Cisco Security Appliance コマンドリファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用ソフトウェアバージョン 8.0(5)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco Security Appliance コマンドリファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用ソフトウェアバージョン 8.0(5)

Chapter Title

same-security-traffic コマンド～ show asdm sessions コマンド

PDF - Complete Book (24.02 MB) PDF - This Chapter (0.99 MB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月12日

章のタイトル： same-security-traffic コマンド～ show asdm sessions コマンド

same-security-traffic
sasl-mechanism
sast
secondary
secondary-color
secondary-text-color
secure-unit-authentication
security-level
send response
seq-past-window
serial-number
server
server（tls プロキシ）
server authenticate-client
server-port
server-separator
server-type
server trust-point
service
service（CTL プロバイダー）
service password-recovery
service-policy（クラス）
service-policy（グローバル）
session
set connection
set connection advanced-options
set connection decrement-ttl
set connection timeout
set metric
set metric-type
setup
shape
show aaa local user
show aaa-server
show access-list
show activation-key
show ad-groups
show admin-context
show arp
show arp-inspection
show arp statistics
show asdm history
show asdm image
show asdm log_sessions
show asdm sessions

same-security-traffic コマンド～ show asdm sessions コマンド

same-security-traffic

同じセキュリティレベルのインターフェイス間での通信を許可するか、またはトラフィックが同じインターフェイスに入って同じインターフェイスから出ることを許可するには、グローバルコンフィギュレーションモードで same-security-traffic コマンドを使用します。同じセキュリティレベルのトラフィックをディセーブルにするには、このコマンドの no 形式を使用します。

same-security-traffic permit { inter-interface | intra-interface }

no same-security-traffic permit { inter-interface | intra-interface }

構文の説明

inter-interface	同じセキュリティレベルを持つ異なるインターフェイス間での通信を許可します。
intra-interface	同じインターフェイスに入って同じインターフェイスから出る通信を許可します。

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グローバルコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。
7.2(1)	intra-interface キーワードで、IPSec トラフィックだけでなくすべてのトラフィックが、同じインターフェイスに入って同じインターフェイスから出ることが許可されるようになりました。

使用上のガイドライン

同じセキュリティレベルのインターフェイス間での通信を許可すると（ same-security-traffic inter-interface コマンドを使用してイネーブルにします）、次の利点があります。

• 101 より多い数の通信インターフェイスを設定できます。各インターフェイスで異なるレベルを使用する場合は、レベルごと（0 ～ 100）に 1 つのインターフェイスのみを設定できます。

• アクセスリストなしで、すべての同じセキュリティレベルのインターフェイス間で自由にトラフィックを送受信できます。

same-security-traffic intra-interface コマンドを使用すると、トラフィックが同じインターフェイスに入って同じインターフェイスから出ることができます。この動作は、通常は許可されていません。この機能は、あるインターフェイスに入り、その後同じインターフェイスからルーティングされる VPN トラフィックの場合に役立ちます。この場合、VPN トラフィックは暗号化解除されたり、別の VPN 接続のために再度暗号化されたりする場合があります。たとえば、ハブアンドスポーク VPN ネットワークがあり、セキュリティアプライアンスがハブ、リモート VPN ネットワークがスポークの場合、あるスポークが別のスポークと通信するためには、トラフィックはセキュリティアプライアンスに入ってから他のスポークに再度ルーティングされる必要があります。

（注） same-security-traffic intra-interface コマンドによって許可されるすべてのトラフィックには、引き続きファイアウォールルールが適用されます。リターントラフィックがセキュリティアプライアンスを通過できない原因となるため、非対称なルーティング状態にしないよう注意してください。

例

次に、同じセキュリティレベルのインターフェイス間での通信をイネーブルにする例を示します。

hostname(config)# same-security-traffic permit inter-interface

次に、トラフィックが同じインターフェイスに入って同じインターフェイスから出られるようにする例を示します。

hostname(config)# same-security-traffic permit intra-interface

コマンド	説明
show running-config same-security-traffic	same-security-traffic コンフィギュレーションを表示します。

sasl-mechanism

LDAP クライアントを LDAP サーバに対して認証するための Simple Authentication and Security Layer（SASL）メカニズムを指定するには、AAA サーバホストコンフィギュレーションモードで sasl-mechanism コマンドを使用します。SASL 認証メカニズムのオプションは、 digest-md5 および kerberos です。

認証メカニズムをディセーブルにするには、このコマンドの no 形式を使用します。

sasl-mechanism {digest-md5 | kerberos server-group-name}

no sasl-mechanism {digest-md5 | kerberos server-group-name}

（注） VPN ユーザにとっては、セキュリティアプライアンスが LDAP サーバへのクライアントプロキシとして動作するため、ここでの LDAP クライアントとはセキュリティアプライアンスを意味しています。

構文の説明

構文の説明構文の説明

digest-md5	セキュリティアプライアンスは、ユーザ名とパスワードから計算された MD5 値を使用して応答します。
kerberos	セキュリティアプライアンスは、Generic Security Services Application Programming Interface（GSSAPI）Kerberos メカニズムを使用してユーザ名とレルムを送信することによって応答します。
server-group-name	最大 64 文字の Kerberos AAA サーバグループを指定します。

デフォルト

デフォルトの動作や値はありません。セキュリティアプライアンスは、認証パラメータをプレーンテキストで LDAP サーバに渡します。

（注） SASL を設定していない場合は、ldap-over-ssl コマンドを使用して、SSL によって LDAP 通信を保護することを推奨します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
AAA サーバホストコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.1(1)	このコマンドが導入されました。

使用上のガイドライン

セキュリティアプライアンスが SASL メカニズムを使用して LDAP サーバに対する認証を行うよう指定するには、このコマンドを使用します。

セキュリティアプライアンスと LDAP サーバの両方で、複数の SASL 認証メカニズムをサポートできます。SASL 認証をネゴシエートする場合、セキュリティアプライアンスはサーバに設定されている SASL メカニズムのリストを取得して、セキュリティアプライアンスとサーバの両方に設定されているメカニズムのうち最も強力な認証メカニズムを設定します。Kerberos メカニズムは、Digest-MD5 メカニズムよりも強力です。たとえば、LDAP サーバとセキュリティアプライアンスの両方でこれら 2 つのメカニズムがサポートされている場合、セキュリティアプライアンスでは、より強力な Kerberos メカニズムが選択されます。

各メカニズムは独立して設定されるため、SASL メカニズムをディセーブルにするには、ディセーブルにする各メカニズムに対して別々に no コマンドを入力する必要があります。明示的にディセーブルにしないメカニズムは引き続き有効です。たとえば、両方の SASL メカニズムをディセーブルにするには、次の両方のコマンドを入力する必要があります。

no sasl-mechanism digest-md5

no sasl-mechanism kerberos <server-group-name>

例

次に、AAA サーバホストコンフィギュレーションモードで、名前が ldapsvr1、IP アドレスが 10.10.0.1 の LDAP サーバに対する認証のために SASL メカニズムをイネーブルにする例を示します。この例では、SASL digest-md5 認証メカニズムがイネーブルにされています。

hostname(config)# aaa-server ldapsvr1 protocol ldap

hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1

hostname(config-aaa-server-host)# sasl-mechanism digest-md5

次に、SASL Kerberos 認証メカニズムをイネーブルにして、Kerberos AAA サーバとして kerb-servr1 を指定する例を示します。

hostname(config)# aaa-server ldapsvr1 protocol ldap

hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1

hostname(config-aaa-server-host)# sasl-mechanism kerberos kerbsvr1

コマンド	説明
ldap-over-ssl	SSL が LDAP クライアントとサーバ間の接続を保護することを指定します。
server-type	LDAP サーバベンダーに Microsoft または Sun のいずれかを指定します。
ldap attribute-map（グローバルコンフィギュレーションモード）	ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。

sast

CTL レコードに作成する SAST 証明書の数を指定するには、CTL ファイルコンフィギュレーションモードで sast コマンドを使用します。CTL ファイル内の SAST 証明書の数をデフォルト値の 2 に戻すには、このコマンドの no 形式を使用します。

sast number_sasts

no sast number_sasts

構文の説明

number_sasts

作成する SAST キーの数を指定します。デフォルトは 2 です。指定できる最大数は 5 です。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
CTL ファイルコンフィギュレーション	•	--	•	--	--

コマンド履歴

リリース	変更内容
8.0(4)	このコマンドが追加されました。

使用上のガイドライン

CTL ファイルは、System Administrator Security Token（SAST; システム管理者セキュリティトークン）によって署名されます。

電話プロキシは CTL ファイルを生成するため、CTL ファイル自体を署名するための SAST キーを作成する必要があります。このキーは、セキュリティアプライアンスで生成できます。SAST は、自己署名証明書として作成されます。

通常、CTL ファイルには複数の SAST が含まれています。ある SAST が回復可能でない場合は、後でもう 1 つの SAST を使用してファイルを署名できます。

例

次に、 sast コマンドを使用して、CTL ファイルに 5 つの SAST 証明書を作成する例を示します。

hostname(config-ctl-file)# sast 5

コマンド	説明
ctl-file（グローバル）	Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュメモリから解析するための CTL ファイルを指定します。
ctl-file（Phone-Proxy）	Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。
phone-proxy	Phone Proxy インスタンスを設定します。

secondary

フェールオーバーグループにおいて、セカンダリユニットに対してより高いプライオリティを付与するには、フェールオーバーグループコンフィギュレーションモードで secondary コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。

secondary

no secondary

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

フェールオーバーグループに primary または secondary が指定されていない場合は、フェールオーバーグループはデフォルトで primary に設定されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
フェールオーバーグループコンフィギュレーション	•	•	--	--	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

使用上のガイドライン

プライマリまたはセカンダリプライオリティをフェールオーバーグループに割り当てることによって、両方のユニットが同時（ユニットのポーリングタイム内）に起動したときにフェールオーバーグループがアクティブになるユニットを指定します。あるユニットがもう一方のユニットよりも先にブートした場合、両方のフェールオーバーグループがそのユニットでアクティブになります。もう一方のユニットがオンラインになったとき、2 番めのユニットをプライオリティの高いユニットとして所有するフェールオーバーグループは、そのフェールオーバーグループが preempt コマンドで設定されているか、 no failover active コマンドを使用して手動でもう一方のユニットに強制されない限り、2 番めのユニットではアクティブになりません。

例

次の例では、プライマリ装置のフェールオーバーグループ 1 をより高いプライオリティに設定し、セカンダリ装置のフェールオーバーグループ 2 をより高いプライオリティに設定します。どのフェールオーバーグループも preempt コマンドを使用して設定されているため、これらのグループは、優先するユニットが使用可能になったときにそのユニット上で自動的にアクティブになります。

hostname(config)# failover group 1

hostname(config-fover-group)# primary

hostname(config-fover-group)# preempt 100

hostname(config-fover-group)# exit

hostname(config)# failover group 2

hostname(config-fover-group)# secondary

hostname(config-fover-group)# preempt 100

hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012

hostname(config-fover-group)# exit

hostname(config)#

コマンド	説明
failover group	Active/Active フェールオーバーのためのフェールオーバーグループを定義します。
preempt	優先するユニットが使用可能になったときに、フェールオーバーグループをそのユニット上で強制的にアクティブにします。
primary	プライマリユニットに、セカンダリユニットよりも高いプライオリティを付与します。

secondary-color

WebVPN ログイン、ホームページ、およびファイルアクセスページのセカンダリカラーを設定するには、webvpn モードで secondary-color コマンドを使用します。色をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。

secondary-color [ color ]

no secondary-color

構文の説明

color

（任意）色を指定します。カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

• 名前の最大長は 32 文字です。

デフォルト

デフォルトのセカンダリカラーは HTML の #CCCCFF（薄紫色）です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
webvpn	•	•	--	--	•

コマンド履歴

リリース	変更内容
7.0	このコマンドが導入されました。

使用上のガイドライン

RGB 値を使用する場合、推奨値は 216 です。推奨色は、数学的にあり得る数よりはるかに少なくなります。多くのディスプレイは 256 色しか処理できず、そのうちの 40 色は MAC と PC とでは異なった表示になります。最適な結果を得るために、公開されている RGB テーブルをチェックしてください。RGB テーブルをオンラインで検索するには、検索エンジンで RGB と入力します。

例

次に、HTML の色値 #5F9EAO（灰青色）を設定する例を示します。

hostname(config)# webvpn

hostname(config-webvpn)# secondary-color #5F9EAO

コマンド	説明
title-color	ログインページ、ホームページ、およびファイルアクセスページの WebVPN タイトルバーの色を設定します。

secondary-text-color

WebVPN ログイン、ホームページ、およびファイルアクセスページのセカンダリテキストの色を設定するには、webvpn モードで secondary-text-color コマンドを使用します。色をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。

secondary-text-color [ black | white ]

no secondary-text-color

構文の説明

auto	text-color コマンドの設定に基づいて、黒または白が選択されます。つまり、プライマリカラーが黒の場合、この値は白になります。
black	デフォルトのセカンダリテキストの色は黒です。
white	テキストの色を白に変更できます。

デフォルト

デフォルトのセカンダリテキストの色は黒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
webvpn	•	--	•	--	--

コマンド履歴

リリース	変更内容
7.0	このコマンドが導入されました。

例

次に、セカンダリテキストの色を白に設定する例を示します。

hostname(config)# webvpn

hostname(config-webvpn)# secondary-text-color white

コマンド	説明
text-color	ログインページ、ホームページ、およびファイルアクセスページの WebVPN タイトルバーのテキストの色を設定します。

secure-unit-authentication

セキュアユニット認証をイネーブルにするには、グループポリシーコンフィギュレーションモードで secure-unit-authentication enable コマンドを使用します。セキュアユニット認証をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。実行コンフィギュレーションからセキュアユニット認証属性を削除するには、このコマンドの no 形式を使用します。このオプションを指定すると、他のグループポリシーからセキュアユニット認証の値を継承できます。

セキュアユニット認証では、VPN ハードウェアクライアントがトンネルを開始するたびにクライアントに対してユーザ名/パスワード認証を要求することによって、セキュリティが強化されます。この機能をイネーブルにすると、ハードウェアクライアントではユーザ名とパスワードが保存されません。

（注）この機能をイネーブルにした場合に VPN トンネルを確立するには、ユーザがユーザ名とパスワードを入力する必要があります。

secure-unit-authentication { enable | disable }

no secure-unit-authentication

構文の説明

disable	セキュアユニット認証をディセーブルにします。
enable	セキュアユニット認証をイネーブルにします。

デフォルト

セキュアユニット認証はディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	•	--	•	--	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

使用上のガイドライン

セキュアユニット認証では、ハードウェアクライアントが使用するトンネルグループに認証サーバグループが設定されている必要があります。

プライマリセキュリティアプライアンスでセキュアユニット認証が必要な場合は、すべてのバックアップサーバに対してもセキュアユニット認証を設定する必要があります。

例

次に、FirstGroup という名前のグループポリシーに対して、セキュアユニット認証をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes

hostname(config-group-policy)# secure-unit-authentication enable

コマンド	説明
ip-phone-bypass	ユーザ認証を行わずに IP 電話に接続できるようにします。セキュアユニット認証は有効なままです。
leap-bypass	イネーブルの場合、VPN ハードウェアクライアントの背後にある無線デバイスからの LEAP パケットがユーザ認証の前に VPN トンネルを通過できます。これにより、シスコワイヤレスアクセスポイントデバイスを使用するワークステーションで LEAP 認証を確立できるようになります。その後、ユーザ認証ごとに再度認証を行います。
user-authentication	ハードウェアクライアントの背後にいるユーザに対して、接続前にセキュリティアプライアンスに識別情報を示すように要求します。

security-level

インターフェイスのセキュリティレベルを設定するには、インターフェイスコンフィギュレーションモードで security-level コマンドを使用します。セキュリティレベルをデフォルトに設定するには、このコマンドの no 形式を使用します。セキュリティレベルを指定すると、高いセキュリティレベルのネットワークと低いセキュリティレベルのネットワークとの間の通信に追加の保護が設定され、高いセキュリティレベルのネットワークが低いセキュリティレベルのネットワークから保護されます。

security-level number

no security-level

構文の説明

number

0（最低）～ 100（最高）の整数。

デフォルト

デフォルトのセキュリティレベルは 0 です。

インターフェイスに「inside」という名前を指定して、明示的にセキュリティレベルを設定しないと、セキュリティアプライアンスによってセキュリティレベルが 100 に設定されます（ nameif コマンドを参照）。このレベルは必要に応じて変更できます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが、 nameif コマンドのキーワードからインターフェイスコンフィギュレーションモードのコマンドに変更されました。

使用上のガイドライン

レベルによって、次の動作が制御されます。

• ネットワークアクセス：デフォルトで、高いセキュリティレベルのインターフェイスから低いセキュリティレベルのインターフェイスへの通信（発信）は暗黙的に許可されます。高いセキュリティレベルのインターフェイス上のホストは、低いセキュリティレベルのインターフェイス上の任意のホストにアクセスできます。インターフェイスにアクセスリストを適用することによって、アクセスを制限できます。

同じセキュリティレベルのインターフェイス間では、同じセキュリティレベル以下の他のインターフェイスへのアクセスが暗黙的に許可されます。

• インスペクションエンジン：一部のインスペクションエンジンは、セキュリティレベルに依存します。同じセキュリティレベルのインターフェイス間では、インスペクションエンジンは発信と着信のいずれのトラフィックに対しても適用されます。

– NetBIOS インスペクションエンジン：発信接続に対してのみ適用されます。

– OraServ インスペクションエンジン：ホストのペア間に OraServ ポートへの制御接続が存在する場合は、セキュリティアプライアンス経由での着信データ接続のみが許可されます。

• フィルタリング：HTTP(S) および FTP フィルタリングは、（高いレベルから低いレベルへの）発信接続にのみ適用されます。

同じセキュリティレベルのインターフェイス間では、発信と着信のいずれのトラフィックもフィルタリングできます。

• NAT コントロール：NAT コントロールをイネーブルにする場合、高いセキュリティレベルのインターフェイス（内部）上のホストから低いセキュリティレベルのインターフェイス（外部）上のホストにアクセスするときは、内部インターフェイスのホストに NAT を設定する必要があります。

NAT コントロールをイネーブルにしない場合、または同じセキュリティレベルのインターフェイス間においては、任意のインターフェイス間で NAT を使用することも、使用しないこともできます。外部インターフェイスに NAT を設定する場合は、特別なキーワードが必要になることがあります。

• established コマンド：このコマンドを使用すると、高いレベルのホストから低いレベルのホストへの接続がすでに確立されている場合、低いセキュリティレベルのホストから高いセキュリティレベルのホストへの戻り接続が許可されます。

同じセキュリティレベルのインターフェイス間では、発信と着信の両方の接続に対して established コマンドを設定できます。

通常、同じセキュリティレベルのインターフェイス間では通信できません。同じセキュリティレベルのインターフェイス間で通信する場合は、 same-security-traffic コマンドを参照してください。101 を超える通信インターフェイスを作成する必要がある場合や、2 つのインターフェイス間のトラフィックに同じ保護機能を適用する必要がある場合（同程度のセキュリティが必要な 2 つの部門がある場合など）に、2 つのインターフェイスに同じレベルを割り当てて、それらのインターフェイス間での通信を許可できます。

インターフェイスのセキュリティレベルを変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するときは、 clear local-host コマンドを使用して接続をクリアできます。

例

次に、2 つのインターフェイスのセキュリティレベルを 100 と 0 に設定する例を示します。

hostname(config)# interface gigabitethernet0/0

hostname(config-if)# nameif inside

hostname(config-if)# security-level 100

hostname(config-if)# ip address 10.1.1.1 255.255.255.0

hostname(config-if)# no shutdown

hostname(config-if)# interface gigabitethernet0/1

hostname(config-if)# nameif outside

hostname(config-if)# security-level 0

hostname(config-if)# ip address 10.1.2.1 255.255.255.0

hostname(config-if)# no shutdown

コマンド	説明
clear local-host	すべての接続をリセットします。
interface	インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始します。
nameif	インターフェイス名を設定します。
vlan	サブインターフェイスに VLAN ID を割り当てます。

send response

RADIUS の Accounting-Response Start および Accounting-Response Stop メッセージを RADIUS の Accounting-Request Start および Stop メッセージの送信元に送信するには、RADIUS アカウンティングパラメータコンフィギュレーションモードで send response コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスします。

このオプションは、デフォルトで無効です。

send response

no send response

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
RADIUS アカウンティングパラメータコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.2(1)	このコマンドが導入されました。

例

次に、RADIUS アカウンティングで応答を送信する例を示します。

hostname(config)# policy-map type inspect radius-accounting ra

hostname(config-pmap)# send response

hostname(config-pmap-p)# send response

コマンド	説明
inspect radius-accounting	RADIUS アカウンティングのインスペクションを設定します。
parameters	インスペクションポリシーマップのパラメータを設定します。

seq-past-window

パストウィンドウシーケンス番号（TCP 受信ウィンドウの適切な境界を越える受信 TCP パケットのシーケンス番号）を持つパケットに対するアクションを設定するには、tcp マップコンフィギュレーションモードで seq-past-window コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

seq-past-window { allow | drop }

no seq-past-window

構文の説明

allow	パストウィンドウシーケンス番号を持つパケットを許可します。このアクションは、 queue-limit コマンドが 0（ディセーブル）に設定されている場合に限り許可されます。
drop	パストウィンドウシーケンス番号を持つパケットをドロップします。

デフォルト

デフォルトのアクションでは、パストウィンドウシーケンス番号を持つパケットはドロップされます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
TCP マップコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.2(4)/8.0(4)	このコマンドが導入されました。

使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラポリシーフレームワークを次のように使用します。

1. tcp-map ：TCP 正規化アクションを指定します。

a. seq-past-window ：tcp マップコンフィギュレーションモードでは、 seq-past-window コマンドおよびその他数多くのコマンドを入力できます。

2. class-map ：TCP 正規化を実行するトラフィックを指定します。

3. policy-map ：各クラスマップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラスマップを指定します。

b. set connection advanced-options ：作成した TCP マップを指定します。

4. service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

例

次に、パストウィンドウシーケンス番号を持つパケットを許可するようにセキュリティアプライアンスを設定する例を示します。

hostname(config)# tcp-map tmap

hostname(config-tcp-map)# seq-past-window allow

hostname(config)# class-map cmap

hostname(config-cmap)# match any

hostname(config)# policy-map pmap

hostname(config-pmap)# class cmap

hostname(config-pmap)# set connection advanced-options tmap

hostname(config)# service-policy pmap global

hostname(config)#

コマンド	説明
class-map	サービスポリシーに対してトラフィックを指定します。
policy-map	サービスポリシー内でトラフィックに適用するアクションを指定します。
queue-limit	順序が不正なパケットの制限を設定します。
set connection advanced-options	TCP 正規化をイネーブルにします。
service-policy	サービスポリシーをインターフェイスに適用します。
show running-config tcp-map	TCP マップコンフィギュレーションを表示します。
tcp-map	TCP マップを作成して、TCP マップコンフィギュレーションモードにアクセスできるようにします。

serial-number

登録時に、セキュリティアプライアンスのシリアル番号を証明書に含めるには、クリプト CA トラストポイントコンフィギュレーションモードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

serial-number

no serial-number

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルト設定では、シリアル番号は含まれません。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション	•	•	•	•	•

コマンド履歴

リリース	変更内容
7.0	このコマンドが導入されました。

例

次に、トラストポイント central のクリプト CA トラストポイントコンフィギュレーションモードを開始して、トラストポイント central の登録要求にセキュリティアプライアンスのシリアル番号を含める例を示します。

hostname(config)# crypto ca trustpoint central

hostname(ca-trustpoint)# serial-number

コマンド	説明
crypto ca trustpoint	トラストポイントコンフィギュレーションモードを開始します。

server

デフォルトの電子メールプロキシサーバを指定するには、該当する電子メールプロキシモードで server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。セキュリティアプライアンスは、ユーザがサーバを指定せずに電子メールプロキシに接続した場合、デフォルトの電子メールサーバに要求を送信します。デフォルトのサーバを設定せず、ユーザもサーバを指定しない場合、セキュリティアプライアンスではエラーが返されます。

server { ipaddr or hostname }

no server

構文の説明

hostname	デフォルトの電子メールプロキシサーバの DNS 名。
ipaddr	デフォルトの電子メールプロキシサーバの IP アドレス。

デフォルト

デフォルトでは、デフォルトの電子メールプロキシサーバはありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
pop3s	•	•	--	--	•
Imap4s	•	•	--	--	•
Smtps	•	•	--	--	•

コマンド履歴

リリース	変更内容
7.0	このコマンドが導入されました。

例

次に、10.1.1.7 という IP アドレスを持つ POP3S 電子メールサーバを設定する例を示します。

hostname(config)# pop3s

hostname(config-pop3s)# server 10.1.1.7

server（tls プロキシ）

TLS ハンドシェイク時に提示するプロキシトラストポイント証明書を指定するには、TLS プロキシコンフィギュレーションモードで server コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

server trust-point p_tp

no server trust-point p_tp

構文の説明

trust-point p_tp

定義されているトラストポイントを指定します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
TLS プロキシコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
8.0(2)	このコマンドが導入されました。

使用上のガイドライン

TLS プロキシで TLS サーバロールを持つセキュリティアプライアンスの TLS ハンドシェイクパラメータを制御するには、TLS プロキシコンフィギュレーションモードで server コマンドを使用します。TLS ハンドシェイク時に提示するプロキシトラストポイント証明書を指定します。この値は、crypto ca trustpoint コマンドで定義したトラストポイントに対応します。自己署名証明書、または認証局に登録された証明書を指定できます。

server コマンドは、グローバル ssl trust-point コマンドよりも優先されます。

例

次の例では、TLS プロキシインスタンスを作成する方法を示します。

hostname(config)# tls-proxy my_proxy

hostname(config-tlsp)# server trust-point ccm_proxy

hostname(config-tlsp)# client ldc issuer ldc_server

hostname(config-tlsp)# client ldc keypair phone_common

コマンド	説明
client	TLS プロキシで TLS クライアントロールを持つセキュリティアプライアンスの TLS ハンドシェイクパラメータを設定します。
ctl-provider	CTL プロバイダーインスタンスを定義し、プロバイダーコンフィギュレーションモードを開始します。
show tls-proxy	TLS プロキシを表示します。
tls-proxy	TLS プロキシインスタンスを定義し、最大セッション数を設定します。

server authenticate-client

TLS ハンドシェイク時におけるセキュリティアプライアンスでの TLS クライアントの認証をイネーブルにするには、TLS プロキシコンフィギュレーションモードで server authenticate-client コマンドを使用します。

クライアント認証をバイパスするには、このコマンドの no 形式を使用します。

server authenticate-client

no server authenticate-client

構文の説明

このコマンドには、キーワードや引数はありません。

デフォルト

このコマンドは、デフォルトでイネーブルです。つまり、セキュリティアプライアンスとのハンドシェイク時に、TLS クライアントは、証明書の提示を要求されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
TLS プロキシコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
8.0(4)	このコマンドが追加されました。

使用上のガイドライン

TLS プロキシハンドシェイク時にクライアント認証が必要であるかどうかを制御するには、 server authenticate-client コマンドを使用します。イネーブルの場合（デフォルト）、セキュリティアプライアンスは TLS クライアントに証明書要求 TLS ハンドシェイクメッセージを送信し、TLS クライアントは証明書の提示を要求されます。

クライアント認証をディセーブルにするには、このコマンドの no 形式を使用します。TLS クライアント認証のディセーブルは、セキュリティアプライアンスが CUMA クライアントや、Web ブラウザなどのクライアント証明書を送信できないクライアントと相互運用する必要がある場合に適しています。

例

次に、クライアント認証をディセーブルにした TLS プロキシインスタンスを設定する例を示します。

hostname(config)# tls-proxy mmp_tls

hostname(config-tlsp)# no server authenticate-client

hostname(config-tlsp)# server trust-point cuma_server_proxy

server-port

ホストの AAA サーバポートを設定するには、AAA サーバホストモードで server-port コマンドを使用します。指定されているサーバポートを削除するには、このコマンドの no 形式を使用します。

server-port port-number

no server-port

構文の説明

port-number

0 ～ 65535 の範囲のポート番号。

デフォルト

デフォルトのサーバポートは次のとおりです。

• SDI：5500

• LDAP：389

• Kerberos：88

• NT：139

• TACACS+：49

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
AAA サーバグループ	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

例

次に、「srvgrp1」という名前の SDI AAA サーバでサーバポート番号 8888 を使用するように設定する例を示します。

hostname(config)# aaa-server srvgrp1 protocol sdi

hostname(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10

hostname(config-aaa-server-host)# server-port 8888

server-separator

電子メールサーバ名および VPN サーバ名のデリミタとして文字を指定するには、該当する電子メールプロキシモードで server-separator コマンドを使用します。デフォルトの「:」に戻すには、このコマンドの no 形式を使用します。

server-separator { symbol }

no server-separator

構文の説明

symbol

電子メールサーバ名および VPN サーバ名を区切る文字。選択肢は「@」（アットマーク）、「|」（パイプ）、「:（コロン）」、「|（ハッシュ）」、「,（カンマ）」、「;」（セミコロン）です。

デフォルト

デフォルトは「@」（アットマーク）です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
pop3s	•	--	•	--	--
Imap4s	•	--	•	--	--
Smtps	•	--	•	--	--

コマンド履歴

リリース	変更内容
7.0	このコマンドが導入されました。

使用上のガイドライン

サーバの区切り文字には、名前の区切り文字とは異なる文字を使用する必要があります。

例

次に、パイプ（|）を IMAP4S サーバの区切り文字として設定する例を示します。

hostname(config)# imap4s

hostname(config-imap4s)# server-separator |

server-type

LDAP サーバモデルを手動で設定するには、AAA サーバホストコンフィギュレーションモードで server-type コマンドを使用します。セキュリティアプライアンスでは、次のサーバモデルがサポートされています。

• Microsoft Active Directory

• Sun Microsystems JAVA System Directory Server（以前の Sun ONE Directory Server）

• LDAPv3 に準拠した一般的な LDAP ディレクトリサーバ（パスワード管理なし）

このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

server-type {auto-detect | microsoft | sun | generic | openldap | novell}

no server-type {auto-detect | microsoft | sun | generic | openldap | novell}

構文の説明

構文の説明構文の説明

auto-detect	セキュリティアプライアンスで自動検出によって LDAP サーバタイプを決定することを指定します。
generic	Sun および Microsoft の LDAP ディレクトリサーバ以外の LDAP v3 準拠のディレクトリサーバを指定します。一般的な LDAP サーバでは、パスワード管理はサポートされません。
microsoft	LDAP サーバが Microsoft Active Directory であることを指定します。
openldap	LDAP サーバが OpenLDAP サーバであることを指定します。
novell	LDAP サーバが Novell サーバであることを指定します。
sun	LDAP サーバが Sun Microsystems JAVA System Directory Server であることを指定します。

デフォルト

デフォルトでは、自動検出によってサーバタイプの決定が試みられます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
AAA サーバホストコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.1(1)	このコマンドが導入されました。
8.0(2)	OpenLDAP および Novell サーバタイプのサポートが追加されました。

使用上のガイドライン

セキュリティアプライアンスは LDAP バージョン 3 をサポートしており、Sun Microsystems JAVA System Directory Server、Microsoft Active Directory、およびその他の LDAPv3 ディレクトリサーバと互換性があります。

（注） • Sun：Sun ディレクトリサーバにアクセスするためにセキュリティアプライアンスに設定されている DN は、そのサーバ上のデフォルトパスワードポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルトパスワードポリシーに ACI を設定できます。

• Microsoft：Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

• Generic：パスワード管理機能はサポートされていません。

デフォルトで、セキュリティアプライアンスでは、Microsoft ディレクトリサーバ、Sun LDAP ディレクトリサーバ、または一般的な LDAPv3 サーバのいずれに接続しているかが自動検出されます。ただし、自動検出で LDAP サーバタイプを決定できない場合で、サーバが Microsoft または Sun のサーバであることが明らかである場合は、 server-type コマンドを使用して、サーバを Microsoft または Sun Microsystems の LDAP サーバとして手動で設定できます。

例

次に、AAA サーバホストコンフィギュレーションモードで、IP アドレス 10.10.0.1 の LDAP サーバ ldapsvr1 のサーバタイプを設定する例を示します。この最初の例では、Sun Microsystems LDAP サーバを設定しています。

hostname(config)# aaa-server ldapsvr1 protocol ldap

hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1

hostname(config-aaa-server-host)# server-type sun

次に、セキュリティアプライアンスで自動検出を使用してサーバタイプを決定することを指定する例を示します。

hostname(config)# aaa-server ldapsvr1 protocol LDAP

hostname(config-aaa-server-group)# aaa-server ldapsvr1 host 10.10.0.1

hostname(config-aaa-server-host)# server-type auto-detect

server trust-point

TLS ハンドシェイク時に提示するプロキシトラストポイント証明書を指定するには、TLS サーバコンフィギュレーションモードで server trust-point コマンドを使用します。

server trust-point proxy_trustpoint

構文の説明

proxy_trustpoint

crypto ca trustpoint コマンドによって定義されるトラストポイントを指定します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
TLS プロキシコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
8.0(4)	このコマンドが追加されました。

使用上のガイドライン

トラストポイントでは、自己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明書を使用できます。 server trust-point コマンドは、グローバル ssl trust-point コマンドよりも優先されます。

server trust-point コマンドは、TLS ハンドシェイク時に提示するプロキシトラストポイント証明書を指定します。証明書は、セキュリティアプライアンスが所有している必要があります（ID 証明書）。証明書には、自己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明書を使用できます。

接続を開始できる各エンティティに対して TLS プロキシインスタンスを作成します。TLS 接続を開始するエンティティは、TLS クライアントのロールを担います。TLS プロキシにはクライアントプロキシとサーバプロキシが厳密に定義されているため、いずれのエンティティからも接続が開始される可能性がある場合には、2 つの TLS プロキシインスタンスを定義する必要があります。

（注）電話プロキシとともに使用する TLS プロキシインスタンスを作成する場合、サーバのトラストポイントは、CTL ファイルインスタンスによって作成される内部電話プロキシトラストポイントです。トラストポイント名は、internal_PP_<ctl-file_instance_name> の形式となります。

例

次に、 server trust-point コマンドを使用して、TLS ハンドシェイク時に提示するプロキシトラストポイント証明書を指定する例を示します。

hostname(config-tlsp)# server trust-point ent_y_proxy

service

拒否された TCP 接続のリセットをイネーブルにするには、グローバルコンフィギュレーションモードで service コマンドを使用します。リセットをディセーブルにするには、このコマンドの no 形式を使用します。

service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }

no service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }

構文の説明

interface interface_name	指定したインターフェイスのリセットをイネーブルまたはディセーブルにします。
resetinbound	セキュリティアプライアンスの通過を試み、アクセスリストまたは AAA 設定に基づいてセキュリティアプライアンスによって拒否されたすべての着信 TCP セッションに TCP リセットを送信します。このセキュリティアプライアンスは、アクセスリストまたは AAA によって許可されても、既存の接続に属しておらず、ステートフルファイアウォールによって拒否されたパケットのリセットも送信します。同じセキュリティレベルのインターフェイス間のトラフィックも影響を受けます。このオプションがイネーブルになっていない場合は、セキュリティアプライアンスは拒否されたパケットを、何も通知せずに廃棄します。インターフェイスを指定しない場合、この設定はすべてのインターフェイスに適用されます。
resetoutbound	セキュリティアプライアンスの通過を試み、アクセスリストまたは AAA 設定に基づいてセキュリティアプライアンスによって拒否されたすべての発信 TCP セッションに TCP リセットを送信します。このセキュリティアプライアンスは、アクセスリストまたは AAA によって許可されても、既存の接続に属しておらず、ステートフルファイアウォールによって拒否されたパケットのリセットも送信します。同じセキュリティレベルのインターフェイス間のトラフィックも影響を受けます。このオプションがイネーブルになっていない場合は、セキュリティアプライアンスは拒否されたパケットを、何も通知せずに廃棄します。このオプションは、デフォルトで有効です。たとえば、トラフィックストーム時に CPU の負荷を軽減するためなどに発信リセットをディセーブルにできます。
resetoutside	最もセキュリティレベルの低いインターフェイスで終端し、アクセスリストまたは AAA 設定に基づいてセキュリティアプライアンスによって拒否された TCP パケットのリセットをイネーブルにします。このセキュリティアプライアンスは、アクセスリストまたは AAA によって許可されても、既存の接続に属しておらず、ステートフルファイアウォールによって拒否されたパケットのリセットも送信します。このオプションをイネーブルにしなかった場合、セキュリティアプライアンスは拒否されたパケットを何も通知せずに廃棄します。インターフェイス PAT では、resetoutside キーワードを使用することを推奨します。このキーワードを使用すると、外部 SMTP または FTP サーバからの IDENT をセキュリティアプライアンスで終了できます。これらの接続をアクティブにリセットすることによって、30 秒のタイムアウト遅延を回避できます。

デフォルト

デフォルトで、すべてのインターフェイスで service resetoutbound がイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グローバルコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.1(1)	interface キーワードおよび resetoutbound コマンドが追加されました。

使用上のガイドライン

アイデンティティ要求（IDENT）接続をリセットする必要がある場合は、着信トラフィックに対して明示的にリセットを送信できます。拒否されたホストに TCP RST（TCP ヘッダーのリセットフラグ）を送信すると、RST によって着信 IDENT プロセスが停止されるため、IDENT がタイムアウトするのを待機する必要がなくなります。外部ホストは IDENT がタイムアウトするまで SYN を継続的に再送信するため、IDENT がタイムアウトするのを待機するとトラフィックの速度低下の原因となる可能性があります。そのため、 service resetinbound コマンドによってパフォーマンスが向上する可能性があります。

例

次に、内部インターフェイスを除くすべてのインターフェイスで発信リセットをディセーブルにする例を示します。

hostname(config)# no service resetoutbound

hostname(config)# service resetoutbound interface inside

次に、DMZ インターフェイスを除くすべてのインターフェイスで着信リセットをイネーブルにする例を示します。

hostname(config)# service resetinbound

hostname(config)# no service resetinbound interface dmz

次に、外部インターフェイスが終端となる接続でリセットをイネーブルにする例を示します。

hostname(config)# service resetoutside

service（CTL プロバイダー）

証明書信頼リストプロバイダーがリッスンするポートを指定するには、CTL プロバイダーコンフィギュレーションモードで service コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

service port listening_port

no service port listening_port

構文の説明

port listening_port

クライアントにエクスポートする証明書を指定します。

デフォルト

デフォルトのポートは 2444 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
CTL プロバイダーコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
8.0(2)	このコマンドが導入されました。

使用上のガイドライン

CTL プロバイダーがリッスンするポートを指定するには、CTL プロバイダーコンフィギュレーションモードで service コマンドを使用します。ポートは、クラスタ内の CallManager サーバによってリッスンされているポートである必要があります（[CallManager administration] ページの [Enterprise Parameters] で設定）。デフォルトのポートは 2444 です。

例

次の例は、CTL プロバイダーインスタンスを作成する方法を示しています。

hostname(config)# ctl-provider my_ctl

hostname(config-ctl-provider)# client interface inside 172.23.45.1

hostname(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted

hostname(config-ctl-provider)# export certificate ccm_proxy

hostname(config-ctl-provider)# ctl install

service password-recovery

パスワードの回復をイネーブルにするには、グローバルコンフィギュレーションモードで service password-recovery コマンドを使用します。パスワードの回復をディセーブルにするには、このコマンドの no 形式を使用します。パスワードの回復はデフォルトでイネーブルですが、不正なユーザがパスワードの回復メカニズムを使用してセキュリティアプライアンスを侵害できないようにするためにディセーブルにすることができます。

service password-recovery

no service password-recovery

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

パスワードの回復は、デフォルトでイネーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グローバルコンフィギュレーション	•	•	•	--	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

使用上のガイドライン

ASA 5500 シリーズ適応型セキュリティアプライアンスでは、パスワードを忘れた場合、起動時にプロンプトが表示されたときに端末のキーボードで Esc キーを押して、ROMMON でセキュリティアプライアンスを起動できます。次に、コンフィギュレーションレジスタを変更することによって、スタートアップコンフィギュレーションを無視するようにセキュリティアプライアンスを設定します（ config-register コマンドを参照）。たとえば、コンフィギュレーションレジスタがデフォルトの 0x1 の場合、 confreg 0x41 コマンドを入力して値を 0x41 に変更します。セキュリティアプライアンスがリロードされると、デフォルトのコンフィギュレーションがロードされ、デフォルトのパスワードを使用して特権 EXEC モードを開始できます。その後、スタートアップコンフィギュレーションを実行コンフィギュレーションにコピーしてスタートアップコンフィギュレーションをロードし、パスワードをリセットします。最後に、コンフィギュレーションレジスタを元の設定に戻して、以前と同様に起動するようにセキュリティアプライアンスを設定します。たとえば、グローバルコンフィギュレーションモードで config-register 0x1 コマンドを入力します。

PIX 500 シリーズセキュリティアプライアンスでは、起動時にプロンプトが表示されたときに端末のキーボードで Esc キーを押して、モニタモードでセキュリティアプライアンスを起動します。その後、PIX パスワードツールをセキュリティアプライアンスにダウンロードして、すべてのパスワードおよび aaa authentication コマンドを消去します。

ASA 5500 シリーズ適応型セキュリティアプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザが ROMMON を開始することを防止でき、コンフィギュレーションも変更されないままとすることができます。ユーザが ROMMON を開始すると、ユーザは、セキュリティアプライアンスによって、すべてのフラッシュファイルシステムを消去するように求められます。ユーザは、最初に消去を実行しないと、ROMMON を開始できません。ユーザがフラッシュファイルシステムを消去しない場合、セキュリティアプライアンスはリロードします。パスワードの回復は ROMMON の使用と既存のコンフィギュレーションを維持することに依存しているため、フラッシュファイルシステムを消去することによってパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合に、システムを動作ステートに回復するには、新しいイメージとバックアップコンフィギュレーションファイル（使用可能な場合）をロードします。 service password-recovery コマンドは、コンフィギュレーションファイルに情報提供の目的でのみ表示されます。CLI プロンプトでこのコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。セキュリティアプライアンスが起動時にスタートアップコンフィギュレーションを無視するように設定されている場合にパスワードの回復をディセーブルにすると、セキュリティアプライアンスによって設定が変更され、通常どおりにスタートアップコンフィギュレーションが起動されます。フェールオーバーを使用し、スタートアップコンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドでスタンバイ装置に複製したときにコンフィギュレーションレジスタに同じ変更が加えられます。

PIX 500 シリーズセキュリティアプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザは、PIX パスワードツールによって、すべてのフラッシュファイルシステムを消去するように求められます。ユーザは、最初に消去を実行しないと、PIX パスワードツールを使用できません。ユーザがフラッシュファイルシステムを消去しない場合、セキュリティアプライアンスはリロードします。パスワードの回復は既存のコンフィギュレーションを維持することに依存しているため、フラッシュファイルシステムを消去することによってパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合に、システムを動作ステートに回復するには、新しいイメージとバックアップコンフィギュレーションファイル（使用可能な場合）をロードします。

例

次に、ASA 5500 シリーズ適応型セキュリティアプライアンスでパスワードの回復をディセーブルにする例を示します。

hostname(config)# no service password-recovery

WARNING: Executing "no service password-recovery" has disabled the password recovery mechanism and disabled access to ROMMON. The only means of recovering from lost or forgotten passwords will be for ROMMON to erase all file systems including configuration files and images. You should make a backup of your configuration and have a mechanism to restore images from the ROMMON command line.

次に、PIX 500 シリーズセキュリティアプライアンスでパスワードの回復をディセーブルにする例を示します。

hostname(config)# no service password-recovery

WARNING: Saving "no service password-recovery" in the startup-config will disable password recovery via the npdisk application. The only means of recovering from lost or forgotten passwords will be for npdisk to erase all file systems including configuration files and images. You should make a backup of your configuration and have a mechanism to restore images from the Monitor Mode command line.

次に、ASA 5500 シリーズ適応型セキュリティアプライアンスで、起動時に ROMMON を開始して、パスワードの回復操作を完了する例を示します。

Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.

Boot interrupted.

Use ? for help.

rommon #0> confreg

Current Configuration Register: 0x00000001

Configuration Summary:

boot default image from Flash

Do you wish to change this configuration? y/n [n]: n

rommon #1> confreg 0x41

Update Config Register (0x41) in NVRAM...

rommon #2> boot

Launching BootLoader...

Boot configuration file contains 1 entry.

Loading disk0:/ASA_7.0.bin... Booting...

###################

...

Ignoring startup configuration as instructed by configuration register.

Type help or '?' for a list of available commands.

hostname> enable

Password:

hostname# configure terminal

hostname(config)# copy startup-config running-config

Destination filename [running-config]?

Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9

892 bytes copied in 6.300 secs (148 bytes/sec)

hostname(config)# enable password NewPassword

hostname(config)# config-register 0x1

service-policy（クラス）

別のポリシーマップの下に階層型ポリシーマップを適用するには、クラスコンフィギュレーションモードで service-policy コマンドを使用します。サービスポリシーをディセーブルにするには、このコマンドの no 形式を使用します。階層型ポリシーは、シェーピングされたトラフィックのサブセットに対してプライオリティキューイングを実行する場合に QoS トラフィックシェーピングでのみサポートされています。

service-policy policymap_name

no service-policy policymap_name

構文の説明

policymap_name

policy-map コマンドで設定したポリシーマップ名を指定します。 priority コマンドを含むレイヤ 3/4 ポリシーマップのみを指定できます。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クラスコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.2(4)/8.0(4)	このコマンドが導入されました。

使用上のガイドライン

階層型プライオリティキューイングは、トラフィックシェーピングキューをイネーブルにするインターフェイスで使用します。シェーピングされるトラフィックのサブセットに優先順位を付けることができます。標準プライオリティキュー（ priority-queue コマンド）は使用しません。

階層型プライオリティキューイングでは、Modular Policy Framework を使用して次のタスクを実行します。

1. class-map ：プライオリティキューイングを実行するトラフィックを指定します。

2. policy-map （プライオリティキューイングの場合）：各クラスマップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラスマップを指定します。

b. priority ：クラスマップのプライオリティキューイングをイネーブルにします。ポリシーマップを階層的に使用する場合は、このポリシーマップに priority コマンドだけを含めることができます。

3. policy-map （トラフィックシェーピングの場合）： class-default クラスマップに関連付けるアクションを指定します。

a. class class-default ：アクションを実行する class-default クラスマップを指定します。

b. shape ：トラフィックシェーピングをクラスマップに適用します。

c. service-policy ：プライオリティキューイングをシェーピングされたトラフィックのサブセットに適用できるように、 priority コマンドを設定したプライオリティキューイングポリシーマップを呼び出します。

4. service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

例

次の例では、外部インターフェイスのすべてのトラフィックでトラフィックシェーピングをイネーブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリティを付けます。

hostname(config)# class-map TG1-voice

hostname(config-cmap)# match tunnel-group tunnel-grp1

hostname(config-cmap)# match dscp ef

hostname(config)# policy-map priority-sub-policy

hostname(config-pmap)# class TG1-voice

hostname(config-pmap-c)# priority

hostname(config-pmap-c)# policy-map shape_policy

hostname(config-pmap)# class class-default

hostname(config-pmap-c)# shape

hostname(config-pmap-c)# service-policy priority-sub-policy

hostname(config-pmap-c)# service-policy shape_policy interface outside

service-policy（グローバル）

すべてのインターフェイスでグローバルに、または特定のインターフェイスでポリシーマップをアクティブにするには、グローバルコンフィギュレーションモードで service-policy コマンドを使用します。サービスポリシーをディセーブルにするには、このコマンドの no 形式を使用します。インターフェイスでポリシーのセットをイネーブルにするには、 service-policy コマンドを使用します。

service-policy policymap_name [ global | interface intf ]

no service-policy policymap_name [ global | interface intf ]

構文の説明

policymap_name	policy-map コマンドで設定したポリシーマップ名を指定します。レイヤ 3/4 ポリシーマップのみを指定できます。インスペクションポリシーマップ（ policy-map type inspect ）は指定できません。
global	すべてのインターフェイスにポリシーマップを適用します。
interface intf	特定のインターフェイスにポリシーマップを適用します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グローバルコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

使用上のガイドライン

サービスポリシーをイネーブルにするには、Modular Policy Framework を使用します。

1. class-map ：プライオリティキューイングを実行するトラフィックを指定します。

2. policy-map ：各クラスマップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラスマップを指定します。

b. commands for supported features ：特定のクラスマップについて、QoS、アプリケーションインスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

3. service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

インターフェイスサービスポリシーは、特定の機能に対するグローバルサービスポリシーより優先されます。たとえば、インスペクションのグローバルポリシーがあり、TCP 正規化のインターフェイスポリシーがある場合、インターフェイスに対してインスペクションと TCP 正規化の両方が適用されます。ただし、インスペクションのグローバルポリシーがあり、インスペクションのインターフェイスポリシーもある場合、そのインターフェイスにはインターフェイスポリシーのインスペクションのみが適用されます。

デフォルトでは、すべてのデフォルトアプリケーションインスペクショントラフィックに一致するグローバルポリシーがコンフィギュレーションに含まれ、すべてのインスペクションがトラフィックにグローバルに適用されます。適用できるグローバルポリシーは 1 つだけなので、グローバルポリシーを変更する場合は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用します。

デフォルトサービスポリシーには、次のコマンドが含まれています。

service-policy global_policy global

例

次に、外部インターフェイスで inbound_policy ポリシーマップをイネーブルにする例を示します。

hostname(config)# service-policy inbound_policy interface outside

次のコマンドは、デフォルトグローバルポリシーをディセーブルにし、他のすべてのセキュリティアプライアンスインターフェイスで新しいポリシー new_global_policy をイネーブルにします。

hostname(config)# no service-policy global_policy global

hostname(config)# service-policy new_global_policy global

session

インテリジェント SSM（AIP SSM や CSC SSM など）への Telnet セッションを確立するには、特権 EXEC モードで session コマンドを使用します。

session slot [ do | ip ]

構文の説明

do	slot 引数で指定された SSM でコマンドを実行します。Cisco TAC によって指示された場合以外は、 do キーワードを使用しないでください。
ip	slot 引数で指定された SSM のロギング IP アドレスを設定します。Cisco TAC によって指示された場合以外は、 ip キーワードを使用しないでください。
slot	SSM スロット番号を指定します。この番号は常に 1 です。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	--	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。
7.1(1)	do キーワードおよび ip キーワードが追加されました。これらのキーワードは、Cisco TAC によって指示された場合にのみ使用します。

使用上のガイドライン

このコマンドは、SSM がアップ状態である場合にのみ使用できます。ステート情報については、 show module コマンドを参照してください。

セッションを終了するには、 exit と入力するか、または Ctrl-Shift-6 を押してから X キーを押します。

例

次に、スロット 1 の SSM へのセッションを確立する例を示します。

hostname# session 1

Opening command session with slot 1.

Connected to slot 1. Escape character sequence is 'CTRL-^X'.

set connection

ポリシーマップ内のトラフィッククラスに対して接続制限を指定するには、クラスコンフィギュレーションモードで set connection コマンドを使用します。これらの指定を削除して、無制限の接続数を許可するには、このコマンドの no 形式を使用します。

set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}

no set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}

構文の説明

conn-max n	許可する TCP または UDP 同時接続最大数を 0 ～ 65535 の範囲で設定します。デフォルトは 0 で、この場合は接続数が制限されません。たとえば、TCP または UDP の同時接続を許可するように 2 つのサーバが設定されている場合、接続制限数は、設定されている各サーバに別々に適用されます。クラスに設定された場合、このキーワードでは、クラス全体で許可される同時接続最大数が制限されます。この場合、1 つの攻撃ホストがすべての接続を使い果たし、クラスにおいてアクセスリストに一致する他のホストが使用できる接続がなくなる可能性があります。
embryonic-conn-max n	許可する同時初期接続最大数を 0 ～ 65535 の範囲で設定します。デフォルトは 0 で、この場合は接続数が制限されません。
per-client-embryonic-max n	クライアントごとに許可する同時初期接続最大数を 0 ～ 65535 の範囲で設定します。クライアントは、セキュリティアプライアンスから（新規接続を作成する）接続の初期パケットを送信するホストとして定義されます。 access-list が class-map とともに使用され、この機能のトラフィックが照合される場合、初期接続制限は、アクセスリストに一致するすべてのクライアントの累積初期接続数ではなく、ホストごとに適用されます。デフォルトは 0 で、この場合は接続数が制限されません。このキーワードは、管理クラスマップでは使用できません。
per-client-max n	クライアントごとに許可する同時接続最大数を 0 ～ 65535 の範囲で設定します。クライアントは、セキュリティアプライアンスから（新規接続を作成する）接続の初期パケットを送信するホストとして定義されます。 access-list が class-map とともに使用され、この機能のトラフィックが照合される場合、接続制限は、アクセスリストに一致するすべてのクライアントの累積接続数ではなく、ホストごとに適用されます。デフォルトは 0 で、この場合は接続数が制限されません。このキーワードは、管理クラスマップでは使用できません。クラスに設定された場合、このキーワードでは、クラスにおいてアクセスリストに一致する各ホストに許可される同時接続最大数が制限されます。
random-sequence-number { enable \| disable }	TCP シーケンス番号ランダム化をイネーブルまたはディセーブルにします。このキーワードは、管理クラスマップでは使用できません。詳細については、「使用上のガイドライン」を参照してください。

デフォルト

conn-max 、 embryonic-conn-max 、 per-client-embryonic-max 、および per-client-max の各パラメータの n のデフォルト値は、0（接続数の制限なし）です。

シーケンス番号ランダム化は、デフォルトでイネーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クラスコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。
7.1(1)	per-client-embryonic-max キーワードおよび per-client-max キーワードが追加されました。
8.0(2)	このコマンドが、セキュリティアプライアンスへの管理トラフィックにおいて、レイヤ 3/4 管理クラスマップでも使用できるようになりました。 conn-max キーワードおよび embryonic-conn-max キーワードだけが使用可能です。

使用上のガイドライン

モジュラポリシーフレームワークを使用してこのコマンドを設定します。最初に、 class-map コマンド（通過トラフィック）または class-map type management コマンド（管理トラフィック）を使用して、タイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラスマップを参照します。クラスコンフィギュレーションモードで、 set connection コマンドを入力できます。最後に、 service-policy コマンドを使用して、インターフェイスにポリシーマップを適用します。モジュラポリシーフレームワークの仕組みの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

（注） NAT コンフィギュレーションで最大接続数、最大初期接続数、および TCP シーケンスランダム化を設定することもできます。両方の方法を使用して同じトラフィックにこれらの設定を行う場合は、セキュリティアプライアンスは低い方の制限を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、セキュリティアプライアンスは TCP シーケンスのランダム化をディセーブルにします。

TCP 代行受信の概要

初期接続の数を制限することで、DoS 攻撃（サービス拒絶攻撃）から保護されます。セキュリティアプライアンスでは、クライアントあたりの制限値と初期接続の制限を利用して TCP 代行受信を開始します。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。TCP 代行受信では、SYN クッキーアルゴリズムを使用して TCP SYN フラッディング攻撃を防ぎます。SYN フラッディング攻撃は、通常はスプーフィングされた IP アドレスから送信されてくる一連の SYN パケットで構成されています。SYN パケットのフラッディングが定常的に生じると、SYN キューが一杯になる状況が続き、接続要求に対してサービスを提供できなくなります。接続の初期接続しきい値を超えると、セキュリティアプライアンスはサーバのプロキシとして動作し、クライアント SYN 要求に対する SYN-ACK 応答を生成します。セキュリティアプライアンスがクライアントから ACK を受信すると、クライアントを認証し、サーバへの接続を許可できます。

クライアントレス SSL 互換での管理パケットの TCP 代行受信のディセーブル化

デフォルトでは、TCP 管理接続では TCP 代行受信が常にイネーブルになっています。TCP 代行受信をイネーブルにすると、3 ウェイ TCP 接続確立のハンドシェイクパケットが代行受信されるため、セキュリティアプライアンスではクライアントレス SSL のパケットを処理できなくなります。クライアントレス SSL では、クライアントレス SSL 接続で selective-ack や他の TCP オプションを提供するために、3 ウェイハンドシェイクパケットを処理する機能が必要になります。管理トラフィックの TCP 代行受信をディセーブルにするには、初期接続制限を設定します。初期接続制限に達した後にだけ TCP 代行受信をイネーブルにできます。

TCP シーケンスランダム化概要

それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。セキュリティアプライアンスは、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。

保護されたホストの ISN をランダム化することにより、攻撃者が新しい接続で次の ISN を予測できないようにして、新規セッションが乗っ取られるのを防ぎます。

TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次に例を示します。

• 別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラフィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要がない場合。

• セキュリティアプライアンスで eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダム化により、MD5 チェックサムは分解されます。

• セキュリティアプライアンスで接続のシーケンスをランダム化しないようにする必要がある WAAS デバイスを使用する場合。

例

次に、 set connection コマンドを使用して、同時接続最大数を 256 に設定し、TCP シーケンス番号ランダム化をディセーブルにする例を示します。

hostname(config)# policy-map localpolicy1

hostname(config-pmap)# class local_server

hostname(config-pmap-c)# set connection conn-max 256 random-sequence-number disable

hostname(config-pmap-c)#

次に、トラフィックを CSC SSM に転送するサービスポリシーでの set connection コマンドの使用例を示します。 set connection コマンドによって、CSC SSM でトラフィックがスキャンされる各クライアントが最大 5 接続に制限されます。

hostname(config)# policy-map csc_policy

hostname(config-pmap)# class local_server

hostname(config-pmap-c)# set connection per-client-max 5

hostname(config-pmap-c)# csc fail-close

hostname(config-pmap-c)#

複数のパラメータを指定してこのコマンドを入力することも、各パラメータを個別のコマンドとして入力することもできます。セキュリティアプライアンスは、コマンドを実行コンフィギュレーション内で 1 行に結合します。たとえば、クラスコンフィギュレーションモードで次の 2 つのコマンドを入力するとします。

hostname(config-pmap-c)# set connection conn-max 600

hostname(config-pmap-c)# set connection embryonic-conn-max 50

show running-config policy-map コマンドの出力には、2 つのコマンドの結果が単一の結合コマンドとして表示されます。

set connection conn-max 600 embryonic-conn-max 50

set connection advanced-options

トラフィッククラスに関する高度な TCP 接続オプションをポリシーマップ内で指定するには、クラスモードで set connection advanced-options コマンドを使用します。トラフィッククラスに関する高度な TCP 接続オプションをポリシーマップから削除するには、クラスモードで、このコマンドの no 形式を使用します。

set connection advanced-options tcp-mapname

no set connection advanced-options tcp-mapname

構文の説明

tcp-mapname

高度な TCP 接続オプションの設定対象となる TCP マップの名前。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クラス	•	•	--	--	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

使用上のガイドライン

このコマンドを発行するには、TCP マップ名に加えて、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。詳細については、 tcp-map コマンドの説明を参照してください。

例

次に、 set connection advanced-options コマンドを使用して、localmap という名前の TCP マップの使用を指定する例を示します。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1

hostname(config)# class-map http-server

hostname(config-cmap)# match access-list http-server

hostname(config-cmap)# exit

hostname(config)# tcp-map localmap

hostname(config)# policy-map global_policy global

hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.

hostname(config-pmap)# class http-server

hostname(config-pmap-c)# set connection advanced-options localmap

hostname(config-pmap-c)#

set connection decrement-ttl

ポリシーマップ内のトラフィッククラスにおいて存続可能時間の値をデクリメントするには、クラスコンフィギュレーションモードで set connection decrement-ttl コマンドを使用します。存続可能時間をデクリメントしない場合は、このコマンドの no 形式を使用します。

set connection decrement-ttl

no set connection decrement-ttl

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトで、セキュリティアプライアンスでは、存続可能時間はデクリメントされません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クラスコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.2(2)	このコマンドが導入されました。

使用上のガイドライン

このコマンド、および icmp unreachable コマンドは、セキュリティアプライアンスをホップの 1 つとして表示するセキュリティアプライアンス経由の traceroute を可能とするために必要です。

例

次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定します。

hostname(config)# policy-map localpolicy1

hostname(config-pmap)# class local_server

hostname(config-pmap-c)# set connection decrement-ttl

hostname(config-pmap-c)# exit

hostname(config)# icmp unreachable rate-limit 50 burst-size 6

set connection timeout

ポリシーマップ内のトラフィッククラスに対して接続タイムアウトを指定するには、クラスコンフィギュレーションモードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。

set connection timeout {[ embryonic hh : mm : ss] [tcp hh : mm : ss [ reset ]] [ half-closed hh : mm : ss] [dcd [retry_interval [ max_retries ]]]}

no set connection timeout {[ embryonic hh : mm : ss] [tcp hh : mm : ss [ reset ]] [ half-closed hh : mm : ss] [dcd [retry_interval [ max_retries ]]]}

構文の説明

dcd	Dead Connection Detection（DCD; デッド接続検出）をイネーブルにします。DCD では、デッド接続を検出して、トラフィックをまだ処理できる接続を期限切れにすることなく、そのデッド接続を期限切れにすることができます。DCD は、アイドル状態でも有効な接続を維持する場合に設定します。TCP 接続がタイムアウトすると、セキュリティアプライアンスは、エンドホストに DCD プローブを送信して接続の有効性を判断します。最大再試行回数を超えてもエンドホストの一方が応答しない場合、セキュリティアプライアンスはその接続を解放します。両方のエンドホストが応答して接続の有効性が確認されると、セキュリティアプライアンスはアクティビティタイムアウトを現在時刻に更新し、それに応じてアイドルタイムアウトを再スケジュールします。
embryonic hh : mm : ss	TCP 初期（ハーフオープン）接続が閉じられるまでのタイムアウト期間を 0:0:5 ～ 1193:0:0 の範囲で設定します。デフォルトは 0:0:30 です。値を 0 に設定することもできます。これは、接続がタイムアウトになることはないことを意味します。初期接続とは、スリーウェイハンドシェイクが完了していない TCP 接続です。
half-closed hh : mm : ss	ハーフクローズ接続が閉じられるまでのアイドルタイムアウト期間を 0:5:0 ～ 1193:0:0 の範囲で設定します。デフォルトは 0:10:0 です。値を 0 に設定することもできます。これは、接続がタイムアウトになることはないことを意味します。ハーフクローズの接続は DCD の影響を受けません。また、セキュリティアプライアンスは、ハーフクローズ接続を切断するときにリセットパケットを送信しません。
max_retries	DCD において、何回連続して再試行に失敗すると接続がデッドであると見なされるかを設定します。最小値は 1、最大値は 255 です。デフォルトは 5 です。
reset	TCP のアイドル接続が削除されてから、両方のエンドシステムに TCP RST パケットを送信します。
retry_interval	DCD プローブに応答がない場合に次のプローブを送信するまでの hh : mm : ss 形式の間隔を 0:0:1 ～ 24:0:0 の範囲で指定します。デフォルトは 0:0:15 です。
tcp hh : mm : ss	確立された接続が終了するアイドルタイムアウト時間を設定します。

デフォルト

デフォルトの embryonic タイムアウトは 30 秒です。

デフォルトの half-closed アイドルタイムアウトは 10 分です。

デフォルトの dcd max_retries の値は 5 です。

デフォルトの dcd retry_interval の値は 15 秒です。

デフォルトの tcp アイドルタイムアウトは 1 時間です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クラスコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。
7.2(1)	DCD のサポートが追加されました。

使用上のガイドライン

モジュラポリシーフレームワークを使用してこのコマンドを設定します。最初に、 class-map コマンドを使用して、タイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラスマップを参照します。クラスコンフィギュレーションモードで、 set connection timeout コマンドを入力できます。最後に、 service-policy コマンドを使用して、インターフェイスにポリシーマップを適用します。モジュラポリシーフレームワークの仕組みの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

DCD をイネーブルにすると、TCP ノーマライザでのアイドルタイムアウト処理の動作が変更されます。DCD プローブにより、 show conn コマンドで表示される接続でのアイドルタイムアウトがリセットされます。タイムアウトコマンドで設定したタイムアウト値を超過していても、DCD プローブのために存続している接続を判別するため、 show service-policy コマンドには、DCD からのアクティビティ数を示すカウンタが含まれています。

例

次に、すべてのトラフィックの接続タイムアウトを設定する例を示します。

hostname(config)# class-map CONNS

hostname(config-cmap)# match any

hostname(config-cmap)# policy-map CONNS

hostname(config-pmap)# class CONNS

hostname(config-pmap-c)# set connection timeout tcp 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd

hostname(config-pmap-c)# service-policy CONNS interface outside

複数のパラメータを使用して set connection コマンドを入力するか、各パラメータを別々のコマンドとして入力できます。セキュリティアプライアンスは、コマンドを実行コンフィギュレーション内で 1 行に結合します。たとえば、クラスコンフィギュレーションモードで次の 2 つのコマンドを入力するとします。

hostname(config-pmap-c)# set connection timeout tcp 2:0:0

hostname(config-pmap-c)# set connection timeout embryonic 0:40:0

show running-config policy-map コマンドの出力には、2 つのコマンドの結果が単一の結合コマンドとして表示されます。

set connection timeout tcp 2:0:0 embryonic 0:40:0

set metric

ルーティングプロトコルのメトリック値を設定するには、ルートマップコンフィギュレーションモードで metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマンドの no 形式を使用します。

set metric value

no set metric value

構文の説明

value

メトリック値。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
ルートマップコンフィギュレーション	•	--	•	--	--

コマンド履歴

リリース	変更内容
既存	このコマンドは既存です。

使用上のガイドライン

no set metric value コマンドを使用すると、デフォルトのメトリック値に戻すことができます。このコンテキストでは、 value は 0 ～ 4294967295 の整数です。

例

次に、OSPF ルーティングのルートマップを設定する例を示します。

hostname(config)# route-map maptag1 permit 8

hostname(config-route-map)# set metric 5

hostname(config-route-map)# match metric 5

hostname(config-route-map)# show route-map

route-map maptag1 permit 8

set metric 5

match metric 5

hostname(config-route-map)# exit

hostname(config)#

set metric-type

OSPF メトリックルートのタイプを指定するには、ルートマップコンフィギュレーションモードで set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

set metric-type { type-1 | type-2 }

no set metric-type

構文の説明

type-1	指定された自律システムの外部にある OSPF メトリックルートのタイプを指定します。
type-2	指定された自律システムの外部にある OSPF メトリックルートのタイプを指定します。

デフォルト

デフォルトは、type-2 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
ルートマップコンフィギュレーション	•	--	•	--	--

コマンド履歴

リリース	変更内容
既存	このコマンドは既存です。

例

次に、OSPF ルーティングのルートマップを設定する例を示します。

hostname(config)# route-map maptag1 permit 8

hostname(config-route-map)# set metric 5

hostname(config-route-map)# match metric 5

hostname(config-route-map)# set metric-type type-2

hostname(config-route-map)# show route-map

route-map maptag1 permit 8

set metric 5

set metric-type type-2

match metric 5

hostname(config-route-map)# exit

hostname(config)#

setup

対話形式のプロンプトを使用してセキュリティアプライアンスの最小限度のコンフィギュレーションを設定するには、グローバルコンフィギュレーションモードで setup コマンドを入力します。このコンフィギュレーションでは、ASDM を使用するための接続が提供されます。デフォルトのコンフィギュレーションに戻すには、 configure factory-default コマンドも参照してください。

setup

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グローバルコンフィギュレーション	•	•	•	•	•

コマンド履歴

リリース	変更内容
既存	このコマンドは既存です。

使用上のガイドライン

フラッシュメモリにスタートアップコンフィギュレーションがない場合は、起動時に設定ダイアログボックスが自動的に表示されます。

setup コマンドを使用する前に、内部インターフェイスを設定しておく必要があります。PIX 500 シリーズのデフォルトコンフィギュレーションには内部インターフェイス（イーサネット 1）が含まれていますが、ASA 550 シリーズのデフォルトコンフィギュレーションには含まれていません。 setup コマンドを使用する前に、内部インターフェイスにするインターフェイスに対して interface コマンドを入力して、 nameif inside コマンドを入力します。

マルチコンテキストモードでは、システム実行スペースおよび各コンテキストに対して setup コマンドを使用できます。

setup コマンドを入力すると、表 24-1 の情報の入力を求められます。システムの setup コマンドには、これらのプロンプトのサブセットが含まれています。プロンプトに表示されたパラメータのコンフィギュレーションがすでに存在する場合は、そのコンフィギュレーションが角カッコに表示されます。その値をデフォルトとして受け入れるか、または新しい値を入力してその値を上書きできます。

表 24-1 設定プロンプト
プロンプト	説明
Pre-configure Firewall now through interactive prompts [yes]?	yes または no を入力します。 yes を入力すると、設定ダイアログボックスが続行します。 no を入力すると、設定ダイアログボックスが停止し、グローバルコンフィギュレーションプロンプト（hostname(config)#）が表示されます。
Firewall Mode [Routed]:	routed または transparent を入力します。
Enable password:	イネーブルパスワードを入力します（パスワードは、3 文字以上である必要があります）。
Allow password recovery [yes]?	yes または no を入力します。
Clock (UTC):	このフィールドには何も入力できません。デフォルトで UTC 時間が使用されます。
Year:	4 桁の年（2005 など）を入力します。年の範囲は 1993 ～ 2035 です。
Month:	月の先頭の 3 文字（9 月の場合は Sep など）を使用して月を入力します。
Day:	日付（1 ～ 31）を入力します。
Time:	24 時間制で時間、分、秒を入力します。たとえば、午後 8 時 54 分 44 秒の場合は、 20:54:44 と入力します。
Inside IP address:	内部インターフェイスの IP アドレスを入力します。
Inside network mask:	内部 IP アドレスに適用するネットワークマスクを入力します。255.0.0.0 や 255.255.0.0 などの有効なネットワークマスクを指定する必要があります。
Host name:	コマンドラインプロンプトに表示するホスト名を入力します。
Domain name:	セキュリティアプライアンスを稼働するネットワークのドメイン名を入力します。
IP address of host running Device Manager:	ASDM にアクセスする必要があるホストの IP アドレスを入力します。
Use this configuration and write to flash?	yes または no を入力します。 yes を入力すると、内部インターフェイスがイネーブルになり、要求されたコンフィギュレーションがフラッシュパーティションに書き込まれます。 no を入力すると、設定ダイアログボックスが最初の質問から繰り返されます。 Pre-configure Firewall now through interactive prompts [yes]? 設定ダイアログボックスを終了するには no を、設定ダイアログボックスを繰り返すには yes を入力します。

例

次に、 setup コマンドプロンプトを完了する例を示します。

hostname(config)# setup

Pre-configure Firewall now through interactive prompts [yes]? yes

Firewall Mode [Routed]: routed

Enable password [<use current password>]: writer

Allow password recovery [yes]? yes

Clock (UTC):

Year: 2005

Month: Nov

Day: 15

Time: 10:0:0

Inside IP address: 192.168.1.1

Inside network mask: 255.255.255.0

Host name: tech_pubs

Domain name: your_company.com

IP address of host running Device Manager: 10.1.1.1

The following configuration will be used:

Enable password: writer

Allow password recovery: yes

Clock (UTC): 20:54:44 Sep 17 2005

Firewall Mode: Routed

Inside IP address: 192.168.1.1

Inside network mask: 255.255.255.0

Host name: tech_pubs

Domain name: your_company.com

IP address of host running Device Manager: 10.1.1.1

Use this configuration and write to flash? yes

shape

QoS トラフィックシェーピングをイネーブルにするには、クラスコンフィギュレーションモードで shape コマンドを使用します。セキュリティアプライアンスなどの、ファストイーサネットを使用してパケットを高速に送信するデバイスが存在し、そのデバイスがケーブルモデムなどの低速デバイスに接続されている場合、ケーブルモデムがボトルネックとなり、ケーブルモデムでパケットが頻繁にドロップされます。さまざまな回線速度を持つネットワークを管理するために、低い固定レートでパケットを送信するようにセキュリティアプライアンスを設定できます。これを トラフィックシェーピング と呼びます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

shape average rate [ burst_size ]

no shape average rate [ burst_size ]

構文の説明

average rate

一定期間におけるトラフィックの平均レート（ビット/秒）を 64000 ～ 154400000 の範囲で設定します。8000 の倍数の値を指定します。期間の計算方法の詳細については、「使用上のガイドライン」の項を参照してください。

burst_size

一定期間において送信可能な平均バーストサイズ（ビット単位）を 2048 ～ 154400000 の範囲で設定します。128 の倍数の値を指定します。 burst_size を指定しない場合、デフォルト値は指定した平均レートでの 4 ミリ秒のトラフィックに相当する値になります。たとえば、平均レートが 1000000 ビット/秒の場合、4 ミリ秒では 1000000 * 4/1000 = 4000 になります。

デフォルト

burst_size を指定しない場合、デフォルト値は指定した平均レートでの 4 ミリ秒のトラフィックに相当する値になります。たとえば、平均レートが 1000000 ビット/秒の場合、4 ミリ秒では 1000000 * 4/1000 = 4000 になります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
クラスコンフィギュレーション	•	•	•	--	--

コマンド履歴

リリース	変更内容
7.2(4)/8.0(4)	このコマンドが導入されました。

使用上のガイドライン

トラフィックシェーピングをイネーブルにするには、Modular Policy Framework を使用します。

1. policy-map ： class-default クラスマップに関連付けるアクションを指定します。

a. class class-default ：アクションを実行する class-default クラスマップを指定します。

b. shape ：トラフィックシェーピングをクラスマップに適用します。

c. （任意） service-policy ：シェーピングされたトラフィックのサブセットに対してプライオリティキューイングを適用できるように、 priority コマンドを設定した異なるポリシーマップを呼び出します。

2. service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

トラフィックシェーピングの概要

トラフィックシェーピングは、デバイスとリンクの速度を一致させることで、ジッタや遅延の原因になる可能性のあるパケット損失、可変遅延、およびリンク飽和を制御するために使用されます。

• トラフィックシェーピングは、物理インターフェイスのすべての発信トラフィック、または ASA 5505 の場合は VLAN 上のすべての発信トラフィックに適用する必要があります。特定のタイプのトラフィックにはトラフィックシェーピングを設定できません。

• トラフィックシェーピングはインターフェイス上でパケットの送信準備が完了したときに適用されるため、レート計算は、IPSec ヘッダーや L2 ヘッダーなどのすべてのオーバーヘッドを含む、実際の送信パケットサイズに基づいて行われます。

• シェーピングされるトラフィックには、through-the-box トラフィックと from-the-box トラフィックの両方が含まれます。

• シェープレートの計算は、標準トークンバケットアルゴリズムに基づいて行われます。トークンバケットサイズは、バーストサイズ値の 2 倍です。トークンバケットの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

• バースト性のトラフィックが指定されたシェープレートを超えると、パケットはキューに入れられて、後で送信されます。次に、シェーピングキューのいくつかの特性について説明します（階層型プライオリティキューイングの詳細については、 priority コマンドを参照してください）。

– キューのサイズは、シェープレートに基づいて計算されます。キューは、1500 バイトのパケットとして 200 ミリ秒に相当するシェープレートトラフィックを保持できます。最小キューサイズは 64 です。

– キューの制限に達すると、パケットはキューの末尾からドロップされます。

– OSPF Hello パケットなどの一部の重要なキープアライブパケットは、ドロップされません。

– 時間間隔は、 time_interval = burst_size / average_rate によって求められます。時間間隔が長くなるほど、シェープトラフィックのバースト性は高くなり、リンクのアイドル状態が長くなる可能性があります。この効果は、次のような誇張した例を使うとよく理解できます。

平均レート = 1000000

バーストサイズ = 1000000

この例では、時間間隔は 1 秒であり、これは、100 Mbps の FE リンクでは 1 Mbps のトラフィックを時間間隔 1 秒の最初の 10 ミリ秒内にバースト送信できることを意味し、残りの 990 ミリ秒間はアイドル状態になって、次の時間間隔になるまでパケットを送信できません。したがって、音声トラフィックのように遅延が問題になるトラフィックがある場合は、バーストサイズを平均レートと比較して小さくし、時間間隔を短くする必要があります。

QoS 機能の相互作用のしくみ

セキュリティアプライアンスで必要な場合は、個々の QoS 機能を単独で設定できます。ただし、普通は、たとえば一部のトラフィックを優先させて、他のトラフィックによって帯域幅の問題が発生しないようにするために、複数の QoS 機能をセキュリティアプライアンスに設定します。

次に、インターフェイスごとにサポートされる機能の組み合わせを示します。

• 標準プライオリティキューイング（特定のトラフィックについて）+ ポリシング（その他のトラフィックについて）

同じトラフィックのセットに対して、プライオリティキューイングとポリシングを両方設定することはできません。

• トラフィックシェーピング（1 つのインターフェイス上のすべてのトラフィック）+ 階層型プライオリティキューイング（トラフィックのサブセット）。

同じインターフェイスに対して、トラフィックシェーピングと標準プライオリティキューイングを設定することはできません。階層型プライオリティキューイングのみを設定できます。たとえば、グローバルポリシーに標準プライオリティキューイングを設定して、特定のインターフェイスにトラフィックシェーピングを設定する場合、最後に設定した機能は拒否されます。これは、グローバルポリシーがインターフェイスポリシーと重複するためです。

通常、トラフィックシェーピングをイネーブルにした場合、同じトラフィックに対してはポリシングをイネーブルにしません。ただし、このような設定はセキュリティアプライアンスでは制限されていません。

例

hostname(config)# class-map TG1-voice

hostname(config-cmap)# match tunnel-group tunnel-grp1

hostname(config-cmap)# match dscp ef

hostname(config)# policy-map priority-sub-policy

hostname(config-pmap)# class TG1-voice

hostname(config-pmap-c)# priority

hostname(config-pmap-c)# policy-map shape_policy

hostname(config-pmap)# class class-default

hostname(config-pmap-c)# shape

hostname(config-pmap-c)# service-policy priority-sub-policy

hostname(config-pmap-c)# service-policy shape_policy interface outside

show aaa local user

現在ロックされているユーザ名のリストを表示するか、またはユーザ名の詳細を表示するには、グローバルコンフィギュレーションモードで aaa local user コマンドを使用します。

show aaa local user [ locked]

構文の説明

locked

（任意）現在ロックされているユーザ名のリストを表示します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
グローバルコンフィギュレーション	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

使用上のガイドライン

オプションのキーワード locked を省略すると、セキュリティアプライアンスによって、すべての AAA ローカルユーザの失敗試行およびロックアウトステータスの詳細が表示されます。

username オプションを使用して単一のユーザを指定するか、 all オプションを使用してすべてのユーザを指定できます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響します。

管理者をデバイスからロックアウトすることはできません。

例

次に、 show aaa local user コマンドを使用して、すべてのユーザ名のロックアウトステータスを表示する例を示します。

次に、制限を 5 回に設定した後に show aaa local user コマンドを使用して、すべての AAA ローカルユーザの失敗した認証試行回数およびロックアウトステータスの詳細を表示する例を示します。

hostname(config)# aaa local authentication attempts max-fail 5

hostname(config)# show aaa local user

Lock-time Failed-attempts Locked User

- 6 Y test

- 2 N mona

- 1 N cisco

- 4 N newuser

hostname(config)#

次に、制限を 5 回に設定した後に lockout キーワードを指定して show aaa local user コマンドを使用し、ロックアウトされている AAA ローカルユーザのみの失敗した認証試行回数およびロックアウトステータスの詳細を表示する例を示します。

hostname(config)# aaa local authentication attempts max-fail 5

hostname(config)# show aaa local user

Lock-time Failed-attempts Locked User

- 6 Y test

hostname(config)#

show aaa-server

AAA サーバの AAA サーバ統計情報を表示するには、特権 EXEC モードで show aaa-server コマンドを使用します。

show aaa-server [ LOCAL | groupname [ host hostname ] | protocol protocol ]

構文の説明

LOCAL	（任意）ローカルユーザデータベースの統計情報を表示します。
groupname	（任意）グループ内のサーバの統計情報を表示します。
host hostname	（任意）グループ内の特定のサーバの統計情報を表示します。
protocol protocol	（任意）指定したプロトコルのサーバの統計情報を表示します。 • kerberos • ldap • nt • radius • sdi • tacacs+

デフォルト

デフォルトで、すべての AAA サーバ統計情報が表示されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.1(1)	http-form プロトコルが追加されました。
8.0(2)	aaa-server active コマンドまたは fail コマンドを使用して手動でステータスが変更されたかどうかがサーバステータスに表示されるようになりました。

例

次に、 show aaa-server コマンドを使用して、サーバグループ group1 の特定のホストの統計情報を表示する例を示します。

hostname(config)# show aaa-server group1 host 192.68.125.60

Server Group: group1

Server Protocol: RADIUS

Server Address: 192.68.125.60

Server port: 1645

Server status: ACTIVE. Last transaction (success) at 11:10:08 UTC Fri Aug 22

Number of pending requests 20

Average round trip time 4ms

Number of authentication requests 20

Number of authorization requests 0

Number of accounting requests 0

Number of retransmissions 1

Number of accepts 16

Number of rejects 4

Number of challenges 5

Number of malformed responses 0

Number of bad authenticators 0

Number of timeouts 0

Number of unrecognized responses 0

次に、 show aaa-server コマンドのフィールド説明を示します。

フィールド	説明
Server Group	aaa-server コマンドによって指定されたサーバグループ名。
Server Protocol	aaa-server コマンドによって指定されたサーバグループのサーバプロトコル。
Server Address	AAA サーバの IP アドレス。
Server port	セキュリティアプライアンスおよび AAA サーバによって使用される通信ポート。RADIUS 認証ポートは、 authentication-port コマンドを使用して指定できます。RADIUS アカウンティングポートは、 accounting-port コマンドを使用して指定できます。非 RADIUS サーバでは、ポートは server-port コマンドによって設定されます。
Server status	サーバのステータス。次のいずれかの値が表示されます。 • ACTIVE：セキュリティアプライアンスはこの AAA サーバと通信します。 • FAILED：セキュリティアプライアンスはこの AAA サーバと通信できません。この状態になったサーバは、設定されているポリシーに応じて一定期間この状態のままとなった後、再アクティブ化されます。ステータスの後に「(admin initiated)」と表示されている場合、このサーバは、 aaa-server active コマンドまたは fail コマンドを使用して手動で障害発生状態にされたか、または再アクティブ化されています。また、次の形式で最終トランザクションの日時も表示されます。 Last transaction ( { success \| failure } ) at time timezone date セキュリティアプライアンスがサーバと通信したことがない場合は、次のメッセージが表示されます。 Last transaction at Unknown
Number of pending requests	現在進行中の要求数。
Average round trip time	サーバとのトランザクションを完了するまでにかかる平均時間。
Number of authentication requests	セキュリティアプライアンスによって送信された認証要求数。タイムアウト後の再送信は、この値には含まれません。
Number of authorization requests	認可要求数。この値は、コマンド認可、through-the-box トラフィックの認可（TACACS+ サーバ）、またはトンネルグループに対してイネーブルにされた WebVPN および IPSec 認可機能による認可要求を指しています。この値には、タイムアウト後の再送信は含まれていません。
Number of accounting requests	アカウンティング要求数。この値には、タイムアウト後の再送信は含まれていません。
Number of retransmissions	内部タイムアウト後にメッセージが再送信された回数。この値は、Kerberos および RADIUS サーバ（UDP）にのみ適用されます。
Number of accepts	成功した認証要求数。
Number of rejects	拒否された要求数。この値には、エラー状態、および実際にクレデンシャルが AAA サーバから拒否された場合の両方が含まれます。
Number of challenges	最初にユーザ名とパスワードの情報を受信した後に、AAA サーバがユーザに対して追加の情報を要求した回数。
Number of malformed responses	該当なし。将来的な使用のために予約されています。
Number of bad authenticators	次のいずれかが発生した回数。 • RADIUS パケットの「authenticator」ストリングが破損している（まれなケース）。 • セキュリティアプライアンスの共有秘密キーと RADIUS サーバの共有秘密キーが一致しない。この問題を修正するには、適切なサーバキーを入力します。この値は、RADIUS にのみ適用されます。
Number of timeouts	セキュリティアプライアンスが、AAA サーバが応答しない、または動作が不正であることを検出し、オフラインであると見なした回数。
Number of unrecognized responses	認識できない応答またはサポートしていない応答をセキュリティアプライアンスが AAA サーバから受信した回数。たとえば、サーバからの RADIUS パケットコードが不明なタイプ（既知の「access-accept」、「access-reject」、「access-challenge」、または「accounting-response」以外のタイプ）である場合です。通常、これは、サーバからの RADIUS 応答パケットが破損していることを意味していますが、まれなケースです。

show access-list

アクセスリストのカウンタを表示するには、特権 EXEC モードで show access-list コマンドを使用します。

show access-list id_1 [...[id_2]] [ brief ]

構文の説明

acl_name_1	既存のアクセスリストを識別する名前または文字セット。
acl_name_2	既存のアクセスリストを識別する名前または文字セット。
brief	アクセスリスト識別子およびヒットカウントを 16 進数形式で表示します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	•	--

コマンド履歴

リリース	変更内容
8.0(2)	brief キーワードのサポートが追加されました。

使用上のガイドライン

1 つのコマンドに複数のアクセスリスト識別子を入力することによって、一度に複数のアクセスリストを表示できます。

brief キーワードを指定して、16 進数形式でアクセスリストヒットカウントおよび識別子情報を表示できます。16 進数形式で表示されるコンフィギュレーション識別子は 2 列に表示され、syslog 106023 および 106100 で使用される識別子と同じです。

例

次に、 show access-list コマンドの出力例を示します。

hostname# show access-list

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)

alert-interval 300

access-list 101; 10 elements

access-list 101 line 1 extended permit tcp any eq www any (hitcnt=0) 0xa14fc533 access-list 101 line 2 extended permit tcp any eq www any eq www (hitcnt=0) 0xaa73834e access-list 101 line 3 extended permit tcp any eq www any range telnet www (hitcnt=0) 0x49ac02e6

access-list 101 line 4 extended permit tcp any range telnet www any range telnet www (hitcnt=0) 0xa0021a9f

access-list 101 line 5 extended permit udp any range biff www any (hitcnt=0) 0xf89a7328

access-list 101 line 6 extended permit udp any lt ntp any (hitcnt=0) 0x8983c43 access-list 101 line 7 extended permit udp any any lt ntp (hitcnt=0) 0xf361ffb6

access-list 101 line 8 extended permit udp any any range ntp biff (hitcnt=0) 0x219581

access-list 101 line 9 extended permit icmp any any (hitcnt=0) 0xe8fa08e1

access-list 101 line 10 extended permit icmp any any echo (hitcnt=0) 0x2eb8deea

access-list 102; 1 elements access-list 102 line 1 extended permit icmp any any echo (hitcnt=0) 0x59e2fea8

この出力では、各行の最後に個々のアクセスコントロールエントリに対する独自の 16 進数の識別子が含まれています。

次に、 show access-list brief コマンドの出力例を示します。

hostname (config)# sh access-list abc brief

abc:

28676dfa 00000000 00000001

bbec063f f0109e02 000000a1

3afd0576 f0109e02 000000c2

a83ddc02 f0109e02 00000021

hostname (config)#

最初の 2 列に識別子が 16 進数形式で表示され、3 列めにヒットカウントが 16 進数形式で表示されます。ヒットカウントの値は、トラフィックがルールにヒットした回数を表します。ヒットカウントがゼロの場合、情報は表示されません。

show activation-key

実行アクティベーションキー、および許可されているコンテキスト数を含む、アクティベーションキーによってイネーブルにされているコンフィギュレーション内のライセンス済み機能を表示するには、特権 EXEC モードで show activation-key コマンドを使用します。

show activation-key [detail]

（注）このコマンドは、PIX プラットフォームではサポートされません。

構文の説明

detail キーワードを使用すると、永久アクティベーションキーと一時アクティベーションキーおよびこれらのキーによってイネーブルにされる機能が表示されます（以前にインストールされたすべての一時キーおよびこれらのキーの有効期限を含む）。

デフォルト

このコマンドには、デフォルト設定がありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	•	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。
8.0(4)	detail キーワードが追加されました。

使用上のガイドライン

show activation-key コマンド出力では、次のようにアクティベーションキーのステータスが表示されます。

• セキュリティアプライアンスのフラッシュファイルシステム内のアクティベーションキーがセキュリティアプライアンスで実行されているアクティベーションキーと同じである場合、 show activation-key の出力は次のようになります。

The flash activation key is the SAME as the running key.

• セキュリティアプライアンスのフラッシュファイルシステムのアクティベーションキーとセキュリティアプライアンスで稼働するアクティベーションキーが異なる場合、 show activation-key の出力は次のようになります。

The flash activation key is DIFFERENT from the running key.

The flash activation key takes effect after the next reload.

• アクティベーションキーをダウングレードすると、動作中のキー（古いキー）とフラッシュに格納されているキー（新しいキー）が異なることを示す出力が表示されます。セキュリティアプライアンスを再起動すると、新しいキーが使用されます。

• アクティベーションキーをアップグレードして、追加の機能をイネーブルにした場合は、再起動しなくても新しいキーがただちに動作を開始します。

• PIX Firewall プラットフォームでは、新しいキーと古いキーの間でフェールオーバー機能（R/UR/FO）に変更があった場合、確認が求められます。 n を入力すると、変更が中止されます。それ以外の場合は、フラッシュファイルシステムのキーが更新されます。セキュリティアプライアンスを再起動すると、新しいキーが使用されます。

• 以前のリリースにダウングレードした場合、現在のリリースのキーでは、以前のリリースでサポートされている数よりも多くのセキュリティコンテキストが使用できる場合があります。キーのセキュリティコンテキストの値がプラットフォームの制限を超えると、show activation-key の出力に次のメッセージが表示されます。

The Running Activation Key feature: 50 security contexts exceeds the limit in the platform, reduce to 20 security contexts.

• 以前のリリースにダウングレードした場合、現在のリリースのキーでは GTP/GPRS がイネーブルであるにもかかわらず、以前のリリースでは GTP/GPRS が許可されていないことがあります。キーを使用して GTP/GPRS をイネーブルにしても、GTP/GPRS がソフトウェアのバージョンによって許可されない場合は、show activation-key の出力に次のメッセージが表示されます。

The Running Activation Key feature: GTP/GPRS is not allowed in the platform, disable GTP/GPRS.

一時アクティベーションキーは時間ベースのアクティベーションキーであり、このキーは、 activation-key コマンドを使用して有効または無効にできます。一時アクティベーションキーを無効にすると、永久アクティベーションキーを割り当てることができます。永久アクティベーションキーは、非時間ベースのアクティベーションキーです。一時アクティベーションキーは、後で再度アクティブにできるので削除できません。

一時アクティベーションキーと永久アクティベーションキーは、両方ともフラッシュファイルシステムに保管されます。適用されるキーは、機能しているアクティベーションキーです。一時アクティベーションキーは、一度に 1 つだけ適用できます。一時アクティベーションキーがすでに適用されているセキュリティアプライアンスに一時アクティベーションキーを適用すると、古い一時アクティベーションキーは無効になり、新しい一時アクティベーションキーが適用されます。

セキュリティアプライアンスは、アクティブになっているすべての一時アクティベーションキーを追跡します。一時アクティベーションキーが失効すると、セキュリティアプライアンスにより、失効したことが通知されます。一時アクティベーションキーは、失効すると表示されなくなります。アクティブでない一時アクティベーションキーは、別の一時アクティベーションキーまたは永久アクティベーションキーによって適用され、上書きされたキーです。

例

次に、コンフィギュレーション内のコマンドのうち、アクティベーションキーでイネーブルにされた機能に関するものを表示する例を示します。

hostname(config)# show activation-key

Serial Number: P3000000134 Running Activation Key: 0xyadayada 0xyadayada 0xyadayada 0xyadayada 0xyadayada

The Running Activation Key feature: 50 security contexts exceeds the limit in the platform, reduce to 20 security contexts.

The Running Activation Key feature: GTP/GPRS is not allowed in the platform, disable GTP/GPRS.

License Features for this Platform:

Maximum Physical Interfaces : Unlimited

Maximum VLANs : 50

Inside Hosts : Unlimited

Failover : Enabled

VPN-DES : Enabled

VPN-3DES-AES : Disabled

Cut-through Proxy : Enabled

Guards : Enabled

URL-filtering : Enabled

Security Contexts : 20

GTP/GPRS : Disabled

VPN Peers : 5000

Advanced Endpoint Assessment: Disabled

UC Proxy Sessions : 2

The flash activation key is the SAME as the running key.

次の例は、一時アクティベーションキーおよび永久アクティベーションキーによってイネーブルになったコンフィギュレーションに含まれているライセンス付き機能を表示する方法を示しています。

hostname(config)# show activation-key detail

Serial Number: JMX0916L0Z4

Permanent Flash Activation Key: 0x31245147 0x3834b49a 0x98b391b4

0x95b83030 0xc13cf897

Licensed features for this platform:

Maximum Physical Interfaces : Unlimited

Maximum VLANs : 200

Inside Hosts : Unlimited

Failover : Active/Active

VPN-DES : Enabled

VPN-3DES-AES : Enabled

Security Contexts : 50

GTP/GPRS : Enabled

VPN Peers : 5000

WebVPN Peers : 5000

AnyConnect for Mobile : Enabled

AnyConnect for Linksys phone : Enabled

Advanced Endpoint Assessment : Enabled

UC Proxy Sessions : 2

Temporary Flash Activation Key: 0x051e96ff 0x98937617 0x79cbe717

0x502449e7 0x862b92ab

Licensed features for this platform:

Maximum Physical Interfaces : Unlimited

Maximum VLANs : 200

Inside Hosts : Unlimited

Failover : Active/Active

VPN-DES : Enabled

VPN-3DES-AES : Disabled

Security Contexts : 2

GTP/GPRS : Disabled

VPN Peers : 5000

WebVPN Peers : 2

AnyConnect for Mobile : Enabled

AnyConnect for Linksys phone : Disabled

Advanced Endpoint Assessment : Disabled

UC Proxy Sessions : 2

This is a time-based license that will expire in 27 day(s).

次の例は、永久アクティベーションキーによってイネーブルになったコンフィギュレーションに含まれているライセンス付き機能を表示する方法を示しています。

hostname(config)# show activation-key detail

Serial Number: JMX0916L0Z4

No active temporary key.

Running Activation Key: 0x31245147 0x3834b49a 0x98b391b4 0x95b83030

0xc13cf897

Licensed features for this platform:

Maximum Physical Interfaces : Unlimited

Maximum VLANs : 200

Inside Hosts : Unlimited

Failover : Active/Active

VPN-DES : Enabled

VPN-3DES-AES : Enabled

Security Contexts : 50

GTP/GPRS : Enabled

VPN Peers : 5000

WebVPN Peers : 5000

AnyConnect for Mobile : Enabled

AnyConnect for Linksys phone : Enabled

Advanced Endpoint Assessment : Enabled

UC Proxy Sessions : 2

This platform has an ASA 5540 VPN Premium license.

The flash activation key is the SAME as the running key.

Non-active temporary keys: Time left

------------------------------------------------------------------

0x2a53d6 0xfc087bfe 0x691b94fb 0x73dc8bf3 0xcc028ca2 28 day(s)

0xa13a46c2 0x7c10ec8d 0xad8a2257 0x5ec0ab7f 0x86221397 27 day(s

show ad-groups

Active Directory サーバにリストされているグループを表示するには、特権 EXEC モードで show ad-groups コマンドを使用します。

show ad-groups name [ filter string]

構文の説明

name	問い合わせる Active Directory サーバグループの名前。
string	検索するグループ名の全体または一部を指定する、引用符で囲んだ問い合わせに含めるストリング。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC モード	•	--	•	--	--

コマンド履歴

リリース	変更内容
8.0(4)	このコマンドが導入されました。

使用上のガイドライン

show ad-groups コマンドは、グループの取得に LDAP プロトコルを使用する Active Directory サーバに対してのみ適用されます。このコマンドを使用して、ダイナミックアクセスポリシー AAA 選択基準に使用できる AD グループを表示します。

LDAP 属性タイプが LDAP の場合、セキュリティアプライアンスがサーバからの応答を待機するデフォルト時間は 10 秒です。この時間は、AAA サーバホストコンフィギュレーションモードで group-search-timeout コマンドを使用して調整できます。

（注） Active Directory サーバに数多くのグループが含まれている場合は、サーバが応答パケットに格納できるデータ量の制限に基づいて show ad-groups コマンドの出力が切り捨てられることがあります。この問題を回避するには、filter オプションを使用して、サーバからレポートされるグループ数を減らします。

例

hostname# show ad-groups LDAP-AD17

Server Group LDAP-AD17

Group list retrieved successfully

Number of Active Directory Groups 46

Account Operators

Administrators

APP-SSL-VPN CIO Users

Backup Operators

Cert Publishers

CERTSVC_DCOM_ACCESS

Cisco-Eng

DHCP Administrators

DHCP Users

Distributed COM Users

DnsAdmins

DnsUpdateProxy

Doctors

Domain Admins

Domain Computers

Domain Controllers

Domain Guests

Domain Users

Employees

Engineering

Engineering1

Engineering2

Enterprise Admins

Group Policy Creator Owners

Guests

HelpServicesGroup

次に、同じコマンドで filter オプションを使用した例を示します。

hostname(config)# show ad-groups LDAP-AD17 filter “Eng”

Server Group LDAP-AD17

Group list retrieved successfully

Number of Active Directory Groups 4

Cisco-Eng

Engineering

Engineering1

Engineering2

show admin-context

現在管理コンテキストとして割り当てられているコンテキスト名を表示するには、特権 EXEC モードで show admin-context コマンドを使用します。

show admin-context

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	--	--	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

例

次に、 show admin-context コマンドの出力例を示します。次の例では、「admin」という名前で、フラッシュのルートディレクトリに保存されている管理コンテキストが表示されています。

hostname# show admin-context

Admin: admin flash:/admin.cfg

show arp

ARP テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。

show arp

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(8)/7.2(4)/8.0(4)	表示にダイナミック ARP エージングが追加されました。

使用上のガイドライン

表示出力には、ダイナミック、スタティック、およびプロキシ ARP エントリが表示されます。ダイナミック ARP エントリには、ARP エントリの秒単位のエージングが含まれています。エージングの代わりに、スタティック ARP エントリにはダッシュ（-）が、プロキシ ARP エントリには「alias」という状態が含まれています。

例

次に、 show arp コマンドの出力例を示します。1 つめのエントリは、2 秒間エージングされているダイナミックエントリです。2 つめのエントリはスタティックエントリ、3 つめのエントリはプロキシ ARP のエントリです。

hostname# show arp

outside 10.86.194.61 0011.2094.1d2b 2

outside 10.86.194.1 001a.300c.8000 -

outside 10.86.195.2 00d0.02a8.440a alias

show arp-inspection

各インターフェイスの ARP インスペクション設定を表示するには、特権 EXEC モードで show arp-inspection コマンドを使用します。

show arp-inspection

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	--	•	•	•	--

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが導入されました。

例

次に、 show arp-inspection コマンドの出力例を示します。

hostname# show arp-inspection

interface arp-inspection miss

----------------------------------------------------

inside1 enabled flood

outside disabled -

miss 列には、ARP インスペクションがイネーブルの場合に一致しないパケットに対して実行するデフォルトのアクション（「flood」または「no-flood」）が表示されます。

show arp statistics

ARP 統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。

show arp statistics

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	•	--

コマンド履歴

リリース	変更内容
既存	このコマンドは既存です。

例

次に、 show arp statistics コマンドの出力例を示します。

hostname# show arp statistics

Number of ARP entries:

ASA : 6

Dropped blocks in ARP: 6

Maximum Queued blocks: 3

Queued blocks: 1

Interface collision ARPs Received: 5

ARP-defense Gratuitous ARPS sent: 4

Total ARP retries: 15

Unresolved hosts: 1

Maximum Unresolved hosts: 2

表 2 に、各フィールドの説明を示します。

表 24-2 show arp statistics のフィールド
フィールド	説明
Number of ARP entries	ARP テーブルエントリの合計数。
Dropped blocks in ARP	IP アドレスが対応するハードウェアアドレスに解決されている間にドロップされたブロック数。
Maximum queued blocks	IP アドレスの解決を待機している間に ARP モジュールにキューイングされた最大ブロック数。
Queued blocks	現在 ARP モジュールにキューイングされているブロック数。
Interface collision ARPs received	セキュリティアプライアンスのインターフェイスと同じ IP アドレスからの ARP パケットがセキュリティアプライアンスのすべてのインターフェイスで受信されたパケット数。
ARP-defense gratuitous ARPs sent	ARP-Defense メカニズムの一環としてセキュリティアプライアンスによって送信された Gratuitous ARP の数。
Total ARP retries	最初の ARP 要求への応答でアドレスが解決されなかった場合に ARP モジュールによって送信される ARP 要求の合計数。
Unresolved hosts	現在も ARP モジュールによって ARP 要求が送信されている未解決のホスト数。
Maximum unresolved hosts	最後にクリアされた後、またはセキュリティアプライアンスの起動後に、ARP モジュールに存在した未解決ホストの最大数。

show asdm history

ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを使用します。

show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]

構文の説明

asdmclient	（任意）ASDM クライアント用にフォーマットされた ASDM 履歴データを表示します。
feature feature	（任意）履歴表示を指定した機能に制限します。 feature 引数には、次の値を指定できます。 • all ：すべての機能の履歴を表示します（デフォルト）。 • blocks ：システムバッファの履歴を表示します。 • cpu ：CPU 使用状況の履歴を表示します。 • failover ：フェールオーバーの履歴を表示します。 • ids ：IDS の履歴を表示します。 • interface if_name ：指定したインターフェイスの履歴を表示します。 if_name 引数は、 nameif コマンドで指定したインターフェイスの名前です。 • memory ：メモリ使用状況の履歴を表示します。 • perfmon ：パフォーマンス履歴を表示します。 • sas ：セキュリティアソシエーションの履歴を表示します。 • tunnels ：トンネルの履歴を表示します。 • xlates ：変換スロット履歴を表示します。
snapshot	（任意）最後の ASDM 履歴データポイントのみを表示します。
view timeframe	（任意）履歴の表示を指定した期間に制限します。 timeframe 引数には、次の値を指定できます。 • all ：履歴バッファ内のすべての内容（デフォルト）。 • 12h ：12 時間 • 5d ：5 日 • 60m ：60 分 • 10m ：10 分

デフォルト

引数またはキーワードを指定しない場合は、すべての機能のすべての履歴情報が表示されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	透過	シングル	マルチ
	ルーテッド	透過	シングル	コンテキスト	システム
特権 EXEC	•	•	•	•	•

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが、 show pdm history コマンドから show asdm history コマンドに変更されました。

使用上のガイドライン

show asdm history コマンドは、ASDM 履歴バッファの内容を表示します。ASDM 履歴情報を表示する前に、 asdm history enable コマンドを使用して、ASDM 履歴トラッキングをイネーブルにする必要があります。

例

次に、 show asdm history コマンドの出力例を示します。このコマンドでは、直近の 10 分間に収集された外部インターフェイスのデータに出力が制限されています。

hostname# show asdm history view 10m feature interface outside

Input KByte Count:

[ 10s:12:46:41 Mar 1 2005 ] 62640 62636 62633 62628 62622 62616 62609

Output KByte Count:

[ 10s:12:46:41 Mar 1 2005 ] 25178 25169 25165 25161 25157 25151 25147

Input KPacket Count:

[ 10s:12:46:41 Mar 1 2005 ] 752 752 751 751 751 751 751

Output KPacket Count:

[ 10s:12:46:41 Mar 1 2005 ] 55 55 55 55 55 55 55

Input Bit Rate:

[ 10s:12:46:41 Mar 1 2005 ] 3397 2843 3764 4515 4932 5728 4186

Output Bit Rate:

[ 10s:12:46:41 Mar 1 2005 ] 7316 3292 3349 3298 5212 3349 3301

Input Packet Rate:

[ 10s:12:46:41 Mar 1 2005 ] 5 4 6 7 6 8 6

Output Packet Rate:

[ 10s:12:46:41 Mar 1 2005 ] 1 0 0 0 0 0 0

Input Error Packet Count: