Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月16日
章のタイトル: S のコマンド
- same-security-traffic
- sdi-pre-5-slave
- sdi-version
- secondary
- secondary-color
- secure-unit-authentication
- security-level
- serial-number
- server
- server-port
- server-separator
- service
- service internal
- service password-recovery
- service-policy
- session
- set connection
- set connection advanced-options
- set connection timeout
- set metric
- set metric-type
- setup
- show aaa local user
- show aaa-server
- show access-list
- show activation-key
- show admin-context
- show arp
- show arp-inspection
- show arp statistics
- show asdm history
- show asdm image
- show asdm log_sessions
- show asdm sessions
- show asp drop
- show asp table arp
- show asp table classify
- show asp table interfaces
- show asp table mac-address-table
- show asp table routing
- show asp table vpn-context
- show blocks
- show bootvar
- show capture
- show chardrop
- show checkheaps
- show checksum
- show chunkstat
- show clock
- show conn
- show console-output
- show context
- show counters
- show cpu
- show crashinfo
- show crashinfo console
- show crypto accelerator statistics
- show crypto ca certificates
- show crypto ca crls
- show crypto ipsec df-bit
- show crypto ipsec fragmentation
- show crypto key mypubkey
- show crypto protocol statistics
- show ctiqbe
- show curpriv
- show debug
- show dhcpd
- show dhcprelay state
- show dhcprelay statistics
- show disk
- show dns-hosts
- show failover
- show file
- show firewall
- show flash
- show fragment
- show gc
- show h225
- show h245
- show h323-ras
- show history
- show icmp
- show idb
- show igmp groups
- show igmp interface
- show igmp traffic
- show interface
- show interface ip brief
- show inventory
- show ip address
- show ip address dhcp
- show ip audit count
- show ip verify statistics
- show ipsec sa
- show ipsec sa summary
- show ipsec stats
- show ipv6 access-list
- show ipv6 interface
- show ipv6 neighbor
- show ipv6 route
- show ipv6 routers
- show ipv6 traffic
- show isakmp sa
- show isakmp stats
- show local-host
- show logging
- show logging rate-limit
- show mac-address-table
- show management-access
- show memory
- show memory binsize
- show memory profile
- show memory-caller address
- show mfib
- show mfib active
- show mfib count
- show mfib interface
- show mfib reserved
- show mfib status
- show mfib summary
- show mfib verbose
- show mgcp
- show mode
- show module
- show mrib client
- show mrib route
- show mroute
- show nameif
- show ntp associations
- show ntp status
- show ospf
- show ospf border-routers
- show ospf database
- show ospf flood-list
- show ospf interface
- show ospf neighbor
- show ospf request-list
- show ospf retransmission-list
- show ospf summary-address
- show ospf virtual-links
- show perfmon
- show pim df
- show pim group-map
- show pim interface
- show pim join-prune statistic
- show pim neighbor
- show pim range-list
- show pim topology
- show pim topology reserved
- show pim topology route-count
- show pim traffic
- show pim tunnel
- show priority-queue statistics
- show processes
- show reload
- show resource types
- show resource usage
- show route
- show run fips
- show running-config
- show running-config aaa
- show running-config aaa-server
- show running-config aaa-server host
- show running-config access-group
- show running-config access-list
- show running-config alias
- show running-config arp
- show running-config arp timeout
- show running-config arp-inspection
- show running-config asdm
- show running-config auth-prompt
- show running-config banner
- show running-config class-map
- show running-config clock
- show running-config command-alias
- show running-config console timeout
- show running-config context
- show running-config crypto
- show running-config crypto dynamic-map
- show running-config crypto ipsec
- show running-config crypto isakmp
- show running-config crypto map
- show running-config dhcpd
- show running-config dhcprelay
- show running-config dns
- show running-config domain-name
- show running-config enable
- show running-config established
- show running-config failover
- show running-config filter
- show running-config fips
- show running-config fragment
- show running-config ftp-map
- show running-config ftp mode
- show running-config global
- show running-config group-delimiter
- show running-config group-policy
- show running-config gtp-map
- show running-config http
- show running-config http-map
- show running-config icmp
- show running-config imap4s
- show running-config interface
- show running-config ip address
- show running-config ip audit attack
- show running-config ip audit info
- show running-config ip audit interface
- show running-config ip audit name
- show running-config ip audit signature
- show running-config ip local pool
- show running-config ip verify reverse-path
- show running-config ipv6
- show running-config isakmp
- show running-config logging
- show logging rate-limit
- show running-config mac-address-table
- show running-config mac-learn
- show running-config mac-list
- show running-config management-access
- show running-config mgcp-map
- show running-config mroute
- show running-config mtu
- show running-config multicast-routing
- show running-config name
- show running-config nameif
- show running-config names
- show running-config nat
- show running-config nat-control
- show running-config ntp
- show running-config object-group
- show running-config passwd
- show running-config pim
- show running-config policy-map
- show running-config pop3s
- show running-config port-forward
- show running-config prefix-list
- show running-config priority-queue
- show running-config privilege
- show running-config rip
- show running-config route
- show running-config route-map
- show running-config router
- show running-config same-security-traffic
- show running-config service
- show running-config service-policy
- show running-configuration smtps
- show running-config snmp-map
- show running-config snmp-server
- show running-config ssh
- show running-config ssl
- show running-config static
- show running-config sunrpc-server
- show running-config sysopt
- show running-config tcp-map
- show running-config telnet
- show running-config terminal
- show running-config tftp-server
- show running-config timeout
- show running-config tunnel-group
- show running-config url-block
- show running-config url-cache
- show running-configuration url-list
- show running-config url-server
- show running-config username
- show running-config virtual
- show running-config vpn load-balancing
- show running-configuration vpn-sessiondb
- show running-configuration webvpn
- show service-policy
- show service-policy inspect gtp
- show shun
- show sip
- show skinny
- show snmp-server statistics
- show ssh sessions
- show startup-config
- show sunrpc-server active
- show tcpstat
- show tech-support
- show traffic
- show uauth
- show url-block
- show url-cache statistics
- show url-server
- show version
- show vpn load-balancing
- show vpn-sessiondb
- show vpn-sessiondb ratio
- show vpn-sessiondb summary
- show xlate
- shun
- shutdown
- smtps
- smtp-server
- snmp-server
- snmp-map
- snmp-server enable trap remote-access
- speed
- split-dns
- split-tunnel-network-list
- split-tunnel-policy
- ssh
- ssh disconnect
- ssh scopy enable
- ssh timeout
- ssh version
- ssl client-version
- ssl encryption
- ssl server-version
- ssl trust-point
- static
- strict-http
- strip-group
- strip-realm
- subject-name (crypto ca certificate map)
- subject-name (crypto ca trustpoint)
- summary-address
- sunrpc-server
- support-user-cert-validation
- syn-data
- sysopt connection permit-ipsec
- sysopt connection tcpmss
- sysopt connection timewait
- sysopt nodnsalias
- sysopt noproxyarp
- sysopt radius ignore-secret
- sysopt uauth allow-http-cache
S のコマンド
same-security-traffic
セキュリティ レベルの等しいインターフェイス間での通信を許可するには、グローバル コンフィギュレーション モードで same-security-traffic コマンドを使用します。セキュリティの等しいインターフェイス間での通信をディセーブルにするには、このコマンドの no 形式を使用します。
same-security-traffic permit { inter-interface | intra-interface }
no same-security-traffic permit { inter-interface | intra-interface }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ レベルの等しい複数のインターフェイス間での通信を許可すると、次のような利点があります。
•
101 個を超える通信インターフェイスを設定できる。インターフェイスごとにそれぞれ別のレベルを使用する場合、設定できるインターフェイスは各レベル(0 ~ 100)に 1 つのみです。
• セキュリティ レベルの等しいすべてのインターフェイス間で、アクセスリストとは無関係に、トラフィックを自由に送受信できる。
着信するクライアント VPN トラフィックを、暗号化されているものと同様に、同じインターフェイスから暗号化しないまま外部にリダイレクトすることもできます。VPN トラフィックを同じインターフェイスを通じて暗号化しないまま外部に再発信する場合は、インターフェイスで NAT をイネーブルにして、パブリック ネットワークでルーティング可能なアドレスでプライベート IP アドレスを置き換える必要があります(ローカル IP アドレス プール内ですでにパブリック IP アドレスを使用している場合は除く)。次のコマンド例では、クライアント IP プールが送信元になっているトラフィックに対して、インターフェイス PAT 規則を適用しています。
hostname(config)# ip local pool clientpool 192.168.0.10-192.168.0.100hostname(config)# global (outside) 1 interfacehostname config)# nat (outside) 1 192.168.0.0 255.255.255.0
ただし、暗号化された VPN トラフィックをこの同じインターフェイスを通じてセキュリティ アプライアンスが外部に再発信する場合、NAT はオプションです。すべての発信トラフィックに NAT を適用するには、上のコマンドのみを実装します。VPN 間トラフィックを NAT の対象外にするには、上の例に次のようなコマンドを追加して、VPN 間トラフィックに NAT 例外を実装します。
hostname(config)# access-list nonat permit ip 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0
hostname(config)# nat (outside) 0 access-list nonat
例
次の例は、セキュリティ レベルの等しいインターフェイス間での通信をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
sdi-pre-5-slave
バージョン 5 より前の SDI を使用しているホスト接続で使用される、オプションの SDI AAA「スレーブ」サーバの IP アドレスまたは名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで sdi-pre-5-slave コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SDI AAA サーバグループのすべてのホストに対して使用できます。ただし、このコマンドが作用するのは、ホストの SDI バージョンが sdi-version コマンドで sdi-pre-5 に設定されている場合のみです。このコマンドを使用するには、SDI プロトコルを使用するように AAA サーバをあらかじめ設定しておく必要があります。
sdi-pre-5-slave コマンドを使用すると、プライマリ サーバで障害が発生した場合に使用される、オプションのセカンダリ サーバを指定できます。このコマンドで指定するアドレスは、プライマリ SDI サーバの「スレーブ」として設定されているサーバのアドレスにする必要があります。このため、バージョン 5 より前のバージョンを使用している場合は、 sdi-pre-5-slave コマンドを設定して、(SDI サーバからダウンロードされる)適切な SDI コンフィギュレーション レコードにセキュリティ アプライアンスがアクセスできるようにする必要があります。バージョン 5 およびそれ以降のバージョンでは、この要件はありません。
例
次の例では、バージョン 5 より前の SDI バージョンを使用している AAA SDI サーバグループ「svrgrp1」を設定しています。
hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# sdi-version sdi-pre-5
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
sdi-version
ホスト接続で使用する SDI のバージョンを指定するには、AAA サーバ ホスト コンフィギュレーション モードで sdi-version コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SDI AAA サーバに対してのみ有効です。セカンダリ(フェールオーバー)SDI AAA サーバを設定する場合、そのサーバの SDI バージョンがバージョン 5 より前のときは、 sdi-pre-5-slave コマンドも指定する必要があります。
例
hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# sdi-version sdi-5
hostname(config-aaa-server)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
secondary
フェールオーバー グループ内のセカンダリ装置に高い優先順位を与えるには、フェールオーバー グループ コンフィギュレーション モードで secondary コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
フェールオーバー グループに対して primary または secondary を指定しない場合、そのフェールオーバー グループは、デフォルトでは primary に設定されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プライマリまたはセカンダリの優先順位をフェールオーバー グループに割り当てると、両方の装置が(装置のポーリング時間内で)同時にブートしたときに、フェールオーバー グループがどの装置上でアクティブになるかが指定されます。ある装置がもう一方の装置よりも先にブートした場合、どちらのフェールオーバー グループもその装置上でアクティブになります。もう一方の装置がオンラインになると、優先順位として 2 番目の装置を持つフェールオーバー グループは、そのフェールオーバー グループが preempt コマンドを使用して設定されているか、手作業で no failover active コマンドを使用してもう一方の装置に強制しない限り、2 番目の装置上ではアクティブになりません。
例
次の例では、優先順位の高いプライマリ装置を持つフェールオーバー グループ 1 と、優先順位の高いセカンダリ装置を持つフェールオーバー グループ 2 を設定しています。どちらのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先する装置が使用可能になったときにその装置上で自動的にアクティブになります。
関連コマンド
|
|
|
|---|---|
secondary-color
WebVPN のログイン ページ、ホーム ページ、およびファイル アクセス ページに 2 番目の色を設定するには、WebVPN モードで secondary-color コマンドを使用します。色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RGB 値を使用する場合、推奨値は 216 です。推奨色は、数学的にあり得る数よりはるかに少なくなります。多くのディスプレイは 256 色しか処理できず、その中の 40 色は、Macintosh と PC では別の色が表示されます。最適な表示結果を得るには、各所で公開されている RGB テーブルを確認してください。RGB テーブルをオンラインで見つけるには、検索エンジンで RGB と入力します。
例
次の例は、HTML 色値 #5F9EAO(灰青色)を設定する方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
secure-unit-authentication
Secure Unit Authentication(SUA)をイネーブルにするには、グループポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用します。Secure Unit Authentication をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。Secure Unit Authentication アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、Secure Unit Authentication の値を別のグループポリシーから継承できます。
Secure Unit Authentication は、VPN ハードウェア クライアントがトンネルを開始するたびに、ユーザ名とパスワードを使用して認証を受けるように要求して、セキュリティを強化します。この機能がイネーブルになっている場合、ハードウェア クライアントは保存されているユーザ名とパスワードを使用できません。
(注) この機能がイネーブルになっているときに VPN トンネルを確立するには、ユーザ名とパスワードを入力するユーザがいる必要があります。
secure-unit-authentication { enable | disable }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Secure Unit Authentication を使用するには、ハードウェア クライアントの使用するトンネルグループ用に認証サーバグループを設定しておく必要があります。
プライマリ セキュリティ アプライアンス上で Secure Unit Authentication を要求する場合は、すべてのバックアップ サーバ上でも認証サーバグループを設定する必要があります。
例
次の例は、Secure Unit Authentication を FirstGroup というグループポリシーに対してイネーブルにする方法を示しています。
関連コマンド
security-level
インターフェイスのセキュリティ レベルを設定するには、インターフェイス コンフィギュレーション モードで security-level コマンドを使用します。セキュリティ レベルをデフォルトに設定するには、このコマンドの no 形式を使用します。セキュリティ レベルとは、2 つのネットワーク間に保護手段を追加して、セキュリティの高いネットワークをセキュリティの低いネットワークから保護するものです。
シンタックスの説明
デフォルト
インターフェイスに「inside」という名前を付けて、セキュリティ レベルを明示的に設定しなかった場合、セキュリティ アプライアンスはセキュリティ レベルを 100 に設定します( nameif コマンドを参照)。このレベルは必要に応じて変更できます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 nameif コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
• ネットワーク アクセス:デフォルトでは、セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのアクセス(発信)は暗黙的に許可されます。セキュリティの高いインターフェイス上にあるホストは、セキュリティの低いインターフェイス上にあるすべてのホストにアクセスできます。アクセスを制限するには、インターフェイスにアクセスリストを適用します。
セキュリティ レベルの等しいインターフェイスが複数ある場合、セキュリティ レベルが同等またはそれ以下である他のインターフェイスへのアクセスは、暗黙的に許可されます。
• 検査エンジン:一部の検査エンジンは、セキュリティ レベルに依存します。セキュリティ レベルの等しいインターフェイスが複数ある場合、検査エンジンは双方向のトラフィックに適用されます。
–NetBIOS 検査エンジン:発信接続にのみ適用されます。
–OraServ 検査エンジン:2 つのホスト間で OraServ ポートの制御接続が存在する場合、セキュリティ アプライアンスでは着信データ接続のみが許可されます。
• フィルタリング:HTTP(S)と FTP のフィルタリングは、(高レベルから低レベルへの)発信接続にのみ適用されます。
セキュリティ レベルの等しいインターフェイスが複数ある場合は、双方向のトラフィックをフィルタリングできます。
• NAT 制御:NAT 制御をイネーブルにする場合、セキュリティの高いインターフェイス(内部)上にあるホストがセキュリティの低いインターフェイス(外部)上にあるホストにアクセスする場合は、セキュリティの高いインターフェイス上にあるホストに対して NAT を設定する必要があります。
NAT 制御を使用しない場合や、セキュリティ レベルの等しい複数のインターフェイス間では、任意のインターフェイス間に NAT を使用することも、NAT を使用しないこともできます。外部インターフェイスに対して NAT を設定する場合は、特殊なキーワードが必要になることがあります。
• established コマンド:このコマンドは、セキュリティ レベルの高いホストから低いホストに向かう接続がすでに確立されている場合に、セキュリティの低いホストからセキュリティの高いホストへのリターン接続を許可します。
セキュリティ レベルの等しいインターフェイスが複数ある場合は、双方向に対して established コマンドを設定できます。
通常、セキュリティ レベルの等しいインターフェイス間では通信できません。セキュリティ レベルの等しいインターフェイス間で通信する必要がある場合は、 same-security-traffic コマンドを参照してください。101 個を超える通信インターフェイスを作成する場合や、2 つのインターフェイス間で発生するトラフィックに対して同等に保護機能を適用する場合は、2 つのインターフェイスに同じセキュリティ レベルを割り当てて、通信を許可することがあります。たとえば、同等のセキュリティを必要とする 2 つの部署がある場合などです。
インターフェイスのセキュリティ レベルを変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するには、 clear local-host コマンドを使用して接続を消去します。
例
次の例では、2 つのインターフェイスのセキュリティ レベルを 100 と 0 に設定しています。
関連コマンド
|
|
|
|---|---|
serial-number
セキュリティ アプライアンスのシリアル番号を登録時に証明書に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、central というトラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入って、セキュリティ アプライアンスのシリアル番号をトラストポイント central の登録要求に含めています。
関連コマンド
|
|
|
|---|---|
server
デフォルトの電子メールプロキシ サーバを指定するには、適切な電子メールプロキシ モードで server コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、ユーザがサーバを指定せずに電子メールプロキシに接続すると、要求をデフォルト電子メール サーバに送信します。デフォルト サーバを設定しない場合、ユーザもサーバを指定しなかったときは、セキュリティ アプライアンスはエラーを返します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、デフォルト POP3S 電子メール サーバの IP アドレスを 10.1.1.7 に設定する方法を示しています。
hostname(config)# pop3s
server-port
ホストの AAA サーバ ポートを設定するには、AAA サーバ ホスト モードで server-port コマンドを使用します。指定したサーバ ポートを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、「srvgrp1」という名前の SDI AAA サーバでサーバ ポート番号 8888 を使用するように設定しています。
hostname(config)# aaa-server srvgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# server-port 8888
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
server-separator
電子メール サーバ名と VPN サーバ名のデリミタとなる文字を指定するには、適切な電子メールプロキシ モードで server-separator コマンドを使用します。デフォルトのコロン(:)に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
電子メール サーバ名と VPN サーバ名を区切る文字。使用できるのは、アットマーク(@)、パイプ(|)、コロン(:)、番号記号(#)、カンマ(,)、およびセミコロン(;)です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、パイプ(|)を IMAP4S のサーバ セパレータとして設定する方法を示しています。
hostname(config)# imap4s
関連コマンド
|
|
|
|---|---|
service
システム サービスをイネーブルにするには、グローバル コンフィギュレーション モードで service コマンドを使用します。システム サービスをディセーブルにするには、このコマンドの no 形式を使用します。
service { resetinbound | resetoutside }
no service { resetinbound | resetoutside }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
service コマンドは、アクセスリストまたは uauth(ユーザ認可)が着信接続を許可しないスタティック インターフェイスへの着信 TCP 接続すべてに対して機能します。用途の 1 つは、識別要求(IDENT)接続のリセットです。着信 TCP 接続が試行されて拒否された場合、service resetinbound コマンドを使用して、RST(TCP ヘッダー内のリセット フラグ)を送信元に返すことができます。キーワードを指定しない場合、セキュリティ アプライアンスは RST を返さずにパケットをドロップします。
セキュリティ アプライアンスは、着信接続ホストに TCP RST を送信し、着信 IDENT プロセスを停止して、発信電子メールが IDENT のタイムアウトを待たずに送信されるようにします。セキュリティ アプライアンスは、着信接続が拒否されたことを示す syslog メッセージを送信します。service resetinbound を入力しない場合、セキュリティ アプライアンスは、拒否されたパケットをドロップし、SYN が拒否されたことを示す syslog メッセージを生成します。ただし、外部ホストは、IDENT がタイムアウトになるまで、SYN を再送信し続けます。
IDENT 接続がタイムアウトすると、接続で遅延が発生します。トレースを実行して、遅延の原因が IDENT であるかどうか判断してから、service コマンドを入力します。
セキュリティ アプライアンスで IDENT 接続を処理するには、service resetinbound コマンドを使用します。IDENT 接続を処理する方法には、次のものがあります。セキュリティの高い順にランク付けしています。
1. service resetinbound コマンドを使用する。
2. established コマンドを permitto tcp 113 キーワードとともに使用する。
3. static コマンドと access-list コマンドを入力して、TCP ポート 113 を開く。
aaa コマンドを使用する場合、最初の認可試行が失敗し、次の試行でタイムアウトになったときには、service resetinbound コマンドを使用して、認可に失敗したクライアントをリセットし、接続を再送信しないようにします。次の例は、Telnet での認可タイムアウト メッセージを示しています。
次に、リセット フラグに対するセキュリティ アプライアンス上のトラフィックの想定動作を示します。
1. resetinbound が設定されている場合、拒否されたトラフィックが、セキュリティの低いインターフェイスからセキュリティの高いインターフェイスに向かっているときは、リセットが送信される。
2. resetinbound が設定されている場合、拒否されたトラフィックが、あるインターフェイスからセキュリティ レベルの等しい別のインターフェイスに向かっているときは、リセットが送信される。
3. resetinbound が設定されていない場合、拒否されたトラフィックが、セキュリティの高いインターフェイスからセキュリティの低いインターフェイスに向かっているときは、リセットが送信される。
resetoutside コマンドを使用すると、セキュリティ アプライアンスは、セキュリティ アプライアンスのセキュリティ レベルの最も低いインターフェイスで終端する、拒否された TCP パケットをアクティブにリセットします。デフォルトでは、パケットは、通知なしで廃棄されます。resetoutside キーワードは、ダイナミックまたはスタティックのインターフェイス Port Address Translation(PAT; ポート アドレス変換)で使用することをお勧めします。スタティック インターフェイス PAT は、セキュリティ アプライアンス バージョン 6.0 以降で使用できます。このキーワードを使用すると、外部の SMTP サーバまたは FTP サーバからの IDENT をセキュリティ アプライアンスで終端することができます。接続をアクティブにリセットすることにより、30 秒のタイムアウト遅延が回避されます。
例
次の例は、システム サービスをイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
service internal
通常は非表示になる、条件付きのコマンドをデバイスが表示できるようにするには、service internal コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
service internal オプションを使用すると、通常の運用では必要のない追加コマンドにアクセスできます。「internal」とマークされたコマンドを service internal の実行前に実行しようとすると、そのコマンドは、存在しないコマンドを実行しようとした場合と同様に失敗します。警告バナーが表示され、「service internal 実行後にアンロックされるコマンドは、シスコの指導の下でのみ実行する必要がある」と通知されます。
例
関連コマンド
|
|
|
|---|---|
システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。 |
|
service password-recovery
パスワードの回復をイネーブルにするには、グローバル コンフィギュレーション モードで service password-recovery コマンドを使用します。パスワードの回復をディセーブルにするには、このコマンドの no 形式を使用します。パスワードの回復は、デフォルトではイネーブルになっています。ただし、不正なユーザがパスワードの回復メカニズムを利用してセキュリティ アプライアンスのセキュリティを侵害しないようにするために、この機能はディセーブルにすることをお勧めします。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、パスワードを忘れた場合、起動中にプロンプトに従って端末キーボードの Esc キーを押すことで、セキュリティ アプライアンスで ROMMON に入ることができます。次に、コンフィギュレーション レジスタを変更して、スタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定します( config-register コマンドを参照)。たとえば、コンフィギュレーション レジスタがデフォルトの 0x1 である場合は、 confreg 0x41 コマンドを入力して、値を 0x41 に変更します。セキュリティ アプライアンスをリロードするとデフォルト コンフィギュレーションがロードされるので、デフォルトのパスワードを使用して特権 EXEC モードに入ることができます。次に、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーして、スタートアップ コンフィギュレーションをロードし、パスワードをリセットします。最後に、コンフィギュレーション レジスタを元の設定に戻して、以前と同様にブートするようにセキュリティ アプライアンスを設定します。たとえば、グローバル コンフィギュレーション モードで config-register 0x1 コマンドを入力します。
PIX 500 シリーズ セキュリティ アプライアンスの場合は、起動中にプロンプトに従って端末キーボードの Esc キーを押して、セキュリティ アプライアンスで監視モードに入ります。次に、PIX パスワード ツールをセキュリティ アプライアンスにダウンロードします。このツールは、すべてのパスワードと aaa authentication コマンドを消去します。
ASA シリーズ適応型セキュリティ アプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザが設定目的で ROMMON に入ることを防止できます。ユーザが ROMMON に入ると、セキュリティ アプライアンスはすべてのフラッシュ ファイル システムを消去するようにユーザに要求します。ユーザは、最初にこの消去操作を実行しない限り、ROMMON に入ることができません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワードの回復では、ROMMON を使用すること、および既存のコンフィギュレーションを維持することが必要になるため、この消去操作を実行するとパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。 service password-recovery コマンドがコンフィギュレーション ファイルに表示されるのは、情報の提供のみを目的としています。このコマンドを CLI プロンプトで入力すると、設定は NVRAM に保存されます。この設定を変更する唯一の方法は、このコマンドを CLI プロンプトで入力することです。このコマンドの別のバージョンを使用する新しいコンフィギュレーションをロードしても、設定は変更されません。(パスワードの回復に備えて)起動時にスタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定している場合は、パスワードの回復をディセーブルにすると、セキュリティ アプライアンスは設定を変更してスタートアップ コンフィギュレーションを通常どおりブートします。フェールオーバーを使用している場合、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置を設定すると、 no service password recovery コマンドがスタンバイ装置に複製されるときに、同じ変更がコンフィギュレーション レジスタに対して行われます。
PIX 500 シリーズ セキュリティ アプライアンス上で no service password-recovery コマンドを使用した場合は、PIX パスワード ツールを実行すると、ユーザはすべてのフラッシュ ファイル システムを消去するように要求されます。ユーザは、最初にこの消去操作を実行しない限り、PIX パスワード ツールを使用することができません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワードの回復では、既存のコンフィギュレーションを維持することが必要になるため、この消去操作を実行するとパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。
例
次の例では、ASA 5500 シリーズ適応型セキュリティ アプライアンスでパスワードの回復をディセーブルにしています。
次の例では、PIX 500 シリーズ セキュリティ アプライアンスでパスワードの回復をディセーブルにしています。
次の例は、ASA 5500 シリーズ適応型セキュリティ アプライアンス上で起動時に ROMMON に入るタイミングと、パスワードの回復操作を完了する方法を示しています。
関連コマンド
|
|
|
|---|---|
service-policy
すべてのインターフェイス上でグローバルに、または必要なインターフェイス上でポリシーマップをアクティブにするには、特権 EXEC モードで service-policy コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。インターフェイス上で一連のポリシーをイネーブルにするには、 service-policy コマンドを使用します。通常、 service-policy コマンドは、 nameif コマンドで定義できるどのインターフェイスにも適用できます。
service-policy policymap_name [ global | interface intf ]
no service-policy policymap_name [ global | interface intf ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス名が指定されている場合、ポリシーマップはそのインターフェイスだけに適用されます。インターフェイス名は、 nameif コマンドで定義します。インターフェイスのポリシーマップによって、グローバル ポリシーマップは上書きされます。1 つのインターフェイスにつき 1 つのポリシーマップだけを適用できます。
例
次の例は、 service-policy コマンドのシンタックスを示しています。
関連コマンド
|
|
|
|---|---|
session
AIP SSM への Telnet セッションを確立するには、特権 EXEC モードで session コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、AIP SSM がアップ状態のときにのみ使用できます。状態については、 show module コマンドを参照してください。
例
次の例では、スロット 1 で SSM へのセッションを確立しています。
関連コマンド
|
|
|
|---|---|
set connection
トラフィック クラスに関する接続値をポリシーマップ内で指定するには、クラス モードで
set connection コマンドを使用します。このコマンドは、同時接続の最大数を指定するために、および TCP シーケンス番号のランダム化をイネーブルまたはディセーブルにするために使用します。これらの指定を削除して接続数を無制限にするには、このコマンドの no 形式を使用します。
set connection { conn-max | embryonic-conn-max } n random-seq# {enable | disable}
no set connection { conn-max | embryonic-conn-max } n random-seq# {enable | disable}
シンタックスの説明
デフォルト
conn-max パラメータと embryonic-conn-max パラメータの n のデフォルト値は両方とも 0 で、接続数は無制限になります。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行するには、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。
(注) set connection コマンドのパラメータ(conn-max、embryonic-conn-max、random-seq#)は、任意の nat コマンドおよび static コマンドと共存できます。つまり、接続パラメータは nat コマンドや static コマンドで max-conn、emb_limit、noramdomseq の各パラメータを使用して設定することも、MPC の set connection コマンドで conn-max、embryonic-conn-max、random-seq# の各パラメータを使用して設定することもできます。混合コンフィギュレーションはお勧めしませんが、実際に使用した場合の動作は次のようになります。
MPC の set connection コマンドと nat/static コマンドの両方でトラフィック クラスが接続制限または初期接続制限を課されている場合は、いずれか一方の制限値に達したときに、その制限値が適用されます。
MPC の set connection コマンドまたは nat/static コマンドのいずれかで、シーケンス番号のランダム化をディセーブルにするように TCP トラフィック クラスが設定されている場合、シーケンス番号のランダム化はディセーブルになります。
例
次の例では、クラス モードで set connection コマンドを使用して、同時接続の最大数を 256 に、TCP シーケンス番号のランダム化をディセーブルにするように設定しています。
関連コマンド
|
|
|
すべてのポリシーマップ コンフィギュレーションを削除します。ただし、ポリシーマップが service-policy コマンド内で使用されている場合、そのポリシーマップは削除されません。 |
|
set connection advanced-options
トラフィック クラスに関する高度な TCP 接続オプションをポリシーマップ内で指定するには、クラス モードで set connection advanced-options コマンドを使用します。トラフィック クラスに関する高度な TCP 接続オプションをポリシーマップから削除するには、クラス モードで、このコマンドの no 形式を使用します。
set connection advanced-options tcp-mapname
no set connection advanced-options tcp-mapname
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行するには、TCP マップ名に加えて、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。詳細については、 tcp-map コマンドの説明を参照してください。
例
次の例では、 set connection advanced-options コマンドを使用して、localmap という TCP マップを使用することを指定しています。
関連コマンド
set connection timeout
アイドル状態の TCP 接続を切断するまでのタイムアウト期間を設定するには、クラス モードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。
set connection timeout tcp hh [: mm [: ss ]] [ reset ]
set connection timeout embryonic hh [: mm [: ss ]]
no set connection timeout embryonic
set connection timeout half-closed hh [: mm [: ss ]]
no set connection timeout half-closed
シンタックスの説明
デフォルト
デフォルトの embryonic 接続タイムアウト値は 30 秒です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行するには、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。
「初期」接続とは、3 ウェイ ハンドシェイクの完了していない TCP 接続です。 embryonic 接続タイムアウト値には、 0:0:0 を使用して接続がタイムアウトしないことを指定します。このように指定しない場合は、タイムアウト期間を 5 秒以上に設定する必要があります。
TCP 接続が終了中(CLOSING)状態のときは、half-closed パラメータを使用して、接続が解放されるまでの時間の長さを設定します。接続がタイムアウトしないように指定するには、 0:0:0 を使用します。最短のタイムアウト期間は 5 分です。
tcp 非アクティブ接続のタイムアウトには、確立済み状態でアイドルになっている TCP 接続を切断するまでの期間を設定します。接続がタイムアウトしないように指定するには、 0:0:0 を使用します。最短のタイムアウト期間は 5 分です。
reset キーワードは、アイドル TCP 接続がタイムアウトしたときに両端のシステムに TCP RST パケットを送信する場合に使用します。アプリケーションの中には、タイムアウト後に TCP RST を送信しないと適切に動作しないものがあります。
例
次の set connection timeout コマンドの例では、初期接続の timeout として 2 分を指定しています。
関連コマンド
|
|
|
すべてのポリシーマップ コンフィギュレーションを削除します。ただし、ポリシーマップが service-policy コマンド内で使用されている場合、そのポリシーマップは削除されません。 |
|
set metric
ルーティング プロトコルにメトリック値を設定するには、ルートマップ コンフィギュレーション モードで set metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
no set metric value コマンドを使用すると、デフォルトのメトリック値に戻すことができます。この場合の value は、0 ~ 4294967295 の整数です。
例
次の例は、OSPF ルーティングで使用するルートマップを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
set metric-type
OSPF メトリック ルートのタイプを指定するには、ルートマップ コンフィギュレーション モードで set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set metric-type { type-1 | type-2 }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、OSPF ルーティングで使用するルートマップを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
setup
対話型のプロンプトを使用して、セキュリティ アプライアンスの最小限のコンフィギュレーションを設定するには、グローバル コンフィギュレーション モードで setup コマンドを入力します。このコンフィギュレーションによって、ASDM を使用するための接続が提供されます。デフォルトのコンフィギュレーションに戻すには、 configure factory-default コマンドも参照してください。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラッシュ メモリ内にスタートアップ コンフィギュレーションが存在しない場合、ブート時にセットアップ ダイアログが自動的に表示されます。
setup コマンドを使用するには、内部インターフェイスをあらかじめ設定しておく必要があります。PIX 500 シリーズのデフォルト コンフィギュレーションには、内部インターフェイス(Ethernet 1)が含まれていますが、ASA 550 シリーズのデフォルト コンフィギュレーションには含まれていません。 setup コマンドを使用する前に、内部インターフェイスにするインターフェイスについて、 interface コマンドを入力し、次に nameif inside コマンドを入力しておく必要があります。
マルチ コンテキスト モードでは、システム実行スペース内で、および各コンテキストに対して setup コマンドを使用できます。
setup コマンドを入力すると、 表 7-1 に示す情報の入力を要求されます。システムの setup コマンドには、これらのプロンプトのサブセットが含まれています。要求されたパラメータに対するコンフィギュレーションがすでに存在している場合は、そのコンフィギュレーションが( )で囲まれて表示されます。このコンフィギュレーションをデフォルトとして受け入れることも、新しいコンフィギュレーションを入力して上書きすることもできます。
例
次の例は、 setup コマンド プロンプトで最後まで作業する方法を示しています。
関連コマンド
|
|
|
|---|---|
show aaa local user
現在ロックされているユーザ名のリスト、またはユーザ名に関する詳細を表示するには、グローバル コンフィギュレーション モードで show aaa local user コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オプションのキーワード locked を省略すると、セキュリティ アプライアンスは、すべての AAA ローカル ユーザについて、失敗した試行とロックアウト ステータスの詳細を表示します。
username オプションを使用してユーザを 1 人のみ指定することも、 all オプションを使用してすべてのユーザを指定することもできます。
例
次の例では、 show aaa local user コマンドを使用して、すべてのユーザ名のロックアウト ステータスを表示しています。
この例では、認証失敗の上限を 5 回に設定した後で、 show aaa local user コマンドを使用して、すべての AAA ローカル ユーザについて認証の失敗回数とロックアウト ステータスの詳細を表示しています。
次の例では、認証失敗の上限を 5 回に設定した後で、 show aaa local user コマンドを lockout キーワード付きで使用して、ロックアウトされたすべての AAA ローカル ユーザについて、認証の失敗回数とロックアウト ステータスの詳細を表示しています。
関連コマンド
|
|
|
show aaa-server
AAA サーバに関する統計情報を表示するには、特権 EXEC モードで show aaa-server コマンドを使用します。
show aaa-server [ LOCAL | groupname [ host hostname ] | protocol protocol ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 show aaa-server コマンドを使用して、サーバグループ group1 に含まれている特定のホストの統計情報を表示しています。
次の例では、 show aaa-server コマンドを使用して、非アクティブな小規模システムに含まれているすべてのホストの統計情報を表示しています。
関連コマンド
|
|
|
|---|---|
show access-list
アクセスリストのカウンタを表示するには、特権 EXEC モードで show access-list コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show access-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
show activation-key
アクティベーション キーによってイネーブルになった機能のコンフィギュレーションに含まれているコマンドを、許容されているコンテキストの数を含めて表示するには、特権 EXEC モードで show activation-key コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show activation-key コマンドの出力で示されるアクティべーション キーのステータスは、次のとおりです。
• セキュリティ アプライアンスのフラッシュ ファイル システムにあるアクティべーション キーが、セキュリティ アプライアンスで機能しているアクティべーション キーと同じものである場合、 show activation-key コマンドの出力は次のようになります。
• セキュリティ アプライアンスのフラッシュ ファイル システムにあるアクティべーション キーが、セキュリティ アプライアンスで機能しているアクティべーション キーと異なるものである場合、 show activation-key コマンドの出力は次のようになります。
• アクティベーション キーをダウングレードする場合は、機能しているキー(古いキー)が、フラッシュに格納されているキー(新しいキー)と異なっていることが表示されます。セキュリティ アプライアンスを再起動すると、新しいキーが使用されます。
• キーをアップグレードして追加の機能をイネーブルにする場合、新しいキーはすぐに機能し始めます。再起動する必要はありません。
• PIX Firewall プラットフォームでは、新しいキーと古いキーでフェールオーバー機能(R/UR/FO)に違いがある場合、確認するように要求されます。ユーザが n を入力すると、変更内容は破棄されます。その他の場合は、フラッシュ ファイル システムに格納されているキーがアップデートされます。セキュリティ アプライアンスを再起動すると、新しいキーが使用されます。
例
次の例は、アクティベーション キーによってイネーブルになった機能のコンフィギュレーションに含まれているコマンドを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show admin-context
管理コンテキストとして現在割り当てられているコンテキストの名前を表示するには、特権 EXEC モードで show admin-context コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show admin-context コマンドの出力例を示します。この例では、flash のルート ディレクトリに格納されている「admin」という管理コンテキストが表示されています。
関連コマンド
|
|
|
|---|---|
show arp
アドレス解決プロトコル(ARP)テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。このコマンドは、ダイナミック ARP エントリと手作業で設定した ARP エントリを表示しますが、各エントリの作成元は示しません。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show arp-inspection
各インターフェイスの ARP 検査設定を表示するには、特権 EXEC モードで show arp-inspection コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show arp-inspection コマンドの出力例を示します。
miss カラムは、ARP 検査がイネーブルになっている場合に、一致しないパケットに対して実行するデフォルト アクション(flood または no-flood)を示しています。
関連コマンド
|
|
|
|---|---|
show arp statistics
ARP 統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show arp statistics コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm history
ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを使用します。
show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm history コマンドから show asdm history コマンドに変更されました。 |
使用上のガイドライン
show asdm history コマンドは、ASDM 履歴バッファの内容を表示します。ASDM 履歴情報を表示するには、 asdm history enable コマンドを使用して、ASDM 履歴のトラッキングをあらかじめイネーブルにしておく必要があります。
例
次に、 show asdm history コマンドの出力例を示します。ここでは、出力する内容を外部インターフェイスに関する最近 10 分間に収集されたデータに限定しています。
次に、 show asdm history コマンドの出力例を示します。上の例と同様に、出力する内容を外部インターフェイスに関する最近 10 分間に収集されたデータに限定しています。ただし、この例では出力を ASDM クライアント用に整形しています。
次に、 snapshot キーワードを使用した show asdm history コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm image
現在の ASDM ソフトウェア イメージ ファイルを表示するには、特権 EXEC モードで show asdm image コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm image コマンドから show asdm image コマンドに変更されました。 |
例
次に、 show asdm image コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm log_sessions
アクティブな ASDM ロギング セッションのリスト、およびそれらのセッションに関連付けられているセッション ID を表示するには、特権 EXEC モードで show asdm log_sessions コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、このロギング セッションを使用してセキュリティ アプライアンスから syslog メッセージを取得します。各 ASDM ロギング セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect log_session コマンドで使用すると、指定したセッションを終了することができます。
(注) 各 ASDM セッションは、少なくとも 1 つの ASDM ロギング セッションを保持しているため、show asdm sessions と show asdm log_sessions の出力は同じ内容になることもあります。
例
次に、 show asdm log_sessions コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm sessions
アクティブな ASDM セッションのリスト、およびそれらに関連付けられているセッション ID を表示するには、特権 EXEC モードで show asdm sessions コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm sessions コマンドから show asdm sessions コマンドに変更されました。 |
使用上のガイドライン
アクティブな各 ASDM セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect コマンドで使用すると、指定したセッションを終了することができます。
例
次に、 show asdm sessions コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp drop
アクセラレーション セキュリティ パスによってドロップされたパケットまたは接続をデバッグするには、特権 EXEC モードで show asp drop コマンドを使用します。
show asp drop [ flow drop_reason | frame drop_reason ]
シンタックスの説明
(オプション)特定のプロセスによってドロップされたフローまたはパケットを表示します。ドロップ理由のリストについては、「 使用上のガイドライン 」を参照してください。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show asp drop コマンドは、アクセラレーション セキュリティ パスによってドロップされたパケットまたは接続を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。この情報はデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
次のパケット ドロップ理由を指定すると、そのドロップ理由に関する統計情報を表示できます。
例
次に、 show asp drop コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp table arp
アクセラレーション セキュリティ パスの ARP テーブルをデバッグするには、特権 EXEC モードで show asp table arp コマンドを使用します。
show asp table arp [ interface interface_name ] [ address ip_address [ netmask mask ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show arp コマンドが制御プレーンの内容を表示するのに対して、 show asp table arp コマンドはアクセラレーション セキュリティ パスの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
例
次に、 show asp table arp コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp table classify
アクセラレーション セキュリティ パスの分類子テーブルをデバッグするには、特権 EXEC モードで show asp table classify コマンドを使用します。分類子は、着信パケットのプロパティ(プロトコル、送信元アドレス、宛先アドレスなど)を検査して、各パケットを適切な分類規則と対応付けます。それぞれの規則には、パケットのドロップや通過の許可など、どのタイプのアクションを実行するかを規定した分類ドメインのラベルが付けられます。
show asp table classify [ crypto | domain domain_name | interface interface_name ]
シンタックスの説明
(オプション)特定の分類子ドメインのエントリを表示します。ドメインのリストについては、「 使用上のガイドライン 」を参照してください。 |
|
(オプション)encrypt ドメイン、decrypt ドメイン、および ipsec-tunnel-flow ドメインのみを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show asp table classify コマンドは、アクセラレーション セキュリティ パスの分類子の内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
例
次に、 show asp table classify コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp table interfaces
アクセラレーション セキュリティ パスのインターフェイス テーブルをデバッグするには、特権 EXEC モードで show asp table interfaces コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show asp table interfaces コマンドは、アクセラレーション セキュリティ パスのインターフェイス テーブルの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
例
次に、 show asp table interfaces コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp table mac-address-table
アクセラレーション セキュリティ パスの MAC アドレス テーブルをデバッグするには、特権 EXEC モードで show asp table mac-address-table コマンドを使用します。
show asp table mac-address-table [ interface interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show asp table mac-address-table コマンドは、アクセラレーション セキュリティ パスの MAC アドレス テーブルの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
例
次に、 show asp table mac-address-table コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp table routing
アクセラレーション セキュリティ パスのルーティング テーブルをデバッグするには、特権 EXEC モードで show asp table routing コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
show asp table routing [ input | output ] [ address ip_address [ netmask mask ] | interface interface_name ]
シンタックスの説明
ルーティング エントリを表示する IP アドレスを設定します。IPv6 アドレスの場合は、サブネット マスクを含めることができます。スラッシュ(/)に続けて、プレフィックス(0 ~ 128)を入力します。たとえば、次のように入力します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show asp table routing コマンドは、アクセラレーション セキュリティ パスのルーティング テーブルの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
例
次に、 show asp table routing コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asp table vpn-context
アクセラレーション セキュリティ パスの VPN コンテキスト テーブルをデバッグするには、特権 EXEC モードで show asp table vpn-context コマンドを使用します。
show asp table vpn-context [ detail ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show asp table vpn-context コマンドは、アクセラレーション セキュリティ パスの VPN コンテキストの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。アクセラレーション セキュリティ パスの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。これらのテーブルはデバッグのみを目的として使用するものであり、出力される情報は変更されることがあります。このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合せください。
例
次に、 show asp table vpn-context コマンドの出力例を示します。
次に、 show asp table vpn-context detail コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show blocks
パケット バッファの使用状況を表示するには、特権 EXEC モードで show blocks コマンドを使用します。
show blocks [{ address hex | all | assigned | free | old | pool size [ summary ]} [ diagnostics | dump | header | packet ] | queue history [ detail ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show blocks コマンドは、セキュリティ アプライアンスが過負荷になっているかどうかを判断する場合に役立ちます。このコマンドは、事前割り当て済みのシステム バッファの使用状況を表示します。トラフィックがセキュリティ アプライアンスを経由して移動している限り、メモリがすべて使用されている状態は問題にはなりません。 show conn コマンドを使用すると、トラフィックが移動しているかどうかを確認できます。トラフィックが移動していないで、かつメモリがすべて使用されている場合は、問題がある可能性があります。
セキュリティ コンテキスト内で表示される情報には、使用中のブロック、およびブロック使用状況の最高水準点について、コンテキスト固有の情報とともにシステム全体の情報も含まれています。
例
次に、シングルモードでの show blocks コマンドの出力例を示します。
次に、 show blocks all コマンドの出力例を示します。
|
|
|
|---|---|
このブロックに対する現時点での参照回数(このブロックが使用されている場合)。0 は 1 回の参照、1 は 2 回の参照を意味します。 |
|
ブロックを使用しているアプリケーション。または、ブロックを最後に割り当てたアプリケーションのプログラム アドレス(allocd_by フィールドと同じ)。 |
次に、コンテキスト内での show blocks コマンドの出力例を示します。
次に、 show blocks queue history コマンドの出力例を示します。
次に、 show blocks queue history detail コマンドの出力例を示します。
次に、 show blocks pool summary コマンドの出力例を示します。
|
|
|
|---|---|
関連コマンド
|
|
|
|---|---|
show bootvar
ブート ファイルとコンフィギュレーションのプロパティを表示するには、特権コンフィギュレーション モードで show bootvar コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
BOOT 変数は、さまざまなデバイス上の起動イメージのリストを指定するものです。CONFIG_FILE 変数は、システム初期化中に使用されるコンフィギュレーション ファイルを指定します。これらの変数は、それぞれ boot system コマンドと boot config コマンドで設定します。
例
次の例では、BOOT 変数が disk0:/f1_image を保持しています。これは、システムのリロード時にブートされるイメージです。BOOT の現在の値は、disk0:/f1_image; disk0:f1_backupimage です。これは、BOOT 変数が boot system コマンドで変更されているものの、実行コンフィギュレーションがまだ write memory コマンドで保存されていないことを意味しています。実行コンフィギュレーションを保存すると、BOOT 変数と現在の BOOT 変数が両方とも disk0:/f1_image; disk0:f1_backupimage になります。実行コンフィギュレーションが保存済みである場合、ブート ローダーは BOOT 変数の内容をロードしようとします。つまり、disk0:/f1image を起動します。このイメージが存在しないか無効である場合は、disk0:/f1_backupimage をブートしようとします。
CONFIG_FILE 変数は、システムのスタートアップ コンフィギュレーションをポイントします。この例ではこの変数が設定されていないため、スタートアップ コンフィギュレーション ファイルは、 boot config コマンドで指定したデフォルトです。現在の CONFIG_FILE 変数は、 boot config コマンドで変更して、 write memory コマンドで保存することができます。
関連コマンド
|
|
|
|---|---|
show capture
キャプチャのコンフィギュレーションを表示するには、オプションを指定せずに show capture コマンドを使用します。
show capture [ capture_name ] [ access-list access_list_name ] [ count number ] [ decode ] [ detail ] [ dump ] [ packet-number number ]
シンタックスの説明
(オプション)特定のアクセスリストの IP フィールドまたはより高位のフィールドに基づいて、パケットに関する情報を表示します。 |
|
このオプションは、isakmp タイプのキャプチャがインターフェイスに適用されている場合に役立ちます。当該のインターフェイスを通過する isakmp データは、復号化の後にすべてキャプチャされ、フィールドをデコードした後にその他の情報とともに表示されます。 |
|
デフォルト
コマンドのモード
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよび透過ファイアウォール モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
capture_name を指定した場合は、そのキャプチャのキャプチャ バッファの内容が表示されます。
dump キーワードを指定しても、MAC に関する情報は 16 進ダンプに表示されません。
パケットのデコード出力は、パケットのプロトコルによって形式が異なります。 表 7-6 で [ ] に囲まれている出力は、 detail キーワードを指定した場合に表示されます。
例
次の例は、キャプチャのコンフィギュレーションを表示する方法を示しています。
次の例は、ARP キャプチャによってキャプチャされたパケットを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show chardrop
シリアル コンソールからドロップされた文字の数を表示するには、特権 EXEC モードで show chardrop コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show chardrop コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show checkheaps
チェックヒープに関する統計情報を表示するには、特権 EXEC モードで show checkheaps コマンドを使用します。チェックヒープは、ピープ メモリ バッファ(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられる)の健全性およびコード領域の完全性を確認する定期的なプロセスです。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show checkheapls コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show checksum
コンフィギュレーションのチェックサムを表示するには、特権 EXEC モードで show checksum コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show checksum コマンドを使用すると、コンフィギュレーションの内容のデジタル サマリーとして機能する 16 進数の 4 つのグループを表示できます。このチェックサムが計算されるのは、コンフィギュレーションをフラッシュ メモリに格納するときのみです。
show config コマンドまたは show checksum コマンドの出力でチェックサムの前にドット「.」が表示された場合、この出力は、通常のコンフィギュレーション読み込みまたは書き込みモードのインジケータを示しています(セキュリティ アプライアンス フラッシュ パーティションからの読み込み、またはセキュリティ アプライアンス フラッシュ パーティションへの書き込み時)。「.」は、セキュリティ アプライアンスが処理に占有されているが「ハングアップ」していないことを示しています。このメッセージは、「system processing, please wait」メッセージと同様です。
例
次の例は、コンフィギュレーションまたはチェックサムを表示する方法を示しています。
show chunkstat
チャンクに関する統計情報を表示するには、特権 EXEC モードで show chunkstat コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、チャンクに関する統計情報を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show clock
セキュリティ アプライアンス上の時刻を表示するには、ユーザ EXEC モードで show clock コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show clock detail コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show conn
指定した接続タイプの接続状態を表示するには、特権 EXEC モードで show conn コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
show conn [ all | count ] [ state state_type ] | [{{ foreign | local } ip [ - ip2 ] netmask mask }] | [ long | detail ] | [{{ lport | fport } port1 } [ - port2 ]] | [ protocol { tcp | udp }]
シンタックスの説明
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show conn コマンドは、アクティブな TCP 接続の数を表示し、さまざまなタイプの接続に関する情報を提供します。接続のテーブル全体を参照するには、 show conn all コマンドを使用します。
(注) セカンダリ接続を可能にするためのピンホールをセキュリティ アプライアンスが作成するとき、この接続は show conn コマンドでは不完全な接続として表示されます。この不完全な接続を消去するには、clear local コマンドを使用します。
表 7-7 に、 show conn state コマンドを使用するときに指定できる接続タイプを示します。複数の接続タイプを指定する場合は、キーワードをカンマで区切り、スペースは入れません。
|
|
|
|---|---|
detail オプションを使用すると、 表 7-8 に示した接続フラグを使用して、変換タイプとインターフェイスに関する情報が表示されます。
|
|
|
|---|---|
Computer Telephony Interface Quick Buffer Encoding(CTIQBE)メディア接続 |
|
接続がグループの一部1 |
|
UDP RPC2 |
|
SIP 一時接続3 |
|
SIP 接続4 |
|
(注) DNS サーバを使用する接続の場合、show conn コマンドの出力で、接続の送信元ポートが DNS サーバの IP アドレスに置き換えられることがあります。
複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、それらのセッションに対しては接続が 1 つのみ作成されます。DNS の識別情報は、app_id によって追跡され、各 app_id のアイドル タイマーはそれぞれ独立して動作します。
app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答がセキュリティ アプライアンスを通過できるのは、限られた期間内のみであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力すると、DNS 接続のアイドル タイマーが新しい DNS セッションによってリセットされているように見えます。これは共有 DNS 接続の性質によるものであり、仕様です。
(注) conn timeout コマンドで定義した非アクティブ期間(デフォルトは 01:00:00)中に TCP トラフィックがまったく発生しなかった場合は、接続が終了し、対応する接続フラグ エントリも表示されなくなります。
例
複数の接続タイプを指定する場合は、キーワードをカンマで区切り、スペースは入れません。次の例では、アップ状態の RPC 接続、H.323 接続、および SIP 接続に関する情報を表示しています。
次の例は、内部ホスト 10.1.1.15 から 192.168.49.10 の外部 Telnet サーバへの TCP セッション接続を示しています。B フラグが存在しないため、接続は内部から開始されています。「U」フラグ、「I」フラグ、および「O」フラグは、接続がアクティブであり、着信データと発信データを受信したことを示しています。
次の例は、外部ホスト 192.168.49.10 から内部ホスト 10.1.1.15 への UDP 接続を示しています。D フラグは、DNS 接続であることを示しています。1028 は、接続上の DNS ID です。
次に、 show conn all コマンドの出力例を示します。
6 in use, 6 most used
TCP out 209.165.201.1:80 in 10.3.3.4:1404 idle 0:00:00 Bytes 11391
TCP out 209.165.201.1:80 in 10.3.3.4:1405 idle 0:00:00 Bytes 3709
TCP out 209.165.201.1:80 in 10.3.3.4:1406 idle 0:00:01 Bytes 2685
TCP out 209.165.201.1:80 in 10.3.3.4:1407 idle 0:00:01 Bytes 2683
TCP out 209.165.201.1:80 in 10.3.3.4:1403 idle 0:00:00 Bytes 15199
TCP out 209.165.201.1:80 in 10.3.3.4:1408 idle 0:00:00 Bytes 2688
UDP out 209.165.201.7:24 in 10.3.3.4:1402 idle 0:01:30
UDP out 209.165.201.7:23 in 10.3.3.4:1397 idle 0:01:30
UDP out 209.165.201.7:22 in 10.3.3.4:1395 idle 0:01:30
例では、内部のホスト 10.3.3.4 が 209.165.201.1 の Web サイトにアクセスしています。外部インターフェイス上のグローバル アドレスは、209.165.201.7 です。
関連コマンド
|
|
|
|---|---|
show console-output
現在キャプチャされているコンソール出力を表示するには、特権 EXEC モードで
show console-output コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、コンソール出力がない場合に表示されるメッセージを示しています。
関連コマンド
|
|
|
|---|---|
show context
割り当てられているインターフェイス、コンフィギュレーション ファイルの URL、および設定済みコンテキストの数を含めてコンテキスト情報を表示するには(または、システム実行スペースからすべてのコンテキストのリストを表示するには)、特権 EXEC モードで show context コマンドを使用します。
show context [ name | detail | count ]
シンタックスの説明
(オプション)コンテキスト名を設定します。名前を指定しない場合、セキュリティ アプライアンスはすべてのコンテキストを表示します。コンテキスト内で入力できるのは、現在のコンテキスト名のみです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show context コマンドの出力例を示します。この表示例では、3 つのコンテキストが表示されています。
|
|
|
|---|---|
次に、 show context detail コマンドの出力例を示します。
次に、 show context count コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
show counters
プロトコル スタック カウンタを表示するには、特権 EXEC モードで show counters コマンドを使用します。
show counters [all | context context-name | summary | top N ] [ detail ] [protocol protocol_name [: counter_name ]] [ threshold N ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、コンテキストのカウンタを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show cpu
CPU の使用状況に関する情報を表示するには、特権 EXEC モードで show cpu usage コマンドを使用します。
マルチ コンテキスト モードでは、システム コンフィギュレーションから次のように入力します。
show cpu [usage] [context {all | context_name }]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CPU の使用状況は、負荷の近似値を使用して 5 秒ごとに算出されます。この近似値は、次回と次々回の移動平均に提供されます。
show cpu コマンドを使用すると、負荷に関係しているプロセス(つまり、シングルモードで実行した show process コマンドと、マルチ コンテキスト モードのシステム コンフィギュレーションから実行した show process コマンドの両方の出力に表示されている項目のためのアクティビティ)を発見できます。
さらに、マルチ コンテキスト モードでは、いずれかの設定済みコンテキストが CPU に負荷をかけている場合、その負荷に関係しているプロセスを中断するように要求できます。このためには、各コンテキストに移動して show cpu コマンドを入力するか、このコマンドの変化型である show cpu context を入力します。
プロセスに関係する負荷は、直近の整数に四捨五入されます。それに対して、コンテキストに関係する負荷には小数点第 1 位が含まれています。たとえば、 show cpu をシステム コンテキストから入力すると、 show cpu context system コマンドを入力したときとは別の数値が示されます。前者は show cpu context all のすべての要素の近似的な要約であり、後者はその要約の一部にすぎません。
例
次の例は、マルチ モードでシステム コンテキストの CPU 使用状況を表示する方法を示しています。
次の例は、すべてのコンテキストの CPU 使用状況を表示する方法を示しています。
次の例は、one というコンテキストの CPU 使用状況を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show crashinfo
フラッシュ メモリに格納されているクラッシュ ファイルの内容を表示するには、特権 EXEC モードで show crashinfo コマンドを入力します。
シンタックスの説明
(オプション)クラッシュ情報をフラッシュ メモリに保存するようにセキュリティ アプライアンスが設定されているかどうかを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラッシュ ファイルがテスト クラッシュ( crashinfo test コマンドで生成)のものである場合、クラッシュ ファイルの最初の文字列は「 : Saved_Test_Crash 」であり、最後の文字列は
「 : End_Test_Crash 」です。クラッシュ ファイルが実際のクラッシュのものである場合、クラッシュ ファイルの最初の文字列は「 : Saved_Crash 」であり、最後の文字列は「 : End_Crash 」です( crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドを使用して発生させたクラッシュを含む)。
クラッシュ データがフラッシュにまったく保存されていない場合や、 clear crashinfo コマンドを入力してクラッシュ データを消去していた場合は、 show crashinfo コマンドを実行するとエラー メッセージが表示されます。
例
次の例は、現在のクラッシュ情報コンフィギュレーションを表示する方法を示しています。
次の例は、クラッシュ ファイル テストの出力を示しています(このテストによって、セキュリティ アプライアンスが実際にクラッシュすることはありません。このテストで生成されるのは、擬似的なサンプル ファイルです)。
関連コマンド
|
|
|
|---|---|
show crashinfo console
フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行うには、crashinfo console disable コマンドを使用します。このコマンドは、クラッシュを強制的に発生させます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
FIPS 140-2 に準拠すると、キーやパスワードなどのクリティカル セキュリティ パラメータを暗号境界(シャーシ)の外側に配布することができません。アサートまたはチェックヒープのエラーによってデバイスがクラッシュしたとき、コンソールにダンプされるスタック領域やメモリ領域は、機密データを含んでいることがあります。この出力は、FIPS モードでは表示されないようにする必要があります。
例
関連コマンド
|
|
|
|---|---|
システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。 |
|
show crypto accelerator statistics
ハードウェア暗号アクセラレータ MIB 内のグローバルな統計情報またはアクセラレータ固有の統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto accelerator statistics コマンドを使用します。
show crypto accelerator statistics
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、グローバルな暗号アクセラレータ統計情報を表示しています。
関連コマンド
|
|
|
|---|---|
show crypto ca certificates
特定のトラストポイントに関連付けられている証明書、またはシステムにインストールされているすべての証明書を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ca certificates コマンドを使用します。
show crypto ca certificates [ trustpointname ]
シンタックスの説明
(オプション)トラストポイントの名前。名前を指定しない場合は、システムにインストールされているすべての証明書が表示されます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、tp1 というトラストポイントの CA 証明書を表示しています。
関連コマンド
|
|
|
|---|---|
show crypto ca crls
キャッシュされているすべての CRL、または指定したトラストポイントでキャッシュされているすべての CRL を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ca crls コマンドを使用します。
show crypto ca crls [ trustpointname ]
シンタックスの説明
(オプション)トラストポイントの名前。名前を指定しない場合は、システムにキャッシュされているすべての CRL が表示されます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、tp1 というトラストポイントの CRL を表示しています。
関連コマンド
|
|
|
|---|---|
show crypto ipsec df-bit
指定したインターフェイスの IPSec パケットの IPSec DF ビット ポリシーを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec df-bit コマンドを使用します。
show crypto ipsec df-bit interface
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、inside というインターフェイスの IPSec DF ビット ポリシーを表示しています。
関連コマンド
|
|
|
|---|---|
show crypto ipsec fragmentation
IPSec パケットのフラグメンテーション ポリシーを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto ipsec fragmentation コマンドを使用します。
show crypto ipsec fragmentation interface
シンタックスの説明
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、inside というインターフェイスの IPSec フラグメンテーション ポリシーを表示しています。
関連コマンド
|
|
|
|---|---|
show crypto key mypubkey
指定したタイプのキー ペアを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto key mypubkey コマンドを使用します。
show crypto key mypubkey { rsa | dsa }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、RSA キー ペアを表示しています。
関連コマンド
|
|
|
|---|---|
show crypto protocol statistics
暗号アクセラレータ MIB 内のプロトコル固有の統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show crypto protocol statistics コマンドを使用します。
show crypto protocol statistics protocol
シンタックスの説明
統計情報を表示するプロトコルの名前を指定します。指定できるプロトコルは、次のとおりです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、指定したプロトコルに関する暗号アクセラレータ統計情報を表示しています。
hostname # show crypto protocol statistics ikev1
[IKEv1 statistics]
Encrypt packet requests: 39
Encapsulate packet requests: 39
Decrypt packet requests: 35
Decapsulate packet requests: 35
HMAC calculation requests: 84
SA creation requests: 1
SA rekey requests: 3
SA deletion requests: 2
Next phase key allocation requests: 2
Random number generation requests: 0
Failed requests: 0
hostname # show crypto protocol statistics ipsec
[IPsec statistics]
Encrypt packet requests: 700
Encapsulate packet requests: 700
Decrypt packet requests: 700
Decapsulate packet requests: 700
HMAC calculation requests: 1400
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
hostname # show crypto protocol statistics ssl
[SSL statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
hostname # show crypto protocol statistics other
[Other statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 99
Failed requests: 0
hostname # show crypto protocol statistics all
[IKEv1 statistics]
Encrypt packet requests: 46
Encapsulate packet requests: 46
Decrypt packet requests: 40
Decapsulate packet requests: 40
HMAC calculation requests: 91
SA creation requests: 1
SA rekey requests: 3
SA deletion requests: 3
Next phase key allocation requests: 2
Random number generation requests: 0
Failed requests: 0
[IKEv2 statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[IPsec statistics]
Encrypt packet requests: 700
Encapsulate packet requests: 700
Decrypt packet requests: 700
Decapsulate packet requests: 700
HMAC calculation requests: 1400
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[SSL statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0
[SSH statistics are not supported]
[SRTP statistics are not supported]
[Other statistics]
Encrypt packet requests: 0
Encapsulate packet requests: 0
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 0
SA creation requests: 0
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 99
Failed requests: 0
hostname #
関連コマンド
|
|
|
|---|---|
show ctiqbe
セキュリティ アプライアンスを越えて確立されている CTIQBE セッションの情報を表示するには、特権 EXEC モードで show ctiqbe コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show ctiqbe コマンドは、セキュリティ アプライアンスを越えて確立されている CTIQBE セッションの情報を表示します。 debug ctiqbe や show local-host と共に、このコマンドは、CTIQBE 検査エンジンの問題のトラブルシューティングに使用されます。
(注) show ctiqbe コマンドを使用する前に pager コマンドを設定することを推奨します。多くの CTIQBE セッションが存在し、pager コマンドが設定されていない場合、show ctiqbe コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。
例
次の条件における show ctiqbe コマンドの出力例を示します。セキュリティ アプライアンスを越えてセットアップされているアクティブ CTIQBE セッションは 1 つだけです。そのセッションは、ローカル アドレス 10.0.0.99 の内部 CTI デバイス(たとえば、Cisco IP SoftPhone)と 172.29.1.77 の外部 Cisco Call Manager の間で確立されています。ここで、TCP ポート 2748 は、Cisco CallManager です。このセッションのハートビート間隔は 120 秒です。
CTI デバイスは、すでに CallManager に登録されています。デバイスの内部アドレスと RTP リスン ポートは、172.29.1.99 UDP ポート 1028 に PAT 変換されています。その RTCP リスン ポートは、UDP 1029 に PAT 変換されています。
RTP/RTCP: PAT xlates: で始まる行は、内部 CTI デバイスが外部 CallManager に登録され、CTI デバイスのアドレスとポートは、その外部インターフェイスに PAT 変換されている場合に限り表示されます。この行は、CallManager が内部インターフェイス上に位置する場合、または内部 CTI デバイスのアドレスとポートが、CallManager が使用しているのと同じ外部インターフェイスに NAT 変換されている場合は、表示されません。
この出力は、コールがこの CTI デバイスと 172.29.1.88 にある別の電話機の間に確立されていることを示します。他の電話機の RTP および RTCP リスン ポートは、UDP 26822 および 26823 です。セキュリティ アプライアンスは 2 番目の電話機と CallManager に関連する CTIQBE セッション レコードを維持できないので、他の電話機は、CallManager と同じインターフェイス上にあります。CTI デバイス側のアクティブ コール レグは、Device ID 27 および Call ID 0 で確認できます。
次に、これらの CTIBQE 接続に対する xlate 情報を示します。
関連コマンド
|
|
|
|---|---|
show curpriv
現在のユーザ特権を表示するには、 show curpriv コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show curpriv コマンドは、現在の特権レベルを表示します。特権レベルの数値が小さいほど、特権レベルが低いことを示しています。
例
次の例は、enable_15 という名前のユーザが異なる特権レベルにある場合の show curpriv コマンドの出力を示しています。ユーザ名はログイン時にユーザが入力した名前を示し、P_PRIV はユーザが enable コマンドを入力したことを示し、P_CONF は config terminal コマンドを入力したことを示します。
関連コマンド
|
|
|
|---|---|
show debug
現在のデバッグ コンフィギュレーションを表示するには、 show debug コマンドを使用します。
show debug [ command [ keywords ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
有効となる command 値は、次のとおりです。 command 以降で有効となるシンタックスについては、該当する debug command のエントリを参照してください。
(注) それぞれの command 値を入力できるかどうかは、該当する debug コマンドをサポートしているコマンド モードによって異なります。
例
次のコマンドでは、認証、アカウンティング、およびフラッシュ メモリについてデバッグをイネーブルにしています。 show debug コマンドを 3 つの方法で使用して、すべてのデバッグ コンフィギュレーション、特定の機能のデバッグ コンフィギュレーション、および機能のサブセットのデバッグ コンフィギュレーションを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show dhcpd
DHCP のバインディング、状態、および統計情報を表示するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで show dhcpd コマンドを使用します。
show dhcpd { binding [ IP_address ] | state | statistics }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show dhcpd binding コマンドにオプションの IP アドレスを含めると、その IP アドレスのバインディングのみが表示されます。
show dhcpd binding | state | statistics コマンドは、グローバル コンフィギュレーション モードでも使用できます。
例
次に、 show dhcpd binding コマンドの出力例を示します。
次に、 show dhcpd state コマンドの出力例を示します。
次に、 show dhcpd statistics コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show dhcprelay state
DHCP リレー エージェントの状態を表示するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで show dhcprelay state コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show dhcprelay state コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show dhcprelay statistics
DHCP リレーの統計情報を表示するには、特権 EXEC モードで show dhcprelay statistics コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show dhcprelay statistics コマンドの出力は、 clear dhcprelay satistics コマンドを入力するまでは増分します。
例
次に、 show dhcprelay statistics コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show disk
フラッシュ メモリの内容を表示するには、特権 EXEC モードで show disk コマンドを使用します。PIX セキュリティ アプライアンスのフラッシュ メモリを表示するには、 show flash コマンドを参照してください。
show disk [ 0 | 1 ] [ filesys | all ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show disk filesys コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show dns-hosts
DNS キャッシュを表示するには、特権 EXEC モードで show dns-hosts コマンドを使用します。DNS キャッシュには、DNS サーバから動的にラーニングしたエントリとともに、 name コマンドを使用して手作業で入力した名前および IP アドレスが保持されています。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show dns-hosts コマンドの出力例を示します。
|
|
|
|---|---|
| • • |
|
関連コマンド
|
|
|
|---|---|
show failover
装置のフェールオーバー ステータスに関する情報を表示するには、特権 EXEC モードで show failover コマンドを使用します。
show failover [ group num | history | interface | state | statistics ]
シンタックスの説明
フェールオーバーの履歴を表示します。フェールオーバーの履歴には、過去のフェールオーバーの状態変化、および状態変化の理由が表示されます。 |
|
両方のフェールオーバー装置のフェールオーバー状態を表示します。表示される情報には、装置がプライマリとセカンダリのどちらであるか、アクティブとスタンバイのどちらであるかというステータス情報が含まれ、装置が障害状態になっている場合は障害の理由も含まれています。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show failover コマンドは、ダイナミック フェールオーバーの情報、インターフェイスのステータス、およびステートフル フェールオーバーの統計情報を表示します。Stateful Failover Logical Update Statistics の出力は、ステートフル フェールオーバーがイネーブルになっている場合のみ表示されます。「xerrs」値および「rerr」値は、フェールオーバーにおけるエラーは指摘しませんが、むしろ、パケット送信または受信のエラーの数を示します。
show failover コマンドの出力で、各フィールドに表示される値は次のとおりです。
• 各行は、次に示す特定オブジェクトのスタティック カウント用です。
–General:ステートフル オブジェクト全部の合計を示します。
–sys cmd:論理アップデート システム コマンド、たとえば、login または stay alive を参照します。
–up time:アクティブ セキュリティ アプライアンスがスタンバイ セキュリティ アプライアンスに渡すアップタイムの値を示します。
–RPC services:リモート プロシージャ コール接続の情報。
–Xlate_Timeout:接続変換タイムアウトの情報を示します。
–VPN DHCP upd:トンネリングされた DHCP 接続の情報。
フェールオーバー IP アドレスを入力していなければ、 show failover コマンドは IP アドレスに対して 0.0.0.0 を表示し、インターフェイスのモニタリングは、「waiting」状態のままになります。フェールオーバーが動作するためには、フェールオーバー IP アドレスを設定する必要があります。
マルチ コンフィギュレーション モードでは、セキュリティ コンテキストで使用できるのは show failover コマンドのみです。オプションのキーワードは入力できません。
例
次に、Active/Standby フェールオーバーでの show failover コマンドの出力例を示します。
次に、Active/Active フェールオーバーでの show failover コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show file
ファイル システムに関する情報を表示するには、特権 EXEC モードで show file コマンドを使用します。
show file descriptors | system | information filename
シンタックスの説明
ディスク ファイル システムについて、サイズ、利用可能なバイト数、メディアのタイプ、フラグ、およびプレフィックス情報を表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、ファイル システムに関する情報を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show firewall
現在のファイアウォール モード(ルーテッドまたは透過)を表示するには、特権 EXEC モードで show firewall コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show firewall コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show flash
内部フラッシュ メモリの内容を表示するには、特権 EXEC モードで show flash: コマンドを使用します。
(注) ASA 5500 シリーズでは、flash キーワードは disk0 のエイリアスです。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、内部フラッシュ メモリの内容を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show fragment
IP フラグメント再構成モジュールの運用データを表示するには、特権 EXEC モードで show fragment コマンドを入力します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
コンフィギュレーション データを運用データから分離するために、コマンドが show fragment と show running-config fragment の 2 つのコマンドに分割されました。 |
例
次の例は、IP フラグメント再構成モジュールの運用データを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show gc
ガーベッジ コレクション プロセスに関する統計情報を表示するには、特権 EXEC モードで show gc コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show h225
セキュリティ アプライアンスを越えて確立されている H.225 セッションの情報を表示するには、特権 EXEC モードで show h225 コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show h225 コマンドは、セキュリティ アプライアンスを越えて確立されている H.225 セッションの情報を表示します。 debug h323 h225 event 、 debug h323 h245 event 、および show local-host コマンドと共に、このコマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用されます。
show h225 、 show h245 、または show h323-ras コマンドを使用する前に、 pager コマンドを設定することを推奨します。多くのセッション レコードが存在し、 pager コマンドが設定されていない場合、 show コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。異常なほど多くの接続が存在する場合は、デフォルトのタイムアウト値または設定した値を基づいてセッションがタイムアウトしているかどうか確認します。タイムアウトしていなければ問題があるので、調査が必要です。
例
この出力は、現在セキュリティ アプライアンスを通過しているアクティブ H.323 コールが 1 つ、ローカル エンドポイント 10.130.56.3 と外部のホスト 172.30.254.203 の間にあることを示しています。また、これらの特定のエンドポイントの間に、同時コールが 1 つあり、そのコールの CRV(Call Reference Value)が 9861 であることを示しています。
ローカル エンドポイント 10.130.56.4 と外部ホスト 172.30.254.205 に対して、同時コールは 0 です。つまり H.225 セッションがまだ存在しているものの、このエンドポイント間にはアクティブ コールがないことを意味します。この状況は、 show h225 コマンドを実行したときに、コールはすでに終了しているが、H.225 セッションがまだ削除されていない場合に発生する可能性があります。または、2 つのエンドポイントが、「maintainConnection」を TRUE に設定しているため、TCP 接続をまだ開いたままにしていることを意味する可能性もあります。したがって、「maintainConnection」を再度 FALSE に設定するまで、またはコンフィギュレーション内の H.225 タイムアウト値に基づくセッションのタイムアウトが起こるまで、セッションは開いたままになります。
関連コマンド
|
|
|
|---|---|
スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。 |
|
show h245
スロー スタートを使用しているエンドポイントによって、セキュリティ アプライアンスを越えて確立されている H.245 セッションの情報を表示するには、特権 EXEC モードで show h245 コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show h245 コマンドは、スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します(スロースタートは、コールの 2 つのエンドポイントが H.245 用の別の TCP コントロール チャネルを開いた場合です。ファースト スタートは、H.245 メッセージが H.225 コントロール チャネル上の H.225 メッセージの一部として交換された場合です)。 debug h323 h245 event 、 debug h323 h225 event 、および show local-host コマンドと共に、このコマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用されます。
例
セキュリティ アプライアンスを越えているアクティブな H.245 コントロール セッションが、現在 1 つあります。ローカル エンドポイントは、10.130.56.3 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します(TKTP ヘッダーは、各 H.225/H.245 メッセージの前に送られる 4 バイトのヘッダーです。このヘッダーで、この 4 バイトのヘッダーを含むメッセージの長さが分かります)。外部のホストのエンドポイントは、172.30.254.203 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します。
これらのエンドポイント間でネゴシエートされたメディアには、258 という LCN(論理チャネル番号)があり、外部に 172.30.254.203/49608 という RTP IP アドレス/ポート ペアと 172.30.254.203/49609 という RTCP IP アドレス/ポート ペアを持ち、ローカルに 10.130.56.3/49608 という RTP IP アドレス/ポート ペアと 49609 という RTCP ポートを持っています。
259 という 2 番目の LCN には、外部に 172.30.254.203/49606 という RTP IP アドレス/ポート ペアと 172.30.254.203/49607 という RTCP IP アドレス/ポート ペアがあり、ローカルに 10.130.56.3/49606 という RTP IP アドレス/ポート ペアと 49607 という RTCP ポートを持っています。
関連コマンド
|
|
|
|---|---|
スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。 |
|
show h323-ras
ゲートキーパーとその H.323 エンドポイントの間でセキュリティ アプライアンスを越えて確立されている H.323 RAS セッションの情報を表示するには、特権 EXEC モードで show h323-ras コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show h323-ras コマンドは、セキュリティ アプライアンスを越えてゲートキーパーとその H.323 エンドポイントの間に確立されている H.323 RAS セッションの情報を表示します。 debug h323 ras event および show local-host コマンドと共に、このコマンドは、H.323 RAS 検査エンジンの問題のトラブルシューティングに使用されます。
show h323-ras コマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用される接続情報を表示します。詳細については、inspect protocol h323 {h225 | ras} コマンドのページを参照してください。
例
次に、 show h323-ras コマンドの出力例を示します。
この出力は、ゲートキーパー 172.30.254.214 とそのクライアント 10.130.56.14 の間にアクティブな登録が 1 つあることを示しています。
関連コマンド
|
|
|
|---|---|
スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。 |
|
show history
以前に入力したコマンドを表示するには、ユーザ EXEC モードで show history コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show history コマンドを使用すると、以前に入力したコマンドを表示できます。上矢印キーと下矢印キーを使用したり、^p を入力して入力済みの行を表示したり、^n を入力して次の行を表示したりして、コマンドを個々に調べることができます。
例
次の例は、以前に入力したコマンドをユーザ EXEC モードに入っているときに表示する方法を示しています。
次の例は、以前に入力したコマンドを特権 EXEC モードに入っているときに表示する方法を示しています。
hostname# show history
次の例は、以前に入力したコマンドをグローバル コンフィギュレーション モードに入っているときに表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show icmp
ICMP コンフィギュレーションを表示するには、特権 EXEC モードで show icmp コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ICMP コンフィギュレーションを表示しています。
関連コマンド
show idb
インターフェイス記述子ブロックのステータスに関する情報を表示するには、特権 EXEC モードで show idb コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IDB は、インターフェイスのリソースを表現するための内部データ構造です。表示される出力については、「 例 」の項を参照してください。
例
関連コマンド
|
|
|
|---|---|
show igmp groups
セキュリティ アプライアンスに直接接続し、IGMP によってラーニングされたレシーバーがあるマルチキャスト グループを表示するには、特権 EXEC モードで show igmp groups コマンドを使用します。
show igmp groups [[ reserved | group ] [ if_name ] [ detail ]] | summary ]
シンタックスの説明
(オプション)IGMP グループのアドレス。このオプション引数を指定すると、表示される情報は指定したグループに関するものだけになります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オプションの引数とキーワードをすべて省略した場合、 show igmp groups コマンドは、直接接続しているすべてのマルチキャスト グループをグループ アドレス、インターフェイス タイプ、およびインターフェイス番号別に表示します。
例
次に、 show igmp groups コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show igmp interface
インターフェイスのマルチキャスト情報を表示するには、特権 EXEC モードで show igmp interface コマンドを使用します。
show igmp interface [ if_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オプションの if_name 引数を省略した場合、 show igmp interface コマンドはすべてのインターフェイスの情報を表示します。
例
次に、 show igmp interface コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスに直接接続される受信者を保持していて、IGMP を通じてラーニングされたマルチキャスト グループを表示します。 |
show igmp traffic
IGMP トラフィックに関する統計情報を表示するには、特権 EXEC モードで show igmp traffic コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show igmp traffic コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show interface
インターフェイスに関する統計情報を表示するには、ユーザ EXEC モードで show interface コマンドを使用します。
show interface [ physical_interface [ . subinterface ] | mapped_name | interface_name ] [ stats | detail ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、新しいインターフェイス番号付け方式を取り入れるように修正され、明示的な指定をするための stats キーワード、および detail キーワードが追加されました。 |
|
使用上のガイドライン
インターフェイスが複数のコンテキストで共有されている場合は、コンテキスト内でこのコマンドを入力すると、セキュリティ アプライアンスは現在のコンテキストに関する統計情報のみ表示します。このコマンドをシステム実行スペースで物理インターフェイスに関して入力すると、セキュリティ アプライアンスはすべてのコンテキストの合算統計情報を表示します。
サブインターフェイスに関して表示される統計情報の数は、物理インターフェイスに関して表示される統計情報の数のサブセットです。
インターフェイス名をシステム実行スペースで使用することはできません。これは、 nameif コマンドはコンテキスト内でのみ使用できるためです。同様に、 allocate-interface コマンドを使用してインターフェイス ID をマッピング名にマッピングした場合、そのマッピング名はコンテキスト内でのみ使用できます。 allocate-interface コマンドで visible キーワードを設定した場合、セキュリティ アプライアンスは show interface コマンドの出力にインターフェイスの ID を表示します。
例
次に、 show interface コマンドの出力例を示します。
次に、 show interface detail コマンドの出力例を示します。次の例では、すべてのインターフェイスに関する詳細なインターフェイス統計情報を表示しています。この情報には、内部インターフェイス(プラットフォームに存在する場合)が含まれ、非対称ルーティングが asr-group コマンドによってイネーブルになっている場合は、非対称ルーティングの統計情報も含まれています。
表 7-14 に、 show interface detail コマンドの各フィールドの説明を示します。 show interface コマンドでも表示されるフィールドについては、 表 7-9 を参照してください。
関連コマンド
|
|
|
|---|---|
show interface ip brief
インターフェイスの IP アドレスとステータスを表示するには、特権 EXEC モードで show interface ip brief コマンドを使用します。
show interface [ physical_interface [ . subinterface ] | mapped_name | interface_name ] ip brief
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードで、 allocate-interface コマンドを使用してインターフェイス ID をマッピングした場合、そのマッピング名またはインターフェイス名はコンテキスト内でのみ指定できます。
例
次に、 show interface ip brief コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show inventory
ネットワーク デバイスにインストールされ、製品 ID(PID)、バージョン ID(VID)、シリアル番号(SN)を割り当てられているすべてのシスコ製品に関する情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show inventory コマンドを使用します。シスコ エンティティに PID が割り当てられていない場合、そのエンティティは取得されず、表示されません。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show inventory コマンドは、各シスコ製品のインベントリ情報を UDI 形式で取得し、表示します。UDI は、製品 ID(PID)、バージョン ID(VID)、シリアル番号(SN)という 3 つの別個のデータ要素を結合したものです。
PID は、製品をご注文いただく際の名称で、従来は「製品名」または「製品番号」と呼ばれていたものです。これは、交換部品を間違いなくご注文いただくために使用する識別子です。
VID は、製品のバージョンです。製品が改良されると、VID が増分します。VID は、製品変更通知(PCN)について規定した業界ガイドラインである Telcordia GR-209-CORE に基づいた、厳格なプロセスに従って増分されます。
SN は、製品に対するベンダー独自の連続番号です。製造される各製品は、製造時に割り当てられる一意のシリアル番号を保持しており、この番号は現場では変更できません。この番号は、製品の特定のインスタンスを個々に識別するための手段です。
UDI では、各製品をエンティティと呼びます。シャーシなどの一部のエンティティは、スロットなどの下位エンティティを保持しています。各エンティティは、シスコ エンティティ別に階層構造で整理された論理的な表示順に従って、1 行に 1 つずつ表示されます。
show inventory コマンドをオプションなしで使用すると、ネットワーク デバイスにインストールされた、PID を割り当てられているシスコ エンティティのリストが表示されます。
例
次に、キーワードと引数を指定しない場合の show inventory コマンドの出力例を示します。この出力例では、ルータにインストールされた、PID を割り当てられているシスコ エンティティのリストが表示されています。
表 7-16 に、この出力に表示されるフィールドについて説明します。
関連コマンド
|
|
|
show ip address
インターフェイスの IP アドレスまたは透過モードの管理 IP アドレスを表示するには、特権 EXEC モードで show ip address コマンドを使用します。
show ip address [ physical_interface [ . subinterface ] | mapped_name | interface_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
インターフェイスを指定しない場合、セキュリティ アプライアンスはすべてのインターフェイスの IP アドレスを表示します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ハイ アベイラビリティを設定した場合は、現在の IP アドレスとともにプライマリ IP アドレス(表示には「System」と示されます)が表示されます。装置がアクティブになっている場合、システム IP アドレスと現在の IP アドレスは一致します。装置がスタンバイになっている場合、現在の IP アドレスにはスタンバイ アドレスが表示されます。
例
次に、 show ip address コマンドの出力例を示します。
|
|
|
|---|---|
インターフェイス ID。マルチ コンテキスト モードで、 allocate-interface コマンドを使用してマッピング名を設定した場合は、その名前。 |
|
インターフェイスが IP アドレスを受信したときの方法。値には、次のものがあります。 • |
関連コマンド
|
|
|
|---|---|
show ip address dhcp
インターフェイスの DHCP リースまたは DHCP サーバに関する詳細情報を表示するには、特権 EXEC モードで show ip address dhcp コマンドを使用します。
show ip address { physical_interface [ . subinterface ] | mapped_name | interface_name } dhcp { lease | server }
シンタックスの説明
マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。 |
|
インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、新しいサーバ機能に対応するための lease キーワードと server キーワードを含むように変更されました。 |
使用上のガイドライン
例
次に、 show ip address dhcp lease コマンドの出力例を示します。
次に、 show ip address dhcp server コマンドの出力例を示します。
|
|
|
|---|---|
このインターフェイスがリースを取得した DHCP サーバのアドレス。最初のエントリ(「ANY」)はデフォルト サーバで、常に表示されます。 |
|
サーバから取得したリースの数。インターフェイスの場合、リースの数は通常は 1 です。VPN のプロキシとして動作しているインターフェイスに対してサーバがアドレスを提供している場合は、リースが複数になります。 |
|
関連コマンド
|
|
|
|---|---|
show ip audit count
インターフェイスに監査ポリシーを適用した場合に、一致したシグニチャの数を表示するには、特権 EXEC モードで show ip audit count コマンドを使用します。
show ip audit count [ global | interface interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
監査ポリシーを作成するには ip audit name コマンドを使用し、ポリシーを適用するには ip audit interface コマンドを使用します。
例
次に、 show ip audit count コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
show ip verify statistics
Unicast RPF 機能によってドロップされたパケットの数を表示するには、特権 EXEC モードで show ip verify statistics コマンドを使用します。Unicast RPF をイネーブルにするには、 ip verify reverse-path コマンドを使用します。
show ip verify statistics [interface interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ip verify statistics コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
Unicast Reverse Path Forwarding 機能をイネーブルにして IP スプーフィングを防止します。 |
|
show ipsec sa
IPSec SA のリストを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show ipsec sa コマンドを使用します。このコマンドの別の形式である、 show crypto ipsec sa を使用することもできます。
show ipsec sa [ entry | identity | map map-name | peer peer-addr ] [ detail ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、IPSec SA を表示しています。
グローバル コンフィギュレーション モードで入力した次の例では、def という暗号マップの IPSec SA を表示しています。
グローバル コンフィギュレーション モードで入力した次の例では、キーワード entry を指定して IPSec SA を表示しています。
グローバル コンフィギュレーション モードで入力した次の例では、キーワード entry detail を指定して IPSec SA を表示しています。
次の例では、キーワード identity を指定して IPSec SA を表示しています。
次の例では、キーワード identity と detail を指定して IPSec SA を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show ipsec sa summary
IPSec SA の要約を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show ipsec sa summary コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、次の接続タイプごとに IPSec SA の要約を表示しています。
関連コマンド
|
|
|
|---|---|
show ipsec stats
一連の IPSec 統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show ipsec stats コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、IPSec 統計情報を表示しています。
関連コマンド
|
|
|
|---|---|
show ipv6 access-list
IPv6 アクセスリストを表示するには、特権 EXEC モードで show ipv6 access-list コマンドを使用します。IPv6 アクセスリストは、どの IPv6 トラフィックがセキュリティ アプライアンスを通過できるかを規定するものです。
show ipv6 access-list [ id [ source-ipv6-prefix / prefix-length | any | host source-ipv6-address ]]
シンタックスの説明
(オプション)特定のホストの IPv6 アドレス。指定した場合は、指定したホストに関するアクセス規則のみが表示されます。 |
|
(オプション)IPv6 ネットワーク アドレスとプレフィックス。指定した場合は、指定した IPv6 ネットワークに関するアクセス規則のみが表示されます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show ipv6 access-list コマンドは、IPv6 固有のものであることを除けば、 show ip access-list コマンドと同様の出力を提供します。
例
次に、 show ipv6 access-list コマンドの出力例を示します。inbound、tcptraffic、および outbound という名前の IPv6 アクセスリストが表示されています。
関連コマンド
|
|
|
|---|---|
show ipv6 interface
IPv6 用に設定されているインターフェイスのステータスを表示するには、特権 EXEC モードで show ipv6 interface コマンドを使用します。
show ipv6 interface [ brief ] [ if_name [ prefix ]]
シンタックスの説明
(オプション) nameif コマンドによって指定される内部インターフェイス名または外部インターフェイス名。指定したインターフェイスについてのみ、ステータスとコンフィギュレーションが表示されます。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show ipv6 interface コマンドは、IPv6 固有のものであることを除けば、 show interface コマンドと同様の出力を提供します。インターフェイス ハードウェアが使用可能な場合、そのインターフェイスは up とマークされます。インターフェイスが双方向通信を提供できる場合、回線プロトコルは up とマークされます。
インターフェイス名を指定しない場合は、すべての IPv6 インターフェイスに関する情報が表示されます。インターフェイス名を指定すると、指定したインターフェイスに関する情報が表示されます。
例
次に、 show ipv6 interface コマンドの出力例を示します。
次に、 brief キーワードを指定して入力した show ipv6 interface コマンドの出力例を示します。
次に、 show ipv6 interface コマンドの出力例を示します。アドレスからプレフィックスを生成したインターフェイスの特性が表示されています。
show ipv6 neighbor
IPv6 近隣探索キャッシュ情報を表示するには、特権 EXEC モードで show ipv6 neighbor コマンドを使用します。
show ipv6 neighbor [ if_name | address ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
次に、 show ipv6 neighbor コマンドによって提供される情報を示します。
• IPv6 Address :ネイバーまたはインターフェイスの IPv6 アドレス。
• Age :アドレスが到達可能と確認された時点からの経過時間(分単位)。ハイフン(-)は、スタティック エントリであることを示します。
• Link-layer Addr : MAC アドレス。アドレスが不明な場合は、ハイフン(-)が表示されます。
(注) 到達可能性の検出は、IPv6 近隣探索キャッシュのスタティック エントリには適用されません。したがって、INCMP(不完全)状態と REACH(到達可能)状態の説明は、ダイナミック キャッシュ エントリとスタティック キャッシュ エントリで異なります。
次に、IPv6 近隣探索キャッシュのダイナミック エントリについて表示される可能性のある状態を示します。
– INCMP :(不完全)このエントリのアドレス解決を実行中です。ネイバー送信要求メッセージがターゲットの送信要求ノード マルチキャスト アドレスに送信されましたが、対応するネイバー アドバタイズメント メッセージをまだ受信していません。
– REACH :(到達可能)ネイバーへの転送パスが正常に機能していることを示す肯定確認が、直近の ReachableTime ミリ秒以内に受信されました。 REACH 状態になっている間は、パケットが送信されるときにデバイスは特に操作を実行しません。
– STALE :転送パスが正常に機能していることを示す最後の肯定確認を受信してから、ReachableTime ミリ秒を超える時間が経過しました。 STALE 状態になっている間は、パケットが送信されるまで、デバイスは操作を一切実行しません。
– DELAY :転送パスが正常に機能していることを示す最後の肯定確認を受信してから、ReachableTime ミリ秒を超える時間が経過しました。パケットは、直近の
DELAY_FIRST_PROBE_TIME 秒以内に送信されました。 DELAY 状態に入ってから
DELAY_FIRST_PROBE_TIME 秒以内に到達可能性確認が受信されない場合は、ネイバー送信要求メッセージが送信され、状態が PROBE に変更されます。
– PROBE :到達可能性確認が受信されるまで、RetransTime ミリ秒ごとにネイバー送信要求メッセージを再送信して、到達可能性確認を要求し続けます。
次に、IPv6 近隣探索キャッシュのスタティック エントリについて表示される可能性のある状態を示します。
– INCMP :(不完全)このエントリのインターフェイスはダウンしています。
例
次に、インターフェイスを指定して入力した show ipv6 neighbor コマンドの出力例を示します。
次に、IPv6 アドレスを指定して入力した show ipv6 neighbor コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ipv6 route
IPv6 ルーティング テーブルの内容を表示するには、特権 EXEC モードで show ipv6 route コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show ipv6 route コマンドは、情報が IPv6 固有のものであることを除けば、 show route コマンドと同様の出力を提供します。
次に、IPv6 ルーティング テーブルに表示される情報を示します。
• Codes :ルートを生成したプロトコルを示します。表示される値は次のとおりです。
– I1 : ISIS L1:統合 IS-IS Level 1 生成
– I2 : ISIS L2:統合 IS-IS Level 2 生成
– IA : ISIS エリア間:統合 IS-IS エリア間生成
• fe80::/10 : リモート ネットワークの IPv6 プレフィックスを示します。
• [0/0] : カッコ内の最初の数値は、情報ソースの管理ディスタンスです。2 番目の数値はルートのメトリックです。
例
次に、 show ipv6 route コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
IPv6 のルーティング テーブル アップデートおよびルート キャッシュ アップデートに関するデバッグ情報を表示します。 |
|
show ipv6 routers
オンリンク ルータから受信した IPv6 ルータ アドバタイズメント情報を表示するには、特権 EXEC モードで show ipv6 routers コマンドを使用します。
シンタックスの説明
(オプション)情報を表示する対象となる、 nameif コマンドによって指定される内部インターフェイス名または外部インターフェイス名。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス名を指定しない場合は、すべての IPv6 インターフェイスに関する情報が表示されます。インターフェイス名を指定すると、指定したインターフェイスに関する情報が表示されます。
例
次に、インターフェイス名を指定せずに入力した show ipv6 routers コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ipv6 traffic
IPv6 トラフィックに関する統計情報を表示するには、特権 EXEC モードで show ipv6 traffic コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show ipv6 traffic コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show isakmp sa
IKE ランタイム SA データベースを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show isakmp sa コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
グローバル コンフィギュレーション モードで入力した次の例では、SA データベースに関する詳細な情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show isakmp stats
実行時の統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show isakmp stats コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
グローバル コンフィギュレーション モードで発行した次の例では、ISAKMP 統計情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show local-host
ローカル ホストのネットワーク状態を表示するには、特権 EXEC モードで show local-host コマンドを使用します。
show local-host [ ip_address ] [ detail ] [ all ]
シンタックスの説明
(オプション)ローカル ホスト状態のホストが作成した接続のリストを含めることを指定します。セキュリティ アプライアンスに向かう接続、およびセキュリティ アプライアンスからの接続が含まれます。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show local-host コマンドを使用すると、ローカル ホストのネットワーク状態を表示できます。ローカル ホストは、トラフィックをセキュリティ アプライアンスに転送するか、セキュリティ アプライアンスを通じて転送するすべてのホストに対して作成されます。
このコマンドを使用すると、ローカル ホストの変換スロットと接続スロットを表示したり、これらのホスト上のすべてのトラフィックを停止したりできます。また、標準の変換状態および接続状態が適用されない場合、 nat 0 access-list コマンドで設定されたホストの情報を提供します。
show local-host detail コマンドは、アクティブな xlate とネットワーク接続に関する詳細情報を表示します。
1 つのホストの情報だけを表示するには、 ip_address 引数を使用します。
ローカル ホストが作成した接続を一覧表示するには、 all キーワードを使用します。セキュリティ アプライアンスに向かう接続、およびセキュリティ アプライアンスからの接続が含まれます。 all キーワードを使用しない場合、セキュリティ アプライアンスに向かうローカル ホスト接続、およびセキュリティ アプライアンスからのローカル ホスト接続は表示されません。
このコマンドは、接続制限値を表示します。接続制限を設定していない場合、この値には 0 が表示され、制限は適用されません。
TCP 代行受信を設定した場合は、SYN 攻撃が発生すると、代行受信された接続の数が show local-host コマンドの出力の使用状況カウントに含まれます。このフィールドには、通常は完全にオープンな接続のみが表示されます。
show local-host コマンドの出力で TCP embryonic count to host counter が使用されるのは、スタティック接続を使用するホストに対して最大初期接続数の制限(TCP 代行受信の水準点)を設定した場合です。このカウンタは、他のホストからこのホストに向かう初期接続の合計数を示しています。この合計数が設定済みの制限値を超えると、このホストに向かう新しい接続に TCP 代行受信が適用されます。
例
次の例は、ローカル ホストのネットワーク状態を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show logging
バッファに保持されているログ、またはその他のロギング設定を表示するには、 show logging コマンドを使用します。
show logging [ message [ syslog_id | all ] | asdm | queue | setting ]
シンタックスの説明
(オプション)デフォルト以外のレベルのメッセージを表示します。メッセージ レベルを設定するには、 logging message コマンドを参照してください。 |
|
(オプション)イネーブルまたはディセーブルのどちらになっているかを含めて、すべての syslog メッセージ ID を表示します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging buffered コマンドを使用している場合は、キーワードを指定せずに show logging コマンドを実行すると、現在のメッセージ バッファと設定が表示されます。
例
次に、 show logging コマンドの出力例を示します。
次に、 show logging message all コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show logging rate-limit
禁止されたメッセージを元の設定で表示するには、 show logging rate-limit コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、禁止されたメッセージを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show mac-address-table
MAC アドレス テーブルを表示するには、特権 EXEC モードで show mac-address-table コマンドを使用します。
show mac-address-table [ interface_name | count | static ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show mac-address-table コマンドの出力例を示します。
次に、inside というインターフェイスに関する show mac-address-table コマンドの出力例を示します。
次に、 show mac-address-table count コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show management-access
管理アクセス用に設定されている内部インターフェイスの名前を表示するには、特権 EXEC モードで show management-access コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
management-access コマンドを使用すると、 mgmt_if で指定したファイアウォール インターフェイスの IP アドレスを使用して、内部管理インターフェイスを定義できます(インターフェイス名は、 nameif コマンドで定義します。 show interface コマンドの出力では、二重引用符(")で囲まれて表示されます)。
例
次の例は、「inside」という名前のファイアウォール インターフェイスを管理アクセス インターフェイスとして設定し、結果を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show memory
物理メモリの最大量とオペレーティング システムで現在使用可能な空きメモリ量について、要約を表示するには、特権 EXEC モードで show memory コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show memory コマンドを使用すると、オペレーティング システムで使用できる最大物理メモリと現在の空きメモリの要約を表示することができます。メモリは、必要に応じて割り当てられます。
show memory detail コマンドの出力を show memory binsize コマンドで利用すると、メモリ リークをデバッグすることができます。
例
次の例は、使用できる最大物理メモリと現在の空きメモリの要約を表示する方法を示しています。
Free memory: 845044716 bytes (79%)
Used memory: 228697108 bytes (21%)
------------- ----------------
Total memory: 1073741824 bytes (100%)
Free memory: 15958088 bytes (24%)
Used memory:
Allocated memory in use: 29680332 bytes (44%)
Reserved memory: 21470444 bytes (32%)
----------------------------- ----------------
Total memory: 67108864 bytes (100%)
Least free memory: 4551716 bytes ( 7%)
Most used memory: 62557148 bytes (93%)
----- fragmented memory statistics -----
fragment size count total
(bytes) (bytes)
---------------- ---------- --------------
16 8 128
24 4 96
32 2 64
40 5 200
64 3 192
88 1 88
168 1 168
224 1 224
256 1 256
296 2 592
392 1 392
400 1 400
1816 1 1816*
4435968 1 4435968**
11517504 1 11517504
* - top most releasable chunk.
** - contiguous memory on top of heap.
----- allocated memory statistics -----
fragment size count total
(bytes) (bytes)
---------------- ---------- --------------
40 50 2000
48 144 6912
56 24957 1397592
64 101 6464
72 99 7128
80 1032 82560
88 18 1584
96 64 6144
104 57 5928
112 6 672
120 112 13440
128 15 1920
136 87 11832
144 22 3168
160 90 14400
168 65 10920
176 74 13024
184 11 2024
192 8 1536
200 1 200
<以下省略>
関連コマンド
|
|
|
|---|---|
show memory binsize
特定のバイナリ サイズに割り当てられているチャンクの要約情報を表示するには、特権 EXEC モードで show memory binsize コマンドを使用します。
シンタックスの説明
(オプション)特定のバイナリ サイズのチャンク(メモリ ブロック)を表示します。バイナリ サイズは、 show memory detail コマンドの出力の「fragment size」カラムに示されます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、バイナリ サイズ 500 が割り当てられているチャンクに関する要約情報を表示しています。
関連コマンド
|
|
|
|---|---|
show memory profile
セキュリティ アプライアンスのメモリ使用状況(プロファイリング)に関する情報を表示するには、特権 EXEC モードで show memory profile コマンドを使用します。
show memory profile [peak ] [ detail | collated | status ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show memory profile コマンドは、メモリ使用状況レベルとメモリ リークをトラブルシューティングするために使用します。プロファイル バッファの内容は、プロファイリングを停止した場合でもまだ参照できます。プロファイリングを開始すると、バッファは自動的に消去されます。
(注) メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。
例
Total = 0
次に示す show memory profile detail コマンドの出力は、6 つのデータ カラムと 1 つのヘッダー カラムに区分され、左揃えで表示されています。ヘッダー カラムには、先頭のデータ カラムのメモリ バケットのアドレスが表示されます(16 進値)。データ自体は、バケット アドレスにあるテキストまたはコードが保持しているバイト数です。データ カラム内のピリオド(.)は、このバケットのテキストによってメモリが保持されていないことを意味します。行内の他のカラムは、前のカラムから増分値に従って増分したバケット アドレスを表しています。たとえば、最初の行の先頭のデータ カラムのアドレス バケットは 0x001069e0 です。最初の行の 2 番目のデータ カラムのアドレス バケットは 0x001069e4 で、以降も同様に増分していきます。通常は、ヘッダー カラムにあるアドレスが次のバケット アドレスです。これは、前の行の最後のデータ カラムのアドレスに増分値を加算したものです。使用状況を含んでいない行は、一切表示されません。このような非表示になる行が、複数連続していることもあります。この場合は、ヘッダー カラムに 3 個のピリオド(...)で示されます。
Total = 48941152
...
0x001069e0 . 24462 . . . .
...
0x00106d88 . 1865870 . . . .
...
0x0010adf0 . 7788 . . . .
...
0x00113640 . . . . 433152 .
...
0x00116790 2480 . . . . .
<省略>
Total = 48941152
24462 0x001069e4
1865870 0x00106d8c
7788 0x0010adf4
433152 0x00113650
2480 0x00116790
<省略>
Total = 102400
次の例では、ピーク キャプチャ バッファ、および当該バケット アドレスにあるテキストまたはコードが保持しているバイト数を表示しています。
Total = 102400
...
0x00404c8c . . 102400 . . .
次の例では、メモリ プロファイリングの現在の状態とピーク キャプチャ バッファを表示しています。
Peak profiling: OFF
Memory used by profile buffers: 11518860 bytes
Profile:
0x00100020-0x00bfc3a8(00000004)
関連コマンド
|
|
|
|---|---|
show memory-caller address
セキュリティ アプライアンス上に設定されているアドレス範囲を表示するには、特権 EXEC モードで show memory-caller address コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show memory-caller address コマンドを使用してアドレス範囲を表示するには、 memory caller-address コマンドを使用して、アドレス範囲をあらかじめ設定しておく必要があります。
例
次の例は、 memory caller-address コマンドで設定したアドレス範囲、および show memory-caller address コマンドによる表示結果を示しています。
hostname# memory caller-address 0x009b0ef0 0x009b0f14
hostname# memory caller-address 0x00cf211c 0x00cf4464
pc = 0x00109d5c-0x00109e08
pc = 0x009b0ef0-0x009b0f14
pc = 0x00cf211c-0x00cf4464
アドレス範囲を設定する前に show memory-caller addresss コマンドを入力した場合、アドレスは表示されません。
関連コマンド
|
|
|
|---|---|
show mfib
転送する側のエントリおよびインターフェイスに関する MFIB を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib コマンドを使用します。
show mfib [ group [ source ]] [ verbose ]
シンタックスの説明
(オプション)マルチキャスト ルート送信元の IP アドレス。これは、4 分割ドット 10 進表記のユニキャスト IP アドレスです。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show mfib active
アクティブなマルチキャスト送信元を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib active コマンドを使用します。
show mfib [ group ] active [ kbps ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show mfib active コマンドの出力では、PPS のレートに正または負の数値が表示されます。セキュリティ アプライアンスが負の数値を表示するのは、RPF パケットが失敗した場合か、ルータが発信インターフェイス(OIF)リストを使用して RPF パケットを監視している場合です。このような現象が発生している場合は、マルチキャスト ルーティングに問題がある可能性があります。
例
次に、 show mfib active コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mfib count
MFIB ルートおよびパケットの数に関するデータを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib count コマンドを使用します。
show mfib [ group [ source ]] count
シンタックスの説明
(オプション)マルチキャスト ルート送信元の IP アドレス。これは、4 分割ドット 10 進表記のユニキャスト IP アドレスです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show mfib count コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mfib interface
MFIB プロセスに関係しているインターフェイスのパケット統計情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib interface コマンドを使用します。
show mfib interface [ interface ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show mfib interface コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mfib reserved
予約済みグループを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib reserved コマンドを使用します。
show mfib reserved [ count | verbose | active [ kpbs ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show mfib reserved コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mfib status
MFIB の全般的なコンフィギュレーションと動作ステータスを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib status コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show mfib status コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mfib summary
MFIB のエントリおよびインターフェイスの数に関する要約情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib summary コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show mfib summary コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mfib verbose
転送する側のエントリおよびインターフェイスに関する詳細情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mfib verbose コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show mfib verbose コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mgcp
MGCP のコンフィギュレーションとセッション情報を表示するには、特権 EXEC モードで show mgcp コマンドを使用します。
show mgcp { commands | sessions } [ detail ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show mgcp commands コマンドは、コマンド キュー内の MGCP コマンド数を表示します。 show mgcp sessions コマンドは、既存の MGCP セッション数を表示します。 detail オプションは、各コマンド(またはセッション)に関する追加情報を出力に含めます。
例
次に、 show mgcp コマンド オプションの例を示します。
関連コマンド
|
|
|
|---|---|
show mode
実行中のソフトウェア イメージおよびフラッシュ メモリに保持されている任意のイメージについて、セキュリティ コンテキスト モードを表示するには、特権 EXEC モードで show mode コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show mode コマンドの出力例を示します。ここでは、現在のモード、および実行されていないイメージ「image.bin」のモードを表示しています。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
show module
ASA 5500 シリーズ適応型セキュリティ アプライアンス上の SSM に関する情報をシステム情報とともに表示するには、ユーザ EXEC モードで show module コマンドを使用します。
show module [ slot [ details ] | all | 1 recover ]]
シンタックスの説明
(オプション)インテリジェント SSM(AIP SSM など)のリモート管理コンフィギュレーションを含めて、詳細な情報を表示します。 |
|
(オプション)インテリジェント SSM について、 hw-module module recover コマンドの設定を表示します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show module コマンドの出力例を示します。スロット 0 はシステムで、スロット 1 は SSM です。
次に、 show module details コマンドの出力例を示します。
表 7-23 に、各フィールドの説明を示します。 show module コマンドでも表示されるフィールドについては、 表 7-22 を参照してください。
|
|
|
|---|---|
インテリジェント SSM について、SSM の管理インターフェイスへの接続でトランスポート レイヤ セキュリティがイネーブルになっているかどうかを表示します(true または false)。 |
次に、 show module recover コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mrib client
MRIB クライアント接続に関する情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mrib client コマンドを使用します。
show mrib client [ filter ] [ name client_name ]
シンタックスの説明
(オプション)クライアント フィルタを表示します。各クライアントの所有する MRIB フラグ、および各クライアントと関連のあるフラグに関する情報を表示するために使用します。 |
|
(オプション)MRIB のクライアントとして機能する、PIM や IGMP などのマルチキャスト ルーティング プロトコルの名前。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
filter オプションは、さまざまな MRIB クライアントが登録した、ルートおよびインターフェイス レベルのフラグの変化を表示するために使用します。このコマンド オプションを指定すると、どのフラグが MRIB クライアントによって所有されているかも表示されます。
例
次に、 filter キーワードを使用した show mrib client コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mrib route
MRIB テーブルに含まれているエントリを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show mrib route コマンドを使用します。
show mrib route [[ source | * ] [ group [/ prefix-length ]]]
シンタックスの説明
(オプション)MRIB ルートのプレフィックスの長さ。アドレスの上位連続ビットの数を示す 10 進値がプレフィックスになります(アドレスのネットワーク部分)。10 進値の前にスラッシュを付ける必要があります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
MFIB テーブルは、MRIB からアップデートされるエントリとフラグのサブセットを管理します。フラグは、マルチキャスト パケットに関する一連の転送規則に従って、転送とシグナリングの動作を決定するものです。
インターフェイスとフラグのリストに加えて、ルート エントリごとにさまざまなカウンタも表示されます。バイト数は、転送された総バイト数です。パケット数は、このエントリで受信したパケットの数です。 show mfib count コマンドは、ルートとは無関係にグローバルなカウンタを表示します。
例
次に、 show mrib route コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show mroute
IPv4 マルチキャスト ルーティング テーブルを表示するには、特権 EXEC モードで show mroute コマンドを使用します。
show mroute [ group [ source ] | reserved ] [ active [ rate ] | count | pruned | summary ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show mroute コマンドは、マルチキャスト ルーティング テーブルの内容を表示します。セキュリティ アプライアンスは、PIM プロトコル メッセージ、IGMP レポート、およびトラフィックに基づいて (S,G) エントリと (*,G) エントリを作成し、マルチキャスト ルーティング テーブルにデータを入力します。アスタリスク(*)はすべての送信元アドレス、「S」は単一の送信元アドレス、「G」は宛先マルチキャスト グループ アドレスを意味します。(S,G) エントリを作成する場合、ソフトウェアはユニキャスト ルーティング テーブル内で(RPF を経由して)見つかった該当する宛先グループへの最適パスを使用します。
実行コンフィギュレーションに含まれている mroute コマンドを表示するには、 show running-config mroute コマンドを使用します。
例
次に、 show mroute コマンドの出力例を示します。
show mroute の出力には、次のフィールドが含まれています。
– D(Dense) :エントリは稠密モードで動作しています。
– S(Sparse) :エントリは希薄モードで動作しています。
– B:(Bidir Group) :マルチキャスト グループが双方向モードで動作していることを示します。
– s(SSM Group) :マルチキャスト グループが SSM の IP アドレス範囲に入っていることを示します。このフラグは、SSM の範囲が変更されるとリセットされます。
– C(Connected) :マルチキャスト グループのメンバーは、直接接続されたインターフェイス上に存在します。
– L(Local) :セキュリティ アプライアンス自体が、マルチキャスト グループのメンバーです。グループは、(設定済みのグループに対する) igmp join-group コマンドによってローカルに加入されています。
– I(Received Source Specific Host Report) :(S,G) エントリが (S,G) レポートによって作成されたことを示します。この (S,G) レポートは IGMP によって作成された可能性があります。このフラグが設定されるのは、DR に対してのみです。
– P(Pruned) :ルートがプルーニングされています。ソフトウェアは、この情報を保持して、ダウンストリーム メンバーが送信元に加入できるようにします。
– R(RP-bit set) :(S,G) エントリが RP をポイントしていることを示します。
– F(Register flag) :ソフトウェアがマルチキャスト送信元に登録されていることを示します。
– T(SPT-bit set) :パケットが最短パス送信元ツリーで受信されていることを示します。
– J(Join SPT) :(*,G) エントリの場合、共有ツリーの下方向に流れるトラフィックの速度が、グループの SPT しきい値設定を超えていることを示します(デフォルトの SPT しきい値設定は 0 Kbps です)。J - Join 最短パス ツリー(SPT)フラグが設定されている場合に、共有ツリーの下流で次の (S,G) パケットが受信されると、送信元の方向に (S,G) join メッセージがトリガーされます。これにより、セキュリティ アプライアンスは送信元ツリーに加入します。
(S,G) エントリの場合、グループの SPT しきい値を超過したためにエントリが作成されたことを示します。(S,G) エントリに J - Join SPT フラグが設定されている場合、セキュリティ アプライアンスは送信元ツリー上のトラフィック速度をモニタします。送信元ツリーのトラフィック速度がグループの SPT しきい値を下回っている状況が 1 分以上継続した場合、ルータはこの送信元の共有ツリーに再び切り替えようとします。
(注) セキュリティ アプライアンスは共有ツリー上のトラフィック速度を測定し、この速度とグループの SPT しきい値を 1 秒ごとに比較します。トラフィック速度が SPT しきい値を超えた場合は、トラフィック速度の次の測定が行われるまで、(*,G) エントリに J - Join SPT フラグが設定されます。共有ツリーに次のパケットが着信し、新しい測定間隔が開始されると、フラグが解除されます。
グループにデフォルトの SPT しきい値(0 Kbps)が使用されている場合、(*,G) エントリには常に J - Join SPT フラグが設定され、解除されません。デフォルトの SPT しきい値が使用されている場合に、新しい送信元からトラフィックを受信すると、セキュリティ アプライアンスは最短パス送信元ツリーにただちに切り替えます。
• Timers:Uptime/Expires :Uptime は、エントリが IP マルチキャスト ルーティング テーブルに格納されていた期間(時間、分、秒)をインターフェイスごとに示します。Expires は、IP マルチキャスト ルーティング テーブルからエントリが削除されるまでの期間(時間、分、秒)をインターフェイスごとに示します。
• Interface state :着信インターフェイスまたは発信インターフェイスの状態を示します。
– Interface :着信インターフェイスまたは発信インターフェイスのリストに表示されるインターフェイス名。
–State:アクセスリストまたは Time to Live(TTL)しきい値による制限があるかどうかに応じて、インターフェイス上で転送、プルーニング、ヌル値化のいずれの処理がパケットに対して実行されるかを示します。
• (*, 239.1.1.40) と (* , 239.2.2.1) :IP マルチキャスト ルーティング テーブルのエントリ。エントリは、送信元の IP アドレスと、それに続くマルチキャスト グループの IP アドレスで構成されます。送信元の位置に置かれたアスタリスク(*)は、すべての送信元を意味します。
• RP:RP のアドレス。希薄モードで動作するルータおよびアクセス サーバの場合、このアドレスは常に 224.0.0.0 です。
• Incoming interface :送信元からのマルチキャスト パケットが着信する予定のインターフェイス。パケットがこのインターフェイスに着信しなかった場合、廃棄されます。
関連コマンド
|
|
|
|---|---|
show nameif
nameif コマンドを使用して設定されているインターフェイス名を表示するには、特権 EXEC モードで show nameif コマンドを使用します。
show nameif [ physical_interface [ . subinterface ] | mapped_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードで、 allocate-interface コマンドを使用してインターフェイス ID をマッピングした場合、そのマッピング名はコンテキスト内でのみ指定できます。このコマンドの出力では、Interface カラムにはマッピング名のみが示されます。
例
次に、 show nameif コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ntp associations
NTP アソシエーションの情報を表示するには、ユーザ EXEC モードで show ntp associations コマンドを使用します。
show ntp associations [ detail ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show ntp associations コマンドの出力例を示します。
|
|
|
|---|---|
次に、 show ntp associations detail コマンドの出力例を示します。
|
|
|
|---|---|
• |
|
| • |
|
関連コマンド
|
|
|
|---|---|
show ntp status
各 NTP アソシエーションのステータスを表示するには、ユーザ EXEC モードで show ntp status コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show ntp status コマンドの出力例を示します。
|
|
|
|---|---|
関連コマンド
|
|
|
|---|---|
show ospf
OSPF ルーティング プロセスに関する一般情報を表示するには、特権 EXEC モードで show ospf コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show ospf コマンドの出力例を示します。この例は、特定の OSPF ルーティング プロセスに関する一般情報を表示する方法を示しています。
次の show ospf コマンドの出力例は、すべての OSPF ルーティング プロセスに関する一般情報を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show ospf border-routers
ABR および ASBR に対する内部 OSPF ルーティング テーブル エントリを表示するには、特権 EXEC モードで show ospf border-routers コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ospf border-routers コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ospf database
セキュリティ アプライアンス上の OSPF トポロジ データベースに格納されている情報を表示するには、特権 EXEC モードで show ospf database コマンドを使用します。
show ospf [ pid [ area_id ]] database [ router | network | summary | asbr-summary | external | nssa-external ] [ lsid ] [ internal ] [ self-originat e | adv-router addr ]
show ospf [ pid [ area_id ]] database database-summary
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF ルーティング関連の show コマンドは、セキュリティ アプライアンス上で特権モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF コンフィギュレーション モードである必要はありません。
例
次に、 show ospf database コマンドの出力例を示します。
次に、 show ospf database asbr-summary コマンドの出力例を示します。
次に、 show ospf database router コマンドの出力例を示します。
次に、 show ospf database network コマンドの出力例を示します。
次に、 show ospf database summary コマンドの出力例を示します。
次に、 show ospf database external コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ospf flood-list
インターフェイスを介してフラッドされるのを待機している OSPF LSA のリストを表示するには、特権 EXEC モードで show ospf flood-list コマンドを使用します。
show ospf flood-list interface_name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF ルーティング関連の show コマンドは、セキュリティ アプライアンス上で特権モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF コンフィギュレーション モードである必要はありません。
例
次に、 show ospf flood-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ospf interface
OSPF 関連のインターフェイス情報を表示するには、特権 EXEC モードで show ospf interface コマンドを使用します。
show ospf interface [ interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show ospf interface コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ospf neighbor
インターフェイスごとの OSPF ネイバー情報を表示するには、特権 EXEC モードで show ospf neighbor コマンドを使用します。
show ospf neighbor [ detail | interface_name [ nbr_router_id ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ospf neighbor コマンドの出力例を示します。この例は、インターフェイスごとの OSPF ネイバー情報を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show ospf request-list
ルータによって要求されたすべての LSA のリストを表示するには、特権 EXEC モードで show ospf request-list コマンドを使用します。
show ospf request-list nbr_router_id interface_name
シンタックスの説明
ネイバー情報を表示するインターフェイスの名前。このインターフェイスからルータによって要求されたすべての LSA のリストを表示します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ospf request-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show ospf retransmission-list
再送信されるのを待機しているすべての LSA のリストを表示するには、特権 EXEC モードで show ospf retransmission-list コマンドを使用します。
show ospf retransmission-list nbr_router_id interface_name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF ルーティング関連の show コマンドは、セキュリティ アプライアンス上で特権モードで使用できます。OSPF 関連の show コマンドを使用するには、OSPF コンフィギュレーション モードである必要はありません。
nbr_router_id 引数を指定すると、この隣接ルータの、再送信されるのを待機しているすべての LSA のリストが表示されます。
interface_name 引数を指定すると、このインターフェイスの、再送信されるのを待機しているすべての LSA のリストが表示されます。
例
次に、 show ospf retransmission-list コマンドの出力例を示します。例では、 nbr_router_id 引数は 192.168.1.11 で、 if_name 引数は outside です。
関連コマンド
|
|
|
|---|---|
show ospf summary-address
OSPF プロセスに対して設定されたすべてのサマリー アドレス再配布情報のリストを表示するには、特権 EXEC モードで show ospf summary-address コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ospf summary-address コマンドの出力例を示します。この例は、ID が 5 である OSPF プロセスに対してサマリー アドレスが設定される前に、すべてのサマリー アドレス再配布情報のリストを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show ospf virtual-links
OSPF 仮想リンクのパラメータと現在の状態を表示するには、特権 EXEC モードで show ospf virtual-links コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ospf virtual-links コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show perfmon
セキュリティ アプライアンスのパフォーマンスに関する情報を表示するには、 show perfmon コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの出力は、Telnet コンソール セッションには表示されません。
perfmon コマンドを使用すると、セキュリティ アプライアンスのパフォーマンスを監視できます。show perfmon コマンドを使用すると、すぐに情報を表示できます。
例
次の例は、セキュリティ アプライアンスのパフォーマンスに関する情報を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show pim df
ランデブー ポイント(RP)またはインターフェイスについて、双方向 DF の「勝者」を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim df コマンドを使用します。
show pim df [ winner ] [ rp_address | if_name ]
シンタックスの説明
| • |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show pim df コマンドの出力例を示します。
show pim group-map
グループからプロトコルへのマッピング テーブルを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim group-map コマンドを使用します。
show pim group-map [ info-source ] [ group ]
シンタックスの説明
| • • |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、RP について、グループとプロトコルとのアドレス マッピングをすべて表示します。マッピングは、セキュリティ アプライアンス上でさまざまなクライアントからラーニングされます。
セキュリティ アプライアンスの PIM 実装は、さまざまな特殊エントリをマッピング テーブルで保持しています。Auto-RP グループ範囲は、希薄モード グループ範囲から明確に拒否されます。SSM グループ範囲も希薄モードには入りません。リンク ローカル マルチキャスト グループ(224.0.0.0 ~ 224.0.0.225。224.0.0.0/24 として定義)も、希薄モード グループ範囲から拒否されます。最後のエントリは、所定の RP で希薄モードに入っている残りすべてのグループを示します。
pim rp-address コマンドで複数の RP を設定した場合は、適切なグループ範囲が対応する RP とともに表示されます。
例
次に、 show pim group-map コマンドの出力例を示します。
1 行目と 2 行目で、Auto-RP グループ範囲が希薄モード グループ範囲から明確に拒否されています。
3 行目では、リンク ローカル マルチキャスト グループ(224.0.0.0 ~ 224.0.0.225。224.0.0.0/24 として定義)も希薄モード グループ範囲から拒否されています。
4 行目では、PIM 送信元特定マルチキャスト(PIM-SSM)グループ範囲が 232.0.0.0/8 にマッピングされています。
最後のエントリは、残りすべてのグループが希薄モードに入って、RP 10.10.3.2 にマッピングされたことを示しています。
関連コマンド
|
|
|
|---|---|
show pim interface
PIM に関するインターフェイス固有の情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim interface コマンドを使用します。
show pim interface [ if_name | state-off | state-on ]
シンタックスの説明
(オプション)インターフェイスの名前。この引数を指定すると、表示される情報は指定したインターフェイスに関するものだけになります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスの PIM 実装は、セキュリティ アプライアンス自体を PIM ネイバーと見なします。したがって、このコマンドの出力にあるネイバー数カラムでは、ネイバー数が実際の数よりも 1 つ多く表示されます。
例
次の例では、内部インターフェイスに関する PIM 情報を表示しています。
関連コマンド
|
|
|
|---|---|
show pim join-prune statistic
PIM の加入とプルーニングに関する集約的な統計情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim join-prune statistics コマンドを使用します。
show pim join-prune statistics [ if_name ]
シンタックスの説明
(オプション)インターフェイスの名前。この引数を指定すると、表示される情報は指定したインターフェイスに関するものだけになります。 |
デフォルト
インターフェイスを指定しない場合は、すべてのインターフェイスについて、加入とプルーニングに関する統計情報が表示されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PIM の加入とプルーニングに関する統計情報を消去するには、 clear pim counters コマンドを使用します。
例
次に、 show pim join-prune statistic コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show pim neighbor
PIM ネイバー テーブルに含まれているエントリを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim neighbor コマンドを使用します。
show pim neighbor [ count | detail ] [ interface ]
シンタックスの説明
(オプション)インターフェイスの名前。この引数を指定すると、表示される情報は指定したインターフェイスに関するものだけになります。 |
|
(オプション)upstream-detection hello オプションを通じてラーニングした、ネイバーの追加アドレスを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、このルータが PIM の hello メッセージを通じてラーニングした PIM ネイバーを特定するために使用します。また、このコマンドは、インターフェイスが指定ルータ(DR)であること、およびネイバーで双方向処理が可能になるタイミングも示します。
セキュリティ アプライアンスの PIM 実装は、セキュリティ アプライアンス自体を PIM ネイバーと見なします。したがって、セキュリティ アプライアンス インターフェイスがこのコマンドの出力に表示されます。セキュリティ アプライアンスの IP アドレスは、アドレスの次にアスタリスク(*)を付けて示されています。
例
次に、 show pim neighbor コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show pim range-list
PIM の範囲リストの情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim range-list コマンドを使用します。
show pim range-list [ rp_address ]
シンタックスの説明
| • |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、マルチキャスト転送モードからグループへのマッピングを特定するために使用します。出力には、この範囲のランデブー ポイント(RP)のアドレスも示されます(該当する場合)。
例
次に、 show pim range-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show pim topology
PIM トポロジ テーブルの情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim topology コマンドを使用します。
show pim topology [ group ] [ source ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PIM トポロジ テーブルは、所定のグループのさまざまなエントリ、(*,G)、(S,G)、(S,G)RPT をそれぞれのインターフェイス リストとともに表示するために使用します。
PIM は、これらのエントリの内容を MRIB を通じてやり取りします。MRIB は、PIM などのマルチキャスト ルーティング プロトコルと、インターネット グループ管理プロトコル(IGMP)などのローカル メンバーシップ プロトコルとの通信における仲介手段であり、システムのマルチキャスト転送エンジンです。
MRIB は、所定の (S,G) エントリについて、どのインターフェイスでデータ パケットを受け取る必要があるか、どのインターフェイスでデータ パケットを転送する必要があるかを示します。また、転送時にはマルチキャスト転送情報ベース(MFIB)テーブルを使用して、パケットごとの転送アクションを決定します。
(注) 転送情報を表示するには、show mfib route コマンドを使用します。
例
次に、 show pim topology コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show pim topology reserved
予約済みグループに関する PIM トポロジ テーブルの情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim topology reserved コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show pim topology route-count
PIM トポロジ テーブルのエントリの数を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim topology route-count コマンドを使用します。
show pim topology route-count [ detail ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、PIM トポロジ テーブルに保持されているエントリの数を表示します。エントリに関する詳細な情報を表示するには、 show pim topology コマンドを使用します。
例
次に、 show pim topology route-count コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show pim traffic
PIM トラフィックのカウンタを表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim traffic コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show pim traffic コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show pim tunnel
PIM トンネル インターフェイスに関する情報を表示するには、ユーザ EXEC モードまたは特権 EXEC モードで show pim tunnels コマンドを使用します。
シンタックスの説明
(オプション)インターフェイスの名前。この引数を指定すると、表示される情報は指定したインターフェイスに関するものだけになります。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PIM レジスタ パケットは、仮想カプセル化トンネル インターフェイスを経由して、送信元の最初のホップ DR ルータから RP に送信されます。RP では、仮想カプセル化解除トンネルを使用して、PIM レジスタ パケットの受信インターフェイスを表現します。このコマンドは、両方のタイプのインターフェイスについてトンネル情報を表示します。
レジスタ トンネルは、(PIM レジスタ メッセージ内に)カプセル化された、送信元からのマルチキャスト パケットです。送信元は、共有ツリーを経由して、配布のために RP に送信されます。登録が適用されるのは、SM に対してのみです。SSM および 双方向 PIM には適用されません。
例
次に、 show pim tunnel コマンドの出力例を示します。
show priority-queue statistics
インターフェイスのプライオリティキューに関する統計情報を表示するには、特権 EXEC モードで show priority-queue statistics コマンドを使用します。
show priority-queue statistics [ interface-name ]
シンタックスの説明
デフォルト
インターフェイス名を省略した場合は、すべての設定済みインターフェイスについてプライオリティキュー統計情報が表示されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、test というインターフェイスについて show priority-queue statistics コマンドを使用した場合のコマンド出力を示しています。この出力で、BE はベストエフォート キュー、LLQ は低遅延キューを表しています。
関連コマンド
|
|
|
特定のインターフェイス、またはすべての設定済みインターフェイスに関するプライオリティキュー統計情報のカウンタを消去します。 |
|
show processes
セキュリティ アプライアンス上で動作しているプロセスのリストを表示するには、特権 EXEC モードで show processes コマンドを使用します。
show processes [cpu-hog | memory | internals]
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show processes コマンドを使用すると、セキュリティ アプライアンス上で動作しているプロセスのリストを表示できます。
また、オプションの cpu-hog 引数を指定して実行すると、CPU を使用しているプロセスを特定するのに役立ちます。プロセスには、CPU を占有している期間が 100 ミリ秒を超えている場合、フラグが付けられます。 show process cpu-hog コマンドを実行すると、次のカラムが表示されます。
• MAXHOG:CPU 占有実行の最長期間(ミリ秒単位)。
• LASTHOG:最後の CPU 占有実行の期間(ミリ秒単位)。
プロセスは、数個の命令だけを必要とする軽量スレッドです。リスト内で、PC はプログラム カウンタ、SP はスタック ポインタ、STATE はスレッド キューのアドレス、Runtime はスレッドが実行されている(CPU クロックのサイクルに基づく)時間(ミリ秒)、SBASE はスタックのベース アドレス、Stack はスタックの現在使用されているバイト数と合計サイズであり、Process はスレッドの機能を示します。
オプションの memory 引数を指定すると、各プロセスによって割り当てられたメモリが表示されます。この情報は、プロセスによるメモリ使用状況を追跡するのに役立ちます。
オプションの internals 引数を指定すると、起動されたコールの数とギブアップの数が表示されます。Invoked は、スケジューラがプロセスを起動した(実行した)回数です。Giveups は、プロセスが CPU をスケジューラに返還した回数です。
例
次の例は、セキュリティ アプライアンス上で動作しているプロセスのリストを表示する方法を示しています。
PC SP STATE Runtime SBASE Stack Process
Hsi 00102aa0 0a63f288 0089b068 117460 0a63e2d4 3600/4096 arp_timer
Lsi 00102aa0 0a6423b4 0089b068 10 0a64140c 3824/4096 FragDBGC
Hwe 004257c8 0a7cacd4 0082dfd8 0 0a7c9d1c 3972/4096 udp_timer
Lwe 0011751a 0a7cc438 008ea5d0 20 0a7cb474 3560/4096 dbgtrace
<--- More --->
------------------------------------------------------------
Allocs Allocated Frees Freed Process
(bytes) (bytes)
------------------------------------------------------------
23512 13471545 6 180 *System Main*
0 0 0 0 lu_rx
2 8324 16 19488 vpnlb_thread
(other lines deleted for brevity)
Invoked Giveups Process
1 0 block_diag
19108445 19108445 Dispatch Unit
1 0 CF OIR
1 0 Reload Control Thread
1 0 aaa
2 0 CMGR Server Process
1 0 CMGR Timer Process
2 0 dbgtrace
69 0 557mcfix
19108019 19108018 557poll
2 0 557statspoll
1 0 Chunk Manager
135 0 PIX Garbage Collector
6 0 route_process
1 0 IP Address Assign
1 0 QoS Support Module
1 0 Client Update Task
8973 8968 Checkheaps
6 0 Session Manager
237 235 uauth
(other lines deleted for brevity)
show reload
セキュリティ アプライアンスのリロードのステータスを表示するには、特権 EXEC モードで show reload コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、リロードが 4 月 20 日、日曜日の午前 0 時(夜の 12 時)にスケジューリングされていることを示しています。
関連コマンド
|
|
|
|---|---|
show resource types
セキュリティ アプライアンスが使用状況の追跡対象にしているリソース タイプを表示するには、特権 EXEC モードで show resource types コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show resource usage
セキュリティ アプライアンスまたはマルチ モードの各コンテキストのリソース使用状況を表示するには、特権 EXEC モードで show resource usage コマンドを使用します。
show resource usage [ context context_name | top n | all | summary | system ] [ resource { resource_name | all }] [ counter counter_name [ count_threshold ]]
シンタックスの説明
デフォルト
マルチ コンテキスト モードでは、デフォルト コンテキストは all です。すべてのコンテキストのリソース使用状況が表示されます。シングルモードの場合、コンテキスト名は無視され、出力では「context」は「System」として表示されます。
デフォルトのリソース名は、 all です。すべてのリソース タイプが表示されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show resource usage context コマンドの出力例を示します。この例では、admin コンテキストのリソース使用状況を表示しています。
次に、 show resource usage summary コマンドの出力例を示します。この例では、すべてのコンテキストとすべてのリソースのリソース使用状況が表示されます。ここでは、6 コンテキスト分の制限値が表示されています。
次に、 show resource usage summary コマンドの出力例を示します。この例では、25 コンテキスト分の制限値が表示されています。Telnet 接続と SSH 接続のコンテキスト制限値は 1 コンテキストあたり 5 であるため、合算の制限値は 125 になります。システム制限値は 100 であるため、システム制限値が表示されています。
次に、 show resource usage system コマンドの出力例を示します。この例では、すべてのコンテキストのリソース使用状況が表示されますが、合算のコンテキスト制限値ではなくシステム制限値が表示されています。
関連コマンド
|
|
|
|---|---|
show route
インターフェイスのデフォルト ルートまたはスタティック ルートを表示するには、特権 EXEC モードで show route コマンドを使用します。
show route [ interface_name ip_address netmask gateway_ip ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show run fips
FIPS システムの位置やシステム連絡先などを確認するには、show run fips コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。 |
|
show running-config
セキュリティ アプライアンス上で実行されているコンフィギュレーションを表示するには、特権 EXEC モードで show running-config コマンドを使用します。
show running-config [ all ] [ command ]
シンタックスの説明
デフォルト
引数もキーワードも指定しない場合は、デフォルト以外に設定されているセキュリティ アプライアンス コンフィギュレーション全体が表示されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config コマンドは、セキュリティ アプライアンス上の現在の実行コンフィギュレーションを表示します。
running-config キーワードは、 show running-config コマンド内だけで使用できます。このキーワードを no および clear とともに使用することはできません。また、スタンドアロン コマンドとして使用することもできません。CLI ではサポートされないコマンドとして処理されます。 ? 、 no ? 、または clear ? のいずれかのキーワードを入力した場合、 running-config キーワードはコマンド リストに表示されません。
(注) デバイス マネージャのコマンドを使用してセキュリティ アプライアンスに接続するかセキュリティ アプライアンスを設定した後は、デバイス マネージャのコマンドがコンフィギュレーションに表示されます。
例
次の例は、セキュリティ アプライアンス上で実行されているコンフィギュレーションを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config aaa
実行コンフィギュレーションの AAA コンフィギュレーションを表示するには、特権 EXEC モードで show running-config aaa コマンドを使用します。
show running-config aaa [ accounting | authentication | authorization | mac-exempt | proxy-limit ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config aaa コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config aaa-server
AAA サーバのコンフィギュレーションを表示するには、特権 EXEC モードで show running-config aaa-server コマンドを使用します。
show running-config [ all ] aaa-server [ server-tag ] [ ( interface-name ) ] [ host hostname ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、特定のサーバグループの設定を表示するために使用します。明示的に設定されている値に加えてデフォルト値も表示するには、 all パラメータを使用します。
例
デフォルト AAA サーバグループの実行コンフィギュレーションを表示するには、次のコマンドを使用します。
関連コマンド
|
|
|
|---|---|
show running-config aaa-server host
特定のサーバの AAA サーバ統計情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config aaa-server コマンドを使用します。
show running-config [ all ] aaa-server server-tag [( interface-name )] host hostname
シンタックスの説明
デフォルト
default キーワードを省略すると、明示的に設定されているコンフィギュレーション値のみが表示され、デフォルト値は表示されません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、特定のサーバグループの統計情報を表示するために使用します。明示的に設定されている値に加えてデフォルト値も表示するには、default パラメータを使用します。
例
サーバグループ svrgrp1 の実行コンフィギュレーションを表示するには、次のコマンドを使用します。
関連コマンド
|
|
|
|---|---|
show running-config access-group
アクセス グループの情報を表示するには、特権 EXEC モードで show running-config access-group コマンドを使用します。
show running-config access-group
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config access-group コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config access-list
セキュリティ アプライアンス上で実行されているアクセスリストのコンフィギュレーションを表示するには、特権 EXEC モードで show running-config access-list コマンドを使用します。
show running-config [ default ] access-list [ alert-interval | deny-flow-max ]
show running-config [ default ] access-list id [ saddr_ip ]
シンタックスの説明
syslog メッセージ 106001 を生成する警告間隔を表示します。このメッセージは、システムが拒否フローの最大数に達したことを警告するものです。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config access-list コマンドを使用すると、セキュリティ アプライアンス上の現在のアクセスリスト実行コンフィギュレーションを表示できます。
例
次に、 show running-config access-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
show running-config alias
コンフィギュレーションに含まれている、デュアル NAT コマンドで使用する重複アドレスを表示するには、特権 EXEC モードで show running-config alias コマンドを使用します。
show running-config alias { interface_name }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show running-config arp
arp コマンドで作成し、実行コンフィギュレーションに含まれているスタティック ARP エントリを表示するには、特権 EXEC モードで show running-config arp コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config arp コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config arp timeout
実行コンフィギュレーションの ARP タイムアウト コンフィギュレーションを表示するには、特権 EXEC モードで show running-config arp timeout コマンドを使用します。
show running-config arp timeout
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config arp timeout コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config arp-inspection
実行コンフィギュレーションの ARP 検査コンフィギュレーションを表示するには、特権 EXEC モードで show running-config arp-inspection コマンドを使用します。
show running-config arp-inspection
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config arp-inspection コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config asdm
実行コンフィギュレーションに含まれている asdm コマンドを表示するには、特権 EXEC モードで show running-config asdm コマンドを使用します。
show running-config asdm [ group | location ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show running-config pdm コマンドから |
使用上のガイドライン
asdm コマンドをコンフィギュレーションから削除するには、 clear configure asdm コマンドを使用します。
(注) マルチ コンテキスト モードで動作しているセキュリティ アプライアンスでは、
show running-config asdm group コマンドと show running-config asdm location コマンドを使用できるのはシステム実行スペース内のみです。
例
次に、 show running-config asdm コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config auth-prompt
現在の認証プロンプト チャレンジ テキストを表示するには、グローバル コンフィギュレーション モードで show running-config auth-prompt コマンドを使用します。
show running-config [default] auth-prompt
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config auth-prompt コマンドは、 auth-prompt コマンドで認証プロンプトを設定した後に、現在のプロンプト テキストを表示するために使用します。
例
次に、 show running-config auth-prompt コマンドの出力例を示します。
関連コマンド
show running-config banner
指定したバナー、およびそのバナーに設定されているすべての行を表示するには、特権 EXEC モードで show running-config banner コマンドを使用します。
show running-config banner [ exec | login | motd ]
シンタックスの説明
(オプション)ユーザが Telnet を使用してセキュリティ アプライアンスにアクセスしたときに、パスワード ログイン プロンプトを表示する前にバナーを表示します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config banner コマンドは、キーワードで指定したバナー、およびそのバナーに設定されているすべての行を表示します。キーワードを指定しない場合は、すべてのバナーが表示されます。
例
次の例は、「今日のお知らせ」(motd)バナーを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config class-map
クラスマップ コンフィギュレーションに関する情報を表示するには、特権 EXEC モードで show running-config class-map コマンドを使用します。
show running-config [ all ] class-map [ class_map_name ]
シンタックスの説明
デフォルト
match any コマンドを 1 つだけ含んでいる class-map class-default コマンドが、デフォルトのクラスマップです。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config class-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config clock
実行コンフィギュレーションのクロック コンフィギュレーションを表示するには、特権 EXEC モードで show running-config clock コマンドを使用します。
show running-config [ all ] clock
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
all キーワードを指定した場合は、 clock summer-time コマンドの正確な日時もオフセットのデフォルト設定(オフセットを設定しなかった場合)とともに表示されます。
例
次に、 show running-config clock コマンドの出力例を示します。 clock summer-time コマンドのみ設定されていました。
次に、 show running-config all clock コマンドの出力例を示します。設定されていない clock timezone コマンドについてはデフォルト設定が表示され、 clock summer-time コマンドについては詳細な情報が表示されています。
関連コマンド
|
|
|
|---|---|
show running-config command-alias
設定されているコマンド エイリアスを表示するには、特権 EXEC モードで show running-config command-alias コマンドを使用します。
show running-config [ all ] command-alias
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、デフォルト値を「含めて」、セキュリティ アプライアンス上に設定されているすべてのコマンド エイリアスを表示しています。
次の例では、デフォルト値を「除いて」、セキュリティ アプライアンス上に設定されているすべてのコマンド エイリアスを表示しています。
関連コマンド
|
|
|
|---|---|
show running-config console timeout
コンソール接続のタイムアウト値を表示するには、特権 EXEC モードで show running-config console timeout コマンドを使用します。
show running-config console timeout
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、コンソール接続のタイムアウト設定を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config context
システム実行スペースのコンテキスト コンフィギュレーションを表示するには、特権 EXEC モードで show running-config context コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config context コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
show running-config crypto
IPSec、暗号マップ、ダイナミック暗号マップ、および ISAKMP を含めた暗号コンフィギュレーション全体を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config crypto コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
特権 EXEC モードで入力した次の例では、すべての暗号コンフィギュレーション情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show running-config crypto dynamic-map
ダイナミック暗号マップを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config crypto dynamic-map コマンドを使用します。
show running-config crypto dynamic-map
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、ダイナミック暗号マップに関するすべてのコンフィギュレーション情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show running-config crypto ipsec
IPSec コンフィギュレーション全体を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config crypto ipsec コマンドを使用します。
show running-config crypto ipsec
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、IPSec コンフィギュレーションに関する情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show running-config crypto isakmp
ISAKMP コンフィギュレーション全体を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config crypto isakmp コマンドを使用します。
show running-config crypto isakmp
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、ISAKMP コンフィギュレーションに関する情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show running-config crypto map
すべての暗号マップのすべてのコンフィギュレーションを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config crypto map コマンドを使用します。
show running-config crypto map
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
特権 EXEC モードで入力した次の例では、すべての暗号マップのすべてのコンフィギュレーション情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show running-config dhcpd
DHCP コンフィギュレーションを表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config dhcpd コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show dhcpd コマンドから show running-config dhcpd コマンドに変更されました。 |
使用上のガイドライン
show running-config dhcpd コマンドは、実行コンフィギュレーションに入力されている DHCP のコマンドを表示します。DHCP のバインディング、状態、および統計情報を表示するには、 show dhcpd コマンドを使用します。
例
次に、 show running-config dhcpd コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config dhcprelay
現在の DHCP リレー エージェント コンフィギュレーションを表示するには、特権 EXEC モードで show running-config dhcprelay コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config dhcprelay コマンドは、現在の DHCP リレー エージェント コンフィギュレーションを表示します。DHCP リレー エージェントのパケット統計情報を表示するには、 show dhcprelay statistics コマンドを使用します。
例
次に、 show running-config dhcprelay コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config dns
実行コンフィギュレーションの DNS コンフィギュレーションを表示するには、特権 EXEC モードで show running-config dns コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config dns コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config domain-name
実行コンフィギュレーションのドメイン名コンフィギュレーションを表示するには、特権 EXEC モードで show running-config domain-name コマンドを使用します。
show running-config domain-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config domain-name コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config enable
暗号化されたイネーブル パスワードを表示するには、特権 EXEC モードで show running-config enable コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードは encrypted キーワードとともに表示され、パスワードが暗号化されていることが示されます。
例
次に、 show running-config enable コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config established
確立済みの接続に基づいて許可されている着信接続を表示するには、特権 EXEC モードで show running-config established コマンドを使用します。
show running-config established
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
この例は、確立済みの接続に基づいて許可されている着信接続を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config failover
コンフィギュレーションに含まれている failover コマンドを表示するには、特権 EXEC モードで show running-config failover コマンドを使用します。
show running-config [ all ] failover
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config failover コマンドは、実行コンフィギュレーションに含まれている failover コマンドを表示します。 monitor-interface コマンドおよび join-failover-group コマンドは表示しません。
例
次の例では、フェールオーバーを設定する前のデフォルト フェールオーバー コンフィギュレーションを表示しています。
関連コマンド
|
|
|
|---|---|
show running-config filter
フィルタリング コンフィギュレーションを表示するには、特権 EXEC モードで show running-config filter コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config filter コマンドは、セキュリティ アプライアンスのフィルタリング コンフィギュレーションを表示します。
例
次に、show running-config filter コマンドの出力例を示します。セキュリティ アプライアンスのフィルタリング コンフィギュレーションが表示されています。
この例では、アドレス 10.86.194.170 について、ポート 80 で ActiveX フィルタリングがイネーブルになっています。
関連コマンド
|
|
|
|---|---|
show running-config fips
セキュリティ アプライアンス上で実行されている FIPS コンフィギュレーションを表示するには、show running-config fips コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config fips コマンドを使用すると、現在の実行 FIPS コンフィギュレーションを表示できます。running-config キーワードは、show running-config fips コマンド内だけで使用します。このキーワードを no または clear とともに使用することはできません。また、スタンドアロン コマンドとして使用することもできません。そのような使用方法はサポートされていません。また、?、no ?、または clear ? のいずれかのキーワードを入力した場合、running-config キーワードはコマンド リストに表示されません。
例
関連コマンド
|
|
|
|---|---|
システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。 |
|
show running-config fragment
フラグメント データベースの現在のコンフィギュレーションを表示するには、特権 EXEC モードで show running-config fragment コマンドを使用します。
show running-config fragment [ interface ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config fragment コマンドは、フラグメント データベースの現在のコンフィギュレーションを表示します。インターフェイス名が指定されていれば、指定したインターフェイスに常駐するデータベースの情報だけを表示します。インターフェイス名が指定されていない場合、このコマンドはすべてのインターフェイスに適用されます。
show running-config fragment コマンドは、次の情報を表示するために使用します。
• Size:size キーワードで設定されるパケットの最大数。この値は、インターフェイス上で許容されるフラグメントの最大数です。
• Chain:chain キーワードで設定される 1 つのパケットのフラグメントの最大数。
• Timeout:timeout キーワードで設定される最大秒数。これは、フラグメント化されたパケット全体が到着するのを待つ最大秒数です。タイマーは、パケットの最初のフラグメントが到着すると始動します。指定した秒数以内にパケットのすべてのフラグメントが到着しない場合、それまでに受信したパケット フラグメントはすべて廃棄されます。
例
次の例は、すべてのインターフェイス上のフラグメント データベースの状態を表示する方法を示しています。
次の例は、名前が「outside」で始まるインターフェイス上にあるフラグメント データベースの状態を表示する方法を示しています。
(注) この例では、「outside1」、「outside2」、および「outside3」という名前のインターフェイスが表示されています。
次の例は、「outside1」というインターフェイス上にあるフラグメント データベースについてのみ、状態を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config ftp-map
設定済みの FTP マップを表示するには、特権 EXEC モードで show running-config ftp-map コマンドを使用します。
show running-config ftp-map map_name
シンタックスの説明.
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、show running-config ftp-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config ftp mode
FTP に関して設定されているクライアント モードを表示するには、特権 EXEC モードで
show running-config ftp mode コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config ftp mode コマンドは、FTP サーバにアクセスするときにセキュリティ アプライアンスが使用するクライアント モードを表示します。
例
次に、show running-config ftp-mode コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
イメージ ファイルまたはコンフィギュレーション ファイルを FTP サーバとの間でアップロードまたはダウンロードします。 |
|
show running-config global
コンフィギュレーションに含まれている global コマンドを表示するには、特権 EXEC モードで show running-config global コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config global コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config group-delimiter
トンネルのネゴシエーション中に受信したユーザ名に基づいてグループ名を解析するときに使用する、現在のデリミタを表示するには、グローバル コンフィギュレーション モードで
show running-config group-delimiter コマンドを使用します。
show running-config group-delimiter
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、 show running-config group-delimiter コマンドおよびその出力を示しています。
関連コマンド
|
|
|
グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信したユーザ名からグループ名を解析するときに使用するデリミタを指定します。 |
show running-config group-policy
特定のグループポリシーの実行コンフィギュレーションを表示するには、特権 EXEC モードで show running-config group-policy コマンドを使用するときに、グループポリシーの名前を付加します。すべてのグループポリシーの実行コンフィギュレーションを表示するには、特定のグループポリシーを指定せずにこのコマンドを使用します。表示内容にデフォルト コンフィギュレーションを含めるには、default キーワードを使用します。
show running-config [default] group-policy [ name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、FirstGroup というグループポリシーの実行コンフィギュレーションをデフォルト値を含めて表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config gtp-map
設定済みの GTP マップを表示するには、特権 EXEC モードで show running-config gtp-map コマンドを使用します。
show running-config gtp-map map_name
シンタックスの説明.
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、show running-config gtp-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config http
現在の一連の設定済み http コマンドを表示するには、特権 EXEC モードで show running-config http コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の出力例は、 show running-config http コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバにアクセスするときに通過するセキュリティ アプライアンス インターフェイスを指定します。 |
|
show running-config http-map
設定済みの HTTP マップを表示するには、特権 EXEC モードで show running-config http-map コマンドを使用します。
show running-config http-map map_name
シンタックスの説明.
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、show running-config http-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config icmp
ICMP トラフィックに対して設定されているアクセス規則を表示するには、特権 EXEC モードで show running-config icmp コマンドを使用します。
show running-config icmp map_name
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config icmp コマンドは、ICMP トラフィックに対して設定されているアクセス規則を表示します。
例
次に、show running-config icmp コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config imap4s
IMAP4S の実行コンフィギュレーションを表示するには、特権 EXEC モードで show running-config imap4s コマンドを使用します。
show running-config [all] imap4s
シンタックスの説明
デフォルト
コマンド履歴
|
|
|
|---|---|
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
例
次に、 show running-config imap4s コマンドの出力例を示します。
hostname# show running-config imap4s
hostname# show running-config all imap4s
関連コマンド
|
|
|
|---|---|
show running-config interface
実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示するには、特権 EXEC モードで show running-config interface コマンドを使用します。
show running-config [ all ] interface [ physical_interface [ . subinterface ] | mapped_name | interface_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。 |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス名をシステム実行スペースで使用することはできません。これは、 nameif コマンドはコンテキスト内でのみ使用できるためです。同様に、 allocate-interface コマンドを使用してインターフェイス ID をマッピング名にマッピングした場合、そのマッピング名はコンテキスト内でのみ使用できます。
例
次に、 show running-config interface コマンドの出力例を示します。この例では、すべてのインターフェイスの実行コンフィギュレーションを表示しています。GigabitEthernet0/2 インターフェイスと GigabitEthernet0/3 インターフェイスはまだ設定されていないため、デフォルトのコンフィギュレーションが表示されます。Management0/0 インターフェイスについても、デフォルトの設定が表示されています。
関連コマンド
|
|
|
|---|---|
show running-config ip address
実行コンフィギュレーションの IP アドレス コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip address コマンドを使用します。
show running-config ip address [ physical_interface [ . subinterface ] | mapped_name | interface_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードで、 allocate-interface コマンドを使用してインターフェイス ID をマッピングした場合、そのマッピング名またはインターフェイス名はコンテキスト内でのみ指定できます。
透過ファイアウォール モードの場合は、インターフェイスを指定しないでください。このコマンドは、管理 IP アドレスのみを表示するものであり、透過ファイアウォールではインターフェイスに IP アドレスが関連付けられていないためです。
このコマンドの表示内容では、 nameif コマンドと security-level コマンドのコンフィギュレーションも示されます。
例
次に、 show running-config ip address コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config ip audit attack
実行コンフィギュレーションの ip audit attack コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip audit attack コマンドを使用します。
show running-config ip audit attack
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ip audit attack コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
show running-config ip audit info
実行コンフィギュレーションの ip audit info コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip audit info コマンドを使用します。
show running-config ip audit info
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ip audit info コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
show running-config ip audit interface
実行コンフィギュレーションの ip audit interface コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip audit interface コマンドを使用します。
show running-config ip audit interface [ interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ip audit interface コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
show running-config ip audit name
実行コンフィギュレーションの ip audit name コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip audit name コマンドを使用します。
show running-config ip audit name [ name [ info | attack ]]
シンタックスの説明
(オプション) ip audit name コマンドを使用して作成した監査ポリシー名のコンフィギュレーションを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ip audit name コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
show running-config ip audit signature
実行コンフィギュレーションの ip audit signature コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip audit signature コマンドを使用します。
show running-config ip audit signature [ signature_number ]
シンタックスの説明
(オプション)このシグニチャ番号に対応するコンフィギュレーションが存在する場合は、表示します。サポートされているシグニチャのリストについては、 ip audit signature コマンドを参照してください。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ip audit signature コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
show running-config ip local pool
IP アドレス プールを表示するには、特権 EXEC モードで show running-config ip local pool コマンドを使用します。
show running-config ip local pool [ poolname ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ip local pool コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config ip verify reverse-path
実行コンフィギュレーションの ip verify reverse-path コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ip verify reverse-path コマンドを使用します。
show running-config ip verify reverse-path [interface interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show ip verify statistics コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
Unicast Reverse Path Forwarding 機能をイネーブルにして IP スプーフィングを防止します。 |
|
show running-config ipv6
実行コンフィギュレーションに含まれている IPv6 のコマンドを表示するには、特権 EXEC モードで show running-config ipv6 コマンドを使用します。
show running-config [ all ] ipv6
シンタックスの説明
(オプション)デフォルトから変更していないコマンドを含めて、実行コンフィギュレーションに含まれているすべての ipv6 コマンドを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ipv6 コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config isakmp
ISAKMP コンフィギュレーション全体を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config isakmp コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、ISAKMP コンフィギュレーションに関する情報を表示しています。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
show running-config logging
現在実行されているすべてのロギング コンフィギュレーションを表示するには、特権 EXEC モードで show running-config logging コマンドを使用します。
show running-config [all] logging [level | disabled]
シンタックスの説明
(オプション)デフォルト以外のセキュリティ レベルを持つシステム ログ メッセージのコンフィギュレーションのみを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config logging disabled コマンドの例を示します。
hostname# show running-config logging disabled
関連コマンド
|
|
|
|---|---|
show logging rate-limit
禁止されたメッセージを元の設定で表示するには、 show logging rate-limit コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、禁止されたメッセージを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config mac-address-table
実行コンフィギュレーションの mac-address-table static および mac-address-table aging-time のコンフィギュレーションを表示するには、特権 EXEC モードで show running-config mac-address-table コマンドを使用します。
show running-config mac-address-table
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config mac-learn コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config mac-learn
実行コンフィギュレーションの mac-learn コンフィギュレーションを表示するには、特権 EXEC モードで show running-config mac-learn コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config mac-learn コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config mac-list
以前に mac-list コマンドで指定した MAC アドレスのリストを MAC リスト番号で指定して表示するには、特権 EXEC モードで show running-config mac-list コマンドを使用します。
show running-config mac-list id
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config aaa コマンドは、AAA コンフィギュレーションの一部として mac-list コマンド文を表示します。
例
次の例は、 id が adc と等しい MAC アドレス リストを表示する方法を示しています。
関連コマンド
|
|
|
show running-config management-access
管理アクセス用に設定されている内部インターフェイスの名前を表示するには、特権 EXEC モードで show running-config management-access コマンドを使用します。
show running-config management-access
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
management-access コマンドを使用すると、 mgmt_if で指定したファイアウォール インターフェイスの IP アドレスを使用して、内部管理インターフェイスを定義できます(インターフェイス名は、 nameif コマンドで定義します。 show interface コマンドの出力では、二重引用符(")で囲まれて表示されます)。
例
次の例は、「inside」という名前のファイアウォール インターフェイスを管理アクセス インターフェイスとして設定し、結果を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config mgcp-map
設定済みの MGCP マップを表示するには、特権 EXEC モードで show running-config mgcp-map コマンドを使用します。
show running-config mgcp-map map_name
シンタックスの説明.
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、show running-config mgcp-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config mroute
実行コンフィギュレーションに含まれているスタティック マルチキャスト ルート テーブルを表示するには、特権 EXEC モードで show running-config mroute コマンドを使用します。
show running-config mroute [ dst [ src ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config mroute コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config mtu
最大伝送ユニット(maximum transmission unit; MTU)の現在のブロック サイズを表示するには、特権 EXEC モードで show running-config mtu コマンドを使用します。
show running-config mtu [ interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config mtu コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
すべてのインターフェイスの設定済み最大伝送ユニット(maximum transmission unit; MTU)値を消去します。 |
|
show running-config multicast-routing
実行コンフィギュレーションに multicast-routing コマンドが含まれている場合に、それらのコマンドを表示するには、特権 EXEC モードで show running-config multicast-routing コマンドを使用します。
show running-config multicast-routing
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config multicast-routing コマンドは、実行コンフィギュレーションに含まれている multicast-routing コマンドを表示します。 multicast-routing コマンドを実行コンフィギュレーションから削除するには、 clear configure multicast-routing コマンドを入力します。
例
次に、 show running-config multicast-routing コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config name
IP アドレスに関連付けられている( name コマンドで設定した)名前のリストを表示するには、特権 EXEC モードで show running-config name コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、IP アドレスに関連付けられている名前のリストを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config nameif
実行コンフィギュレーションのインターフェイス名コンフィギュレーションを表示するには、特権 EXEC モードで show running-config nameif コマンドを使用します。
show running-config nameif [ physical_interface [ . subinterface ] | mapped_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードで、 allocate-interface コマンドを使用してインターフェイス ID をマッピングした場合、そのマッピング名はコンテキスト内でのみ指定できます。
例
次に、 show running-config nameif コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config names
IP アドレスから名前への変換を表示するには、特権 EXEC モードで show running-config names コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、IP アドレスから名前への変換を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config nat
ネットワークに関連付けられているグローバル IP アドレスのプールを表示するには、特権 EXEC モードで show running-config nat コマンドを使用します。
show running-config nat [ interface_name ] [ nat_id ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、UDP プロトコルの最大接続値を表示します。UDP 最大接続値が設定されていない場合、この値はデフォルトでは常に 0 と表示され、適用されません。
(注) 透過モードでは、有効となる NAT ID は 0 のみです。
例
次の例は、ネットワークに関連付けられているグローバル IP アドレスのプールを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config nat-control
NAT コンフィギュレーションの要件を表示するには、特権 EXEC モードで show running-config nat-control コマンドを使用します。
show running-config nat-control
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config nat-control コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config ntp
実行コンフィギュレーションの NTP コンフィギュレーションを表示するには、特権 EXEC モードで show running-config ntp コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ntp コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config object-group
現在のオブジェクト グループを表示するには、特権 EXEC モードで
show running-config object-group コマンドを使用します。
show running-config [all] object-group [ protocol | service | network | icmp-type | id obj_grp_id ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config object-group コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config passwd
暗号化されたログイン パスワードを表示するには、特権 EXEC モードで show running-config passwd コマンドを使用します。
show running-config { passwd | password }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードは encrypted キーワードとともに表示され、パスワードが暗号化されていることが示されます。
例
次に、 show running-config passwd コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config pim
実行コンフィギュレーションに含まれている PIM のコマンドを表示するには、特権 EXEC モードで show running-config pim コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config pim コマンドは、グローバル コンフィギュレーション モードで入力された pim コマンドを表示します。インターフェイス コンフィギュレーション モードで入力された pim コマンドは表示しません。インターフェイス コンフィギュレーション モードで入力された pim コマンドを表示するには、 show running-config interface コマンドを入力します。
例
次に、 show running-config pim コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
インターフェイス コンフィギュレーション モードで入力されたインターフェイス コンフィギュレーション コマンドを表示します。 |
show running-config policy-map
すべてまたはデフォルトのポリシーマップ コンフィギュレーションを表示するには、特権 EXEC モードで show running-config policy-map コマンドを使用します。
show running-config [all] policy-map
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
all キーワードを指定すると、明示的に設定したポリシーマップ コンフィギュレーションに加えて、デフォルトのポリシーマップ コンフィギュレーションも表示されます。
例
次の例は、localmap1 というポリシーマップがある場合に、show running-conig policy-map コマンドを使用したときのコマンド出力を示しています。
関連コマンド
|
|
|
show running-config pop3s
POP3S の実行コンフィギュレーションを表示するには、特権 EXEC モードで show running-config pop3s コマンドを使用します。表示内容にデフォルト コンフィギュレーションを含めるには、 all キーワードを使用します。
show running-config [all] pop3s
シンタックスの説明
デフォルト
コマンド履歴
|
|
|
|---|---|
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
例
次に、 show running-config pop3s コマンドの出力例を示します。
hostname# show running-config pop3s
hostname# show running-config all pop3s
関連コマンド
|
|
|
|---|---|
show running-config port-forward
転送された TCP ポートを通じて WebVPN ユーザがアクセスできるアプリケーションのセットを表示するには、特権 EXEC モードで show running-config port-forward コマンドを使用します。
show running-config [all] port-forward
シンタックスの説明
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config port-forward コマンドの出力例を示します。
hostname# show running-config port-forward
hostname#
関連コマンド
|
|
|
|---|---|
すべてのポート転送コマンドをコンフィギュレーションから削除します。listname を含めると、セキュリティ アプライアンスはそのリストのコマンドのみ削除します。 |
|
show running-config prefix-list
実行コンフィギュレーションに含まれている prefix-list コマンドを表示するには、特権 EXEC モードで show running-config prefix-list コマンドを使用します。
show running-config prefix-list
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show prefix-list コマンドから show running-config prefix-list コマンドに変更されました。 |
使用上のガイドライン
実行コンフィギュレーションに含まれている prefix-list description コマンドは、常に関連する prefix-list コマンドの前に表示されます。コマンドを入力した順序は関係しません。
例
次に、 show running-config prefix-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config priority-queue
インターフェイスのプライオリティキュー コンフィギュレーションの詳細を表示するには、特権 EXEC モードで show running-config priority-queue コマンドを使用します。
show running-config priority-queue interface-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、test というインターフェイスについて show running-config priority-queue コマンドを使用した場合のコマンド出力を示しています。
関連コマンド
|
|
|
show running-config privilege
コマンドまたはコマンド セットの特権を表示するには、特権 EXEC モードで show running-config privilege コマンドを使用します。
show running-config [all] privilege [ all | command command | level level ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
hostname(config)# show running-config privilege level 0
関連コマンド
|
|
|
show running-config rip
RIP コンフィギュレーションに関する情報を表示するには、特権 EXEC モードで
show running-config rip コマンドを使用します。
show running-config [ all ] rip [ interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show running-config route
セキュリティ アプライアンス上で実行されているルート コンフィギュレーションを表示するには、特権 EXEC モードで show running-config route コマンドを使用します。
show running-config [ all ] route
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config route コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config route-map
ルートマップ コンフィギュレーションに関する情報を表示するには、特権 EXEC モードで
show running-config route-map コマンドを使用します。
show running-config route-map [ map_tag ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config route-map コマンドは、コンフィギュレーション内に定義されているすべてのルートマップを表示するために使用します。名前を指定して個々のルートマップを表示するには、 show running-config route-map map_tag コマンドを使用します。 map_tag は、ルートマップの名前です。複数のルートマップで同じマップ タグ名を共有できます。
例
次に、 show running-config route-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config router
ルータ コンフィギュレーションに含まれているグローバル コマンドを表示するには、特権 EXEC モードで show running-config router コマンドを使用します。
show running-config [all] router [ ospf [ process_id ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show router コマンドから show running-config router コマンドに変更されました。 |
例
次に、 show running-config router コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config same-security-traffic
セキュリティ レベルの等しいインターフェイス間での通信を表示するには、特権 EXEC モードで show running-config same-security-traffic コマンドを使用します。
show running-config same-security-traffic
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config same-security-traffic コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config service
システム サービスを表示するには、特権 EXEC モードで show running-config service コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次のコマンドは、システム サービスを表示する方法を示しています。
service resetoutside
関連コマンド
|
|
|
|---|---|
show running-config service-policy
現在実行されているすべてのサービス ポリシー コンフィギュレーションを表示するには、グローバル コンフィギュレーション モードで show running-config service-policy コマンドを使用します。
show running-config service-policy
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config service-policy コマンドの例を示します。
hostname# show running-config service-policy
関連コマンド
|
|
|
|---|---|
show running-configuration smtps
SMTPS の実行コンフィギュレーションを表示するには、特権 EXEC モードで
show running-configuration smtps コマンドを使用します。表示内容にデフォルト コンフィギュレーションを含めるには、 all キーワードを使用します。
show running-configuration [all] smtps
シンタックスの説明
デフォルト
コマンド履歴
|
|
|
|---|---|
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
例
次に、 show running-config smtps コマンドの出力例を示します。
hostname# show running-configuration smtps
hostname# show running-config all smtps
hostname#
関連コマンド
|
|
|
|---|---|
show running-config snmp-map
設定済みの SNMP マップを表示するには、特権 EXEC モードで show running-config snmp-map コマンドを使用します。
show running-config snmp-map map_name
シンタックスの説明.
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、show running-config snmp-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config snmp-server
現在実行されているすべての SNMP サーバのコンフィギュレーションを表示するには、グローバル コンフィギュレーション モードで show running-config snmp-server コマンドを使用します。
show running-config [default] snmp-server
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show running-config ssh
現在のコンフィギュレーションに含まれている SSH のコマンドを表示するには、特権 EXEC モードで show running-config ssh コマンドを使用します。
show running-config [ default ] ssh [ timeout | version ]
show run [ default ] ssh [ timeout ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show ssh コマンドから show running-config ssh コマンドに変更されました。 |
使用上のガイドライン
このコマンドは、現在の SSH コンフィギュレーションを表示します。SSH セッション タイムアウト値のみを表示するには、 timeout オプションを使用します。アクティブな SSH セッションのリストを表示するには、 show ssh sessions コマンドを使用します。
例
次の例では、SSH セッション タイムアウトを表示しています。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが SSH Version 1 または SSH Version 2 のいずれかだけを使用するように制限します。 |
show running-config ssl
現在の一連の設定済み ssl コマンドを表示するには、特権 EXEC モードで show running-config ssl コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config ssl コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
セキュリティ アプライアンスがサーバとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
show running-config static
コンフィギュレーションに含まれているすべての static コマンドを表示するには、特権 EXEC モードで show running-config static コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、UDP プロトコルの最大接続値を表示します。UDP 最大接続値が「0」または設定されていない場合、制限の実施はディセーブルになります。
例
次の例は、コンフィギュレーションに含まれているすべての static コマンドを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
ローカル IP アドレスをグローバル IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換規則を設定します。 |
show running-config sunrpc-server
SunRPC コンフィギュレーションに関する情報を表示するには、特権 EXEC モードで
show running-config sunrpc-server コマンドを使用します。
show running-config sunrpc-server interface_name ip_addr mask service service_type protocol [TCP | UDP] port port [- port ] timeout hh:mm:ss
シンタックスの説明
タイムアウト アイドル期間を指定します。この期間を過ぎると、SunRPC サービス トラフィックへのアクセスが終了します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show running-config sunrpc-server コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config sysopt
実行コンフィギュレーションの sysopt コマンド コンフィギュレーションを表示するには、特権 EXEC モードで show running-config sysopt コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config sysopt コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
|
show running-config tcp-map
TCP マップ コンフィギュレーションに関する情報を表示するには、特権 EXEC モードで
show running-config tcp-map コマンドを使用します。
show running-config tcp-map [ tcp_map_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-config tcp-map コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config telnet
セキュリティ アプライアンスへの Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示するには、特権 EXEC モードで show running-config telnet コマンドを使用します。また、このコマンドを使用して、Telnet セッションに許容されるアイドル時間(分)を表示することもできます。このアイドル時間が経過すると、その Telnet セッションはセキュリティ アプライアンスが終了します。
show running-config telnet [ timeout ]
シンタックスの説明
(オプション)Telnet セッションに許容されるアイドル時間(分)で、アイドル時間が経過すると、その Telnet セッションはセキュリティ アプライアンスが終了します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、セキュリティ アプライアンスへの Telnet 接続で使用することを認可されている IP アドレスの現在のリストを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config terminal
現在の端末設定を表示するには、特権 EXEC モードで show running-config terminal コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show running-config tftp-server
デフォルト TFTP サーバのアドレスとディレクトリを表示するには、グローバル コンフィギュレーション モードで show running-config tftp-server コマンドを使用します。
show running-config tftp-server
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、デフォルト TFTP サーバの IP/IPv6 アドレスとコンフィギュレーション ファイルのディレクトリを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show running-config timeout
すべてまたは特定のプロトコルのタイムアウト値を表示するには、特権 EXEC モードで show running-config timeout コマンドを使用します。
show running-config timeout protocol
シンタックスの説明
(オプション)指定したプロトコルのタイムアウト値を表示します。サポートされているプロトコルは、 xlate 、 conn 、 udp 、 icmp 、 rpc 、 h323 、 h225 、 mgcp 、 mgcp-pat 、 sip 、 sip_media 、および uauth です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、システムのタイムアウト値を表示する方法を示しています。
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02
:00
timeout uauth 0:00:00 absolute
関連コマンド
|
|
|
|---|---|
show running-config tunnel-group
すべてまたは特定のトンネルグループおよびトンネルグループ アトリビュートについて、コンフィギュレーション情報を表示するには、グローバル コンフィギュレーション モードまたは特権 EXEC モードで show running-config tunnel-group コマンドを使用します。
show running-config [ all ] tunnel-group [ name [ general-attributes | ipsec-attributes | ppp-attributes ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、すべてのトンネルグループの現在のコンフィギュレーションを表示しています。
関連コマンド
|
|
|
|---|---|
show running-config url-block
URL フィルタリングで使用されるバッファとメモリ割り当てのコンフィギュレーションを表示するには、特権 EXEC モードで show running-config url-block コマンドを使用します。
show running-config url-block [ block | url-mempool | url-size ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config url-block コマンドは、URL フィルタリングで使用されるバッファとメモリ割り当てのコンフィギュレーションを表示します。
例
次に、show running-config url-block コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
show running-config url-cache
URL フィルタリングで使用されるキャッシュのコンフィギュレーションを表示するには、特権 EXEC モードで show running-config url-cache コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config url-cache コマンドは、URL フィルタリングで使用されるキャッシュのコンフィギュレーションを表示します。
例
次に、show running-config url-cache コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
show running-configuration url-list
WebVPN ユーザがアクセスできる URL のセットを表示するには、特権 EXEC モードで show running-configuration url-list コマンドを使用します。
show running-configuration url-list
シンタックスの説明
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show running-configuration url-list コマンドの出力例を示します。
hostname# show running-configuration url-list
関連コマンド
|
|
|
|---|---|
すべての url-list コマンドをコンフィギュレーションから削除します。listname を含めると、セキュリティ アプライアンスはそのリストのコマンドのみ削除します。 |
|
show running-config url-server
URL フィルタリング サーバのコンフィギュレーションを表示するには、特権 EXEC モードで show running-config url-server コマンドを使用します。
show running-config url-server
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config url-server コマンドは、URL フィルタリング サーバのコンフィギュレーションを表示します。
例
次に、show running-config url-server コマンドの出力例を示します。
関連コマンド
show running-config username
特定のユーザの実行コンフィギュレーションを表示するには、特権 EXEC モードで
show running-config username コマンドをユーザ名を付加して使用します。すべてのユーザの実行コンフィギュレーションを表示するには、ユーザ名を指定せずにこのコマンドを使用します。
show running-config [ all ] username [ name ] [ attributes ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、anyuser というユーザについての show running-config username コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show running-config virtual
セキュリティ アプライアンス仮想サーバの IP アドレスを表示するには、特権 EXEC モードで show running-config virtual コマンドを使用します。
show running-config [ all ] virtual
シンタックスの説明
デフォルト
all キーワードを省略すると、現在の仮想サーバ(複数の場合あり)に対して明示的に設定した IP アドレスのみが表示されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、設定済みの HTTP 仮想サーバが存在する場合の show running-config virtual コマンドの出力例を示します。
virtual http 192.168.201.1
関連コマンド
|
|
|
show running-config vpn load-balancing
現在の VPN ロードバランシング仮想クラスタのコンフィギュレーションを表示するには、グローバル コンフィギュレーション モード、特権 EXEC モード、または VPN ロードバランシング モードで show running-config vpn load-balancing コマンドを使用します。
show running-config [ all ] vpn load-balancing
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config vpn load-balancing コマンドは、関連コマンドである cluster encryption 、 cluster ip address 、 cluster key 、 cluster port 、 nat 、 participate 、および priority に関するコンフィギュレーション情報も表示します。
例
次に、 all オプションをイネーブルにした show running-config vpn load-balancing コマンドとその出力例を示します。
vpn load-balancing
no nat
priority 9
interface lbpublic test
interface lbprivate inside
no cluster ip address
no cluster encryption
cluster port 9023
no participate
関連コマンド
|
|
|
show running-configuration vpn-sessiondb
現在の一連の設定済み vpn-sessiondb コマンドを表示するには、特権 EXEC モードで
show running-configuration vpn-sessiondb コマンドを使用します。
show running-configuration [all] vpn-sessiondb
シンタックスの説明
(オプション)デフォルトから変更していないコマンドを含めて、すべての vpn-sessiondb コマンドを表示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 show running-configuration vpn-sessiondb コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
セッションを詳細情報付きまたは詳細情報なしで表示します。指定する基準に従って、フィルタリングおよびソートすることもできます。 |
|
セッションの要約を表示します。現在のセッションの合計数、各タイプの現在のセッション数、ピーク時の数および累積合計数、最大同時セッション数を含んでいます。 |
show running-configuration webvpn
webvpn の実行コンフィギュレーションを表示するには、特権 EXEC モードで
show running-configuration webvpn コマンドを使用します。表示内容にデフォルト コンフィギュレーションを含めるには、 all キーワードを使用します。
show running-configuration [all] webvpn
シンタックスの説明
デフォルト
コマンド履歴
|
|
|
|---|---|
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
例
次に、 show running-config webvpn コマンドの出力例を示します。
hostname# show running-configuration webvpn
hostname#(config-webvpn)# show running-config all webvpn
hostname#
関連コマンド
|
|
|
|---|---|
show service-policy
設定済みのサービス ポリシーを表示するには、グローバル コンフィギュレーション モードで show service-policy コマンドを使用します。
show service-policy [ global | interface intf ] [ inspect | ips | police | priority | set connection ]
show service-policy [ global | interface intf ] [ flow protocol { host src_host | src_ip src_mask } [ eq src_port ] { host dest_host | dest_ip dest_mask } [ eq dest_port ] [ icmp_number | icmp_control_message ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
flow キーワードを使用すると、記述可能な任意のフローについて、セキュリティ アプライアンスがそのフローに適用するポリシーを特定できます。この情報を利用すると、必要なサービスがこのサービス ポリシー コンフィギュレーションによって特定の接続に提供されるかどうかを確認できます。 flow キーワード以降に指定する引数とキーワードでは、オブジェクト グループ化をしていないフローを IP 5 タプル形式で指定します。
フローを IP 5 タプル形式で記述するため、すべての一致基準がサポートされるわけではありません。次に、フローの検索でサポートされている一致基準のリストを示します。
• match default-inspection-traffic
priority キーワードは、インターフェイスを経由して転送されたパケットの集約カウンタ値を表示するために使用します。
show service-policy コマンドの出力に表示される初期接続の数は、 class-map コマンドで定義したトラフィック マッチングと一致したインターフェイスに向かう現在の初期接続の数を示しています。 embryonic-conn-max フィールドは、モジュラ ポリシー フレームワークを使用するトラフィック クラスに対して設定した最大初期接続数の制限値を示しています。表示される現在の初期接続数が最大値と等しい場合、または最大値を超えている場合は、新しい TCP 接続が class-map コマンドで定義したトラフィック タイプと一致すると、その接続に対して TCP 代行受信が適用されます。
例
次の例は、 show service-policy コマンドのシンタックスを示しています。
関連コマンド
|
|
|
|---|---|
show service-policy inspect gtp
GTP コンフィギュレーションを表示するには、特権 EXEC モードで show service-policy inspect gtp コマンドを使用します。
show service-policy [ interface int ] inspect gtp { pdp-context [ apn ap_name | detail | imsi IMSI_value | ms-addr IP_address | tid tunnel_ID | version version_num ] | pdpmcb | requests | statistics [ gsn IP_address ] }
シンタックスの説明.
(オプション)GPRS サポート ノードを指定します。このノードは、GPRS 無線データ ネットワークとその他のネットワークの間にあるインターフェイスです。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
縦線(|)を使用すると、表示内容をフィルタリングできます。表示フィルタリング オプションの詳細については、| を入力してください。
show pdp-context コマンドは、PDP コンテキストに関する情報を表示します。
パケット データ プロトコル コンテキストは、IMSI と NSAPI の組み合せであるトンネル ID によって識別されます。GTP トンネルは、それぞれ別個の GSN ノードにある、2 つの関連する PDP コンテキストによって定義され、トンネル ID によって識別されます。GTP トンネルは、パケットを外部パケット データ ネットワークとモバイル ステーション ユーザの間で転送するために必要なものです。
例
次に、 show gtp requests コマンドの出力例を示します。
次の例のように縦線(|)を使用すると、表示内容をフィルタリングできます。
この例では、出力に gsn という語が含まれている GTP 統計情報が表示されます。
次のコマンドでは、PDP コンテキストに関する情報を表示しています。
表 7-27 に、 show service-policy inspect gtp pdp-context コマンドの出力に含まれている各カラムの説明を示します。
|
|
|
|---|---|
関連コマンド
|
|
|
|---|---|
show shun
排除情報を表示するには、特権 EXEC モードで show shun コマンドを使用します。
show shun [ src_ip | statistics ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
新しい接続を阻止し、既存の接続からのパケットを拒否することによって、攻撃ホストへのダイナミックな応答をイネーブルにします。 |
show sip
SIP セッションを表示するには、特権 EXEC モードで show sip コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show sip コマンドは、SIP 検査エンジンの問題のトラブルシューティングに役立ちます。説明は、 inspect protocol sip udp 5060 コマンドと一緒にします。 show timeout sip コマンドは、指示されているプロトコルのタイムアウト値を表示します。
show sip コマンドは、セキュリティ アプライアンスを越えて確立されている SIP セッションの情報を表示します。 debug sip と show local-host コマンドと共に、このコマンドは、SIP 検査エンジンの問題のトラブルシューティングに使用されます。
(注) show sip コマンドを使用する前に pager コマンドを設定することを推奨します。多くの SIP セッション レコードが存在し、pager コマンドが設定されていない場合、show sip コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。
例
この例は、セキュリティ アプライアンス上の 2 つのアクティブな SIP セッションを示しています( Total フィールドで示されているように)。各 call-id は、コールを表わしています。
最初のセッションは、 call-id c3943000-960ca-2e43-228f@10.130.56.44 で、 Call Init 状態にあります。これは、このセッションはまだコール セットアップ中であることを示しています。コール セットアップが完了するのは、ACK が確認されたときのみです。このセッションは、1 秒間アイドル状態でした。
2 番目のセッションは、 Active 状態です。ここでは、コール セットアップは完了して、エンドポイントはメディアを交換しています。このセッションは、6 秒間アイドル状態でした。
関連コマンド
|
|
|
|---|---|
show skinny
SCCP(Skinny)検査エンジンの問題をトラブルシューティングするには、特権 EXEC モードで show skinny コマンドを使用します。
show skinny
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の条件での show skinny コマンドの出力例を示します。セキュリティ アプライアンスを越えて 2 つのアクティブな Skinny セッションがセットアップされています。最初の Skinny セッションは、ローカル アドレス 10.0.0.11 にある内部 Cisco IP Phone と 172.18.1.33 にある外部 Cisco CallManager の間に確立されています。TCP ポート 2000 は、CallManager です。2 番目の Skinny セッションは、ローカル アドレス 10.0.0.22 にある別の内部 Cisco IP Phone と同じ Cisco CallManager の間に確立されています。
この出力は、両方の内部 Cisco IP Phone 間でコールが確立されていることを示します。最初と 2 番目の電話機の RTP リスン ポートは、それぞれ UDP 22948 と 20798 です。
次に、これらの Skinny 接続に対する xlate 情報を示します。
関連コマンド
|
|
|
|---|---|
show snmp-server statistics
SNMP サーバに関する統計情報を表示するには、特権 EXEC モードで show snmp-server statistics コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
この例は、SNMP サーバ統計情報を表示する方法を示しています。
0 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
0 Number of requested variables
0 Number of altered variables
0 Get-request PDUs
0 Get-next PDUs
0 Get-bulk PDUs
0 Set-request PDUs (Not supported)
0 SNMP packets output
0 Too big errors (Maximum packet size 512)
0 No such name errors
0 Bad values errors
0 General errors
0 Response PDUs
0 Trap PDUs
関連コマンド
|
|
|
|---|---|
show ssh sessions
セキュリティ アプライアンス上のアクティブな SSH セッションの情報を表示するには、特権 EXEC モードで show ssh sessions コマンドを使用します。
show ssh sessions [ ip_address ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SID は、SSH セッションを識別する一意な番号です。Client IP は、SSH クライアントを実行しているシステムの IP アドレスです。Version は、SSH クライアントがサポートしているプロトコル バージョン番号です。SSH が SSH バージョン 1 のみサポートしている場合、Version カラムには 1.5 が表示されます。SSH クライアントが SSH バージョン 1 と SSH バージョン 2 の両方をサポートしている場合、Version カラムには 1.99 が表示されます。SSH クライアントが SSH バージョン 2 のみサポートしている場合、Version カラムには 2.0 が表示されます。Encryption カラムには、SSH クライアントが使用している暗号化のタイプが表示されます。State カラムには、クライアントとセキュリティ アプライアンスとの対話の進捗状況が表示されます。Username カラムには、セッションで認証されているログイン ユーザ名が表示されます。
例
次に、 show ssh sessions コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show startup-config
スタートアップ コンフィギュレーションを表示するには、特権 EXEC モードで show startup-config コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードでは、このコマンドは現在の実行スペース(システム コンフィギュレーションまたはセキュリティ コンテキスト)のスタートアップ コンフィギュレーションを表示します。
例
次に、 show startup-config コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show sunrpc-server active
Sun RPC サービス用に開いているピンホールを表示するには、特権 EXEC モードで
show sunrpc-server active コマンドを使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show sunrpc-server active コマンドは、NFS や NIS などの Sun RPC サービス用に開いているピンホールを表示するために使用します。
例
Sun RPC サービス用に開いているピンホールを表示するには、 show sunrpc-server active コマンドを入力します。次に、 show sunrpc-server active コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show tcpstat
セキュリティ アプライアンスの TCP スタックおよびセキュリティ アプライアンスで終端している TCP 接続のステータスを(デバッグのために)表示するには、特権 EXEC モードで show tcpstat コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show tcpstat コマンドを使用すると、TCP スタックおよびセキュリティ アプライアンスで終端している TCP 接続のステータスを表示できます。 表 7-28 は、表示される TCP 統計情報を説明しています。
|
|
|
|---|---|
TCP ユーザの状態(RFC 793 を参照)。表示される値を次に示します。 |
|
例
次の例は、セキュリティ アプライアンスの TCP スタックのステータスを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show tech-support
テクニカル サポート アナリストが診断時に使用する情報を表示するには、特権 EXEC モードで show tech-support コマンドを使用します。
show tech-support [ detail | file | no-config ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show tech-support コマンドでは、テクニカル サポート アナリストが問題を診断する場合に役立つ情報が表示されます。show コマンドからの出力を組み合せて、テクニカル サポート アナリストに対して最も多くの情報を提供します。
例
次の例は、テクニカル サポートで分析に使用する情報を、実行コンフィギュレーションの出力を除外して表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
Syslog Server(PFSS)と公開キー インフラストラクチャ(PKI)プロトコルで使用されるクロックを表示します。 |
|
show traffic
インターフェイスの送信アクティビティと受信アクティビティを表示するには、特権 EXEC モードで show traffic コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show traffic コマンドは、show traffic コマンドが最後に入力された時点またはセキュリティ アプライアンスがオンラインになった時点以降に、各インターフェイスを通過したパケットの数とバイト数を表示します。秒数は、セキュリティ アプライアンスが直近のリブート以降、オンラインになってからの経過時間です(直近のリブート以降に clear traffic コマンドが入力されていない場合)。このコマンドが入力されていた場合、この秒数は、コマンドが入力された時点からの経過時間です。
例
次に、 show traffic コマンドの出力例を示します。
received (in 102.080 secs):
2048 packets 204295 bytes
20 pkts/sec 2001 bytes/sec
transmitted (in 102.080 secs):
2048 packets 204056 bytes
20 pkts/sec 1998 bytes/sec
Ethernet0:
received (in 102.080 secs):
2049 packets 233027 bytes
20 pkts/sec 2282 bytes/sec
transmitted (in 102.080 secs):
2048 packets 232750 bytes
20 pkts/sec 2280 bytes/sec
関連コマンド
|
|
|
|---|---|
show uauth
現在認証されている 1 人またはすべてのユーザ、ユーザがバインドされているホスト IP、キャッシュされた IP およびポート認可情報を表示するには、特権 EXEC モードで show uauth コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show uauth コマンドは、1 人またはすべてのユーザの AAA 認可キャッシュと AAA 認証キャッシュを表示します。
各ユーザ ホストの IP アドレスには、認可キャッシュが付加されます。ユーザ ホストごとにアドレスとサービスのペアを最大 16 個までキャッシュできます。ユーザが適切なホストから、キャッシュされたサービスにアクセスしようとすると、セキュリティ アプライアンスはユーザを認可済みであると見なし、すぐに接続を代理処理します。ある Web サイトへのアクセスを一度認可されると、たとえば、イメージを読み込むときに、各イメージごとに認可サーバと通信しません(イメージが同じ IP アドレスからであると想定されます)。このプロセスにより、認可サーバ上でパフォーマンスが大幅に向上し、負荷も大幅に軽減されます。
show uauth コマンドの出力では、認証および認可の目的で認可サーバに提供されたユーザ名が表示されます。また、ユーザ名がバインドされている IP アドレス、ユーザが認証されただけであるか、キャッシュされたサービスを持っているかが表示されます。
(注) Xauth をイネーブルにすると、クライアントに割り当てられている IP アドレスのエントリが uauth テーブル(show uauth コマンドで表示できます)に追加されます。ただし、Xauth を Easy VPN Remote 機能とともにネットワーク拡張モードで使用すると、ネットワーク間に IPSec トンネルが作成されるため、ファイアウォールの向こう側にいるユーザを 1 つの IP アドレスに関連付けることができません。したがって、Xauth の完了時に uauth エントリが作成されません。AAA 認可またはアカウンティング サービスが必要となる場合は、AAA 認証プロキシをイネーブルにして、ファイアウォールの向こう側にいるユーザを認証します。AAA 認証プロキシの詳細については、aaa コマンドの項を参照してください。
ユーザの接続がアイドルになった後にキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザのすべての認可キャッシュを削除するには、 clear uauth コマンドを使用します。次回接続を作成するときには再認証される必要が生じます。
例
次に、ユーザが認証されておらず、1 人のユーザの認証が進行中である場合の show uauth コマンドの出力例を示します。
次に、3 人のユーザが認証され、セキュリティ アプライアンスを介してサービスを使用することを認可されている場合の show uauth コマンドの出力例を示します。
user ‘pat’ from 209.165.201.2 authenticated
user ‘robin’ from 209.165.201.4 authorized to:
port 192.168.67.34/telnet 192.168.67.11/http 192.168.67.33/tcp/8001
192.168.67.56/tcp/25 192.168.67.42/ftp
user ‘terry’ from 209.165.201.7 authorized to:
port 192.168.1.50/http 209.165.201.8/http
関連コマンド
|
|
|
show url-block
url-block バッファにあるパケット数、およびバッファ上限を超えたためまたは再送信のためにドロップされたパケット数(あれば)を表示するには、特権 EXEC モードで show url-block コマンドを使用します。
show url-block [ block statistics ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show url-block block statistics コマンドは、url-block バッファにあるパケット数、およびバッファ上限を超えたためまたは再送信のためにドロップされたパケット数(あれば)を表示します。
例
次に、 show url-block コマンドの出力例を示します。
URL ブロック バッファのコンフィギュレーションが表示されています。
次に、 show url-block block statistics コマンドの出力例を示します。
関連コマンド
|
|
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
show url-cache statistics
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される、URL キャッシュに関する情報を表示するには、特権 EXEC モードで show url-cache statistics コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show url-cache statistics コマンドは、次のエントリを表示します。
• Size:KB 単位で表したキャッシュ サイズ。 url-cache size オプションを使用して設定します。
• Entries:キャッシュ サイズに基づくキャッシュ エントリの最大数。
• Lookups:セキュリティ アプライアンスがキャッシュ エントリを検索した回数。
• Hits:セキュリティ アプライアンスがキャッシュ内でエントリを検出した回数。
show perfmon コマンドを使用して、N2H2 Sentian または Websense フィルタリング アクティビティに関する追加情報を表示できます。
例
次に、show url-cache statistics コマンドの出力例を示します。
URL Filter Cache Stats
----------------------
Size : 1KB
Entries : 36
In Use : 30
Lookups : 300
Hits : 290
関連コマンド
|
|
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
show url-server
URL フィルタリング サーバに関する情報を表示するには、特権 EXEC モードで show url-server コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show url-server statistics コマンドは、URL サーバ ベンダー、URL の合計数、許可された数、拒否された数、HTTPS 接続の合計数、許可された数、拒否された数、TCP 接続の合計数、許可された数、拒否された数、および URL サーバ ステータスを表示します。
show url-server コマンドは、次の情報を表示します。
• N2H2 の場合: url-server ( if_name ) vendor n2h2 host local_ip port number timeout seconds protocol [{ TCP | UDP }{ version 1 | 4 }]
• Websense の場合: url-server ( if_name ) vendor websense host local_ip timeout seconds protocol [{ TCP | UDP }]
例
次に、 show url-server statistics コマンドの出力例を示します。
関連コマンド
|
|
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
show version
ソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼働時間データを表示するには、特権 EXEC モードで show version コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show version コマンドを使用すると、ソフトウェア バージョン、最後にリブートされて以降の動作時間、プロセッサ タイプ、フラッシュ パーティション タイプ、インターフェイス ボード、シリアル番号(BIOS ID)、アクティベーション キー値、ライセンス タイプ(R または UR)、および、コンフィギュレーションが最後に変更されたときのタイムスタンプを表示できます。
show version コマンドで表示されるシリアル番号は、フラッシュ パーティション BIOS のものです。シャーシのシリアル番号とは異なります。ソフトウェア アップグレードを取得する場合は、シャーシ番号ではなく、show version コマンドで表示されるシリアル番号が必要です。
(注) 稼働時間の値は、フェールオーバー セットが動作している期間の長さを示しています。1 台の装置が動作を停止した場合、他の装置が動作を継続している限り、稼働時間の値は増加していきます。
例
次の例は、ソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼働時間データを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show vpn load-balancing
VPN ロードバランシング仮想クラスタのコンフィギュレーションに関する実行時統計情報を表示するには、グローバル コンフィギュレーション モード、特権 EXEC モード、または VPN ロードバランシング モードで show vpn load-balancing コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show vpn load-balancing コマンドは、仮想 VPN ロードバランシング クラスタに関する統計情報を表示します。ローカル デバイスが VPN ロードバランシング クラスタに参加していない場合、このコマンドは、このデバイスには VPN ロードバランシングが設定されていないことを通知します。
例
次の例は、ローカル デバイスが VPN ロードバランシング クラスタに参加している場合の show vpn load-balancing コマンドおよびその出力を示しています。
Role: Master
Failover: n/a
Encryption: enabled
Cluster IP: 192.168.1.100
Peers: 1
--------------------------------------------------------------
* 192.168.1.40 Master 10 PIX-515 0 0
192.168.1.110 Backup 5 PIX-515 0 0
hostname(config-load-balancing)#
ローカル デバイスが VPN ロードバランシング クラスタに参加していない場合、
show vpn load-balancing コマンドは、上とは異なる次のような結果を表示します。
関連コマンド
|
|
|
show vpn-sessiondb
VPN セッションに関する情報を表示するには、特権 EXEC モードで show vpn-sessiondb コマンドを使用します。このコマンドには、情報を完全または詳細に表示するためのオプションが含まれています。表示するセッションのタイプを指定できるほか、情報をフィルタリングおよびソートするためのオプションが用意されています。「シンタックスの説明」の表と「使用上のガイドライン」で、それぞれの使用可能なオプションについて説明しています。
show vpn-sessiondb [detail] [full] {remote | l2l | index indexnumber | webvpn | email-proxy} [filter {name username | ipaddress IPaddr | a-ipaddress IPaddr | p-ipaddress IPaddr | tunnel-group groupname | protocol protocol-name | encryption encryption-algo }]
[sort {name | ipaddress | a-ipaddress | p-ip address | tunnel-group | protocol | encryption}]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
次のオプションを使用して、セッションに関する表示内容をフィルタリングおよびソートできます。
|
|
|
|
|---|---|---|
| 引数 {begin | include | exclude | grep | [-v]} {reg_exp} を使用して、出力を修正します。 |
||
特権 EXEC モードで入力した次の例では、LAN-to-LAN セッションに関する詳細な情報を表示しています。
hostname# show vpn-sessiondb detail l2l
Session Type: LAN-to-LAN Detailed
Connection : 172.16.0.1
Index : 1 IP Addr : 172.16.0.1
Protocol : IPSecLAN2LAN Encryption : AES256
Bytes Tx : 48484156 Bytes Rx : 875049248
Login Time : 09:32:03 est Mon Aug 2 2004
Duration : 6:16:26
Filter Name :
IKE Sessions: 1 IPSec Sessions: 2
IKE:
Session ID : 1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 63814 Seconds
D/H Group : 5
IPSec:
Session ID : 2
Local Addr : 10.0.0.0/255.255.255.0
Remote Addr : 209.165.201.30/255.255.255.0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel PFS Group : 5
Rekey Int (T): 28800 Seconds Rekey Left(T): 10903 Seconds
Bytes Tx : 46865224 Bytes Rx : 2639672
Pkts Tx : 1635314 Pkts Rx : 37526
IPSec:
Session ID : 3
Local Addr : 10.0.0.1/255.255.255.0
Remote Addr : 209.165.201.30/255.255.255.0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel PFS Group : 5
Rekey Int (T): 28800 Seconds Rekey Left(T): 6282 Seconds
Bytes Tx : 1619268 Bytes Rx : 872409912
Pkts Tx : 19277 Pkts Rx : 1596809
関連コマンド
|
|
|
|---|---|
show vpn-sessiondb ratio
現在のセッションについて、プロトコルまたは暗号化アルゴリズムごとの比率(%)を表示するには、特権 EXEC モードで show vpn-sessiondb ratio コマンドを使用します。
show vpn-sessiondb ratio {protocol | encryption} [filter groupname ]
シンタックスの説明
| 表示する暗号化プロトコルを指定します。フェーズ 2 暗号化について指定します。暗号化アルゴリズムには、次の種類があります。 |
||
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 encryption を引数として指定した場合の show vpn-sessiondb ratio コマンドの出力例を示します。
次に、 protocol を引数として指定した場合の show vpn-sessiondb ratio コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
セッションを詳細情報付きまたは詳細情報なしで表示します。指定する基準に従って、フィルタリングおよびソートすることもできます。 |
|
セッションの要約を表示します。現在のセッションの合計数、各タイプの現在のセッション数、ピーク時の数および累積合計数、最大同時セッション数を含んでいます。 |
show vpn-sessiondb summary
現在の VPN セッションの要約を表示するには、特権 EXEC モードで show vpn-sessiondb summary コマンドを使用します。セッションの要約は、現在のセッションの合計数、各タイプの現在のセッション数、ピーク時のセッション数および累積合計セッション数、最大同時セッション数を含んでいます。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show vpn-sessiondb summary コマンドの出力例を示します。
Active Sessions: Session Information:
LAN-to-LAN : 2 Peak Concurrent : 7
Remote Access : 5 Concurrent Limit: 2000
関連コマンド Total Active Sessions : 7
|
|
|
|---|---|
セッションを詳細情報付きまたは詳細情報なしで表示します。指定する基準に従って、フィルタリングおよびソートすることもできます。 |
|
show xlate
変換スロットに関する情報を表示するには、特権 EXEC モードで show xlate コマンドを使用します。
show xlate [ global ip1 [ - ip2 ] [ netmask mask ]] [ local ip1 [ - ip2 ] [ netmask mask ]][ gport port1 [ - port2 ]] [ lport port1 [ - port2 ]] [ interface if_name ] [ state state ] [ debug ] [ detail ]
シンタックスの説明
(オプション)アクティブな変換を状態別に表示します。次の状態を 1 つまたは複数入力できます。 • |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show xlate コマンドは、変換スロットの内容を表示します。show xlate detail コマンドは、次の情報を表示します。
• { ICMP | TCP | UDP } PAT from interface : real-address / real-port to interface : mapped-address / mapped-port flags translation-flags
• NAT from interface : real-address / real-port to interface : mapped-address / mapped-port flags t ranslation-flags
|
|
|
|---|---|
(注) vpnclient コンフィギュレーションがイネーブルで、内部ホストが DNS 要求を送信している場合は、show xlate コマンドにより、スタティック変換用の xlate が複数表示されることがあります。
例
次に、 show xlate コマンドの出力例を示します。この例では、3 つのアクティブな PAT の変換スロットの情報が表示されています。
次に、 show xlate detail コマンドの出力例を示します。この例では、3 つのアクティブな PAT の変換タイプとインターフェイスの情報が表示されています。
最初のエントリは、内部ネットワーク上のホストポート(10.1.1.15, 1026)から外部ネットワーク上のホストポート(192.150.49.1, 1024)への TCP PAT です。r フラグは、変換が PAT であることを示しています。i フラグは、変換が内部アドレスポートに適用されることを示しています。
2 番目のエントリは、内部ネットワーク上のホストポート(10.1.1.15, 1028)から外部ネットワーク上のホストポート(192.150.49.1, 1024)への UDP PAT です。r フラグは、変換が PAT であることを示しています。i フラグは、変換が内部アドレスポートに適用されることを示しています。
3 番目のエントリは、内部ネットワーク上のホスト ICMP ID(10.1.1.15, 21505)から外部ネットワーク上のホスト ICMP ID(192.150.49.1, 0)への ICMP PAT です。r フラグは、変換が PAT であることを示しています。i フラグは、変換が内部アドレス ICMP ID に適用されることを示しています。
内部アドレス フィールドは、高セキュリティ インターフェイスから低セキュリティ インターフェイスに移動するパケットに送信元アドレスとして表示されます。低セキュリティ インターフェイスから高セキュリティ インターフェイスに移動するパケットでは、内部アドレス フィールドが宛先アドレスとして表示されます。
次に、 show xlate コマンドの出力例を示します。この例では、2 つのスタティック変換が表示されています。最初の変換には「nconns」という接続が 1 つ関連付けられ、2 番目の変換には 4 つ関連付けられています。
関連コマンド
|
|
|
|---|---|
shun
新しい接続を阻止し、既存の接続からのパケットを拒否することによって、攻撃ホストへのダイナミックな応答をイネーブルにするには、特権 EXEC モードで shun コマンドを使用します。セキュリティ アプライアンスが排除のルックアップに使用する実際のアドレス( src_ip )に基づく排除をディセーブルにするには、このコマンドの no 形式を使用します。
shun src_ip [ dst_ip src_port dest_port [ protocol ]] [ vlan vlan_id ]
no shun src_ip [ vlan vlan_id ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
shun コマンドを使用すると、攻撃を受けるインターフェイスにブロッキング機能を適用できます。攻撃ホストの IP 送信元アドレスを含むパケットは、ブロッキング機能が手動でまたは Cisco IPS マスター モジュールによって削除されるまで、ドロップされ記録されます。IP 送信元アドレスからのトラフィックはセキュリティ アプライアンスを通過できません。残っている接続はすべて、標準アーキテクチャの一部としてタイムアウトになります。shun コマンドのブロッキング機能は、指定したホスト アドレスとの接続が現在アクティブであるかどうかに関らず適用されます。
ホストの送信元 IP アドレスだけを指定して shun コマンドを使用する場合、デフォルトは 0 となります。攻撃ホストからのトラフィックは許可されません。
shun コマンドは、攻撃のダイナミックなブロックに使用されるため、セキュリティ アプライアンス コンフィギュレーションには表示されません。
インターフェイスを削除すると、そのインターフェイスに適用されている排除もすべて削除されます。新しいインターフェイスを追加する場合や、同じインターフェイス(同じ名前)を置き換える場合、そのインターフェイスを IPS センサーで監視するときは、そのインターフェイスを IPS センサーに追加する必要があります。
例
次の例は、攻撃ホスト(10.1.1.27)が TCP で攻撃対象(10.2.2.89)との接続を作成していることを示しています。接続は、セキュリティ アプライアンス接続テーブル内で次のように記載されています。
上のコマンドにより、セキュリティ アプライアンス接続テーブルから接続が削除され、10.1.1.27 からのパケットがセキュリティ アプライアンスを通過できなくなります。攻撃ホストは、セキュリティ アプライアンスの内部にある場合も、外部にある場合もあります。
関連コマンド
|
|
|
|---|---|
shutdown
インターフェイスをディセーブルにするには、インターフェイス コンフィギュレーション モードで shutdown コマンドを使用します。インターフェイスをイネーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
物理インターフェイスは、デフォルトではすべてシャットダウンされます。セキュリティ コンテキスト内の割り当て済みインターフェイスは、コンフィギュレーション内ではシャットダウンされません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
物理インターフェイスは、デフォルトではすべてシャットダウンされます。イネーブルになっているサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチ コンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。
例
次の例では、メインのインターフェイスをイネーブルにしています。
次の例では、サブインターフェイスをシャットダウンしています。
関連コマンド
|
|
|
|---|---|
smtps
SMTPS コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで smtps コマンドを使用します。SMTPS コマンド モードで入力したすべてのコマンドを削除するには、このコマンドの no 形式を使用します。SMTPS は、SSL 接続を通じた電子メール送信を可能にする TCP/IP プロトコルです。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、SMTPS コンフィギュレーション モードに入る方法を示しています。
hostname(config)# smtps
関連コマンド
|
|
|
|---|---|
smtp-server
SMTP サーバを設定するには、グローバル コンフィギュレーション モードで smtp-server コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスには、特定のイベントが発生したことを外部エンティティに通知するときにイベント システムが使用できる、内部 SMTP クライアントが含まれています。これらのイベント通知を SMTP サーバで受信して、指定した電子メール アドレスに転送するように SMTP サーバを設定することができます。SMTP ファシリティがアクティブになるのは、セキュリティ アプライアンスで電子メール イベントをイネーブルにしている場合のみです。
smtp-server { primary_server } [ backup_server ]
シンタックスの説明
プライマリ SMTP サーバが使用不能になった場合に、イベント メッセージのリレー先となるバックアップ SMTP サーバを指定します。IP アドレスまたは DNS 名のいずれかを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、SMTP サーバの IP アドレスとして 10.1.1.24 を設定し、バックアップ SMTP サーバの IP アドレスとして 10.1.1.34 を設定する方法を示しています。
hostname(config)# smtp-server 10.1.1.24 10.1.1.34
snmp-server
セキュリティ アプライアンスのイベント情報を SNMP で提供するには、特権 EXEC モードで snmp-server コマンドを使用します。SNMP のコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server {community | contact | location } text }
no snmp-server {community | contact | location } text }
snmp-server host interface_name ip_addr [community commstr ] [ trap | poll ] [ version vers ] [ udp-port udp_port ]
no snmp-server host interface_name ip_addr [community commstr ] [ trap | poll ] [ version vers ] [ udp-port udp_port ]
snmp-server enable [traps [ all | feature [ trap1 ... [ trapn ]]]
no snmp-server enable [traps [ all | feature [ trap1 ... [ trapn ]]]
no snmp-server listen-port lport
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
snmp-server コマンドを使用すると、サイト、管理ステーション、コミュニティ ストリング、およびユーザ情報を識別できます。
SNMP 管理ステーションで使用するパスワード キーを入力します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと、管理されているネットワーク ノードとの間での共有秘密です。セキュリティ アプライアンスは、キーを使用して、着信 SNMP 要求が有効であるかどうかを判断します。たとえば、サイトにコミュニティ ストリングを指定してから、ルータ、セキュリティ アプライアンス、および管理ステーションに同じストリングを設定できます。セキュリティ アプライアンスはこのストリングを使用しますが、無効なコミュニティ ストリングを持つ要求には応答しません。
contact text は、大文字と小文字が区別される最大 127 文字の値です。スペースを使用できますが、複数のスペースは 1 つのスペースに短縮されます。
location text は、大文字と小文字が区別される最大 127 文字の値です。スペースを使用できますが、複数のスペースは 1 つのスペースに短縮されます。
最大 32 個の SNMP 管理ステーションを指定できます。
snmp-server host コマンドを使用してホストを設定するときに、 trap オプションを指定すると、デバイスは当該ホストからの着信要求を拒否するようになります。
clear configure snmp-server コマンドおよび no snmp-server コマンドは、次のように、コンフィギュレーション内で SNMP コマンドをディセーブルにします。
例
次の例は、管理ステーションから SNMP 要求を受信し始めるために入力するコマンドを示しています。
関連コマンド
|
|
|
|---|---|
snmp-map
SNMP 検査のパラメータを定義している特定のマップを指定するには、グローバル コンフィギュレーション モードで snmp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
snmp-map コマンドは、SNMP 検査のパラメータを定義している特定のマップを指定するために使用します。このコマンドを入力すると、システムが SNMP マップ コンフィギュレーション モードに入って、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。SNMP マップを定義した後は、inspect snmp コマンドを使用してマップをイネーブルにします。 class-map 、 policy-map 、および service-policy の各コマンドを使用して、トラフィックのクラスを定義し、inspect コマンドをクラスに適用し、ポリシーを 1 つまたはそれ以上のインターフェイスに適用します。
例
次の例は、SNMP トラフィックを識別し、SNMP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
関連コマンド
|
|
|
|---|---|
snmp-server enable trap remote-access
しきい値に基づくトラップ送信をイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable trap remote-access コマンドを使用します。しきい値に基づくトラップ送信をディセーブルにするには、このコマンドの no 形式を使用します。このコマンドを使用すると、リモートアクセス セッションが remote-access threshold session-threshold-exceeded コマンドで設定した数に達したときに、セキュリティ アプライアンスでトラップを送信できます。
snmp-server enable trap remote-access session-threshold-exceeded
no snmp-server enable trap remote-access
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、しきい値に基づくトラップ送信をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
アクティブな同時リモートアクセス セッションの数を指定します。この数に達すると、セキュリティ アプライアンスがトラップを送信します。 |
speed
銅線(RJ-45)イーサネット インターフェイスの速度を設定するには、インターフェイス コンフィギュレーション モードで speed コマンドを使用します。速度の設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
speed { auto | 10 | 100 | 1000 | nonegotiate }
no speed [ auto | 10 | 100 | 1000 | nonegotiate ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
ネットワークが自動検出をサポートしていない場合は、速度を特定の値に設定します。
ASA 5500 シリーズ適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度またはデュプレックス方式のいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックス方式の両方に明示的に固定値を設定して、両方の設定に関するオートネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。
例
次の例では、速度を 1000BASE-T に設定しています。
関連コマンド
|
|
|
|---|---|
split-dns
スプリット トンネルを介して解決されるドメインのリストを入力するには、グループポリシー コンフィギュレーション モードで split-dns コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
スプリット トンネリング ドメインのリストをすべて削除するには、 no split-dns コマンドを引数なしで使用します。 split-dns none コマンドを発行して作成されたヌル リストを含めて、設定済みのスプリット トンネリング ドメインのリストがすべて削除されます。
スプリット トンネリング ドメインのリストがない場合、ユーザはデフォルト グループポリシーに含まれているリストを継承します。ユーザがこれらのスプリット トンネリング ドメイン リストを継承しないようにするには、 split-dns none コマンドを使用します。
split-dns { value domain-name1 domain-name2 domain-nameN | none }
no split-dns [ domain-name domain-name2 domain-nameN ]
シンタックスの説明
スプリット DNS リストがないことを指定します。スプリット DNS リストにヌル値を設定して、スプリット DNS リストを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからスプリット DNS リストを継承しないようにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ドメインのリストに記述する各エントリは、1 個のスペースを使用して区切ります。エントリの数に制限はありませんが、エントリ文字列の長さは、255 文字を超えることはできません。使用できるのは、英数字、ハイフン(-)、およびピリオド(.)のみです。
no spilit-dns コマンドを引数なしで使用すると、 split-dns none コマンドを発行して作成されたヌル値を含めて、現在の値がすべて削除されます。
例
次の例は、FirstGroup というグループポリシーに対して、スプリット トンネリングを介して解決されるドメイン Domain1、Domain2、Domain3、および Domain4 を設定する方法を示しています。
関連コマンド
split-tunnel-network-list
スプリット トンネリング用のネットワークのリストを作成するには、グループポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用します。ネットワークのリストを削除するには、このコマンドの no 形式を使用します。
スプリット トンネリング ネットワークのリストをすべて削除するには、 no split-tunnel-network-list コマンドを引数なしで使用します。 split-tunnel-network-list none コマンドを発行して作成されたヌル リストを含めて、設定済みのネットワーク リストがすべて削除されます。
スプリット トンネリング ネットワークのリストがない場合、ユーザは、デフォルト グループポリシーまたは指定したグループポリシーに含まれているネットワーク リストを継承します。ユーザがこれらのネットワーク リストを継承しないようにするには、 split-tunnel-network-list none コマンドを使用します。
スプリット トンネリング ネットワークのリストは、トラフィックにトンネルの通過を要求するネットワークと、トンネリングを要求しないネットワークとを区別するためのものです。
split-tunnel-network-list {value access-list name | none}
no split-tunnel-network-list value [ access-list name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、スプリット トンネリングを実行するかどうかをネットワーク リストに基づいて判断します。このリストは、プライベート ネットワーク上にあるアドレスのリストで構成される、標準的な ACL です。
no spilit-tunnel-network-list コマンドを引数なしで使用すると、 split-tunnel-network-list none コマンドを発行して作成されたヌル値を含めて、現在のネットワーク リストがすべて削除されます。
例
次の例は、FirstGroup というグループポリシーに対して、FirstList というネットワーク リストを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
ドメイン フィールドを省略した DNS クエリーに対して、IPSec クライアントが使用するデフォルトのドメイン名を指定します。 |
|
IPSec クライアントが、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリアテキスト形式でネットワーク インターフェイスに誘導したりできるようにします。 |
split-tunnel-policy
スプリット トンネリング ポリシーを設定するには、グループポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを使用します。split-tunnel-policy のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このコマンドを使用すると、スプリット トンネリングの値を別のグループポリシーから継承できます。
スプリット トンネリングを利用すると、リモートアクセス IPSec クライアントが、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリアテキスト形式でネットワーク インターフェイスに誘導したりできるようになります。スプリット トンネリングがイネーブルになっている場合、宛先が IPSec トンネルの向こう側ではないパケットについては、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングが不要です。
このコマンドは、このようなスプリット トンネリング ポリシーを特定のネットワークに適用するものです。
split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スプリット トンネリングは、本来はセキュリティ機能ではなくトラフィック管理機能です。最適なセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことをお勧めします。
例
次の例は、FirstGroup というグループポリシーに対して、指定したネットワークのみトンネリングするスプリット トンネリング ポリシーを設定する方法を示しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified
関連コマンド
|
|
|
|---|---|
ドメイン フィールドを省略した DNS クエリーに対して、IPSec クライアントが使用するデフォルトのドメイン名を指定します。 |
|
トンネリングが必要なネットワークと不要なネットワークを区別するために、セキュリティ アプライアンスが使用するアクセスリストを指定します。 |
ssh
セキュリティ アプライアンスへの SSH アクセスを追加するには、グローバル コンフィギュレーション モードで ssh コマンドを使用します。セキュリティ アプライアンスへの SSH アクセスをディセーブルにするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
ssh { ip_address mask | ipv6_address / prefix } interface
no ssh { ip_address mask | ipv6_address / prefix } interface
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ssh ip_address コマンドは、セキュリティ アプライアンスへの SSH 接続の開始を認可するホストまたはネットワークを指定します。複数の ssh コマンドをコンフィギュレーションに含めることができます。このコマンドの no 形式は、特定の ssh コマンドをコンフィギュレーションから削除します。すべての ssh コマンドを削除するには、 clear configure ssh コマンドを使用します。
SSH を使用してセキュリティ アプライアンスに接続するには、 crypto key generate rsa コマンドを使用して、デフォルトの RSA キーをあらかじめ生成しておく必要があります。
セキュリティ アプライアンスでは、次のセキュリティ アルゴリズムと暗号がサポートされています。
• パケットの完全性を保証するための HMAC-SHA アルゴリズムと HMAC-MD5 アルゴリズム
• キー交換のための Diffie-Hellman Group 1 アルゴリズム
例
次の例は、IP アドレスが 10.1.1.1 である管理コンソールからの SSH バージョン 2 接続を受け入れるように内部インターフェイスを設定する方法を示しています。アイドル セッション タイムアウトを 60 分に設定し、SCP をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが SSH Version 1 または SSH Version 2 のいずれかだけを使用するように制限します。 |
ssh disconnect
アクティブな SSH セッションを切断するには、特権 EXEC モードで ssh disconnect コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セッション ID を指定する必要があります。切断する SSH セッションの ID を取得するには、
show ssh sessions コマンドを使用します。
例
次の例は、SSH セッションが切断されるようすを示しています。
関連コマンド
|
|
|
|---|---|
ssh scopy enable
セキュリティ アプライアンス上でセキュア コピー(SCP)をイネーブルにするには、グローバル コンフィギュレーション モードで ssh scopy enable コマンドを使用します。SCP をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SCP は、サーバ専用の実装です。SCP のための接続を受け入れること、および終了することはできますが、開始することはできません。セキュリティ アプライアンスでは、次の制限事項があります。
• SCP のこの実装では、ディレクトリをサポートしていないため、セキュリティ アプライアンスの内部ファイルへのリモート クライアント アクセスのみ実行できます。
• SSH バージョン 2 接続をサポートするには、セキュリティ アプライアンスのライセンスに VPN-3DES-AES 機能が含まれている必要があります。
例
次の例は、IP アドレスが 10.1.1.1 である管理コンソールからの SSH バージョン 2 接続を受け入れるように内部インターフェイスを設定する方法を示しています。アイドル セッション タイムアウトを 60 分に設定し、SCP をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが SSH Version 1 または SSH Version 2 のいずれかだけを使用するように制限します。 |
ssh timeout
デフォルトの SSH セッション アイドル タイムアウト値を変更するには、グローバル コンフィギュレーション モードで ssh timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
SSH セッションが切断されるまでに非アクティブ状態を維持する時間(分)を指定します。有効な値は 1 ~ 60 分です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ssh timeout コマンドは、セッションが切断されるまでにアイドル状態を維持する時間(分)を指定します。デフォルトの時間は 5 分です。
例
次の例は、IP アドレスが 10.1.1.1 である管理コンソールからの SSH バージョン 2 接続のみを受け入れるように内部インターフェイスを設定する方法を示しています。アイドル セッション タイムアウトを 60 分に設定し、SCP をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
ssh version
セキュリティ アプライアンスが受け入れる SSH のバージョンを制限するには、グローバル コンフィギュレーション モードで ssh version コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。デフォルト値では、セキュリティ アプライアンスへの SSH バージョン 1 接続と SSH バージョン 2 接続が許可されます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 と 2 は、セキュリティ アプライアンスが使用する SSH のバージョンをいずれかに限定するように指定します。このコマンドの no 形式は、セキュリティ アプライアンスをデフォルトの状態である互換モード(両方のバージョンを使用可能)に戻します。
例
次の例は、IP アドレスが 10.1.1.1 である管理コンソールからの SSH バージョン 2 接続を受け入れるように内部インターフェイスを設定する方法を示しています。アイドル セッション タイムアウトを 60 分に設定し、SCP をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
ssl client-version
セキュリティ アプライアンスがクライアントとして動作するときに使用する SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl client-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no 形式を使用します。このコマンドを使用すると、セキュリティ アプライアンスが送信する SSL/TLS のバージョンを限定できます。
ssl client-version [ any | sslv3-only | tlsv1-only ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP ポート転送は、WebVPN ユーザが一部の SSL バージョンを使用して接続している場合には機能しません。次に説明を示します。
問題となるのは、ポート転送アプリケーションを起動したときに、Java はクライアントの Hello パケットで SSLv3 のみをネゴシエートする点です。
例
次の例は、SSL クライアントとして動作するときに、TLSv1 のみを使用して通信するようにセキュリティ アプライアンスを設定する方法を示しています。
hostname(config)# ssl client-version tlsv1-only
関連コマンド
|
|
|
|---|---|
ssl encryption
SSL/TLS プロトコルで使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで ssl encryption コマンドを使用します。このコマンドをもう一度発行すると、直前の設定が上書きされます。アルゴリズムを使用する優先順位は、アルゴリズムの順序によって決まります。アルゴリズムを追加または削除して、使用している環境での要件を満たすようにしてください。デフォルト(すべての暗号化アルゴリズムが使用可能)に戻すには、このコマンドの no 形式を使用します。
ssl encryption [ 3des-sha1 ] [ des-sha1 ] [ rc4-md5 ] [ possibly others ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、3des-sha1 暗号化アルゴリズムと des-sha1 暗号化アルゴリズムを使用するようにセキュリティ アプライアンスを設定する方法を示しています。
hostname(config)# ssl encryption 3des-sha1 des-sha1
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
ssl server-version
セキュリティ アプライアンスがサーバとして動作するときに使用する SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl server-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no 形式を使用します。このコマンドを使用すると、セキュリティ アプライアンスが受け入れる SSL/TLS のバージョンを限定できます。
ssl server-version [ any | sslv3 | tlsv1 | sslv3-only | tlsv1-only ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP ポート転送は、WebVPN ユーザが一部の SSL バージョンを使用して接続している場合には機能しません。次に説明を示します。
電子メールプロキシを設定する場合は、SSL バージョンを tlsv1-only に設定しないでください。Outlook と Outlook Express は、TLS をサポートしていません。
例
次の例は、SSL サーバとして動作するときに、TLSv1 のみを使用して通信するようにセキュリティ アプライアンスを設定する方法を示しています。
hostname(config)# ssl server-version tlsv1-only
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
ssl trust-point
インターフェイスの SSL 証明書を表す証明書トラストポイントを指定するには、グローバル コンフィギュレーション モードで ssl trust-point コマンドを interface 引数を指定して使用します。インターフェイスを指定しない場合は、トラストポイントが設定されていないすべてのインターフェイスに使用される、フォールバック トラストポイントが作成されます。インターフェイスの指定がない SSL トラストポイントをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。インターフェイスの指定がないエントリを削除するには、このコマンドの no ssl trust-point { trustpoint [interface] } 形式を使用します。
ssl trust-point { trustpoint [interface] }
シンタックスの説明
デフォルト
トラストポイントの関連付けはありません。セキュリティ アプライアンスは、デフォルトの自己生成 RSA キーペア証明書を使用します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用する場合は、次の注意事項に従ってください。
• trustpoint の値は、 crypto ca trustpoint {name } コマンドで設定した CA トラストポイントの名前にする必要があります。
• interface の値は、事前設定済みのインターフェイスの nameif 名にする必要があります。
• トラストポイントを削除すると、そのトラストポイントを参照している ssl trust-point エントリもすべて削除されます。
• ssl trustpoint エントリは、インターフェイスごとに 1 つずつ、およびインターフェイスの指定がないもの 1 つを保持できます。
次の例は、このコマンドの no 形式を使用する方法を示しています。
このコンフィギュレーションには、次の SSL トラストポイントが含まれています。
ssl trust-point tp1
ssl trust-point tp2 outside
show run ssl を実行すると、次のように表示されます。
例
次の例は、内部インターフェイス用の FirstTrust という SSL トラストポイント、および関連するインターフェイスを持たない DefaultTrust というトラストポイントを設定する方法を示しています。
hostname(config)# ssl trust-point FirstTrust inside
hostname(config)# ssl trust-point DefaultTrust
次の例は、このコマンドの no 形式を使用して、関連するインターフェイスを持たないトラストポイントを削除する方法を示しています。
hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
hostname(config)# show running-configuration ssl
次の例は、インターフェイスが関連付けられているトラストポイントを削除する方法を示しています。
hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
hostname(config)# no ssl trust-point FirstTrust inside
hostname(config)# show running-configuration ssl
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
static
実際の IP アドレスをマッピング IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換規則を設定するには、グローバル コンフィギュレーション モードで static コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
static ( real_ifc , mapped_ifc ) { mapped_ip | interface } { real_ip [ netmask mask ] | access-list access_list_name } [ dns ] [ norandomseq [ nailed ]] [[ tcp ] { max_conns { emb_lim }} [ udp udp_max_conns ]]
no static ( real_ifc , mapped_ifc ) { mapped_ip | interface } { real_ip [ netmask mask ] | access-list access_list_name } [ dns ] [ norandomseq [ nailed ]] [[ tcp ] { max_conns { emb_lim }} [ udp udp_max_conns ]]
static ( real_ifc , mapped_ifc ) {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ]} | { access-list access_list_name } [ dns ] [ norandomseq [ nailed ]] [[ tcp ] { max_conns { emb_lim }} [ udp udp_max_conns ]]
no static ( real_ifc , mapped_ifc ) {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ]} | { access-list access_list_name } [ dns ] [ norandomseq [ nailed ]] [[ tcp ] { max_conns { emb_lim }} [ udp udp_max_conns ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スタティック NAT では、実際のアドレス(複数可)からマッピング アドレス(複数可)への固定的な変換を作成します。ダイナミック NAT およびダイナミック PAT の場合、後続の変換では、各ホストはそれぞれ別のアドレスまたはポートを使用します。スタティック NAT では、マッピング アドレスは連続する各接続で同じであり、恒久的な変換規則が存在します。このため、スタティック NAT を利用する場合は、宛先ネットワーク上のホストが変換後のホストに向かうトラフィックを開始できます(この処理を許可するアクセスリストが存在する場合)。
ダイナミック NAT と、スタティック NAT のアドレス範囲との主な違いは、スタティック NAT を利用する場合、変換後のホストに向かう接続をリモート ホストが開始できることです(この処理を許可するアクセスリストが存在する場合)。ダイナミック NAT の場合はできません。また、スタティック NAT では、実際のアドレスと同じ数のマッピング アドレスが必要になります。
スタティック PAT はスタティック NAT と同じですが、実際のアドレスおよびマッピング アドレスに対して、プロトコル(TCP または UDP)とポートを指定できる点が異なります。
この機能を使用すると、同じマッピング アドレスを複数のさまざまな static 文に対して指定できます。ただし、それぞれの文でポートが異なっている必要があります(複数のスタティック NAT 文に対して同じマッピング アドレスを使用することはできません)。
同じ実際のアドレスまたはマッピング アドレスを、複数の static コマンド内で同じ 2 つのインターフェイスに関して使用することはできません。同じマッピング インターフェイスに対して global コマンドでも定義されているマッピング アドレスは、 static コマンドの中では使用しないでください。
セカンダリ チャネルのアプリケーション検査を必要とするアプリケーション(FTP、VoIP など)に対してポリシー NAT のポートを指定すると、セキュリティ アプライアンスは自動的にセカンダリ ポートを変換します。
NAT は、従来の意味では、透過ファイアウォール モードで使用できません。透過ファイアウォール モードでは、 static コマンドを使用することによって、最大接続数、最大初期接続数、および TCP シーケンスのランダム化を設定できます。この場合、実際の IP アドレスとマッピング IP アドレスは両方とも同じです。
最大接続数、最大初期接続数、および TCP シーケンスのランダム化は、 set connection コマンドを使用して設定することもできます。同じトラフィックに対して両方の方法でこれらの設定値を設定した場合、セキュリティ アプライアンスは小さい方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法でディセーブルにされている場合、セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。
変換のためのネットワークを指定すると(10.1.1.0 255.255.255.0 など)、セキュリティ アプライアンスは .0 と .255 のアドレスを変換します。これらのアドレスへのアクセスを禁止する場合は、アクセスを拒否するようにアクセスリストを設定する必要があります。
例
次のポリシー スタティック NAT の例は、宛先アドレスに応じて 2 つのマッピング アドレスに変換される 1 つの実際のアドレスを示しています。
次のコマンドでは、内部 IP アドレス(10.1.1.3)を外部 IP アドレス(209.165.201.12)にマッピングしています。
次のコマンドでは、外部 IP アドレス(209.165.201.15)を内部 IP アドレス(10.1.1.6)にマッピングしています。
次のコマンドでは、サブネット全体をスタティックにマッピングしています。
次の例は、限定された数のユーザが、Intel Internet Phone、CU-SeeMe、CU-SeeMe Pro、MeetingPoint、または Microsoft NetMeeting を使用して、H.323 経由でコール インできるようにする方法を示しています。 static コマンドでは、アドレス 209.165.201.0 ~ 209.165.201.30 がローカル アドレス 10.1.1.1 ~ 10.1.1.30 にマッピングされます(209.165.201.1 は 10.1.1.1 にマッピングされ、209.165.201.10 は 10.1.1.10 にマッピングされ、他も同様にマッピングされます)。
次の例は、Mail Guard をディセーブルにするためのコマンドを示しています。
この例では、static コマンドでグローバル アドレスをセットアップして、外部のホストが dmz1 インターフェイス上の 10.1.1.1 メール サーバ ホストにアクセスすることを許可します。DNS 用の MX レコードが 209.165.201.1 アドレスを指すように設定する必要があり、これによってメールはこのアドレスに送信されます。access-list コマンドによって、外側ユーザが SMTP ポート(25)を経由して、グローバル アドレスにアクセスできるようにしています。no fixup protocol コマンドにより、Mail Guard がディセーブルになります。
たとえば、10.1.3.0 ネットワーク上のホストから開始されてセキュリティ アプライアンスの外部インターフェイス(10.1.2.14)に向かう Telnet トラフィックは、次のコマンドを入力することで内部のホスト(10.1.1.15)にリダイレクトできます。
10.1.3.0 ネットワーク上のホストから開始されてセキュリティ アプライアンスの外部インターフェイス(10.1.2.14)に向かう HTTP トラフィックは、次のコマンドを入力することで内部のホスト(10.1.1.15)にリダイレクトできます。
セキュリティ アプライアンスの外部インターフェイス(10.1.2.14)からの Telnet トラフィックを内部ホスト 10.1.1.15 にリダイレクトするには、次のコマンドを入力します。
上の実際の Telnet サーバが接続を開始することを許可するには、変換を追加する必要があります。たとえば、他のすべてのタイプのトラフィックを変換するには、次のコマンドを入力します。元のままの static コマンドは、このサーバに向かう Telnet に関する変換を定義しています。それに対して、 nat コマンドと global コマンドでは、このサーバからの発信接続に関する PAT を定義しています。
すべての内部トラフィックに独自の変換を定義していて、内部ホストが Telnet サーバとは別のマッピング アドレスを使用している場合でも、Telnet サーバから開始されるトラフィックについては、サーバに向かう Telnet トラフィックを許可する static 文と同じマッピング アドレスを使用するように設定することができます。Telnet サーバにのみ適用する、より限定的な nat コマンドを作成する必要があります。 nat 文は、最もよく一致しているものが読み取られます。このため、限定的な nat コマンドは汎用の文よりも先に一致します。次の例は、Telnet に関する static 文、Telnet サーバから開始されるトラフィックに関する限定的な nat 文、および別のマッピング アドレスを使用するその他の内部ホストに関する文を示しています。
既知のポート(80)を別のポート(8080)に変換するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
strict-http
HTTP に準拠しないトラフィックの転送を許可するには、HTTP マップ コンフィギュレーション モードで strict-http コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。この機能の動作をデフォルトにリセットするには、このコマンドの no 形式を使用します。
strict-http action { allow | reset | drop } [ log ]
no strict-http action { allow | reset | drop } [ log ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
厳密な HTTP 検査をディセーブルにすることはできませんが、 strict-http action allow コマンドを使用すると、HTTP に準拠しないトラフィックの転送をセキュリティ アプライアンスで許可することができます。このコマンドは、デフォルトの動作(HTTP に準拠しないトラフィックの転送を拒否)を上書きします。
例
次の例では、HTTP に準拠しないトラフィックの転送を許可しています。
関連コマンド
|
|
|
|---|---|
strip-group
このコマンドが適用されるのは、user@realm の形式で受信したユーザ名のみです。レルムは、@ デリミタを使用してユーザ名に付加される管理ドメインです(たとえば、juser@abc)。
グループ除去処理をイネーブルまたはディセーブルにするには、トンネルグループ一般アトリビュート モードで strip-group コマンドを使用します。セキュリティ アプライアンスは、VPN クライアントが提示するユーザ名からグループ名を取得して、PPP 接続用のトンネルグループを選択します。グループ除去処理をイネーブルにすると、セキュリティ アプライアンスは、ユーザ名のユーザ部分のみを認可と認証用に送信します。これ以外の場合(ディセーブルにした場合)、セキュリティ アプライアンスはレルムを含めてユーザ名全体を送信します。
グループ除去処理をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、IPSec リモートアクセス タイプ用に「remotegrp」という名前のリモートアクセス トンネルグループを設定し、次に一般コンフィギュレーション モードに入って、「remotegrp」という名前のトンネルグループをデフォルト グループポリシーとして設定し、次にこのトンネルグループについてグループ除去をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信したユーザ名からグループ名を解析するときに使用するデリミタを指定します。 |
|
crypto ca certificate map コマンドを使用して作成した証明書マップ エントリを、トンネルグループに関連付けます。 |
strip-realm
レルム除去処理をイネーブルまたはディセーブルにするには、トンネルグループ一般アトリビュート コンフィギュレーション モードで strip-realm コマンドを使用します。レルム除去処理は、ユーザ名を認証サーバまたは認可サーバに送信するときに、ユーザ名からレルムを削除するものです。レルムは、@ デリミタを使用してユーザ名に付加される管理ドメインです
(たとえば、username@realm)。このコマンドをイネーブルにすると、セキュリティ アプライアンスは、ユーザ名のユーザ部分のみを認可と認証用に送信します。ディセーブルにした場合には、セキュリティ アプライアンスはユーザ名全体を送信します。
レルム除去処理をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、IPSec リモートアクセス タイプ用に「remotegrp」という名前のリモートアクセス トンネルグループを設定し、次に一般コンフィギュレーション モードに入って、「remotegrp」という名前のトンネルグループをデフォルト グループポリシーとして設定し、次にこのトンネルグループについてレルム除去をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
subject-name (crypto ca certificate map)
規則エントリを IPSec ピア証明書のサブジェクト DN に適用することを指定するには、CA 証明書マップ コンフィギュレーション モードで subject-name コマンドを使用します。サブジェクト名を削除するには、このコマンドの no 形式を使用します。
subject-name [ attr tag ] eq | ne |co | nc string
no subject-name [ attr tag ] eq | ne |co | nc string
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、証明書マップ 1 の CA 証明書マップ モードに入って、証明書サブジェクト名の Organization アトリビュートが Central と等しくなる必要があると指定する規則エントリを作成しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドを使用して作成した証明書マップ エントリを、トンネルグループに関連付けます。 |
subject-name (crypto ca trustpoint)
指定したサブジェクト DN を登録時に証明書に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで subject-name コマンドを使用します。これは、証明書を使用する人物またはシステムです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
X.500 認定者名(たとえば、cn=crl,ou=certs,o=CAName,c=US)を定義します。最大長は 1,000 文字(実質上の無制限)です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入って、URL https//:frog.phoobin.com での自動登録をセットアップし、サブジェクト DN OU tiedye.com をトラストポイント central の登録要求に含めています。
関連コマンド
|
|
|
|---|---|
summary-address
OSPF の集約アドレスを作成するには、ルータ コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスまたは特定のサマリー アドレス オプションを削除するには、このコマンドの no 形式を使用します。
summary-address addr mask [ not-advertise ] [ tag tag_value ]
no summary-address addr mask [ not-advertise ] [ tag tag_value ]
シンタックスの説明
(オプション)各外部ルートに付加される 32 ビットの 16 進値。この値は、OSPF 自体によって使用されることはありません。ASBR 間で情報を交換するために使用されます。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効な値は 0 ~ 4294967295 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
他のルーティング プロトコルからラーニングしたルートは、要約することができます。このコマンドを OSPF に対して使用すると、OSPF 自律システム境界ルータ(ASBR)は、当該アドレスの対象となる再配布されるすべてのルートの要約として、1 つの外部ルートをアドバタイズします。このコマンドが要約するのは、他のルーティング プロトコルからラーニングした、OSPF に再配布されているルートのみです。OSPF エリア間の経路集約には、 area range コマンドを使用します。
summary-address コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を他のオプション キーワードや引数を指定せずに使用します。オプションをコンフィギュレーション内の summary コマンドから削除するには、削除するオプションを付加してこのコマンドの no 形式を使用します。詳細については、「例」を参照してください。
例
次の例では、 tag を 3 に設定して経路集約を設定しています。
次の例は、デフォルト値に戻す対象オプションを指定して summary-address コマンドの no 形式を使用する方法を示しています。この例では、前の例で 3 に設定した tag の値を summary-address コマンドから削除しています。
次の例では、 summary-address コマンドをコンフィギュレーションから削除しています。
関連コマンド
|
|
|
|---|---|
sunrpc-server
SunRPC サービス テーブル内にエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。SunRPC サービス テーブルのエントリをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port ] timeout hh:mm:ss
no sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port] timeout hh:mm:ss
no sunrpc-server active service service_type server ip_addr
シンタックスの説明
タイムアウト アイドル期間を指定します。この期間を過ぎると、SunRPC サービス トラフィックへのアクセスが終了します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SunRPC サービス テーブルは、タイムアウトで指定した期間中に、SunRPC トラフィックが確立済み SunRPC セッションに基づいてセキュリティ アプライアンスを通過することを許可するために使用します。
例
次の例は、SunRPC サービス テーブルを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
support-user-cert-validation
現在のトラストポイントが、リモート ユーザ証明書を発行した CA に認証されている場合に、リモート ユーザ証明書をそのトラストポイントに基づいて検証するには、暗号 CA トラストポイント コンフィギュレーション モードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no support-user-cert-validation
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、同じ CA に対して 2 つのトラストポイントを保持できます。このため、同じ CA から 2 つの異なる ID 証明書が発行されることがあります。あるトラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA の認証を受ける場合、このオプションは自動的にディセーブルになります。したがって、パス検証パラメータの選択であいまいさが生じることはありません。あるトラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA の認証を受けた場合は、ユーザが当該トラストポイント上でこの機能をアクティブにしようとしても、その操作は許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。
例
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入って、トラストポイント central でのユーザ検証の受け入れをイネーブルにしています。
関連コマンド
|
|
|
|---|---|
syn-data
データを含んでいる SYN パケットを許可またはドロップするには、tcp マップ コンフィギュレーション モードで syn-data コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドは、モジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。
service-policy コマンドで TCP 検査を有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで syn-data コマンドを使用して、データを含んでいる SYN パケットをドロップします。
TCP の仕様によると、TCP 実装は、SYN パケットに含まれているデータを受け入れることが要件になっています。これは仕様の微妙かつあいまいな点であり、実装の中には、このパケットを適切に処理しないものもあります。不適切なエンドシステム実装を標的にする挿入攻撃に対して、脆弱にならないようにするには、データを含んでいる SYN パケットをドロップすることをお勧めします。
例
次の例は、データを含んでいる SYN パケットをすべての TCP フローでドロップする方法を示しています。
関連コマンド
|
|
|
|---|---|
policy-map 、 class(ポリシーマップ) 、および description コマンドのシンタックス ヘルプを表示します。 |
|
sysopt connection permit-ipsec
IPSec パケットがインターフェイスのアクセスリストをバイパスできるようにするには、グローバル コンフィギュレーション モードで sysopt connection permit-ipsec コマンドを使用します。グループポリシーおよびユーザごとの認可アクセスリストは、引き続きトラフィックに適用されます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
sysopt connection permit-ipsec
no sysopt connection permit-ipsec
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、デフォルトでイネーブルになりました。また、バイパスされるのはインターフェイスのアクセスリストのみです。グループポリシーおよびユーザごとのアクセスリストは有効なままです。 |
使用上のガイドライン
コンフィギュレーションを簡略化し、セキュリティ アプライアンスのパフォーマンスを最大限まで高めるには、IPSec トラフィックについてはインターフェイス アクセスリストをバイパスすることをお勧めします。この機能をディセーブルにする場合は、入力インターフェイスにアクセスリストを適用して、すべての IPSec ピアからの IPSec パケットを許可する必要があります( access-list コマンドおよび access-group コマンドを参照)。
例
次の例では、IPSec トラフィックがインターフェイスのアクセスリストをバイパスできるようにしています。
関連コマンド
|
|
|
|---|---|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection tcpmss
TCP セグメントの最大サイズが設定した値を超えないようにし、指定したサイズよりも小さくならないようにするには、グローバル コンフィギュレーション モードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
sysopt connection tcpmss [ minimum ] bytes
no sysopt connection tcpmss [ minimum ] [ bytes ]
シンタックスの説明
TCP セグメントの最大サイズをバイト単位で設定します(48 ~任意の最大値)。デフォルト値は 1,380 バイトです。 bytes を 0 に設定することによって、この機能をディセーブルにできます。 |
|
セグメントの最大サイズを上書きして、 bytes 未満(48 ~ 65,535 バイト)にならないようにします。この機能は、デフォルトではディセーブルになっています(0 に設定されています)。 |
デフォルト
デフォルトの最大値は 1,380 バイトです。minimum 機能は、デフォルトではディセーブルになっています(0 に設定されています)。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホストとサーバが接続を最初に確立するときは、ホストとサーバの両方でセグメントの最大サイズを設定できます。どちらかの最大サイズが sysopt connection tcpmss コマンドで設定した値を超えている場合、セキュリティ アプライアンスはその最大サイズを無効にして、設定した値を挿入します。どちらかの最大サイズが sysopt connection tcpmss minimum コマンドで設定した値よりも小さくなっている場合、セキュリティ アプライアンスはその最大サイズを無効にして、設定した「minimum」値を挿入します(minimum 値は、許容される最も小さい最大サイズです)。たとえば、最大サイズを 1,200 バイト、最小サイズを 400 バイトに設定した場合、ホストが最大サイズとして 1,300 バイトを要求しているときは、1,200 バイト(最大サイズ)を要求するようにセキュリティ アプライアンスがパケットを変更します。別のホストが最大値として 300 バイトを要求している場合、セキュリティ アプライアンスは 400 バイト(最小サイズ)を要求するようにパケットを変更します。
デフォルトの 1,380 バイトにしておくと、ヘッダー情報用の余裕ができるため、パケット全体のサイズが 1,500 バイトを超えることがなくなります。1,500 バイトは、イーサネットのデフォルト最大伝送ユニット(maximum transmission unit; MTU)です。次の計算式を参照してください。
1,380 データ + 20 TCP + 20 IP + 24 AH + 24 ESP_CIPHER + 12 ESP_AUTH + 20 IP = 1,500 バイト
ホストまたはサーバが最大セグメント サイズを要求しない場合、セキュリティ アプライアンスは、RFC 793 のデフォルト値である 536 バイトが有効であると想定します。
最大サイズを 1,380 バイトよりも大きい値に設定すると、MTU のサイズ(デフォルトは 1,500 バイト)によってはパケットがフラグメント化される可能性があります。フラグメントが大量に発生すると、セキュリティ アプライアンスが Frag Guard 機能を使用している場合にパフォーマンスに影響する可能性があります。最小サイズを設定しておくと、TCP サーバが小さな TCP データ パケットをクライアントに大量に送信して、サーバとネットワークのパフォーマンスに影響を与えることを防止できます。
(注) この機能を普通に使用する場合にはお勧めしませんが、syslog IPFRAG メッセージ 209001 および 209002 が発生する場合は、bytes 値を大きくできます。
例
次の例では、最大サイズを 1,200 バイト、最小サイズを 400 バイトに設定しています。
関連コマンド
|
|
|
|---|---|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection timewait
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が少なくとも 15 秒の短縮
TIME_WAIT 状態を保持するようにするには、グローバル コンフィギュレーション モードで sysopt connection timewait コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズである場合は、この機能を使用することをお勧めします。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスのデフォルトの動作では、シャットダウン シーケンスが追跡され、2 つの FIN と最後の FIN セグメントの ACK の後、接続が解放されます。この即時解放ヒューリスティックにより、セキュリティ アプライアンスは、標準クローズ シーケンスと呼ばれる一般的なクロージング シーケンスに基づいて、高接続率を保つことができます。ただし、一方のエンドがクローズし、もう一方のエンドは確認応答してからクロージング シーケンスを開始する標準クローズ シーケンスとは対照的に、同時クローズでは、トランザクションの両エンドがクロージング シーケンスを開始します(RFC 793 を参照)。したがって、同時クローズでは、即時解放により、接続の 1 つのサイドで CLOSING 状態が保持されます。CLOSING 状態の多くのソケットがある場合は、エンド ホストのパフォーマンスが低下することがあります。たとえば、一部の WinSock メインフレーム クライアントは、このような動作を示し、メインフレーム サーバのパフォーマンスを低下させることが確認されています。 sysopt connection timewait コマンドを使用すると、同時クローズ ダウン シーケンスを完了するためのウィンドウが作成されます。
例
次の例では、timewait(一時停止)機能をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
sysopt nodnsalias
alias コマンドを使用する場合に、DNS の A レコード アドレスを変更する DNS 検査をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt nodnsalias コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 alias コマンドで NAT のみを実行して、DNS パケットの変更が不要な場合には、DNS アプリケーション検査をディセーブルにすることをお勧めします。
sysopt nodnsalias { inbound | outbound }
no sysopt nodnsalias { inbound | outbound }
シンタックスの説明
セキュリティの低いインターフェイスから、 alias コマンドで指定したセキュリティの高いインターフェイスに向かうパケットの DNS レコード変更をディセーブルにします。 |
|
alias コマンドで指定したセキュリティの高いインターフェイスから、セキュリティの低いインターフェイスに向かうパケットの DNS レコード変更をディセーブルにします。 |
デフォルト
この機能は、デフォルトではディセーブルになっています。つまり、DNS レコードのアドレス変更がイネーブルになっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
alias コマンドは、NAT、および DNS の A レコードのアドレス変更を実行します。DNS レコードの変更は、特定の状況下ではディセーブルにしたほうがよい場合もあります。
例
次の例では、着信パケットについて DNS アドレスの変更をディセーブルにしています。
関連コマンド
|
|
|
|---|---|
sysopt noproxyarp
NATグローバル アドレスに対するインターフェイス上でのプロキシ ARP をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt noproxyarp コマンドを使用します。グローバル アドレスに対するプロキシ ARP を再度イネーブルにするには、このコマンドの no 形式を使用します。
sysopt noproxyarp interface_name
no sysopt noproxyarp interface_name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まれに、グローバル アドレスに対するプロキシ ARP をディセーブルにしたほうがよい場合もあります。
ホストが IP トラフィックを同じイーサネット ネットワーク上の別のデバイスに送信するとき、ホストはデバイスの MAC アドレスを知っている必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは、「この IP アドレスは誰なのか」という ARP 要求を送信します。当該の IP アドレスを所有しているデバイスは、「その IP アドレスを所有している。これが私の MAC アドレスだ」という応答を返します。
プロキシ ARP は、デバイスが当該の IP アドレスを所有していない場合でも、デバイスが自身の MAC アドレスで ARP 要求に応答する動作です。NAT を設定して、セキュリティ アプライアンス インターフェイスと同じネットワーク上にあるグローバル アドレスを指定すると、セキュリティ アプライアンスはプロキシ ARP を使用します。トラフィックがホストに到達する唯一の方法は、セキュリティ アプライアンスがプロキシ ARP を使用して、セキュリティ アプライアンスの MAC アドレスが宛先グローバル アドレスに割り当てられていると主張することです。
例
次の例では、内部インターフェイス上でのプロキシ ARP をディセーブルにしています。
関連コマンド
|
|
|
|---|---|
sysopt radius ignore-secret
RADIUS アカウンティング応答に含まれている認証キーを無視するには、グローバル コンフィギュレーション モードで sysopt radius ignore-secret コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。一部の RADIUS サーバとの互換性を維持するには、このキーを無視する必要があります。
no sysopt radius ignore-secret
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Livingston Version 1.16 など、一部の RADIUS サーバでは、アカウンティング確認応答の認証ハッシュ内にキーが含まれていないという使用上の注意点があります。このような場合、セキュリティ アプライアンスがアカウンティング要求を継続的に再送信することがあります。 sysopt radius ignore-secret コマンドは、アカウンティング確認応答の認証キーを無視して、再送信の問題を回避するために使用します。ここで説明しているキーとは、 aaa-server host コマンドで設定するキーです。
例
次の例では、アカウンティング応答に含まれている認証キーを無視しています。
関連コマンド
|
|
|
|---|---|
sysopt uauth allow-http-cache
Web ブラウザがセキュリティ アプライアンス上の仮想 HTTP サーバ( virtual http コマンドを参照)から再認証を受ける場合に、キャッシュにあるユーザ名とパスワードを Web ブラウザが使用できるようにするには、グローバル コンフィギュレーション モードで sysopt uauth allow-http cache コマンドを使用します。HTTP キャッシュを許可しない場合は、認証セッションがタイムアウトすると、次に仮想 HTTP サーバに接続したときにユーザ名とパスワードの再入力を求められます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no sysopt uauth allow-http-cache
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
フィードバック