィギュレーション内の failover コマンドを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-12
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover exec
show failover exec
指定したユニットの failover exec コマンドモードを表示するには、特権 EXEC モードで show
failover exec コマンドを使用します。
show failover exec {active | standby | mate}
構文の説明
active
アクティブユニットの failover exec コマンドモードを表示します。
mate
ピアユニットの failover exec コマンドモードを表示します。
standby
スタンバイユニットの failover exec コマンドモードを表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
8.0(2)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
failover exec コマンドは、指定したデバイスとのセッションを確立します。デフォルトでは、この
セッションはグローバルコンフィギュレーションモードです。このセッションのコマンドモー
ドは、failover exec コマンドを使用して適切なコマンド（interface コマンドなど）を送信すること
によって変更できます。指定されたデバイスの failover exec コマンドモードを変更しても、デバ
イスへのアクセスに使用しているセッションのコマンドモードは変更されません。デバイスと
の現在のセッションのコマンドモードを変更しても、failover exec コマンドで使用されるコマン
ドモードには影響しません。
show failover exec コマンドは、failover exec コマンドで送信されるコマンドが実行される、指定
したデバイス上のコマンドモードを表示します。
例
次に、show failover exec コマンドの出力例を示します。この例では、failover exec コマンドが入力
されるユニットのコマンドモードが、コマンドが実行される failover exec コマンドモードと同
じである必要がないことを示しています。
この例では、スタンバイユニットにログインした管理者が、アクティブユニット上のインター
フェイスに名前を追加します。この例で、show failover exec mate コマンドを 2 回目に入力したと
き、ピアデバイスはインターフェイスコンフィギュレーションモードであると表示されます。
failover exec コマンドでデバイスに送信されるコマンドは、このモードで実行されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-13
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show failover exec
ciscoasa(config)# show failover exec mate
Active unit Failover EXEC is at config mode
!The following command changes the standby unit failover exec mode
!to interface configuration mode.
ciscoasa(config)# failover exec mate interface GigabitEthernet0/1
ciscoasa(config)# show failover exec mate
Active unit Failover EXEC is at interface sub-command mode
!Because the following command is sent to the active unit, it is replicated
!back to the standby unit.
ciscoasa(config)# failover exec mate nameif test
関連コマンド
コマンド
failover exec
説明
フェールオーバーペアの指定されたユニット上で、入力されたコマン
ドを実行します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-14
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show file
show file
ファイルシステムについての情報を表示するには、特権 EXEC モードで show file コマンドを使
用します。
show file descriptors | system | information filename
構文の説明
descriptors
開かれているファイル記述子をすべて表示します。
filename
ファイル名を指定します。
information
パートナーアプリケーションパッケージファイルなど、特定のファイ
ルについての情報を表示します。
system
ディスクファイルシステムについて、サイズ、利用可能なバイト数、メ
ディアのタイプ、フラグ、およびプレフィックス情報を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
リリース
7.0(1)
変更内容
8.2(1)
パートナーアプリケーションパッケージファイルについての情報を
表示する機能が追加されました。
このコマンドが追加されました。
次に、show file descriptors コマンドの出力例を示します。
ciscoasa# show file descriptors
No open file descriptors
ciscoasa# show file system
File Systems:
Size(b)
Free(b)
Type Flags
* 60985344
60973056
disk
rw
Prefixes
disk:
次に、show file info コマンドの出力例を示します。
ciscoasa# show file info disk0:csc_embd1.0.1000.pkg
type is package (csc)
file size is 17204149 bytes version 1
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-15
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show file
関連コマンド
コマンド
dir
説明
pwd
現在の作業ディレクトリを表示します。
ディレクトリの内容を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-16
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show firewall
show firewall
現在のファイアウォールモード（ルーテッドまたはトランスペアレント）を表示するには、特権
EXEC モードで show firewall コマンドを使用します。
show firewall
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show firewall コマンドの出力例を示します。
ciscoasa# show firewall
Firewall mode: Router
関連コマンド
コマンド
firewall transparent
説明
show mode
現在のコンテキストモード（シングルまたはマルチ）を表示します。
ファイアウォールモードを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-17
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show firewall module version
show firewall module version
ASA サービスモジュールのソフトウェアバージョン番号を表示するには、特権 EXEC モードで
show firewall module version コマンドを使用します。
show firewall switch {1 | 2} module [module_number] version
構文の説明
module_number
（オプション）モジュール番号を指定します。
switch {1 | 2}
VSS ユーザだけに適用されます。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
変更内容
このコマンドが追加されました。
次に、show firewall module version コマンドの出力例を示します。
Router# show firewall switch 1 module 2 version
ASA Service Module 2:
Sw Version: 100.7(8)19
関連コマンド
コマンド
firewall module
説明
firewall vlan-group
VLAN のグループを作成します。
show module
インストールされているすべてのモジュールを表示します。
VLAN グループを ASA に割り当てます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-18
•
Yes
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show flash
show flash
内部フラッシュメモリの内容を表示するには、特権 EXEC モードで show flash: コマンドを使用
します。
show flash: all | controller | filesys
（注）
構文の説明
ASA では、flash キーワードにエイリアス disk0 が使用されます。
all
すべてのフラッシュの情報を表示します。
controller
ファイルシステムコントローラの情報を表示します。
filesys
ファイルシステムの情報を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show flash: コマンドの出力例を示します。
ciscoasa# show
-#- --length-11 1301
12 1949
13 2551
14 609223
15 1619
16 3184
17 4787
20 1792
21 7765184
22 1674
23 1863
24 1197
25 608554
26 5124096
27 5124096
28 2074
29 5124096
flash:
-----date/time-----Feb 21 2005 18:01:34
Feb 21 2005 20:13:36
Jan 06 2005 10:07:36
Jan 21 2005 07:14:18
Jul 16 2004 16:06:48
Aug 03 2004 07:07:00
Mar 04 2005 12:32:18
Jan 21 2005 07:29:24
Mar 07 2005 19:38:30
Nov 11 2004 02:47:52
Jan 21 2005 07:29:18
Jan 19 2005 08:17:48
Jan 13 2005 06:20:54
Feb 20 2005 08:49:28
Mar 01 2005 17:59:56
Jan 13 2005 08:13:26
Mar 07 2005 19:56:58
path
test.cfg
pepsi.cfg
Leo.cfg
rr.cfg
hackers.cfg
old_running.cfg
admin.cfg
Marketing.cfg
asdmfile-RLK
potts.cfg
r.cfg
tst.cfg
500kconfig
cdisk70102
cdisk70104
negateACL
cdisk70105
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-19
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show flash
30
31
32
33
34
35
1276
7756788
7579792
7764344
5124096
15322
Jan
Feb
Mar
Mar
Feb
Mar
28
24
08
04
24
04
2005
2005
2005
2005
2005
2005
08:31:58
12:59:46
11:06:56
12:17:46
11:50:50
12:30:24
steel
asdmfile.50074.dbg
asdmfile.gusingh
asdmfile.50075.dbg
cdisk70103
hs_err_pid2240.log
10170368 bytes available (52711424 bytes used)
関連コマンド
コマンド
dir
説明
show disk0:
内部フラッシュメモリの内容を表示します。
show disk1:
外部フラッシュメモリカードの内容を表示します。
ディレクトリの内容を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-20
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show flow-export counters
show flow-export counters
NetFlow データに関連付けられているランタイムカウンタを表示するには、特権 EXEC モード
で show flow-export counters コマンドを使用します。
show flow-export counters
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
リリース
8.1(1)
変更内容
9.0(1)
送信元ポート割り当ての失敗に対する新しいエラーカウンタが追加
されました。
このコマンドが追加されました。
使用上のガイドライン
ランタイムカウンタには、統計データおよびエラーデータが含まれます。
例
次に、NetFlow データに関連付けられているランタイムカウンタを表示する show flow-export
counters コマンドの出力例を示します。
ciscoasa# show flow-export counters
destination: inside 209.165.200.224 2055
Statistics:
packets sent
1000
Errors:
block allocation failure
0
invalid interface
0
template send failure
0
no route to collector
0
source port allocation
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-21
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show flow-export counters
関連コマンド
コマンド
説明
clear flow-export counters NetFlow のランタイムカウンタをすべてゼロにリセットします。
flow-export destination
NetFlow コレクタの IP アドレスまたはホスト名と、NetFlow コレ
クタがリッスンする UDP ポートを指定します。
flow-export template
テンプレート情報が NetFlow コレクタに送信される間隔を制御し
timeout-rate
ます。
logging
logging flow-export-syslogs disable コマンドを入力した後に、
flow-export-syslogs enable syslog メッセージをイネーブルにし、さらに NetFlow データに関連
付けられた syslog メッセージをイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-22
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show fragment
show fragment
IP フラグメント再構成モジュールの動作データを表示するには、特権 EXEC モードで show
fragment コマンドを使用します。
show fragment [interface]
構文の説明
interface
デフォルト
interface が指定されていない場合、このコマンドはすべてのインターフェイスに適用されます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）ASA インターフェイスを指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC モード
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドは、コンフィギュレーションデータと動作データを分けるため
に、show fragment および show running-config fragment の 2 つのコマンドに
分けられました。
次に、IP フラグメント再構成モジュールの動作データを表示する方法の例を示します。
ciscoasa# show fragment
Interface: inside
Size: 200, Chain: 24, Timeout: 5, Threshold:
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: outside1
Size: 200, Chain: 24, Timeout: 5, Threshold:
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: test1
Size: 200, Chain: 24, Timeout: 5, Threshold:
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: test2
Size: 200, Chain: 24, Timeout: 5, Threshold:
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
133
133
133
133
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-23
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show fragment
関連コマンド
コマンド
clear configure
fragment
説明
clear fragment
IP フラグメント再構成モジュールの動作データをクリアします。
fragment
パケットフラグメンテーションを詳細に管理できるようにし、NFS と
の互換性を高めます。
show running-config
fragment
IP フラグメント再構成コンフィギュレーションを表示します。
IP フラグメント再構成コンフィギュレーションをクリアし、デフォル
トにリセットします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-24
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show gc
show gc
ガーベッジコレクションプロセスの統計情報を表示するには、特権 EXEC モードで show gc コ
マンドを使用します。
show gc
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
ルーテッド
コマンドモード
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
Yes
•
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
次に、show gc コマンドの出力例を示します。
ciscoasa# show gc
Garbage collection process stats:
Total tcp conn delete response
Total udp conn delete response
Total number of zombie cleaned
Total number of embryonic conn cleaned
Total error response
Total queries generated
Total queries with conn present response
Total number of sweeps
Total number of invalid vcid
Total number of zombie vcid
関連コマンド
コマンド
clear gc
:
:
:
:
:
:
:
:
:
:
0
0
0
0
0
0
0
946
0
0
説明
ガーベッジコレクションプロセスの統計情報を削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-25
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show h225
show h225
ASA を越えて確立された H.225 セッションの情報を表示するには、特権 EXEC モードで show
h225 コマンドを使用します。
show h225
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
show h225 コマンドは、ASA を越えて確立されている H.225 セッションの情報を表示します。こ
のコマンドは、debug h323 h225 event、debug h323 h245 event、および show local-host コマンドと
ともに、H.323 インスペクションエンジンの問題のトラブルシューティングに使用されます。
show h225、show h245、または show h323 ras コマンドを使用する前に、pager コマンドを設定す
ることを推奨します。セッションレコードが多いときに pager コマンドが設定されていない場
合、show コマンドの出力が末端に届くまでに時間がかかる場合があります。異常なほど多くの
接続が存在する場合は、デフォルトのタイムアウト値または設定した値に基づいてセッション
がタイムアウトしているかどうか確認します。タイムアウトしていなければ問題があるので、調
査が必要です。
例
次に、show h225 コマンドの出力例を示します。
ciscoasa# show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
| Local: | 10.130.56.3/1040 | Foreign: 172.30.254.203/1720
| 1.CRV 9861
| Local: | 10.130.56.3/1040 | Foreign: 172.30.254.203/1720
0 Concurrent Call(s) for
| Local: | 10.130.56.4/1050 | Foreign: 172.30.254.205/1720
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-26
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show h225
この出力は、ローカルエンドポイント 10.130.56.3 と外部ホスト 172.30.254.203 との間で ASA を
通過するアクティブな H.323 コールが現在 1 つ存在し、これらの特定のエンドポイントの間には、
コールの CRV（コール参照値）が 9861 の同時発生コールが 1 つ存在することを示しています。
ローカルエンドポイント 10.130.56.4 と外部ホスト 172.30.254.205 については、同時発生コール
の数は 0 です。つまり H.225 セッションがまだ存在しているものの、このエンドポイント間には
アクティブコールがないことを意味します。この状況は、show h225 コマンドを実行したとき
に、コールはすでに終了しているが、H.225 セッションがまだ削除されていない場合に発生する
可能性があります。または、2 つのエンドポイントが、「maintainConnection」を TRUE に設定して
いるため、TCP 接続をまだ開いたままにしていることを意味する可能性もあります。したがっ
て、「maintainConnection」を再度 FALSE に設定するまで、またはコンフィギュレーション内の
H.225 タイムアウト値に基づくセッションのタイムアウトが起こるまで、セッションは開いたま
まになります。
関連コマンド
コマンド
debug h323
説明
inspect h323
H.323 アプリケーションインスペクションをイネーブルにします。
show h245
スロースタートを使用しているエンドポイントによって ASA を越え
て確立されている H.245 セッションの情報を表示します。
show h323 ras
ASA を越えて確立されている H.323 RAS セッションの情報を表示し
ます。
timeout h225 | h323
H.225 シグナリング接続または H.323 制御接続が終了するまでのアイ
ドル時間を設定します。
H.323 のデバッグ情報の表示をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-27
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show h245
show h245
スロースタートを使用しているエンドポイントによって ASA を越えて確立された H.245 セッ
ションの情報を表示するには、特権 EXEC モードで show h245 コマンドを使用します。
show h245
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(1)
トランスペ
ルーテッドアレント
シングル
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show h245 コマンドは、スロースタートを使用しているエンドポイントによって ASA を越えて
確立された H.245 セッションの情報を表示します。（スロースタートでは、コールの 2 つのエン
ドポイントが H.245 用に別の TCP コントロールチャネルを開きます。ファストスタートは、
H.245 メッセージが H.225 コントロールチャネル上の H.225 メッセージの一部として交換され
た場合です。）このコマンドは、debug h323 h245 event、debug h323 h225 event、および show
local-host コマンドとともに、H.323 インスペクションエンジンの問題のトラブルシューティン
グに使用されます。
例
次に、show h245 コマンドの出力例を示します。
ciscoasa# show h245
Total: 1
| LOCAL | TPKT | FOREIGN | TPKT
1 | 10.130.56.3/1041 | 0 | 172.30.254.203/1245 | 0
| MEDIA: LCN 258 Foreign 172.30.254.203 RTP 49608 RTCP 49609
| Local | 10.130.56.3 RTP 49608 RTCP 49609
| MEDIA: LCN 259 Foreign 172.30.254.203 RTP 49606 RTCP 49607
| Local | 10.130.56.3 RTP 49606 RTCP 49607
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-28
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show h245
ASA を越えるアクティブな H.245 コントロールセッションが、現在 1 つあります。ローカルエ
ンドポイントは、10.130.56.3 であり、TPKT 値が 0 であることから、このエンドポイントからの次
のパケットには TPKT ヘッダーがあると予測します。（TKTP ヘッダーは、各 H.225/H.245 メッ
セージの先頭の 4 バイトヘッダーです。このヘッダーは、4 バイトヘッダーを含むメッセージの
長さを指定します）。外部ホストエンドポイントは 172.30.254.203 で、TPKT 値が 0 のため、この
エンドポイントからの次のパケットが TPKT ヘッダーを持つことが予想されます。
これらのエンドポイント間でネゴシエートされるメディアは、論理チャネル番号（LCN）が 258
で、外部の RTP IP アドレス /ポートペアが 172.30.254.203/49608、RTCP IP アドレス /ポートが
172.30.254.203/49609、ローカルの RTP IP アドレス /ポートペアが 10.130.56.3/49608、RTCP ポー
トが 49609 です。
値が 259 の 2 番目の LCN は、外部の RTP IP アドレス /ポートペアが 172.30.254.203/49606、RTCP
IP アドレス /ポートペアが 172.30.254.203/49607、ローカルの RTP IP アドレス /ポートペアが
10.130.56.3/49606、RTCP ポートが 49607 です。
関連コマンド
コマンド
debug h323
説明
inspect h323
H.323 アプリケーションインスペクションをイネーブルにします。
show h245
スロースタートを使用しているエンドポイントによって ASA を越え
て確立されている H.245 セッションの情報を表示します。
show h323 ras
ASA を越えて確立されている H.323 RAS セッションの情報を表示し
ます。
timeout h225 | h323
H.225 シグナリング接続または H.323 制御接続が終了するまでのアイ
ドル時間を設定します。
H.323 のデバッグ情報の表示をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-29
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show h323
show h323
H.323 接続の情報を表示するには、特権 EXEC モードで show h323 コマンドを使用します。
show h323 {ras | gup}
構文の説明
ras
ASA を越えてゲートキーパーとその H.323 エンドポイントの間に確
立されている H.323 RAS セッションを表示します。
gup
H323 ゲートウェイアップデートプロトコル接続に関する情報を表
示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
トランスペ
ルーテッドアレント
シングル
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
使用上のガイドライン
show h323 ras コマンドは、ASA を越えてゲートキーパーとその H.323 エンドポイントの間に確
立されている H.323 RAS セッションの情報を表示します。このコマンドは、debug h323 ras event
および show local-host コマンドとともに、H.323 RAS インスペクションエンジンの問題のトラ
ブルシューティングに使用されます。
例
次に、show h323 ras コマンドの出力例を示します。
ciscoasa# show h323 ras
Total: 1
| GK | Caller
| 172.30.254.214 10.130.56.14
ciscoasa#
この出力は、ゲートキーパー 172.30.254.214 とそのクライアント 10.130.56.14 の間にアクティブ
な登録が 1 つあることを示しています。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-30
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show h323
関連コマンド
コマンド
debug h323
説明
inspect h323
H.323 アプリケーションインスペクションをイネーブルにします。
show h245
スロースタートを使用しているエンドポイントによって ASA を越え
て確立されている H.245 セッションの情報を表示します。
timeout h225 | h323
H.225 シグナリング接続または H.323 制御接続が終了するまでのアイ
ドル時間を設定します。
H.323 のデバッグ情報の表示をイネーブルにします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-31
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show history
show history
以前入力したコマンドを表示するには、ユーザ EXEC モードで show history コマンドを使用し
ます。
show history
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ユーザ EXEC
コマンド履歴
使用上のガイドライン
例
リリース
7.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドが追加されました。
show history コマンドを使用すると、以前入力したコマンドを表示できます。上矢印と下矢印を
使用してコマンドを個別に調べて、^p を入力して以前に入力した行を表示するか、^n を入力し
て次の行を表示できます。
次に、ユーザ EXEC モードで show history コマンドを使用する例を示します。
ciscoasa> show history
show history
help
show history
次に、特権 EXEC モードで show history コマンドを使用する例を示します。
ciscoasa# show history
show history
help
show history
enable
show history
次に、グローバルコンフィギュレーションモードで show history コマンドを使用する例を示し
ます。
ciscoasa(config)# show history
show history
help
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-32
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show history
show history
enable
show history
config t
show history
関連コマンド
コマンド
help
説明
指定したコマンドのヘルプ情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-33
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show icmp
show icmp
ICMP コンフィギュレーションを表示するには、特権 EXEC モードで show icmp コマンドを使用
します。
show icmp
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
変更内容
このコマンドは既存のものです。
使用上のガイドライン
show icmp コマンドは ICMP コンフィギュレーションを表示します。
例
次に、ICMP コンフィギュレーションを表示する例を示します。
ciscoasa# show icmp
関連コマンド
clear configure icmp
ICMP コンフィギュレーションをクリアします。
debug icmp
ICMP のデバッグ情報の表示をイネーブルにします。
icmp
ASA インターフェイスが終端となる ICMP トラフィックのアクセス
ルールを設定します。
inspect icmp
ICMP インスペクションエンジンをイネーブルまたはディセーブル
にします。
timeout icmp
ICMP のアイドルタイムアウトを設定します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-34
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show idb
show idb
インターフェイス記述子ブロックのステータスについての情報を表示するには、特権 EXEC
モードで show idb コマンドを使用します。
show idb
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
ユーザ EXEC
コマンド履歴
使用上のガイドライン
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
—
•
Yes
変更内容
このコマンドが追加されました。
IDB はインターフェイスリソースを表す内部データ構造です。出力の説明については、「例」を参
照してください。
次に、show idb コマンドの出力例を示します。
ciscoasa# show idb
Maximum number of Software IDBs 280.In use 23.
Active
Inactive
Total IDBs
Size each (bytes)
Total bytes
0xbb68ebc
0xcd47d84
0xcd4c1dc
0xcd5063c
0xcd54a9c
0xcd58f04
HWIDBs
6
1
7
116
812
SWIDBs
21
2
23
212
4876
HWIDB#
HWIDB#
HWIDB#
HWIDB#
HWIDB#
HWIDB#
1
2
3
4
5
6
Control0/0
GigabitEthernet0/0
GigabitEthernet0/1
GigabitEthernet0/2
GigabitEthernet0/3
Management0/0
SWIDB#
SWIDB#
SWIDB#
1 0x0bb68f54 0x01010001 Control0/0
2 0x0cd47e1c 0xffffffff GigabitEthernet0/0
3 0x0cd772b4 0xffffffff GigabitEthernet0/0.1
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-35
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show idb
PEER
PEER
PEER
SWIDB#
SWIDB#
SWIDB#
PEER
SWIDB#
PEER
SWIDB#
PEER
SWIDB#
SWIDB#
PEER
PEER
PEER
SWIDB#
PEER
IDB# 1 0x0d44109c 0xffffffff
3 GigabitEthernet0/0.1
IDB# 2 0x0d2c0674 0x00020002
2 GigabitEthernet0/0.1
IDB# 3 0x0d05a084 0x00010001
1 GigabitEthernet0/0.1
4 0x0bb7501c 0xffffffff GigabitEthernet0/0.2
5 0x0cd4c274 0xffffffff GigabitEthernet0/1
6 0x0bb75704 0xffffffff GigabitEthernet0/1.1
IDB# 1 0x0cf8686c 0x00020003
2 GigabitEthernet0/1.1
7 0x0bb75dec 0xffffffff GigabitEthernet0/1.2
IDB# 1 0x0d2c08ac 0xffffffff
2 GigabitEthernet0/1.2
8 0x0bb764d4 0xffffffff GigabitEthernet0/1.3
IDB# 1 0x0d441294 0x00030001
3 GigabitEthernet0/1.3
9 0x0cd506d4 0x01010002 GigabitEthernet0/2
10 0x0cd54b34 0xffffffff GigabitEthernet0/3
IDB# 1 0x0d3291ec 0x00030002
3 GigabitEthernet0/3
IDB# 2 0x0d2c0aa4 0x00020001
2 GigabitEthernet0/3
IDB# 3 0x0d05a474 0x00010002
1 GigabitEthernet0/3
11 0x0cd58f9c 0xffffffff Management0/0
IDB# 1 0x0d05a65c 0x00010003
1 Management0/0
表 7-4 に、各フィールドの説明を示します。
表 7-4
show idb stats の各フィールド
フィールド
説明
HWIDBs
すべての HWIDB の統計情報を表示します。HWIDB は、システム内の各
ハードウェアポートについて作成されます。
SWIDBs
すべての SWIDB の統計情報を表示します。SWIDB は、システム内の各メイ
ンおよびサブインターフェイスについて、およびコンテキストに割り当て
られている各インターフェイスについて作成されます。
他の一部の内部ソフトウェアモジュールも IDB を作成します。
関連コマンド
HWIDB#
ハードウェアインターフェイスエントリを示します。IDB シーケンス番
号、アドレス、およびインターフェイス名が各行に表示されます。
SWIDB#
ソフトウェアインターフェイスエントリを示します。IDB シーケンス番
号、アドレス、対応する vPif ID、およびインターフェイス名が各行に表示さ
れます。
PEER IDB#
コンテキストに割り当てられているインターフェイスを示します。IDB
シーケンス番号、アドレス、対応する vPif ID、コンテキスト ID、およびイン
ターフェイス名が各行に表示されます。
コマンド
interface
説明
show interface
インターフェイスの実行時ステータスと統計情報を表示します。
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-36
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show igmp groups
show igmp groups
ASA に直接接続されている受信者、および IGMP を通じて学習された受信者を含むマルチキャ
ストグループを表示するには、特権 EXEC モードで show igmp groups コマンドを使用します。
show igmp groups [[reserved | group] [if_name] [detail]] | summary]
構文の説明
detail
（オプション）ソースの詳細説明を出力します。
group
（オプション）IGMP グループのアドレス。このオプション引数を含め
ると、表示は指定されたグループに限定されます。
if_name
（オプション）指定されたインターフェイスについてのグループ情報
を表示します。
reserved
（オプション）予約されたグループについての情報を表示します。
summary
（オプション）グループ加入の要約情報を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
トランスペ
ルーテッドアレント
シングル
コマンドモード
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
—
•
Yes
マルチ
コンテキストシステム
—
—
変更内容
このコマンドが追加されました。
使用上のガイドライン
オプションの引数およびキーワードをすべて省略すると、show igmp groups コマンドは、直接接
続されたマルチキャストグループを、グループアドレス、インターフェイスタイプ、およびイン
ターフェイス番号別に表示します。
例
次に、show igmp groups コマンドの出力例を示します。
ciscoasa# show igmp groups
IGMP Connected Group Membership
Group Address
Interface
224.1.1.1
inside
関連コマンド
コマンド
show igmp interface
Uptime
00:00:53
Expires
00:03:26
Last Reporter
192.168.1.6
説明
インターフェイスのマルチキャスト情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-37
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show igmp interface
show igmp interface
インターフェイスのマルチキャスト情報を表示するには、特権 EXEC モードで show igmp
interface コマンドを使用します。
show igmp interface [if_name]
構文の説明
if_name
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）選択したインターフェイスについての IGMP グループ
情報を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが変更されました。detail キーワードが削除されました。
使用上のガイドライン
オプションの if_name 引数を省略すると、show igmp interface コマンドはすべてのインターフェ
イスについての情報を表示します。
例
次に、show igmp interface コマンドの出力例を示します。
ciscoasa# show igmp interface inside
inside is up, line protocol is up
Internet address is 192.168.37.6, subnet mask is 255.255.255.0
IGMP is enabled on interface
IGMP query interval is 60 seconds
Inbound IGMP access group is not set
Multicast routing is enabled on interface
Multicast TTL threshold is 0
Multicast designated router (DR) is 192.168.37.33
No multicast groups joined
関連コマンド
コマンド
show igmp groups
説明
ASA に直接接続されている受信者、および IGMP を通じて学習された
受信者を含むマルチキャストグループを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-38
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show igmp traffic
show igmp traffic
IGMP トラフィックの統計情報を表示するには、特権 EXEC モードで show igmp traffic コマンド
を使用します。
show igmp traffic
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
変更内容
このコマンドが追加されました。
次に、show igmp traffic コマンドの出力例を示します。
ciscoasa# show igmp traffic
IGMP Traffic Counters
Elapsed time since counters cleared: 00:02:30
Received
Sent
Valid IGMP Packets
3
6
Queries
2
6
Reports
1
0
Leaves
0
0
Mtrace packets
0
0
DVMRP packets
0
0
PIM packets
0
0
Errors:
Malformed Packets
Martian source
Bad Checksums
関連コマンド
0
0
0
コマンド
clear igmp counters
説明
clear igmp traffic
IGMP トラフィックカウンタをクリアします。
すべての IGMP 統計カウンタをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-39
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show import webvpn
show import webvpn
ASA または Anyconnect セキュアモビリティクライアントをカスタマイズおよびローカライズ
する、フラッシュメモリ内のファイル、カスタマイゼーションオブジェクト、変換テーブル、ま
たはプラグインを一覧表示するには、特権 EXEC モードで show import webvpn コマンドを使用
します。
show import webvpn {AnyConnect-customization | customization | mst-translation | plug-in |
translation-table | url-list | webcontent}[detailed | xml-output]
構文の説明
AnyConnect-customization AnyConnect クライアント GUI をカスタマイズする、ASA フラッ
シュメモリ内のリソースファイル、実行可能ファイルおよび MS
トランスフォームを表示します。
customization
クライアントレス VPN ポータルをカスタマイズする、ASA フ
ラッシュメモリ内の XML カスタマイゼーションオブジェクト
を表示します（ファイル名は base64 デコード済み）。
mst-translation
AnyConnect クライアントインストーラプログラムを翻訳する、
ASA フラッシュメモリ内の MS トランスフォームを表示します。
plug-in
ASA フラッシュメモリ内のプラグインモジュールを表示します
（SSH、VNC、および RDP などのサードパーティの Java ベースの
クライアントアプリケーション）。
translation-table
クライアントレスポータル、Secure Desktop およびプラグインに
よって表示されるユーザメッセージの言語を変換する、ASA フ
ラッシュメモリ内の変換テーブルを表示します。
url-list
クライアントレスポータルによって使用される、ASA フラッ
シュメモリ内の URL の一覧を表示します（ファイル名は base64
デコード済み）。
webcontent
クライアントレスポータル、クライアントレスアプリケーション
およびプラグインによって、エンドユーザに表示されるオンライ
ンヘルプに使用される、ASA フラッシュメモリ内のコンテンツ
を表示します。
detailed
フラッシュメモリ内のファイルおよびハッシュのパスを表示し
ます。
xml-output
ファイルの XML を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC モード
ルーテッド
•
Yes
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-40
トランスペ
アレント
シングル
マルチ
—
—
•
Yes
コンテキストシステム
—
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show import webvpn
コマンド履歴
リリース
8.0(2)
変更内容
8.2(1)
AnyConnect-customization キーワードが追加されました。
このコマンドが追加されました。
使用上のガイドライン
show import webvpn コマンドを使用すると、クライアントレス SSL VPN ユーザが使用可能なカ
スタムデータおよび Java ベースのクライアントアプリケーションが識別されます。表示される
リストでは、ASA のフラッシュメモリにある要求されるすべてのデータタイプの詳細が表示さ
れます。
例
次に、さまざまな show import webvpn コマンドによって表示される WebVPN データの例を示し
ます。
ciscoasa# show import webvpn plug
ssh
rdp
vnc
ciscoasa#
ciscoasa#show import webvpn plug detail
post GXN2BIGGOAOkBMibDQsMu2GWZ3Q= Tue, 29 Apr 2008 19:57:03 GMT
rdp fHeyReIOUwDCgAL9HdTsPnjdBOo= Tue, 15 Sep 2009 23:23:56 GMT
rdp2 shw8c22T2SsILLk6zyCd6H6VOz8= Wed, 11 Feb 2009 21:17:54 GMT
ciscoasa# show import webvpn customization
Template
DfltCustomization
ciscoasa#
ciscoasa# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
banners
csd
customization
url-list
webvpn
Translation Tables:
ru
ua
ciscoasa#
customization
customization
ciscoasa# show import webvpn url-list
Template
No bookmarks are currently defined
ciscoasa#
ciscoasa# show import webvpn webcontent
No custom webcontent is loaded
ciscoasa#
関連コマンド
コマンド
revert webvpn all
説明
ASA に現在存在するすべての WebVPN データおよびプラグ
インを削除します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-41
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
show interface
インターフェイス統計情報を表示するには、特権 EXEC モードで show interface コマンドを使用
します。
show interface [{physical_interface | redundantnumber}[.subinterface] | mapped_name |
interface_name | vlan number] [stats | detail]
構文の説明
detail
（オプション）インターフェイスの詳細な情報を表示します。この情報
には、インターフェイスが追加された順序、設定されている状態、実際
の状態、非対称ルーティングの統計情報（asr-group コマンドによって非
対称ルーティングがイネーブルになっている場合）が含まれます。すべ
てのインターフェイスを表示すると、SSM 用の内部インターフェイス
が ASA 5500 シリーズ適応型セキュリティアプライアンスにインス
トールされている場合は、それらのインターフェイスに関する情報が
表示されます。内部インターフェイスは、ユーザによる設定は不可能で
す。情報はデバッグだけを目的としています。
interface_name
（オプション）nameif コマンド内にインターフェイス名のセットを指定
します。
mapped_name
（オプション）allocate-interface コマンドを使用してマッピング名を割
り当てた場合、マルチコンテキストモードでその名前を指定します。
physical_interface
（オプション）gigabitethernet 0/1 のようなインターフェイス ID を識別
します。有効値については、interface コマンドを参照してください。
redundantnumber
（オプション）redundant1 のような冗長インターフェイス ID を識別し
ます。
stats
（デフォルト）インターフェイス情報および統計情報を表示します。こ
のキーワードはデフォルトであるため、このキーワードはオプション
です。
subinterface
（オプション）論理サブインターフェイスを示す 1 ～ 4294967293 の整数
を指定します。
vlan number
（オプション）ASA 5505 適応型セキュリティアプライアンスなど、組み込
みスイッチのあるモデルでは、VLAN インターフェイスを指定します。
デフォルト
いずれのオプションも識別しない場合、このコマンドはすべてのインターフェイスについての
基本的な統計情報を表示します。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
ルーテッド
•
Yes
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-42
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
•
Yes
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
変更内容
7.0(4)
このコマンドに、4GE SSM インターフェイス用のサポートが追加され
ました。
7.2(1)
このコマンドに、スイッチインターフェイス用のサポートが追加され
ました。
8.0(2)
このコマンドに、冗長インターフェイス用のサポートが追加されました。
また、サブインターフェイス用の遅延が追加されました。input reset drops
と output reset drops の 2 つの新しいカウンタが追加されました。
8.2(1)
No buffer の数値が、ブロック割り当てからの失敗の数を示すように変
更されました。
8.6(1)
このコマンドに、ASA 5512-X ～ ASA 5555-X の共有管理インターフェ
イス、およびソフトウェアモジュールのコントロールプレーンイン
ターフェイスのサポートが追加されました。管理インターフェイスは
show interface detail コマンドを使用して Internal-Data0/1 として表示さ
れ、コントロールプレーンインターフェイスは Internal-Control0/0 とし
て表示されます。
このコマンドは、新しいインターフェイス番号付け方式を取り入れるよ
うに変更され、明示的に指定するための stats キーワード、および detail
キーワードが追加されました。
1 つのインターフェイスが複数のコンテキストで共有されているときに、あるコンテキストでこ
のコマンドを入力した場合、ASA は現在のコンテキストの統計情報だけを表示します。物理イン
ターフェイスのシステム実行スペース内でこのコマンドを使用すると、ASA はすべてのコンテ
キストについて組み合わせた統計情報を表示します。
サブインターフェイスについて表示される統計情報の数は、物理インターフェイスについて表
示される統計情報の数のサブセットです。
インターフェイス名は、システム実行スペースでは使用できません。これは、nameif コマンドは
コンテキスト内だけで使用できるためです。同様に、allocate-interface コマンドを使用してイン
ターフェイス ID をマッピング名にマッピングした場合、そのマッピング名はコンテキスト内だ
けで使用できます。allocate-interface コマンドで visible キーワードを設定した場合、ASA は
show interface コマンドの出力にインターフェイス ID を表示します。
（注）
Hardware カウントと Traffic Statistics カウントでは、送信または受信されるバイト数が異なりま
す。
Hardware カウントでは、この量はハードウェアから直接取得され、レイヤ 2 パケットのサイズが
反映されます。一方、Traffic Statistics では、レイヤ 3 パケットのサイズが反映されます。
カウントの差はインターフェイスカードハードウェアの設計に基づいて異なります。
たとえば、ファストイーサネットカードの場合、レイヤ 2 カウントはイーサネットヘッダーを
含むため、トラフィックカウントよりも 14 バイト大きくなります。ギガビットイーサネット
カードの場合、レイヤ 2 カウントはイーサネットヘッダーと CRC の両方を含むため、トラ
フィックカウントよりも 18 バイト大きくなります。
出力の説明については、「例」を参照してください。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-43
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
例
次に、show interface コマンドの出力例を示します。
ciscoasa# show interface
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 000b.fcf8.c44e, MTU 1500
IP address 10.86.194.60, subnet mask 255.255.254.0
1328522 packets input, 124426545 bytes, 0 no buffer
Received 1215464 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
9 L2 decode drops
124606 packets output, 86803402 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/7)
output queue (curr/max packets): hardware (0/13)
Traffic Statistics for "outside":
1328509 packets input, 99873203 bytes
124606 packets output, 84502975 bytes
524605 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/1 "inside", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
MAC address 000b.fcf8.c44f, MTU 1500
IP address 10.10.0.1, subnet mask 255.255.0.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0)
output queue (curr/max packets): hardware (0/0)
Traffic Statistics for "inside":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/2 "faillink", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
Description: LAN/STATE Failover Interface
MAC address 000b.fcf8.c450, MTU 1500
IP address 192.168.1.1, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-44
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0)
output queue (curr/max packets): hardware (0/0)
Traffic Statistics for "faillink":
0 packets input, 0 bytes
1 packets output, 28 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/3 "", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
Active member of Redundant5
MAC address 000b.fcf8.c451, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0)
output queue (curr/max packets): hardware (0/0)
Interface Management0/0 "", is administratively down, line protocol is down
Hardware is i82557, BW 100 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
Available but not configured via nameif
MAC address 000b.fcf8.c44d, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (128/128) software (0/0)
output queue (curr/max packets): hardware (0/0) software (0/0)
Interface Redundant1 "", is down, line protocol is down
Redundancy Information:
Members unassigned
Interface Redundant5 "redundant", is administratively down, line protocol is down
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex, Auto-Speed
MAC address 000b.fcf8.c451, MTU 1500
IP address 10.2.3.5, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (0/0) software (0/0)
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-45
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
output queue (curr/max packets): hardware (0/0) software (0/0)
Traffic Statistics for "redundant":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Redundancy Information:
Member GigabitEthernet0/3(Active), GigabitEthernet0/2
Last switchover at 15:15:26 UTC Oct 24 2006
Interface Redundant5.1 "", is down, line protocol is down
VLAN identifier none
Available but not configured with VLAN or via nameif
表 7-5 に、各フィールドの説明を示します。
表 7-5
show interface の各フィールド
フィールド
説明
Interface ID
インターフェイス ID。コンテキスト内では、allocate-interface コマンドで
visible キーワードを設定しない限り、ASA はマッピング名（設定されている
場合）を表示します。
“interface_name”
nameif コマンドで設定されたインターフェイス名。システム実行スペース
では、システムに名前を設定できないため、このフィールドはブランクです。
名前を設定しない場合、Hardware 行の下に次のメッセージが表示されます。
Available but not configured via nameif
is state
Line protocol is
state
VLAN identifier
管理状態は次のとおりです。
•
up：インターフェイスはシャットダウンされていません。
•
administratively down：インターフェイスは、shutdown コマンドを使用し
てシャットダウンされています。
回線ステータスは次のとおりです。
•
up：動作するケーブルがネットワークインターフェイスに接続されてい
ます。
•
down：ケーブルが正しくないか、インターフェイスコネクタに接続され
ていません。
サブインターフェイスの場合、VLAN ID。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-46
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
表 7-5
show interface の各フィールド（続き）
フィールド
説明
Hardware
インターフェイスのタイプ、最大帯域幅、遅延、デュプレックス方式、および
速度。リンクがダウンしている場合は、デュプレックス方式と速度は設定値
が表示されます。リンクが動作している場合、これらのフィールドには実際
の設定がカッコで囲まれて設定値とともに表示されます。次に、一般的な
ハードウェアタイプを示します。
•
i82542：PIX プラットフォームで使用される Intel PCI ファイバギガビッ
トカード
•
i82543：PIX プラットフォームで使用される Intel PCI-X ファイバギガ
ビットカード
•
i82546GB：ASA プラットフォーム上で使用される Intel PCI-X 銅線ギガ
ビット
•
i82547GI：ASA プラットフォーム上でバックプレーンとして使用される
Intel CSA 銅線ギガビット
•
i82557：ASA プラットフォーム上で使用される Intel PCI 銅線ファスト
イーサネット
•
i82559：PIX プラットフォームで使用される Intel PCI 銅線ファストイー
サネット
•
VCS7380：SSM-4GE で使用される Vitesse 4 ポートギガビットスイッチ
Media-type
（4GE SSM インターフェイスの場合のみ）インターフェイスが RJ-45 または
SFP のいずれとして設定されているかを示します。
message area
一部の状況で、メッセージが表示される場合もあります。次の例を参照して
ください。
•
システム実行スペースで、次のメッセージが表示される場合があります。
Available for allocation to a context
•
名前を設定しない場合、次のメッセージが表示されます。
Available but not configured via nameif
•
インターフェイスが冗長インターフェイスのメンバーの場合、次のメッ
セージが表示されます。
Active member of Redundant5
MAC address
インターフェイスの MAC アドレス。
MTU
このインターフェイス上で許可されるパケットの最大サイズ（バイト単位）。
インターフェイス名を設定しない場合、このフィールドには「MTU not set」
と表示されます。
IP address
ip address コマンドを使用して設定したか、DHCP サーバから受信したイン
ターフェイスの IP アドレス。システム実行スペースでは、システムに IP ア
ドレスを設定できないため、このフィールドには「IP address unassigned」と表
示されます。
Subnet mask
IP アドレスのサブネットマスク。
Packets input
このインターフェイスで受信したパケットの数。
Bytes
このインターフェイスで受信したバイト数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-47
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
表 7-5
show interface の各フィールド（続き）
フィールド
No buffer
説明
ブロック割り当てからの失敗の数。
Received:
Broadcasts
Input errors
受信したブロードキャストの数。
次に示すタイプを含めた入力エラーの総数。入力に関係する他のエラーも入
力エラーのカウントが増加する原因になります。また、一部のデータグラム
は複数のエラーを含んでいることもあります。したがって、この合計数は、次
に示すタイプについて表示されるエラーの数を超えることがあります。
Runts
最小のパケットサイズ（64 バイト）よりも小さいために廃棄されたパケット
の数。ラントは通常、コリジョンによって発生します。不適切な配線や電気干
渉によって発生することもあります。
Giants
最大パケットサイズを超えたため廃棄されるパケットの数。たとえば、1518
バイトよりも大きいイーサネットパケットはジャイアントと見なされます。
CRC
巡回冗長検査エラーの数。ステーションがフレームを送信すると、フレーム
の末尾に CRC を付加します。この CRC は、フレーム内のデータに基づくア
ルゴリズムから生成されます。送信元と宛先の間でフレームが変更された場
合、ASA は CRC が一致しないことを通知します。CRC の数値が高いことは、
通常、コリジョンの結果であるか、ステーションが不良データを送信するこ
とが原因です。
Frame
フレームエラーの数。不良フレームには、長さが正しくないパケットや、フ
レームチェックサムが正しくないパケットがあります。このエラーは通常、
コリジョンまたはイーサネットデバイスの誤動作が原因です。
Overrun
ASA のデータ処理能力を入力レートが超えたため、ASA がハードウェア
バッファに受信したデータを処理できなかった回数。
Ignored
このフィールドは使用されません。値は常に 0 です。
Abort
このフィールドは使用されません。値は常に 0 です。
L2 decode drops
名前がまだ設定されていないか（nameif コマンド）、無効な VLAN ID を持つ
フレームが受信されたためにドロップしたパケットの数。冗長インターフェ
イスコンフィギュレーションのスタンバイインターフェイスでは、このイ
ンターフェイスに名前（nameif コマンド）が設定されていないため、カウン
タが増加する可能性があります。
Packets output
このインターフェイスに送信されたパケットの数。
Bytes
このインターフェイスに送信されたバイトの数。
Underruns
ASA が処理できるよりも速くトランスミッタが稼働した回数。
Output Errors
設定されたコリジョンの最大数を超えたため送信されなかったフレームの
数。このカウンタは、ネットワークトラフィックが多い場合にのみ増加し
ます。
Collisions
イーサネットコリジョン（単一および複数のコリジョン）が原因で再送信さ
れたメッセージの数。これは通常、過渡に延長した LAN で発生します（イー
サネットケーブルまたはトランシーバケーブルが長すぎる、ステーション
間のリピータが 2 つよりも多い、またはマルチポートトランシーバのカス
ケードが多すぎる場合）。衝突するパケットは、出力パケットによって 1 回だ
けカウントされます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-48
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
表 7-5
show interface の各フィールド（続き）
フィールド
説明
Interface resets
インターフェイスがリセットされた回数。インターフェイスで 3 秒間送信で
きない場合、ASA はインターフェイスをリセットして送信を再開します。こ
の間隔では、接続状態が維持されます。インターフェイスのリセットは、イン
ターフェイスがループバックまたはシャットダウンする場合も発生します。
Babbles
未使用。（「バブル」は、トランスミッタが最長フレームの送信に要した時間よ
りも長くインターフェイスに留まっていたことを意味します）。
Late collisions
通常のコリジョンウィンドウの外側でコリジョンが発生したため、送信さ
れなかったフレームの数。レイトコリジョンは、パケットの送信中に遅れて
検出されるコリジョンです。これは通常発生しません。2 つのイーサネット
ホストが同時に通信しようとした場合、早期にパケットが衝突して両者が
バックオフするか、2 番目のホストが 1 番目のホストの通信状態を確認して
待機します。
レイトコリジョンが発生すると、デバイスは割り込みを行ってイーサネッ
ト上にパケットを送信しようとしますが、ASA はパケットの送信を部分的
に完了しています。ASA は、パケットの最初の部分を保持するバッファを解
放した可能性があるため、パケットを再送しません。このことはあまり問題
になりません。その理由は、ネットワーキングプロトコルはパケットを再送
することでコリジョンを処理する設計になっているためです。ただし、レイ
トコリジョンはネットワークに問題が存在することを示しています。一般
的な問題は、リピータで接続された大規模ネットワーク、および仕様の範囲
を超えて動作しているイーサネットネットワークです。
Deferred
リンク上のアクティビティが原因で送信前に保留されたフレームの数。
input reset drops
リセットが発生したときに RX リングでドロップしたパケットの数をカウン
トします。
output reset drops
リセットが発生したときに TX リングでドロップしたパケットの数をカウン
トします。
Rate limit drops
（4GE SSM インターフェイスの場合だけ）ギガビット以外の速度でインター
フェイスを設定して、設定に応じて 10 Mbps または 100 Mbps を超えて送信
しようとした場合にドロップされたパケットの数。
Lost carrier
送信中に搬送波信号が消失した回数。
No carrier
未使用。
Input queue
入力キュー内のパケットの数（現行値と最大値）。
(curr/max packets):
Hardware
ハードウェアキュー内のパケットの数。
Software
ソフトウェアキュー内のパケットの数。ギガビットイーサネットインター
フェイスでは使用できません。
Output queue
出力キュー内のパケットの数（現行値と最大値）。
(curr/max packets):
Hardware
ハードウェアキュー内のパケットの数。
Software
ソフトウェアキュー内のパケットの数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-49
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
表 7-5
show interface の各フィールド（続き）
フィールド
説明
input queue (blocks curr/low エントリは、インターフェイスの受信（入力）記述子リング上の現在
free curr/low)
のスロットおよび使用可能な all-time-lowest スロットの番号を示します。こ
れらは、メイン CPU によって更新されるため、all-time-lowest（インターフェ
イス統計情報が削除されるか、またはデバイスがリロードされるまで）の水
準点はあまり正確ではありません。
output queue
(blocks free
curr/low)
curr/low エントリは、インターフェイスの送信（出力）記述子リング上の現在
のスロットおよび使用可能な all-time-lowest スロットの番号を示します。こ
れらは、メイン CPU によって更新されるため、all-time-lowest（インターフェ
イス統計情報が削除されるか、またはデバイスがリロードされるまで）の水
準点はあまり正確ではありません。
Traffic Statistics:
受信、送信、またはドロップしたパケットの数。
Packets input
受信したパケットの数とバイトの数。
Packets output 送信したパケットの数とバイトの数。
Packets
dropped
ドロップしたパケットの数。このカウンタは通常、高速セキュリティパス
（ASP）上でドロップしたパケットについて増分します（たとえば、アクセス
リスト拒否が原因でパケットをドロップした場合など）。
インターフェイス上でドロップが発生する原因については、show asp drop
コマンドを参照してください。
1 minute input 過去 1 分間に受信したパケットの数（パケット /秒およびバイト /秒）。
rate
1 minute
output rate
過去 1 分間に送信したパケットの数（パケット /秒およびバイト /秒）。
1 minute drop 過去 1 分間にドロップしたパケットの数（パケット /秒）。
rate
5 minute input 過去 5 分間に受信したパケットの数（パケット /秒およびバイト /秒）。
rate
5 minute
output rate
過去 5 分間に送信したパケットの数（パケット /秒およびバイト /秒）。
5 minute drop 過去 5 分間にドロップしたパケットの数（パケット /秒）。
rate
Redundancy
Information:
冗長インターフェイスについて、メンバー物理インターフェイスを示しま
す。アクティブインターフェイスの場合はインターフェイス ID の後に
「(Active)」と表示されます。
メンバーをまだ割り当てていない場合、次の出力が表示されます。
Members unassigned
Last switchover
冗長インターフェイスの場合、アクティブインターフェイスがスタンバイ
インターフェイスにフェールオーバーした時刻を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-50
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
次に、スイッチポートを含む ASA 5505 上での show interface コマンドの出力例を示します。
ciscoasa# show interface
Interface Vlan1 "inside", is up, line protocol is up
Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
MAC address 00d0.2bff.449f, MTU 1500
IP address 1.1.1.1, subnet mask 255.0.0.0
Traffic Statistics for "inside":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface Ethernet0/0 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 1000 usec
Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
Available but not configured via nameif
MAC address 00d0.2bfd.6ec5, MTU not set
IP address unassigned
407 packets input, 53587 bytes, 0 no buffer
Received 103 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
43 switch ingress policy drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
0 rate limit drops
0 switch egress policy drops
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-51
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
表 7-7 に、ASA 5505 適応型セキュリティアプライアンスのスイッチインターフェイスなどのス
イッチインターフェイスに対する show interface コマンドの各フィールドの説明を示します。
show interface コマンドでも表示されるフィールドについては、表 7-6 を参照してください。
表 7-6
スイッチインターフェイスについての show interface の各フィールド
フィールド
説明
switch ingress
policy drops
このドロップは通常、ポートが正しく設定されていないときに表示されま
す。このドロップは、デフォルトまたはユーザ設定のスイッチポート設定の
結果としてスイッチポート内でパケットが正常に転送できない場合に増分
されます。このドロップの原因として、次のコンフィギュレーションが考え
られます。
•
nameif コマンドが VLAN インターフェイス上で設定されていない。
（注）
switch egress
policy drops
同じ VLAN 内のインターフェイスに、nameif コマンドが設定されて
いなかった場合でも、VLAN 内のスイッチングは正常で、このカウン
タは増分されません。
•
VLAN がシャットダウンしている。
•
アクセスポートで 802.1Q タグが付いたパケットを受信した。
•
トランクポートで許可されないタグまたはタグのないパケットを受信
した。
•
ASA が、イーサネットキープアライブを持つ別のシスコデバイスに接
続されている。たとえば、Cisco IOS ソフトウェアではインターフェイス
ヘルス状態を確認するためにイーサネットループバックパケットを使
用します。このパケットは、他のデバイスによって受信されるためのも
のではなく、パケットをただ送信できることによって、ヘルス状態が確
認されます。これらのタイプのパケットはスイッチポートでドロップ
され、カウンタが増分されます。
現在使用されていません。
次に、show interface detail コマンドの出力例を示します。次に、すべてのインターフェイス（プ
ラットフォームに存在する場合は内部インターフェイスを含む）についての詳細なインター
フェイス統計情報および非対称ルーティング統計情報（asr-group コマンドでイネーブルにされ
ている場合）を表示する例を示します。
ciscoasa# show interface detail
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 1000 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 000b.fcf8.c44e, MTU 1500
IP address 10.86.194.60, subnet mask 255.255.254.0
1330214 packets input, 124580214 bytes, 0 no buffer
Received 1216917 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
9 L2 decode drops
124863 packets output, 86956597 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max packets): hardware (0/7)
output queue (curr/max packets): hardware (0/13)
Traffic Statistics for "outside":
1330201 packets input, 99995120 bytes
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-52
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
124863 packets output, 84651382 bytes
525233 packets dropped
Control Point Interface States:
Interface number is 1
Interface config status is active
Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
Hardware is i82547GI rev00, BW 1000 Mbps, DLY 1000 usec
(Full-duplex), (1000 Mbps)
MAC address 0000.0001.0002, MTU not set
IP address unassigned
6 packets input, 1094 bytes, 0 no buffer
Received 6 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops, 0 demux drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max packets): hardware (0/2) software (0/0)
output queue (curr/max packets): hardware (0/0) software (0/0)
Control Point Interface States:
Interface number is unassigned
...
表 7-7 に、show interface detail コマンドの各フィールドの説明を示します。show interface コマ
ンドでも表示されるフィールドについては、表 7-6 を参照してください。
表 7-7
show interface detail の各フィールド
フィールド
説明
Demux drops
（内部データインターフェイスのみ）ASA が SSM インターフェイスからの
パケットを逆多重化できなかったためドロップしたパケットの数。SSM イ
ンターフェイスはバックプレーンを介してネイティブインターフェイスと
通信し、すべての SSM インターフェイスからのパケットはバックプレーン
上で多重化されます。
Control Point
Interface States:
Interface
number
デバッグに使用される 0 から始まる番号で、このインターフェイスが作成
された順番を示します。
Interface
config status
管理状態は次のとおりです。
Interface state
•
active：インターフェイスはシャットダウンされていません。
•
not active：インターフェイスは shutdown コマンドでシャットダウンさ
れています。
インターフェイスの実際の状態。この状態は通常、上記の config status と一
致します。ハイアベイラビリティを設定した場合、ASA は必要に応じてイ
ンターフェイスを動作状態またはダウン状態にするため、不一致が生じる
可能性があります。
Asymmetrical
Routing Statistics:
Received X1
packets
このインターフェイスで受信した ASR パケットの数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-53
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
表 7-7
show interface detail の各フィールド（続き）
フィールド
説明
Transmitted
X2 packets
このインターフェイスで送信した ASR パケットの数。
Dropped X3
packets
このインターフェイスでドロップした ASR パケットの数。パケットは、パ
ケットを転送しようとしたときにインターフェイスがダウン状態の場合に
ドロップされることがあります。
次に、ASA 5512-X ～ ASA 5555-X 上の show interface detail コマンドの出力例を示します。この
例では、ASA とソフトウェアモジュールの両方の管理 0/0 インターフェイス（「Internal-Data0/1」
として表示）の統計情報を組み合わせて示しています。出力には、Internal-Control0/0 インター
フェイスも示されています。これは、ソフトウェアモジュールと ASA 間の制御トラフィックに
使用されています。
Interface Internal-Data0/1 "ipsmgmt", is down, line protocol is up
Hardware is , BW Unknown Speed-Capability, DLY 1000 usec
(Full-duplex), (1000 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0100.0100.0000, MTU not set
IP address 127.0.1.1, subnet mask 255.255.0.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
182 packets output, 9992 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (0/0)
output queue (blocks free curr/low): hardware (0/0)
Traffic Statistics for "ipsmgmt":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Control Point Interface States:
Interface number is 11
Interface config status is active
Interface state is active
Interface Internal-Control0/0 "cplane", is down, line protocol is up
Hardware is , BW Unknown Speed-Capability, DLY 1000 usec
(Full-duplex), (1000 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0100.0100.0000, MTU not set
IP address 127.0.1.1, subnet mask 255.255.0.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
182 packets output, 9992 bytes, 0 underruns
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-54
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (0/0)
output queue (blocks free curr/low): hardware (0/0)
Traffic Statistics for "cplane":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Control Point Interface States:
Interface number is 11
Interface config status is active
Interface state is active
関連コマンド
コマンド
allocate-interface
説明
clear interface
show interface コマンドのカウンタをクリアします。
delay
インターフェイスの遅延メトリックを変更します。
interface
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
インターフェイスおよびサブインターフェイスをセキュリティコン
テキストに割り当てます。
インターフェイス名を設定します。
show interface ip brief インターフェイスの IP アドレスとステータスを表示します。
nameif
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-55
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface ip brief
show interface ip brief
インターフェイスの IP アドレスおよびステータスを表示するには、特権 EXEC モードで show
interface ip brief コマンドを使用します。
show interface [physical_interface[.subinterface] | mapped_name | interface_name | vlan number]
ip brief
構文の説明
interface_name
（オプション）nameif コマンド内にインターフェイス名のセットを指定
します。
mapped_name
（オプション）allocate-interface コマンドを使用してマッピング名を割
り当てた場合、マルチコンテキストモードでその名前を指定します。
physical_interface
（オプション）gigabitethernet0/1 などのインターフェイス ID を指定し
ます。有効値については、interface コマンドを参照してください。
subinterface
（オプション）論理サブインターフェイスを示す 1 ～ 4294967293 の整数
を指定します。
vlan number
（オプション）ASA 5505 適応型セキュリティアプライアンスなど、組み込
みスイッチのあるモデルでは、VLAN インターフェイスを指定します。
デフォルト
インターフェイスを指定しない場合、ASA はすべてのインターフェイスを表示します。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
トランスペ
ルーテッドアレント 1
•
Yes
•
マルチ
シングル
Yes
•
Yes
コンテキストシステム
•
Yes
—
1. 管理 0/0 インターフェイスまたはサブインターフェイスだけで使用可能です。
コマンド履歴
使用上のガイドライン
リリース
7.0(1)
変更内容
7.2(1)
このコマンドに、VLAN インターフェイス、およびトランスペアレント
モードでの管理 0/0 インターフェイスまたはサブインターフェイスの
サポートが追加されました。
このコマンドが追加されました。
マルチコンテキストモードで、allocate-interface コマンドを使用してインターフェイス ID を
マッピングした場合、そのマッピング名またはインターフェイス名はコンテキスト内だけで指
定できます。
出力表示の詳細については、「例」を参照してください。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-56
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show interface ip brief
例
次に、show ip brief コマンドの出力例を示します。
ciscoasa# show interface ip brief
Interface
IP-Address
Control0/0
127.0.1.1
GigabitEthernet0/0
209.165.200.226
GigabitEthernet0/1
unassigned
GigabitEthernet0/2
10.1.1.50
GigabitEthernet0/3
192.168.2.6
Management0/0
209.165.201.3
OK?Method Status
Protocol
YES CONFIG up
up
YES CONFIG up
up
YES unset
administratively down down
YES manual administratively down down
YES DHCP
administratively down down
YES CONFIG up
表 7-8 に、各フィールドの説明を示します。
表 7-8
show interface ip brief の各フィールド
フィールド
Interface
allocate-interface コマンドを使用して設定した場合の、マルチコンテキスト
モードでのインターフェイス ID またはマッピング名。すべてのインター
フェイスを表示すると、AIP SSM の内部インターフェイスが ASA にインス
トールされている場合は、それらのインターフェイスに関する情報が表示さ
れます。内部インターフェイスは、ユーザによる設定は不可能です。情報はデ
バッグだけを目的としています。
IP-Address
インターフェイスの IP アドレス。
OK?
この列は現在使用されておらず、常に「Yes」と表示されます。
Method
インターフェイスが IP アドレスを受信した方法。値は次のとおりです。
Status
Protocol
関連コマンド
説明
コマンド
allocate-interface
interface
ip address
nameif
show interface
•
unset：IP アドレスは設定されていません。
•
manual：実行コンフィギュレーションを設定しました。
•
CONFIG：スタートアップコンフィギュレーションからロードしました。
•
DHCP：DHCP サーバから受信しました。
管理状態は次のとおりです。
•
up：インターフェイスはシャットダウンされていません。
•
administratively down：インターフェイスは、shutdown コマンドを使用し
てシャットダウンされています。
回線ステータスは次のとおりです。
•
up：動作するケーブルがネットワークインターフェイスに接続されてい
ます。
•
down：ケーブルが正しくないか、インターフェイスコネクタに接続され
ていません。
説明
インターフェイスおよびサブインターフェイスをセキュリティコンテ
キストに割り当てます。
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
インターフェイスの IP アドレス、またはトランスペアレントファイア
ウォールの管理 IP アドレスを設定します。
インターフェイス名を設定します。
インターフェイスの実行時ステータスと統計情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-57
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show inventory
show inventory
製品 ID（PID）、バージョン ID（VID）、およびシリアル番号（SN）が割り当てられているネットワー
キングデバイスにインストールされているすべてのシスコ製品に関する情報を表示するには、
ユーザ EXEC モードまたは特権 EXEC モードで show inventory コマンドを使用します。
show inventory [mod_id]
構文の説明
mod_id
デフォルト
項目のインベントリを表示するスロットを指定しない場合は、すべてのモジュール（電源モ
ジュールを含む）のインベントリ情報が表示されます。
コマンドモード
次の表は、このコマンドを入力できるモードを示しています。
（オプション）モジュール ID またはスロット番号（0 ～ 3）を指定します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
コマンド履歴
使用上のガイドライン
トランスペ
ルーテッドアレント
シングル
マルチ
コンテキストシステム
特権 EXEC
•
Yes
•
Yes
—
—
•
Yes
ユーザ EXEC
•
Yes
•
Yes
—
—
•
Yes
リリース
7.0(1)
変更内容
8.4(2)
SSP の出力が追加されました。さらに、デュアル SSP インストールのサ
ポートが追加されました。
8.6(1)
ASA 5512-X、5515-X、5525-X、5545-X および 5555-X（シャーシ、冗長電
源、I/O 拡張カード）の出力が追加されました。
9.1(1)
ASA CX モジュールの出力が追加されました。
細かい編集上の変更。
show inventory コマンドは、各シスコ製品についてのインベントリ情報を UDI 形式で取得およ
び表示します。UDI 形式とは、製品 ID（PID）、バージョン番号（VID）、およびシリアル番号（SN）と
いう 3 つの別個のデータ要素の組み合わせです。
PID は、製品の注文に使用する名前です。過去には、「製品名」または「部品番号」と呼ばれていまし
た。これは、正確な交換部品を注文するために使用する ID です。
VID は製品のバージョンです。製品が変更されると、VID は、製品の変更通知を管理する業界ガ
イドラインである Telcordia GR-209-CORE から定めた厳格なプロセスに従って増分されます。
SN はベンダー固有の製品の通し番号です。それぞれの製品には工場で割り当てた独自のシリア
ル番号があり、現場では変更できません。シリアル番号は、製品の個別の特定のインスタンスを
識別するための手段です。シリアル番号は、デバイスのさまざまなコンポーネントに応じてその
長さが異なる場合があります。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-58
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show inventory
UDI では各製品をエンティティと呼びます。シャーシなどの一部のエンティティには、スロット
のようなサブエンティティがあります。各エンティティは、シスコエンティティごとに階層的に
配置された論理的な表示順で別々の行に表示されます。
オプションを指定せずに show inventory コマンドを使用すると、ネットワーキングデバイスに取
り付けられており、PID が割り当てられているシスコエンティティのリストが表示されます。
シスコエンティティに PID が割り当てられていない場合、そのエンティティは取得または表示
されません。
（注）
2 つの SSP が同じシャーシに取り付けられている場合は、モジュールの番号がシャーシ内でのモ
ジュールの物理的な場所を示します。スロット 0 に取り付けられた SSP が、常にシャーシマス
ターとなります。センサーは、SSP が関連付けられている場合にのみ、出力に表示されます。
出力内の用語 module は、物理スロットと同等です。SSP 自体の説明においては、物理スロット 0 に
取り付けられている場合には出力に module: 0、それ以外の場合は module: 1 が含まれます。ター
ゲット SSP がシャーシマスターである場合、show inventory コマンドの出力には電源や冷却ファ
ンが含まれます。それ以外の場合、これらのコンポーネントは省略されます。
ASA 5500-X シリーズのハードウェア上の制限により、シリアル番号が表示されない場合がありま
す。これらのモデルの PCI-E I/O（NIC）オプションカードの UDI 表示では、カードタイプは 2 つの
みですが、出力はシャーシタイプに応じて 6 通りになります。これは、指定されたシャーシに応じ
て異なる PCI-E ブラケットアセンブリが使用されるためです。次に、各 PCI-E I/O カードアセンブ
リについて予想される出力を示します。たとえば、Silicom SFP NIC カードが検出された場合、UDI
表示はこのカードが取り付けられているデバイスによって決定されます。VID および S/N の値は
N/A です。これは、これらの値が電子的に格納されていないためです。
ASA 5512-X または 5515-X 内の 6 ポート SFP イーサネット NIC カードの場合：
Name: "module1", DESCR: "ASA 5512-X/5515-X Interface Card 6-port GE SFP, SX/LX"
PID: ASA-IC-6GE-SFP-A
, VID: N/A, SN: N/A
ASA 5525-X 内の 6 ポート SFP イーサネット NIC カードの場合：
Name: "module1", DESCR: "ASA 5525-X Interface Card 6-port GE SFP, SX/LX"
PID: ASA-IC-6GE-SFP-B
, VID: N/A, SN: N/A
ASA 5545-X または 5555-X 内の 6 ポート SFP イーサネット NIC カードの場合：
Name: "module1", DESCR: "ASA 5545-X/5555-X Interface Card 6-port GE SFP, SX/LX"
PID: ASA-IC-6GE-SFP-C
, VID: N/A, SN: N/A
ASA 5512-X または 5515-X 内の 6 ポート銅線イーサネット NIC カードの場合：
Name: "module1", DESCR: "ASA 5512-X/5515-X Interface Card 6-port 10/100/1000, RJ-45"
PID: ASA-IC-6GE-CU-A
, VID: N/A, SN: N/A
ASA 5525-X 内の 6 ポート銅線イーサネット NIC カードの場合：
Name: "module1", DESCR: "ASA 5525-X Interface Card 6-port 10/100/1000, RJ-45"
PID: ASA-IC-6GE-CU-B
, VID: N/A, SN: N/A
ASA 5545-X または 5555-X 内の 6 ポート銅線イーサネット NIC カードの場合：
Name: "module1", DESCR: "ASA 5545-X/5555-X Interface Card 6-port 10/100/1000, RJ-45"
PID: ASA-IC-6GE-CU-C
, VID: N/A, SN: N/A
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-59
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show inventory
例
次に、キーワードや引数を指定していない show inventory コマンドの出力例を示します。この出
力例は、ASA に取り付けられている、PID が割り当てられている各シスコエンティティのリスト
を示しています（ASA CX モジュール用に使用されているストレージデバイスを含む）。
ciscoasa> show inventory
Name: "Chassis", DESCR: "ASA 5555-X with SW, 8 GE Data, 1 GE Mgmt"
PID: ASA5555
, VID: V01
, SN: FGL170441BU
Name: "power supply 1", DESCR: "ASA 5545-X/5555-X AC Power Supply"
PID: ASA-PWR-AC
, VID: N/A
, SN: 2CS1AX
Name: "Storage Device 1", DESCR: "Micron 128 GB SSD MLC, Model Number: C400-MTFDDAC128MAM"
PID: N/A
, VID: N/A
, SN: MXA174201RR
次に、デュアル SSP インストールのシャーシマスター上の show inventory コマンドの出力例を
示します。
ciscoasa(config)# show inventory
Name: "module 0", DESCR: "ASA 5585-X Security Services Processor-40 w 6GE,4 SFP+"
PID: ASA5585-SSP-40
, VID: V01
, SN: JAF1436ACLJ
Name: "Chassis", DESCR: "ASA 5585-X"
PID: ASA5585
, VID: V01
, SN: 123456789AB
Name: "fan", DESCR: "ASA 5585-X Fan Module"
PID: ASA5585-FAN
, VID: V01
, SN: POG1434000G
Name: "power supply 0", DESCR: "ASA 5585-X AC Power Supply"
PID: ASA5585-PWR-AC
, VID: V01
, SN: POG1434002K
表 7-9 に、この出力で表示されるフィールドについて説明します。
表 7-9
関連コマンド
show inventory のフィールドの説明
フィールド
説明
Name
シスコエンティティに割り当てられた物理名（テキストストリング）。た
とえば、コンソール、SSP、または「1」などの簡易コンポーネント番号（ポー
トまたはモジュールの番号）など、デバイスの物理コンポーネント命名構
文に応じて異なります。RFC 2737 の entPhysicalName MIB 変数に相当しま
す。
DESCR
オブジェクトを特徴付けるシスコエンティティの物理的な説明。RFC
2737 の entPhysicalDesc MIB 変数に相当します。
PID
エンティティ製品 ID。RFC 2737 の entPhysicalModelName MIB 変数に相当
します。
VID
エンティティのバージョン番号。RFC 2737 の entPhysicalHardwareRev MIB
変数に相当します。
SN
エンティティのシリアル番号。RFC 2737 の entPhysicalSerialNum MIB 変数
に相当します。
コマンド
show diag
説明
show tech-support
ルータが問題を報告したときに、ルータに関する一般情報を表示します。
ネットワーキングデバイスのコントローラ、インターフェイスプロセッ
サ、およびポートアダプタについての診断情報を表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-60
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address
show ip address
インターフェイス IP アドレス（トランスペアレントモードの場合は管理 IP アドレス）を表示す
るには、特権 EXEC モードで show ip address コマンドを使用します。
show ip address [physical_interface[.subinterface] | mapped_name | interface_name |
vlan number]
構文の説明
interface_name
（オプション）nameif コマンド内にインターフェイス名のセットを指
定します。
mapped_name
（オプション）allocate-interface コマンドを使用してマッピング名を割
り当てた場合、マルチコンテキストモードでその名前を指定します。
physical_interface
（オプション）gigabitethernet0/1 などのインターフェイス ID を指定し
ます。有効値については、interface コマンドを参照してください。
subinterface
（オプション）論理サブインターフェイスを示す 1 ～ 4294967293 の整
数を指定します。
vlan number
（オプション）ASA 5505 適応型セキュリティアプライアンスなど、組み
込みスイッチのあるモデルでは、VLAN インターフェイスを指定しま
す。
デフォルト
インターフェイスを指定しない場合、ASA はすべてのインターフェイス IP アドレスを表示し
ます。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
コマンド履歴
使用上のガイドライン
リリース
7.2(1)
ルーテッド
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドに、VLAN インターフェイス用のサポートが追加されま
した。
このコマンドは、ハイアベイラビリティを設定するときのためのプライマリ IP アドレス（表示
では「System」と記載される）と現在の IP アドレスを表示します。ユニットがアクティブの場合、
システム IP アドレスと現在の IP アドレスは一致します。ユニットがスタンバイの場合、現在の
IP アドレスにはスタンバイアドレスが表示されます。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-61
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address
例
次に、show ip address コマンドの出力例を示します。
ciscoasa# show ip address
System IP Addresses:
Interface
Name
GigabitEthernet0/0
mgmt
GigabitEthernet0/1
inside
GigabitEthernet0/2.40
outside
GigabitEthernet0/3
dmz
Current IP Addresses:
Interface
Name
GigabitEthernet0/0
mgmt
GigabitEthernet0/1
inside
GigabitEthernet0/2.40
outside
GigabitEthernet0/3
dmz
IP address
10.7.12.100
10.1.1.100
209.165.201.2
209.165.200.225
Subnet mask
255.255.255.0
255.255.255.0
255.255.255.224
255.255.255.224
Method
CONFIG
CONFIG
DHCP
manual
IP address
10.7.12.100
10.1.1.100
209.165.201.2
209.165.200.225
Subnet mask
255.255.255.0
255.255.255.0
255.255.255.224
255.255.255.224
Method
CONFIG
CONFIG
DHCP
manual
表 7-10 に、各フィールドの説明を示します。
表 7-10
関連コマンド
show ip address の各フィールド
フィールド
説明
Interface
allocate-interface コマンドを使用して設定した場合の、マルチコンテキスト
モードでのインターフェイス ID またはマッピング名。
Name
nameif コマンドで設定されたインターフェイス名。
IP address
インターフェイスの IP アドレス。
Subnet mask
IP アドレスのサブネットマスク。
Method
インターフェイスが IP アドレスを受信した方法。値は次のとおりです。
•
unset：IP アドレスは設定されていません。
•
manual：実行コンフィギュレーションを設定しました。
•
CONFIG：スタートアップコンフィギュレーションからロードしました。
•
DHCP：DHCP サーバから受信しました。
コマンド
allocate-interface
説明
interface
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
nameif
インターフェイス名を設定します。
インターフェイスおよびサブインターフェイスをセキュリティコン
テキストに割り当てます。
インターフェイスの実行時ステータスと統計情報を表示します。
show interface ip brief インターフェイスの IP アドレスとステータスを表示します。
show interface
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-62
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address dhcp
show ip address dhcp
インターフェイスに対する DHCP リースまたはサーバに関する詳細情報を表示するには、特権
EXEC モードで show ip address dhcp コマンドを使用します。
show ip address {physical_interface[.subinterface] | mapped_name | interface_name} dhcp
{lease | server}
show ip address {physical_interface[.subinterface] | mapped_name | interface_name} dhcp lease
{proxy | server} {summary}
構文の説明
interface_name
nameif コマンドを使用して設定されたインターフェイス名を指定し
ます。
lease
DHCP リースに関する情報を表示します。
mapped_name
マルチコンテキストモードで、マッピング名を allocate-interface コマ
ンドを使用して割り当てた場合、その名前を指定します。
physical_interface
gigabitethernet0/1 などのインターフェイス ID を指定します。有効値に
ついては、interface コマンドを参照してください。
proxy
IPL テーブル内のプロキシエントリを表示します。
server
IPL テーブル内のサーバエントリを表示します。
subinterface
論理サブインターフェイスを示す 1 ～ 4294967293 の整数を指定します。
summary
エントリの要約を表示します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
トランスペ
ルーテッドアレント 1
•
Yes
—
マルチ
シングル
•
Yes
コンテキストシステム
•
Yes
—
1. 管理 0/0 インターフェイスまたはサブインターフェイスだけで使用可能です。
コマンド履歴
リリース
7.0(1)
変更内容
7.2(1)
このコマンドに、VLAN インターフェイス、およびトランスペアレント
モードでの管理 0/0 インターフェイスまたはサブインターフェイスの
サポートが追加されました。
9.1(4)
このコマンドは、新しいサーバ機能に対応するように proxy および
summary キーワードが含まれるように変更されました。
このコマンドは、新しいサーバ機能に対応するように lease および
server キーワードが追加されました。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-63
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address dhcp
使用上のガイドライン
出力の説明については、「例」を参照してください。
例
次に、show ip address dhcp lease コマンドの出力例を示します。
ciscoasa# show ip address outside dhcp lease
Temp IP Addr:209.165.201.57 for peer on interface:outside
Temp sub net mask:255.255.255.224
DHCP Lease server:209.165.200.225, state:3 Bound
DHCP Transaction id:0x4123
Lease:259200 secs, Renewal:129600 secs, Rebind:226800 secs
Temp default-gateway addr:209.165.201.1
Temp ip static route0: dest 10.9.0.0 router 10.7.12.255
Next timer fires after:111797 secs
Retry count:0, Client-ID:cisco-0000.0000.0000-outside
Proxy: TRUE Proxy Network: 10.1.1.1
Hostname: device1
表 7-11 に、各フィールドの説明を示します。
表 7-11
show ip address dhcp lease の各フィールド
フィールド
説明
Temp IP Addr
インターフェイスに割り当てられている IP アドレス。
Temp sub net mask
インターフェイスに割り当てられているサブネットマスク。
DHCP Lease server
DHCP サーバアドレス。
state
DHCP リースの状態で、次のとおりです。
DHCP transaction id
•
Initial：初期化状態で、ASA がリースを取得するプロセスを開始
します。この状態は、リースが終了したか、リースのネゴシエー
ションに失敗したときにも表示されます。
•
Selecting：ASA は 1 つ以上の DHCP サーバから DHCPOFFER
メッセージを受信することを待機しており、メッセージを選択
できます。
•
Requesting：ASA は、要求を送信した送信先サーバからの応答
を待機しています。
•
Purging：クライアントが IP アドレスを解放したか、他のエラー
が発生したため、ASA はリースを削除します。
•
Bound：ASA は有効なリースを保持し、正常に動作しています。
•
Renewing：ASA はリースを更新しようとしています。
DHCPREQUEST メッセージを現在の DHCP サーバに定期的に
送信し、応答を待機します。
•
Rebinding：ASA は元のサーバのリースを更新することに失敗
したため、いずれかのサーバから応答を受け取るかリースが終
了するまで DHCPREQUEST メッセージを送信します。
•
Holddown：ASA はリースを削除するプロセスを開始しました。
•
Releasing：ASA は IP アドレスが不要になったことを示すリ
リースメッセージをサーバに送信します。
クライアントによって選択され、要求メッセージを関連付けるため
にクライアントとサーバによって使用される乱数。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-64
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address dhcp
表 7-11
show ip address dhcp lease の各フィールド（続き）
フィールド
説明
Lease
DHCP サーバによって指定される、インターフェイスがこの IP ア
ドレスを使用できる時間の長さ。
Renewal
インターフェイスがこのリースを自動的に更新しようとするまで
の時間の長さ。
Rebind
ASA が DHCP サーバに再バインドしようとするまでの時間の長
さ。再バインドが発生するのは、ASA が元の DHCP サーバと通信で
きず、リース期間の 87.5% を経過した場合です。ASA は、DHCP 要
求をブロードキャストすることによって、使用可能なすべての
DHCP サーバに接続を試みます。
Temp default-gateway addr
DHCP サーバによって指定されるデフォルトゲートウェイのアド
レス。
Temp ip static route0
デフォルトスタティックルート。
Next timer fires after
内部タイマーがトリガーするまでの秒数。
Retry count
ASA がリースを設定しようとしているとき、このフィールドは、
ASA が DHCP メッセージの送信を試行した回数を示します。たと
えば、ASA が Selecting 状態の場合、この値は ASA が探索メッセー
ジを送信した回数を示します。ASA が Requesting 状態の場合、この
値は ASA が要求メッセージを送信した回数を示します。
Client-ID
サーバとのすべての通信に使用したクライアント ID。
Proxy
このインターフェイスが VPN クライアント用のプロキシ DHCP ク
ライアントかどうかを True または False で指定します。
Proxy Network
要求されたネットワーク。
Hostname
クライアントのホスト名。
次に、show ip address dhcp server コマンドの出力例を示します。
ciscoasa# show ip address outside dhcp server
DHCP server: ANY (255.255.255.255)
Leases:
0
Offers:
0
Requests: 0
Acks: 0
Declines: 0
Releases: 0
Bad: 0
DHCP server: 40.7.12.6
Leases:
1
Offers:
1
Requests: 17
Acks: 17
Declines: 0
Releases: 0
Bad: 0
DNS0:
171.69.161.23,
DNS1: 171.69.161.24
WINS0: 172.69.161.23,
WINS1: 172.69.161.23
Subnet: 255.255.0.0
DNS Domain: cisco.com
Naks: 0
Naks: 0
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-65
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address dhcp
表 7-12 に、各フィールドの説明を示します。
表 7-12
関連コマンド
show ip address dhcp server の各フィールド
フィールド
説明
DHCP server
このインターフェイスがリースを取得した DHCP サーバアドレス。
最上位エントリ（「ANY」）はデフォルトサーバで常に存在します。
Leases
サーバから取得したリースの数。インターフェイスの場合、リース
の数は一般的に 1 です。VPN 用のプロキシを実行中のインター
フェイスに対してサーバがアドレスを提供している場合、リース
は複数となります。
Offers
サーバからのオファーの数。
Requests
サーバに送信された要求の数。
Acks
サーバから受信した確認応答の数。
Naks
サーバから受信した否定応答の数。
Declines
サーバから受信した拒否の数。
Releases
サーバに送信されたリリースの数。
Bad
サーバから受信した不良パケットの数。
DNS0
DHCP サーバから取得したプライマリ DNS サーバアドレス。
DNS1
DHCP サーバから取得したセカンダリ DNS サーバアドレス。
WINS0
DHCP サーバから取得したプライマリ WINS サーバアドレス。
WINS1
DHCP サーバから取得したセカンダリ WINS サーバアドレス。
Subnet
DHCP サーバから取得したサブネットアドレス。
DNS Domain
DHCP サーバから取得したドメイン。
コマンド
interface
説明
ip address dhcp
インターフェイスで DHCP サーバから IP アドレスを取得できるよう
に設定します。
nameif
インターフェイス名を設定します。
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
show interface ip brief インターフェイスの IP アドレスとステータスを表示します。
show ip address
インターフェイスの IP アドレスを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-66
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address pppoe
show ip address pppoe
PPPoE 接続に関する詳細情報を表示するには、特権 EXEC モードで show ip address pppoe コマ
ンドを使用します。
show ip address {physical_interface[.subinterface] | mapped_name | interface_name |
vlan number} pppoe
構文の説明
interface_name
nameif コマンドを使用して設定されたインターフェイス名を指定し
ます。
mapped_name
マルチコンテキストモードで、マッピング名を allocate-interface コマ
ンドを使用して割り当てた場合、その名前を指定します。
physical_interface
gigabitethernet0/1 などのインターフェイス ID を指定します。有効値に
ついては、interface コマンドを参照してください。
subinterface
論理サブインターフェイスを示す 1 ～ 4294967293 の整数を指定します。
vlan number
（オプション）ASA 5505 適応型セキュリティアプライアンスなど、組み
込みスイッチのあるモデルでは、VLAN インターフェイスを指定します。
デフォルト
デフォルトの動作や値はありません。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
特権 EXEC
トランスペ
ルーテッドアレント 1
•
Yes
•
Yes
マルチ
シングル
•
Yes
コンテキストシステム
•
Yes
—
1. 管理 0/0 インターフェイスまたはサブインターフェイスだけで使用可能です。
コマンド履歴
リリース
7.2(1)
変更内容
このコマンドが追加されました。
使用上のガイドライン
出力の説明については、「例」を参照してください。
例
次に、show ip address pppoe コマンドの出力例を示します。
ciscoasa# show ip address outside pppoe
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-67
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip address pppoe
関連コマンド
コマンド
interface
説明
ip address ppoe
PPPoE サーバから IP アドレスを取得するようにインターフェイスを
設定します。
nameif
インターフェイス名を設定します。
インターフェイスを設定し、インターフェイスコンフィギュレーショ
ンモードを開始します。
show interface ip brief インターフェイスの IP アドレスとステータスを表示します。
show ip address
インターフェイスの IP アドレスを表示します。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-68
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip audit count
show ip audit count
監査ポリシーをインターフェイスに適用するときシグニチャの一致数を表示するには、特権
EXEC モードで show ip audit count コマンドを使用します。
show ip audit count [global | interface interface_name]
構文の説明
global
（デフォルト）すべてのインターフェイスについての一致数を表示しま
す。
interface
interface_name
（オプション）指定したインターフェイスについての一致数を表示しま
す。
デフォルト
キーワードを指定しない場合、このコマンドは、すべてのインターフェイスについての一致数を
表示します（global）。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
使用上のガイドライン
例
リリース
7.0(1)
•
Yes
トランスペ
アレント
シングル
•
Yes
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容
このコマンドが追加されました。
監査ポリシーを作成するには、ip audit name コマンドを使用します。ポリシーを適用するには、
ip audit interface コマンドを使用します。
次に、show ip audit count コマンドの出力例を示します。
ciscoasa# show ip audit count
IP AUDIT GLOBAL COUNTERS
1000
1001
1002
1003
1004
1005
1006
1100
1102
1103
2000
2001
I
I
I
I
I
I
I
A
A
A
I
I
Bad IP Options List
Record Packet Route
Timestamp
Provide s,c,h,tcc
Loose Source Route
SATNET ID
Strict Source Route
IP Fragment Attack
Impossible IP Packet
IP Teardrop
ICMP Echo Reply
ICMP Unreachable
0
0
0
0
0
0
0
0
0
0
0
0
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-69
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip audit count
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2150
2151
2154
3040
3041
3042
3153
3154
4050
4051
4052
6050
6051
6052
6053
6100
6101
6102
6103
6150
6151
6152
6153
6154
6155
6175
6180
6190
I
I
I
I
I
I
I
I
I
I
I
A
A
A
A
A
A
A
A
A
A
A
I
I
I
I
I
I
I
A
I
I
I
I
I
I
I
I
A
ICMP Source Quench
ICMP Redirect
ICMP Echo Request
ICMP Time Exceed
ICMP Parameter Problem
ICMP Time Request
ICMP Time Reply
ICMP Info Request
ICMP Info Reply
ICMP Address Mask Request
ICMP Address Mask Reply
Fragmented ICMP
Large ICMP
Ping of Death
TCP No Flags
TCP SYN & FIN Flags Only
TCP FIN Flag Only
FTP Improper Address
FTP Improper Port
Bomb
Snork
Chargen
DNS Host Info
DNS Zone Xfer
DNS Zone Xfer High Port
DNS All Records
RPC Port Registration
RPC Port Unregistration
RPC Dump
Proxied RPC
ypserv Portmap Request
ypbind Portmap Request
yppasswdd Portmap Request
ypupdated Portmap Request
ypxfrd Portmap Request
mountd Portmap Request
rexd Portmap Request
rexd Attempt
statd Buffer Overflow
0
0
10
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
IP AUDIT INTERFACE COUNTERS: inside
...
関連コマンド
コマンド
clear ip audit count
説明
ip audit interface
監査ポリシーをインターフェイスに割り当てます。
ip audit name
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実
行するアクションを指定する、名前付き監査ポリシーを作成します。
show running-config
ip audit attack
ip audit attack コマンドのコンフィギュレーションを表示します。
監査ポリシーのシグニチャ一致カウントをクリアします。
Cisco ASA シリーズコマンドリファレンス、S コマンド
7-70
第7章
show failover コマンド～ show ipsec stats traffic コマンド
show ip verify statistics
show ip verify statistics
ユニキャスト RPF 機能が原因でドロップしたパケットの数を表示するには、特権 EXEC モード
で show ip verify statistics コマンドを使用します。ユニキャスト RPF をイネーブルにするには、
ip verify reverse-path コマンドを使用します。
show ip verify statistics [interface interface_name]
構文の説明
interface
interface_name
デフォルト
このコマンドは、すべてのインターフェイスの統計情報を表示します。
コマンドモード
次の表に、コマンドを入力できるモードを示します。
（オプション）指定したインターフェイスの統計情報を表示します。
ファイアウォールモードセキュリティコンテキスト
コマンドモード
ルーテッド
特権 EXEC
コマンド履歴
例
リリース
7.0(1)
Yes
—
•
Yes
マルチ
コンテキストシステム
•
Yes
—
変更内容

Cisco ASA シリ ーズ コマン ド リファ レンス、S コマン ド

Comments

Description

Transcript

Cisco ASA シリーズコマンドリファレンス、S コマンド