この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
オンライン診断テストの設定をクリアするには、特権 EXEC モードで loopback コマンドを使用します。
clear diagnostics loopback
このコマンドには、引数またはキーワードはありません。
デフォルトの動作や値はありません。
特権 EXEC
clear diagnostics loopback command は、オンライン診断テストの設定をクリアします。
次に、clear diagnostics loopback コマンドの出力例を示します。
ciscoasa#
clear diagnostics loopback
Port Test Pkts-received Failures
0 0 0 0
1 0 0 0
自動ステートメッセージングをイネーブルにするには、グローバル コンフィギュレーション モードで firewall autostate コマンドを使用します。自動ステートをディセーブルにするには、このコマンドの no 形式を使用します。
firewall autostate
no firewall autostate
このコマンドには引数またはキーワードはありません。
デフォルトでは、自動ステートはディセーブルになっています。
グローバル コンフィギュレーション
自動ステートメッセージングを行うと、スイッチインターフェイスに障害が発生したか、起動したかについて、ASA ですばやく検出できます。スーパーバイザエンジンは、ASA VLAN に関連付けられている物理インターフェイスのステータスに関する自動ステートメッセージを ASA に送信できます。たとえば、VLAN に関連付けられているすべての物理インターフェイスがダウンすると、自動ステート メッセージにより、VLAN がダウンしていることが ASA に通知されます。ASA では、この情報を受けて、VLAN をダウンとして宣言し、いずれの側でリンク障害が発生しているかを判別するために通常必要となるインターフェイス モニタリング テストをバイパスできます。自動ステート メッセージングにより、ASA がリンク障害を検出するのに要する時間が大幅に短縮されます(自動ステートがサポートされていない場合の最長 45 秒と比較すると、数ミリ秒も短縮されます)。
次の場合に、スイッチのスーパーバイザから ASA に自動ステートメッセージが送信されます。
VLAN に属している最後のインターフェイスが停止した
VLAN に属している最初のインターフェイスが動作を開始した
次の例では、自動ステート メッセージングをイネーブルにします。
Router(config)# firewall autostate
ファイアウォールグループを ASA に割り当てるには、グローバル コンフィギュレーション モードで firewall module コマンドを入力します。このグループを削除するには、このコマンドの no 形式を使用します。
firewall module module_number vlan-group firewall_group
no firewall module module_number vlan-group firewall_group
|
module_number |
モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。 |
|
vlan-group firewall_group |
firewall vlan-group コマンドで定義されている 1 つ以上のグループ番号を指定します。
番号または範囲はカンマで区切ります。番号の入力例を示します。 |
デフォルトの動作や値はありません。
グローバル コンフィギュレーション
ASASM ごとに最大 16 のファイアウォール VLAN グループを割り当てることができます。(Cisco IOS ソフトウェアで 16 より多くの VLAN グループを作成できますが、各 ASASM に割り当てることができるのは 16 グループのみです)。グループを作成するには、firewall vlan-group コマンドを参照してください。たとえば、すべての VLAN を 1 つのグループに割り当てる、内部グループと外部グループを作成する、またはカスタマーごとにグループを 1 つずつ作成するといったことが可能です。
グループごとの VLAN の数に制限はありませんが、ASASM が使用できる VLAN の数は ASASM システムの上限値までに限られます(詳細については、ASASM ライセンスマニュアルを参照してください)。
同じ VLAN を複数のファイアウォール グループに関連付けることはできません。
複数の ASASM に単一のファイアウォールグループを割り当てることはできます。たとえば、複数の ASASM に割り当てる VLAN は、それぞれの ASASM に対して一意の VLAN とは別のグループに配置できます。
同一スイッチシャーシ内で ASASM フェールオーバーを使用する場合は、フェールオーバーおよびステートフル通信のために確保してある VLAN(複数可)をスイッチポートに割り当てないでください。ただし、シャーシ間でフェールオーバーを使用する場合は、シャーシ間を結ぶトランク ポートに VLAN を組み込む必要があります。
ASASM に VLAN を割り当てる前に、スイッチに VLAN を追加しなかった場合、VLAN はスーパーバイザエンジンのデータベースに保管され、スイッチに追加された時点で ASASM に送信されます。
VLAN がスイッチに割り当てられる前に、ASASM コンフィギュレーションに VLAN を設定できます。スイッチが ASASM に VLAN を送信すると、ASASM コンフィギュレーションで VLAN をシャットダウンしたかどうかに関係なく、VLAN はデフォルトで ASASM において管理目的のアップ状態になります。この場合、再度シャットダウンする必要があります。
次の例では、3 つのファイアウォール VLAN グループ(各 ASA に 1 グループずつ、および両方の ASA に割り当てられた VLAN を含む 1 グループ)を作成する方法を示します。
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall vlan-group 52 100
Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52
次に、show firewall vlan-group コマンドの出力例を示します。
Router# show firewall vlan-group
Group vlans
----- ------
50 55-57
51 70-85
52 100
次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。
Router# show firewall module
Module Vlan-groups
5 50,52
8 51,52
複数の SVI を ASA に追加できるようにするには、グローバル コンフィギュレーション モードで firewall multiple-vlan-interfaces コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。
firewall multiple-vlan-interfaces
no firewall multiple-vlan-interfaces
このコマンドには引数またはキーワードはありません。
デフォルトでは、複数の SVI は許可されません。
グローバル コンフィギュレーション
MSFC 上で定義された VLAN をスイッチ仮想インターフェイス(SVI)といいます。SVI 用の VLAN を ASA に割り当てると、MSFC は、ASA と他のレイヤ 3 VLAN 間でルーティングを行います。セキュリティ上の理由から、デフォルトでは MSFC と ASA 間に配置できる SVI は 1 つだけです。たとえば、誤って複数の SVI をシステムに設定した場合は、MSFC に内部 VLAN と外部 VLAN の両方が割り当てられていることによって、トラフィックが偶発的に ASA をバイパスする可能性があります。
ただし、ネットワークシナリオの中には、ASA をバイパスする必要があるものもあります。たとえば、IP ホストと同じイーサネット セグメント上に IPX ホストが配置されている場合、複数の SVI を使用する必要があります。ルーテッド ファイアウォール モードの ASA は IP トラフィックしか処理せず、IPX などの他のプロトコルトラフィックを廃棄するため(トランスペアレント ファイアウォール モードでは IP 以外のトラフィックの通過が任意に許可されます)、IPX トラフィックで ASA をバイパスすることが必要になる場合があります。この場合、必ず、VLAN を通過できるのが IPX トラフィックに限定されるアクセス リストを使用して MSFC を設定してください。
トランスペアレント ファイアウォールがマルチ コンテキスト モードの場合、コンテキストごとに対応する外部インターフェイス上に固有の VLAN が必要なため、複数の SVI を使用する必要があります。ルーテッド モードの場合でも複数の SVI を使用できるので、外部インターフェイス用に 1 つの VLAN を共有する必要はありません。
次に、複数の SVI を使用する一般的な設定例を示します。
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall module 8 vlan-group 50-51
Router(config)# firewall multiple-vlan-interfaces
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# end
Router#
次に、show interface コマンドの出力例を示します。
Router# show interface vlan 55
Vlan55 is up, line protocol is up
Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
Internet address is 55.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type:ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
Queueing strategy:fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
L3 out Switched:ucast:0 pkt, 0 bytes
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
4 packets output, 256 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
VLAN をファイアウォールグループに割り当てるには、グローバル コンフィギュレーション モードで firewall vlan-group コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。
firewall [ switch { 1 | 2 }] vlan-group firewall_group vlan_range
no firewall [ switch { 1 | 2 }] vlan-group firewall_group vlan_range
|
firewall_group |
整数のグループ ID を指定します。 |
||
|
vlan_range |
グループに割り当てる VLAN を指定します。vlan_range 値には、次のいずれかの形式で 1 つまたは複数の VLAN(2 ~ 1000 および 1025 ~ 4094)を指定できます。
番号または範囲はカンマで区切ります。番号の入力例を示します。
|
||
|
switch {1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
グローバル コンフィギュレーション
firewall module コマンドを使用して、ASASM ごとに最大 16 のファイアウォール VLAN グループを割り当てることができます。(Cisco IOS ソフトウェアで 16 より多くの VLAN グループを作成できますが、各 ASASM に割り当てることができるのは 16 グループのみです)。たとえば、すべての VLAN を 1 つのグループに割り当てる、内部グループと外部グループを作成する、またはカスタマーごとにグループを 1 つずつ作成するといったことが可能です。
グループごとの VLAN の数に制限はありませんが、ASASM が使用できる VLAN の数は ASASM システムの上限値までに限られます(詳細については、ASASM ライセンスマニュアルを参照してください)。
同じ VLAN を複数のファイアウォール グループに関連付けることはできません。
複数の ASASM に単一のファイアウォールグループを割り当てることはできます。たとえば、複数の ASASM に割り当てる VLAN は、それぞれの ASASM に対して一意の VLAN とは別のグループに配置できます。
VLAN ID 2 ~ 1000 および 1025 ~ 4094 を使用します。
ルーテッド ポートと WAN ポートは内部 VLAN を使用するため、1020 ~ 1100 の範囲に含まれる番号は、すでに使用されている可能性があります。
予約済みの VLAN は使用できません。
VLAN 1 は使用できません。
同一スイッチシャーシ内で ASASM フェールオーバーを使用する場合は、フェールオーバーおよびステートフル通信のために確保してある VLAN(複数可)をスイッチポートに割り当てないでください。ただし、シャーシ間でフェールオーバーを使用する場合は、シャーシ間を結ぶトランク ポートに VLAN を組み込む必要があります。
ASASM に VLAN を割り当てる前に、スイッチに VLAN を追加しなかった場合、VLAN はスーパーバイザエンジンのデータベースに保管され、スイッチに追加された時点で ASASM に送信されます。
VLAN がスイッチに割り当てられる前に、ASASM コンフィギュレーションに VLAN を設定できます。スイッチが ASASM に VLAN を送信すると、ASASM コンフィギュレーションで VLAN をシャットダウンしたかどうかに関係なく、VLAN はデフォルトで ASASM において管理目的のアップ状態になります。この場合、再度シャットダウンする必要があります。
次の例では、3 つのファイアウォール VLAN グループ(各 ASA に 1 グループずつ、および両方の ASA に割り当てられた VLAN を含む 1 グループ)を作成する方法を示します。
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall vlan-group 52 100
Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52
次に、show firewall vlan-group コマンドの出力例を示します。
Router# show firewall vlan-group
Group vlans
----- ------
50 55-57
51 70-85
52 100
次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。
Router# show firewall module
Module Vlan-groups
5 50,52
8 51,52
スイッチの CLI から ASASM にコンソールアクセスするには、特権 EXEC モードで service-module session コマンドを入力します。
service-module session [ switch { 1 | 2 }] slot number
|
slot number |
ASASM のスロット番号を指定します。モジュールのスロット番号を表示するには、スイッチプロンプトで show module コマンドを入力します。 |
|
switch {1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
特権 EXEC
service-module session コマンドを使用して、ASASM への仮想コンソール接続を作成します。仮想コンソール接続は、実際のコンソール接続の利点と制限をすべて備えています。
利点を次に示します。
接続はリロード中も持続し、タイムアウトしません。
ASASM リロード中も接続を維持でき、スタートアップ メッセージを閲覧できます。
ASASM がイメージをロードできない場合、ROMMON にアクセスできます。
制限を次に示します。
接続が低速です(9600 ボー)。
一度にアクティブにできるコンソール接続は 1 つだけです。
 (注) |
接続は保持されるため、ASASM を正しくログアウトしないと、意図したよりも長く接続が存続する可能性があります。他の人がログインする場合は、既存の接続を終了する必要があります。詳細については、CLI コンフィギュレーション ガイドを参照してください。 |
次に、スロット 3 の ASASM にコンソールアクセスする例を示します。
Router# service-module session slot 3
ciscoasa>
スイッチの CLI から ASASM にバックプレーン経由で Telnet 接続するには、特権 EXEC モードで session コマンドを使用します。
session [ switch { 1 | 2 }] slot number processor 1
|
processor 1 |
プロセッサ番号を指定します。これは常に 1 です。 |
|
slot number |
スロット番号を指定します。モジュールのスロット番号を表示するには、スイッチプロンプトで show module コマンドを入力します。 |
|
switch {1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
特権 EXEC
session コマンドを使用して、ASASM への Telnet 接続を作成します。
利点を次に示します。
ASASM への複数のセッションを同時に使用できます。
Telnet セッションは、高速接続です。
制限を次に示します。
Telnet セッションは、ASASM リロード時に終了し、タイムアウトします。
ASASM が完全にロードするまで ASASM にはアクセスできません。したがって、ROMMON にアクセスできません。
(注) |
session slot processor 0 コマンドは、他のサービスモジュールではサポートされていますが、ASASM ではサポートされていません。ASASM にはプロセッサ 0 がありません。 |
ログイン パスワードの入力が求められます。ASADM へのログイン パスワードを入力します。デフォルトのパスワードは cisco です。
ユーザー EXEC モードにアクセスします。
次の例では、プロセッサ 1 の ASASM への Telnet 接続を確立します。
Router# session slot number processor 1
ciscoasa passwd: cisco
ciscoasa>デフォルトの起動パーティションを表示するには、show boot device コマンドを使用します。
show boot device [ mod_num ]
|
mod_num |
(任意)モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。 |
デフォルトの起動パーティションは cf:4 です。
特権 EXEC
次に、Cisco IOS ソフトウェア上でインストール済みの各 ASA の起動パーティションを表示する show boot device コマンドの出力例を示します。
Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:
テスト実行数、受信したループバックパケット数、検出された障害数などの PC のループバックテストに関連する情報を表示するには、特権 EXEC モードで show diagnostics loopback コマンドを使用します。
show diagnostics loopback
このコマンドには、引数またはキーワードはありません。
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
— |
|
|
リリース |
変更内容 |
|---|---|
|
12.2(18)SXF5 |
このコマンドが追加されました。 |
show diagnostics loopback command provides コマンドは、テスト実行数、受信したループバックパケット数、および検出された障害数など、PC のループバックテストに関連した情報を表示します。
次に、 show diagnostics loopback コマンドの出力例を示します。
ciscoasa#
show diagnostics loopback
Port Test Pkts-received Failures
0 447 447 0
1 447 447 0
自動ステート機能の設定を表示するには、特権 EXEC モードで show firewall autostate コマンドを使用します。
show firewall autostate
このコマンドには引数またはキーワードはありません。
デフォルトでは、自動ステートはディセーブルになっています。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
Cisco IOS ソフトウェアの自動ステートメッセージ機能により、スイッチインターフェイスに障害が発生しているのか、または起動しているのかを ASA が迅速に検出できます。次の場合に、スイッチのスーパーバイザから ASA に自動ステートメッセージが送信されます。
VLAN に属している最後のインターフェイスが停止した
VLAN に属している最初のインターフェイスが動作を開始した
各 ASA に割り当てられた VLAN グループを表示するには、特権 EXEC モードで show firewall module コマンドを入力します。
show firewall [ switch { 1 | 2 }] module [ module_number ]
|
module_number |
(任意)モジュール番号を指定します。インストールされたモジュールとその番号を表示するには、 show module コマンドを使用します。 |
|
switch { 1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。
Router# show firewall module
Module Vlan-groups
5 50,52
8 51,52
各 ASA の状態を表示するには、特権 EXEC モードで show firewall module state コマンドを入力します。
show firewall [ switch { 1 | 2 }] module [ module_number ] state
|
module_number |
(任意)モジュール番号を指定します。 |
|
switch { 1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、show firewall module state コマンドの出力例を示します。
Router# show firewall module 11 state
Firewall module 11:
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 3,6,7,20-24,40,59,85,87-89,99-115,150,188-191,200,250,
501-505,913,972
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk:
Vlans allowed and active in management domain:
Vlans in spanning tree forwarding state and not pruned:
各 ASA を通過するトラフィックを表示するには、特権 EXEC モードで show firewall module traffic コマンドを入力します。
show firewall [ switch { 1 | 2 }] module [ module_number ] traffic
|
module_number |
(任意)モジュール番号を指定します。 |
|
switch { 1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、show firewall module traffic コマンドの出力例を示します。
Router# show firewall module 11 traffic
Firewall module 11:
Specified interface is up line protocol is up (connected)
Hardware is EtherChannel, address is 0014.1cd5.bef6 (bia 0014.1cd5.bef6)
MTU 1500 bytes, BW 6000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Full-duplex, 1000Mb/s, media type is unknown
input flow-control is on, output flow-control is on
Members in this channel: Gi11/1 Gi11/2 Gi11/3 Gi11/4 Gi11/5 Gi11/6
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 10000 bits/sec, 17 packets/sec
8709 packets input, 845553 bytes, 0 no buffer
Received 745 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
18652077 packets output, 1480488712 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
ASA のソフトウェアバージョン番号を表示するには、特権 EXEC モードで show firewall module version コマンドを使用します。
show firewall [ switch { 1 | 2 }] module [ module_number ] version
|
module_number |
(任意)モジュール番号を指定します。 |
|
switch {1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、show firewall module version コマンドの出力例を示します。
Router# show firewall switch 1 module 2 version
ASA Service Module 2:
Sw Version: 100.7(8)19
ASA に割り当て可能な VLAN グループを表示するには、特権 EXEC モードで show firewall module vlan-group コマンドを入力します。
show firewall [ switch { 1 | 2 }] module [ module_number ] vlan-group [ firewall_group ]
|
firewall_group |
(任意)グループ ID を指定します。 |
|
module_number |
(任意)モジュール番号を指定します。 |
|
switch {1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、show firewall module vlan-group コマンドの出力例を示します。
Router# show firewall module vlan-group
Group vlans
----- ------
50 55-57
51 70-85
52 100
ASASM の複数のファイアウォール VLAN インターフェイスの状態を表示するには、特権 EXEC モードで show firewall multiple-vlan-interfaces コマンドを入力します。
show firewall multiple-vlan-interfaces
このコマンドには引数またはキーワードはありません。
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、show firewall multiple-vlan-interfaces コマンドの出力例を示します。
Router# show firewall multiple-vlan-interfaces
Multiple firewall vlan interfaces feature is enabled
スイッチが ASASM を許可し、オンラインにしたことを確認するには、特権 EXEC モードで show module コマンドを使用します。
show module [ switch { 1 | 2 }][ mod-num | all ]
|
all |
(オプション)すべてのモジュールを指定します。 |
|
mod_num |
(任意)モジュール番号を指定します。 |
|
switch { 1 | 2 } |
(オプション)VSS のコンフィギュレーションの場合は、スイッチ番号を指定します。 |
デフォルトの動作や値はありません。
次の表に、コマンドを入力できるモードを示します。
|
コマンドモード |
ファイアウォールモード |
セキュリティコンテキスト |
|||
|---|---|---|---|---|---|
|
ルーテッド |
トランスペアレント |
シングル |
マルチ |
||
|
コンテキスト |
システム |
||||
|
特権 EXEC |
|
|
|
|
|
次に、show module コマンドの出力例を示します。
Router# show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
2 3 ASA Service Module WS-SVC-ASA-SM1 SAD143502E8
4 3 ASA Service Module WS-SVC-ASA-SM1 SAD135101Z9
5 5 Supervisor Engine 720 10GE (Active) VS-S720-10G SAL12426KB1
6 16 CEF720 16 port 10GE WS-X6716-10GE SAL1442WZD1
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
2 0022.bdd4.016f to 0022.bdd4.017e 0.201 12.2(2010080 12.2(2010121 Ok
4 0022.bdd3.f64e to 0022.bdd3.f655 0.109 12.2(2010080 12.2(2010121 PwrDown
5 0019.e8bb.7b0c to 0019.e8bb.7b13 2.0 8.5(2) 12.2(2010121 Ok
6 f866.f220.5760 to f866.f220.576f 1.0 12.2(18r)S1 12.2(2010121 Ok
Mod Sub-Module Model Serial Hw Status
---- --------------------------- ------------------ ----------- ------- -------
2/0 ASA Application Processor SVC-APP-PROC-1 SAD1436015D 0.202 Other
4/0 ASA Application Processor SVC-APP-INT-1 SAD141002AK 0.106 PwrDown
5 Policy Feature Card 3 VS-F6K-PFC3C SAL12437BM2 1.0 Ok
5 MSFC3 Daughterboard VS-F6K-MSFC3 SAL12426DE3 1.0 Ok
6 Distributed Forwarding Card WS-F6700-DFC3C SAL1443XRDC 1.4 Ok
Base PID:
Mod Model Serial No.
---- ----------- ----------
2 WS-SVC-APP-HW-1 SAD143502E8
4 TRIFECTA SAD135101Z9
Mod Online Diag Status
---- -------------------
2 Pass
2/0 Not Applicable
4 Not Applicable
4/0 Not Applicable
5 Pass
6 Pass
フィードバック