Cisco インターフェイスとモジュール : ???? ?????

ファイアウォール サービス モジュールに関する FAQ

2008 年 12 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次

概要
FWSM には、「Do not remove card while status light is green or disk corruption may occur.」(ステータス表示灯が緑色に点灯している場合はカードを取り外さないでください、そうしないと、ディスクが損傷を受ける可能性があります。)と書かれたラベルが貼付されています。これはどういう意味ですか。
show module コマンドを使用した後、FWSM で faulty/other というステータスが表示されます。どうすればよいのですか。
FWSM のドキュメンテーションはどこで入手できるのですか。
FWSM、Intrusion Detection System Module 2(IDSM2)、および VPN Service Module(VPNSM)をサポートするのに必要な最小のコード バージョンは何ですか。
FWSM、Intrusion Detection System Module 2(IDSM2)、および VPN Service Module(VPNSM)を同じシャーシで稼働させられますか。
FWSM の設定オプションと管理オプションには、どのようなものがあるのですか。
SVI とは何ですか。SVI を複数設定できますか。
直接接続されたインターフェイスの FWSM に対して ping を実行できないのはなぜですか。
直接接続されたインターフェイスの FWSM に対して ping を実行できません。また、そのインターフェイスの Address Resolution Protocol(ARP; アドレス解決プロトコル)エントリが表示されません。スイッチでは、CatOS(またはハイブリッド)ソフトウェアが稼働しています。どうすればよいのですか。
FWSM を通して ping やトラフィックを通過させられないのはなぜですか。
ネットワークに直接接続されている FWSM インターフェイスには ping を実行できますが、他のインターフェイスには ping を実行できません。これは正常な状態でしょうか。
バージョンの異なるコードが稼働する 2 つの FWSM 間にフェールオーバーを設定できますか。
異なるシャーシの 2 つの FWSM 間にフェールオーバーを設定できますか。
2 つの FWSM 間でフェールオーバーを設定しましたが、両者で同期が行われていません。どのような原因が考えられますか。
FWSM で表示されるエラー メッセージについての情報はどこで入手できますか。
FWSM の既存の不具合についての情報はどこで入手できますか。
FWSM では、VLAN がいくつサポートされますか。
FWSM では、access-list compiled コマンドはサポートされていますか。
FWSM では、IOS Open Shortest Path First(OSPF)の auto-cost reference-bandwidth コマンドはサポートされていますか。
同じネットワークに FWSM の 2 つの異なるインターフェイスが接続されているトポロジで、Open Shortest Path First(OSPF)プロトコルを実行できますか。
FWSM では、どのようなルーティング プロトコルがサポートされているのですか。
FWSM では、マルチキャスト(インターネット グループ管理プロトコル(IGMP)v2 とスタブ マルチキャスト ルーティング)はサポートされていますか。
FWSM では、URL フィルタリングはサポートされていますか。
フラグメント化されたパケットが FWSM で廃棄されるのはなぜですか。
FWSM では、VPN 接続を終端させられますか。
FWSM では、RADIUS や TACACS+ 用の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)はサポートされていますか。
FWSM のパスワード回復は、どのように実行するのですか。
FWSM では、ジャンボ フレームはサポートされていますか。
マルチ コンテキスト モードで稼働する FWSM のライセンスがあります。ハードウェア障害が発生した場合、スペア用の FWSM のライセンスを取得できますか。
FWSM に、どのように追加 VLAN を配置するのですか。
シングル コンテキストのルーテッド モードを使用して、FWSM に VLAN をいくつ配置できますか。
PIX ファイアウォールとファイアウォール サービス モジュールの違いは何ですか。
FWSM で、インターフェイスごとに複数の access-group コマンドを発行できませんでした。FWSM では、インターフェイスごとに 1 つのアクセス グループだけが取られるようです。なぜですか。
FWSM では、PVLAN はサポートされていますか。
FWSM では、アクセス リスト ライン番号はサポートされていますか。
FWSM 上でユーザが持てる接続の数を制限できますか。
FWSM でのマルチキャストの実装には制限がありますか。
FWSM では、ダイレクト ブロードキャストは許可されますか。
HTTP インスペクション エンジンでは、HTTP セッションで非 HTTP トラフィックや標準外トラフィックを検出できますか。
FWSM では、複数の共有インターフェイスはサポートされていますか。
ASA と FWSM のノーマライズ機能には互換性がありますか。
TCP のノーマライザを有効または無効にする必要がありますか。
FWSM がサポートできる mfib エントリの最大数はいくつですか。
FWSM では、xlate エントリにどのような情報が保存されているのですか。
FWSM 上の show perfmon の値と統計情報は何を意味するのですか。
no monitor session servicemodule コマンドの使用により、FWSM 上でパフォーマンスへの影響がありますか。
Access Control List(ACL; アクセス コントロール リスト)をより多く保存するために、メモリを増加できますか。
capture コマンドが FWSM に適用されると停止し、別の capture コマンドがインターフェイスに適用されても、すぐにトラフィックがキャプチャされないのはなぜですか。
別々のスイッチ シャーシに分散されている FWSM の 3 つ以上のユニットに対してフェールオーバーを設定できますか。
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントには、Catalyst 6500 シリーズ Firewall Services Module(FWSM; ファイアウォール サービス モジュール)に関する Frequently Asked Questions(FAQ)が記載されています。

注:ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Q. FWSM には、「Do not remove card while status light is green or disk corruption may occur.」(ステータス表示灯が緑色に点灯している場合はカードを取り外さないでください、そうしないと、ディスクが損傷を受ける可能性があります。)と書かれたラベルが貼付されています。これはどういう意味ですか。

A. ファイアウォール モジュールの取り外しは、次の方法のいずれかで電力をディセーブルにしてから行う必要があります。(特定の方式のための優先順位はありません)。

  • スイッチの Command Line Interface(CLI; コマンドライン インターフェイス)を使用して、次のコマンドのいずれかを発行します。

  • ブレードの shutdown ボタンを押します。

  • 物理的にシャーシの電源を落とします。

ステータス表示灯がグリーンではなくなったら、モジュールを安全に取り外せます。

Q. show module コマンドを使用した後、FWSM で faulty/other というステータスが表示されます。どうすればよいのですか。

A. faulty/other のステータスの場合に FWSM をトラブルシューティングするには、次のチェックリストを参照してください。

  • スイッチで、サポートされているコード バージョンが稼働していることを確認してください。

  • FWSM が同じシャーシにある他のブレードと共存できることを確認してください。詳細は、『Catalyst 6500 シリーズ リリース ノート』または、Software Advisor登録ユーザ専用)を参照してください。
    一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • スイッチで CatOS またはハイブリッド コードを稼働させる場合、FWSM モジュールが占有しているスロットの設定をリセットします。これを行うには、次のコマンドを使用します。

    1. set module power down mod と入力して、FWSM の電源を落とします。

    2. clear config mod と入力して、スロットに関連付けられているスイッチの設定をクリアし、モジュールに電源を投入します。

詳細は、次のドキュメントを参照してください。

それでも問題が発生する場合は、さらにトラブルシューティングを行うために、シスコ テクニカル サポートにお問い合せください。

Q. FWSM のドキュメンテーションはどこで入手できるのですか。

A. FWSM に関するリリース ノートについては、『Catalyst 6500 シリーズ リリース ノート』を参照してください。(「ファイアウォール」のページを検索してください。)コンフィギュレーションに関するドキュメントは、『Catalyst 6500 シリーズのモジュール インストールおよびコンフィギュレーションに関するドキュメント』を参照してください。(「ファイアウォール」のページを検索してください。)

Q. FWSM、Intrusion Detection System Module 2(IDSM2)、および VPN Service Module(VPNSM)をサポートするのに必要な最小のコード バージョンは何ですか。

A. 適切なコード バージョンは、6500 または 7600 シャーシのスーパーバイザ モジュールの種類、および稼働するソフトウェアの種類(CatOS(ハイブリッド)または Cisco IOS(ネイティブ))によって異なります。モジュールと Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)の特定のコード バージョンについては、次の表を参照してください。

  Sup1(MSFC を搭載) Sup2(MSFC を搭載) Sup720
モジュール Cisco IOS CatOS Cisco IOS CatOS Cisco IOS CatOS
FWSM 12.1(13)E 7.5(1) 12.1(13)E 7.5(1) 12.2(14)SX1 8.2(1)
IDSM2 サポート対象外 7.6(1) 12.1(19)E 7.6(1) 12.2(14)SX1 8.2(1)
VPNSM サポート対象外 サポート対象外 12.2(14)SY サポート対象外 12.2(17a)SX10 サポート対象外 *

* サポートが導入予定になっています。

注:CatOS(ハイブリッド)と Cisco IOS(ネイティブ)の違いについては『Catalyst 6500 シリーズ スイッチでの Cisco Catalyst と Cisco IOS のオペレーティング システムの比較』を参照してください。

Q. FWSM、Intrusion Detection System Module 2(IDSM2)、および VPN Service Module(VPNSM)を同じシャーシで稼働させられますか。

A. はい。スイッチで、Cisco IOS ソフトウェア リリース 12.2(14)SY(Sup2)または 12.2(17a)SX10(Sup720)の最小バージョンとともに統合 Cisco IOS ソフトウェアが稼働する場合、同じシャーシでこれらのモジュールを実行できます。現在のところ、同じ 6500 または 7600 シャーシで、これらのサービス モジュールをサポートできる CatOS バージョンはありません。

Q. FWSM の設定オプションと管理オプションには、どのようなものがあるのですか。

A. 設定オプションおよび管理オプションには、次のものがあります。

オプション バージョン 説明
Management Center for Firewalls バージョン 1.1.1 以降* これは複数のファイアウォールを設定および管理するための Web ベースのインターフェイスです。

注:オブジェクト グループ化でのサービス グループのサポートは制限されています。サービス グループは正常に解釈されますが、すぐに(各エントリに)展開されます。これに該当するのは、icmp-typeprotocol、および service キーワードを使用するコマンドです。この制限事項は、バージョン 1.3 以前に適用されます。

Monitoring Center for Security バージョン 1.2 以降* これは Cisco のセキュリティ デバイスをモニタリングするための Web ベースのインターフェイスです。ソフトウェアは、柔軟性の高いレポートや警告オプションを使用して、複数の Cisco セキュリティ デバイスからの syslog 管理を中央集中型で行います。
Monitoring Center for Performance バージョン 2.0 以降* これはネットワーク セキュリティに関係するサービスの状態とパフォーマンスについて、モニタリングおよびトラブルシューティングを行うための Web ベースのインターフェイスです。Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)が、プロトコルの基盤として使用されます。
PDM バージョン 2.1 これは単一のファイアウォールの設定、管理およびモニタリングするための Web ベースのインターフェイスです。PIX Device Manager(PDM)は PIX ファイアウォールでローカルでインストールする必要があります。
Telnet 適用なし Telnet では、Command-Line Interface(CLI; コマンドライン インターフェイス)によるファイアウォールへのアクセスが提供されます。

注:Telnet アクセスを(一般的に Outside インターフェイスとして知られている)最も低いセキュリティ インターフェイスに許可するには、管理用の IPsec を設定する必要があります。

Secure Shell(SSH; セキュア シェル) 適用なし SSH では、セキュアなリモート CLI によるファイアウォールへのアクセスが提供されます。
SNMP 適用なし SNMP では、FWSM のモニタリング方式が提供されます。

注: SNMP は FWSM では読み取り専用です。

Syslog 適用なし Syslog では、FWSM のモニタリング方式が提供されます。

* このソフトウェアは、CiscoWorks VPN/Security Management Solution(VMS)バンドルの一部です。このソフトウェアでは、企業ネットワークへのブラウザ ベースのインターフェイスを通して Cisco のセキュリティ デバイスを管理するための、統合されたアプローチが提供されます。

Q. SVI とは何ですか。SVI を複数設定できますか。

A. SVI は Switched Virtual Interface(スイッチ仮想インターフェイス)を表しています。SVI は、スイッチの論理的なレイヤ 3 インターフェイスを表します。CatOS バージョン 7.6(1) よりも前、および Cisco IOS ソフトウェア リリース 12.2(14)SY よりも前では、ファイアウォール VLAN の一部として許可される SVI は 1 つだけです。つまり、FWSM と Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチフィーチャ カード)の間に、レイヤ 3 インターフェイスを 1 つだけ設定できます。SVI を複数設定しようとすると、Command-Line Interface(CLI; コマンドライン インターフェイス)のエラー メッセージが生成されます。

CatOS バージョン 7.6(1) 以降および Cisco IOS ソフトウェア リリース 12.2(14)SY 以降では、FWSM で複数の SVI がサポートされています。デフォルトでサポートされる SVI は、1 つだけです。スイッチでの複数の SVI サポートを有効にするには、次のコマンドのいずれかを使用してください。

スイッチを FWSM VLAN 用に設定して、SVI が複数あることを示すエラー メッセージを受け取る場合、スイッチや MSFC の設定を調べて、ファイアウォール VLAN の一部としてレイヤ 3 インターフェイス(または VLAN インターフェイス)が 1 つだけ存在することを確認します。

注: SVI は 1 つだけ使用します。これにより、ポリシー ルーティングを含む複雑な設定を回避できます。

Q. 直接接続されたインターフェイスの FWSM に対して ping を実行できないのはなぜですか。

A. デフォルトでは、各インターフェイスで Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)が拒否されます。このトラフィックをインターフェイスで許可するには、icmp コマンドを使用します。この動作は、PIX の動作とは異なります。

注: icmp コマンドでインターフェイスへの ICMP が拒否される場合でも、Address Resolution Protocol(ARP; アドレス解決プロトコル)テーブル内には、正しい MAC アドレスが表示されています。MAC アドレスが表示されない場合は、次の質問を参照してください。

Q. 直接接続されたインターフェイスの FWSM に対して ping を実行できません。また、そのインターフェイスの Address Resolution Protocol(ARP; アドレス解決プロトコル)エントリが表示されません。スイッチでは、CatOS(またはハイブリッド)ソフトウェアが稼働しています。どうすればよいのですか。

A.(CatOS のスーパーバイザ モジュール上で)スイッチにインターフェイスが設定されるよりも前に、(nameif コマンドを使用して)FWSM のコンフィギュレーションでインターフェイスを設定するか、(interface vlan コマンドを使用して)Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)上にインターフェイスを設定すると、ARP エントリがないか、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)の応答がないために、インターフェイスがまったく応答していないように見える可能性があります。

スイッチを設定する前にファイアウォール VLAN に属する FWSM または MSFC のインターフェイスを設定していたら、FWSM または MSFC のエントリを削除してからモジュールをリロードし、再度エントリを追加します。

Q. FWSM を通して ping やトラフィックを通過させられないのはなぜですか。

A. Network Address Translation(NAT; ネットワーク アドレス変換)は、nat 0nat/global、または static コマンドを使用して設定する必要があります。これらのコマンドでは、高セキュリティのインターフェイス(Inside インターフェイス)から低セキュリティのインターフェイス(Outside インターフェイス)に FWSM を通してトラフィックが転送されます。

また、FWSM を通過するトラフィックを許可するためのアクセス リストを実装するには、access-list コマンドを使用します。デフォルトでは、アクセス リストにより、すべてのインターフェイスで、すべてのトラフィックが拒否されます(deny ip any any)。この動作は、高セキュリティから低セキュリティへのトラフィックを許可し、低セキュリティから高セキュリティへのトラフィックを拒否する、PIX のデフォルト設定と異なっています。permit ip any any を使用してアクセス リストを設定し、それを高セキュリティ インターフェイスに適用して、FWSM を PIX のように動作させます。

Q. ネットワークに直接接続されている FWSM インターフェイスには ping を実行できますが、他のインターフェイスには ping を実行できません。これは正常な状態でしょうか。

A. はい。これは、PIX ファイアウォールにも存在する組み込みのセキュリティ メカニズムです。

Q. バージョンの異なるコードが稼働する 2 つの FWSM 間にフェールオーバーを設定できますか。

A. いいえ。フェールオーバーでは、両方の FWSM で同じコード バージョンが稼働していることが必要です。フェールオーバー機能のメカニズムでは、ピアのバージョンが確認され、コード バージョンが異なる場合のフェールオーバーが防止されます。このため、両方 FWSM は同時にアップグレードする必要があります。

Q. 異なるシャーシの 2 つの FWSM 間にフェールオーバーを設定できますか。

A. はい。しかし、FWSM はすべてのインターフェイス上でレイヤ 2 で接続する必要があります。つまり、すべてのインターフェースでは相互に(Address Resolution Protocol(ARP; アドレス解決プロトコル)などの)レイヤ 2 ブロードキャスト パケットを交換できる必要があります。フェールオーバー プロトコルのパケットは、レイヤ 3 ではルーティングできません。

Q. 2 つの FWSM 間でフェールオーバーを設定しましたが、両者で同期が行われていません。どのような原因が考えられますか。

A. フェールオーバーを正常に行うためには、設定で次の要件が満たされていることを確認してください。

  • 両方の FWSM では、同じコード バージョンが稼働している必要があります。

  • 両方の FWSM では、VLAN の数が同じである必要があります。

  • FWSM 上のすべての VLAN 間に、レイヤ 2 接続が存在する必要があります。FWSM が異なるシャーシに存在していて、その間でトランクが設定されている場合、すべての VLAN が存在し、トランクで許可されることを確認してください。

Q. FWSM で表示されるエラー メッセージについての情報はどこで入手できますか。

A. FWSM のエラー メッセージについての詳細は、エラーメッセージデコーダ登録ユーザ専用)を参照してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
システム メッセージに関する製品ドキュメントにも、有用な情報があります。さらにサポートが必要な場合は、Cisco テクニカル サポートにお問い合せください。

Q. FWSM の既存の不具合についての情報はどこで入手できますか。

A. 既存の不具合についての詳細は、Bug Toolkit登録ユーザ専用)を参照してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

Q. FWSM では、VLAN がいくつサポートされますか。

A. FWSM バージョン 1.1 では VLAN が 100 サポートされ、FWSM バージョン 2.1 では VLAN が 250 サポートされます。

Q. FWSM では、access-list compiled コマンドはサポートされていますか。

A. FWSM では CLI での 10 秒間入力がない場合、アクセス リストが自動的にハードウェアにコンパイルされるため、ターボ アクセス リストは不要です。FWSM バージョン 2.1 では、アクセス リストがコンパイルされる際の指定を可能にする追加機能が提供されます。

Q. FWSM では、IOS Open Shortest Path First(OSPF)の auto-cost reference-bandwidth コマンドはサポートされていますか。

A. いいえ。FWSM では接続される物理ポートは考慮されません。OSPF コストは ospf cost コマンドを使用して、各インターフェイスに手動で設定する必要があります。

Q. 同じネットワークに FWSM の 2 つの異なるインターフェイスが接続されているトポロジで、Open Shortest Path First(OSPF)プロトコルを実行できますか。

A. はい。この機能は、バージョン 2.1 以降でサポートされています。

Q. FWSM では、どのようなルーティング プロトコルがサポートされているのですか。

A. サポートされるルーティング プロトコルは、OSPF(Open Shortest Path First)および Routing Information Protocol(RIP)です。詳細は、『Catalyst 6500 シリーズ リリース ノート』および『Catalyst 6500 シリーズのモジュール インストールおよびコンフィギュレーションに関するドキュメント』で「ファイアウォール」を検索してください。

Q. FWSM では、マルチキャスト(インターネット グループ管理プロトコル(IGMP)v2 とスタブ マルチキャスト ルーティング)はサポートされていますか。

A. はい。この機能は、FWSM バージョン 2.1 以降でサポートされています。バージョン 1.1 が稼働している場合、回避策として Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネリングを使用できます。

Q. FWSM では、URL フィルタリングはサポートされていますか。

A. はい。バージョン 1.1 以降で Websense がサポートされており、バージョン 2.1 では N2H2 のサポートが追加されています。

Q. フラグメント化されたパケットが FWSM で廃棄されるのはなぜですか。

A. デフォルトでは、フラグメント化されたパケットは FWSM を通過できません。fragment コマンドを使用して、この機能を設定できます。この動作は、PIX ファイアウォールの動作とは異なります。フラグメント化されたパケットを使用する一般的なプロトコルは、Open Shortest Path First(OSPF)および Network File System(NFS; ネットワーク ファイル システム)です。

Q. FWSM では、VPN 接続を終端させられますか。

A. FWSM では、VPN の機能はサポートされていません。VPN 接続の終端は、スイッチや VPN サービス モジュールが担当します。トリプル DES ライセンスは、Telnet、Secure Shell(SSH; セキュアシェル)、およびセキュア HTTP(HTTPS)経由で低セキュリティ インターフェイスに接続するなどの、管理目的専用で提供されます。

Q. FWSM では、RADIUS や TACACS+ 用の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)はサポートされていますか。

A. AAA は FWSM を通過するトラフィックと FWSM 管理の両方に対してサポートされています。詳細は、『ファイアウォール サービス モジュールのドキュメンテーション』を参照してください。

FWSM では、ダウンロード可能なアクセス リストおよび VPN の例外を除いて、PIX ファイアウォールと類似する機能を提供しています。この点に留意した上で、これらの PIX ファイアウォールのドキュメントを FWSM のコンフィギュレーション用のガイドに使用できます。

Q. FWSM のパスワード回復は、どのように実行するのですか。

A. パスワードの回復についての情報は、次のドキュメントを参照してください。

  • バージョン 1.1(1)では、『FWSM コンフィギュレーション ガイド 1.1(1)』の「パスワードの変更と回復」を参照してください。

  • バージョン 1.1(2) および 1.1(3)では、『FWSM コンフィギュレーション ガイド 1.1(2)』の「パスワードの変更と回復」を参照してください。

Q. FWSM では、ジャンボ フレームはサポートされていますか。

A. はい、FWSM では、ジャンボ フレームをサポートできます。

Q. マルチ コンテキスト モードで稼働する FWSM のライセンスがあります。ハードウェア障害が発生した場合、スペア用の FWSM のライセンスを取得できますか。

A. スペア用の FWSM のライセンスを取得できます。ただし、通常のライセンスと同様に、スペア用の FWSM ライセンスを注文する必要があります。ハードウェア障害が発生した場合、Cisco テクニカルサポートに連絡して障害を確認し、スペア用の FWSM のライセンスを取得してください。ライセンス情報については、『Cisco Firewall Module ソフトウェア リリース 2.2(1)』を参照してください。

Q. FWSM に、どのように追加 VLAN を配置するのですか。

A. VLAN 200 を設定に追加する場合は、nameif コマンドを使用します。セキュリティ レベルは、0 〜 100 の範囲にある必要があります。コマンドの構文の全体は、nameif vlan200 <interface name> <security level> です。

Q. シングル コンテキストのルーテッド モードを使用して、FWSM に VLAN をいくつ配置できますか。

A. シングル コンテキストのルーテッド モードを使用して、FWSM に 1000 の VLAN を配置できます。

Q. PIX ファイアウォールとファイアウォール サービス モジュールの違いは何ですか。

A. PIX と FWSM は類似のコードを基盤としています。しかし、基本的な違いが 2 つあります。PIX(サポートを提供)では、VPN と IDS 機能を提供しています。FWSM では、VPN と IDS 機能は他のラインカードで提供されるため、これらの機能は提供されていません。Catalyst 6500 シリーズの Intrusion Detection System(IDSM-2; 侵入検知システム 2)サービス モジュールについての詳細は、『Catalyst 6500 シリーズ Intrusion Detection System(IDSM-2)サービス モジュールのデータ シート』を参照してください。Catalyst 6500 IPsec VPN サービス モジュールについての詳細は、『Catalyst 6500 IPsec VPN サービス モジュール製品のデータ シート』を参照してください。

PIX と FWSM のマイナーな相違点については、次のドキュメントを参照してください。

Q. FWSM で、インターフェイスごとに複数の access-group コマンドを発行できませんでした。FWSM では、インターフェイスごとに 1 つのアクセス グループだけが取られるようです。なぜですか。

A. FWSM で次のコマンドを発行する場合、最後の access-group コマンドだけが表示されます。

access-group allow_icmp in interface outside
access-group allow_caltech in interface outside 

FWSM では、1 方向あたりのインターフェイスごとに許可されるアクセス リストが 1 つだけであることが、この理由です。

Q. FWSM では、PVLAN はサポートされていますか。

A. PVLAN は、ソフトウェア バージョン 3.1 よりサポートが開始されます。3.1 よりも前のソフトウェア バージョンが稼働している場合の唯一可能な回避策は、PVLAN の混合(promiscuous)ポートをクロスケーブルを使用して通常のアクセス ポートに接続し、続いてそのアクセス ポートの VLAN でファイアウォールが適用されるようにします。

Q. FWSM では、アクセス リスト ライン番号はサポートされていますか。

A. この機能は、ソフトウェア バージョン 3.1 以降でのみサポートされています。

Q. FWSM 上でユーザが持てる接続の数を制限できますか。

A. はい、Modular Policy Framework を使用して接続を制限できます。接続数を制限するには、次の手順を実行します。

  1. トラフィックと照合するためにクラス マップを作成します。
  2. クラス マップをポリシー マップに配置して、ポリシー マップで制限する接続を使用します。
  3. サービス ポリシーを使用してポリシー マップを適用します。

さらに詳細な情報と手順は、『接続の制限およびタイムアウトの設定』を参照してください。

Q. FWSM でのマルチキャストの実装には制限がありますか。

A. はい。FWSM では、Security Services Module(SSM; セキュリティ サービスモジュール)用に予約済みなので、グループ名としての 232.x.x.x のサブネットはサポートされていません。

Q. FWSM では、ダイレクト ブロードキャストは許可されますか。

A. いいえ。ルータとは異なり、FWSM ではインターフェイスを介したダイレクト ブロードキャストは許可されません。類似の回避策は、1 つのインターフェイスから別のインターフェイスへブロードキャストを転送するために、組み込み DHCP リレー機能を使用することです。

Q. HTTP インスペクション エンジンでは、HTTP セッションで非 HTTP トラフィックや標準外トラフィックを検出できますか。

A. はい。拡張 HTTP インスペクション機能を備えた Application Firewall では、これらのトラフィックを検出して、制御できます。詳細は、『アプリケーション インスペクション エンジンの概要』を参照してください。

Q. FWSM では、複数の共有インターフェイスはサポートされていますか。

A. FWSM では複数の共有インターフェイスはサポートされていませんが、代りに複数のコンテキストに渡った 1 つの VLAN を置くことができます。詳細は、『コンテキスト間でのリソースとインターフェイスの共有』を参照してください。

Q. ASA と FWSM のノーマライズ機能には互換性がありますか。

A. FWSM では、TCP のノーマライズは TCP complex(コントロールプレーン)に渡されるトラフィックのみに適用します。正常なデータ プレーン(高速パス)トラフィックは、影響を受けていません。これは、ASA トラフィックはすべてノーマライザの対象になるという点で、ASA とは異なります。

FWSM では、ノーマライザが無効になるとモジュールは 2.3 の動作に戻ります。ところが、control-point tcp-normalizer を無効にすると、厳密な TCP チェックが防止され、実行されません。このチェックには、FWSM 内でのレイヤ 7 インスペクションのためにコントロール プレーンで受信される TCP パケット上での、out-of-sequence セグメントの検出や TCP オプションのモニタリングなどが含まれます。そのため、これを無効にしないことを推奨いたします。FWSM では、デフォルトの TCP マップ パラメータでのチューニングは許可されていません。

Q. TCP のノーマライザを有効または無効にする必要がありますか。

A. NP からコントロール プレーンに対して接続に固有な情報を送信できないため、FWSM で TCP ノーマライザが常に正常に機能しない可能性があります。また、接続に関連付けられている一意の TCP マップを識別できません。そのため、FWSM は、すべての接続で正常に動作するとは限らない可能性があるデフォルトの TCP マップに依存します。これらの制限により、ファイアウォールを通過するトラフィックに対して、コントロール プレーンで TCP ノーマライザを有効または無効にする必要性があります。FWSM では、デフォルトの TCP マップ パラメータでのチューニングは許可されていません。

Q. FWSM がサポートできる mfib エントリの最大数はいくつですか。

A. エントリの最大数は、5000 エントリです。

Q. FWSM では、xlate エントリにどのような情報が保存されているのですか。

A. Xlate エントリには、次の情報が保存されています。

  1. 発信元インターフェイス:これは、たとえば outside などの、パケットが受信されるインターフェイスです。

  2. 発信元 IP アドレス:これはパケットの発信元 IP アドレスです。

  3. 変換済み IP アドレス:NAT 設定がない場合は、変換済み IP アドレスと発信元 IP アドレスは同じです。

  4. 宛先インターフェイス:ルーティング テーブルでのパケットの宛先 IP アドレスの検索に基づいて、パケットが出発するインターフェイスです。

Q. FWSM 上の show perfmon の値と統計情報は何を意味するのですか。

A. FWSM のパフォーマンスについての情報をキャプチャするには、show perfmon コマンドを使用してください。

FWSM#show perfmon
FWSM#show console-output
Context: my_context
PERFMON STATS:    Current      Average
Xlates               0/s          0/s
Connections          0/s          0/s
TCP Conns            0/s          0/s
UDP Conns            0/s          0/s
URL Access           0/s          0/s
URL Server Req       0/s          0/s
WebSns Req           0/s          0/s
TCP Fixup            0/s          0/s
TCP Intercept        0/s          0/s
HTTP Fixup           0/s          0/s
FTP Fixup            0/s          0/s
AAA Authen           0/s          0/s
AAA Author           0/s          0/s
AAA Account          0/s          0/s

Current カラムには、現在のインターバルの統計情報が表示されています。ここで、最後のカラムの Average には、最後に統計情報がクリアされてからの累加平均が表示されています。それは絶対値ではなくレートなので、/s と表示されます。

コマンド出力に表示される統計情報は、デフォルトでは 120 秒間隔でアップデートされます。この間隔は、perfmon interval コマンドで変更できます。

FWSM#perfmon interval 20

これは、Current のカラムで報告される統計情報のレートが、20 秒ごとに計算されることを意味します。また、show perfmon コマンドを入力する時は常には、その時点での統計情報でレートが計算されます。

FWSM にはシリアル コンソール ポートがありませんが、show perfmonperfmon コマンドによる出力を含む一部のメッセージはコンソール ポートにのみ表示されます。show perfmon コマンドの出力が含まれるコンソール バッファを表示するには、show output-console コマンドを使用してください。

Q. no monitor session servicemodule コマンドの使用により、FWSM 上でパフォーマンスへの影響がありますか。

A. ASIC のハードウェア制限により、FWSM では トラフィックの複製に SPAN セッションが必要となります。FWSM ではパケットを複製するため、SPAN セッションを用いて複製を必要とするトラフィックをスイッチに渡します。このコマンドの影響を受けるトラフィックは、分散 EtherChannel、マルチキャスト、および GRE です。SPAN セッションを設定し、それを削除しないことを推奨します。

何かの理由でそれを取り除く必要がある場合、たとえば、『Field Notice:FN61935:Catalyst 6500 シリーズと 7600 シリーズのサービス モジュールにおける分散 EtherChannel とパケット再循環との非互換性』に該当する可能性がある分散 EtherChannel など、複製されたトラフィックがないことを確認してください。

Q. Access Control List(ACL; アクセス コントロール リスト)をより多く保存するために、メモリを増加できますか。

A.FWSM では、ACL に割り当てられるメモリは制限されています。FWSM のリソース割り当てについての詳細は、『仕様:ルールの制限』を参照してください。

コンテキストで ACL に割り当てられるメモリが超過する場合は、次のようなエラー メッセージが表示されます。

ERROR: Unable to add, access-list config limit reached

一部のアクセス リストでは、他よりも多くのメモリが使用されます。それはアクセス リストの種類によって異なり、システムがサポートできる実際の制限は最大値未満です。ルールとメモリ割り当ての間のマッピングは、1 対 1 のマッピングではありません。実際には、ルール、およびハードウェアでのプログラム方法によって異なります。

ACE のメモリ使用量を最適化するためには、次の 2 つのオプションがあります。

  • ACE エントリを要約し、簡素化します:これを行うには、次の推奨事項を実行します。

    1. 可能であれば、連続したホスト アドレスを使用します。ネットワークへの ACE やオブジェクト グループのホスト設定を集約します。

    2. 可能な場合、ホストの代わりにネットワークを使用、そしてネットワークの代りに any を使用します。

    3. オブジェクト グループの簡素化を試みます。これにより、ACL が拡張される場合、ACE を何百も節約できる可能性があります。たとえば、個々のポート設定を 1 つの範囲にグループ化します。

  • 各パーティションで ACE に割り当てられるメモリを再パーティション化します。これには、FWSM モジュールをリブートする必要があります。

    FWSM では、基本的に ACE に割り当てられるメモリを 12 のパーティションに分け、対応するメモリをそれぞれに割り当てます。これは自動的に実行されます。バージョン 2.3(2) 以降、持っているコンテキストの数に応じて、メモリを再割り当てするためにリソース マネージャを使用できます。

    show context count コマンドを発行して、コンテキストをいくつ持っているかチェックします。これは設定からも確認できます。続いて、使用するパーティションの数を探すため、show resource acl-partition コマンドを使用します。もし定義されたコンテキストよりも多くのパーティションがある場合、resource acl-partition number-of-partitions コマンドを使用して、パーティションの数を減らしてコンテキストの数と一致させることができます。

    この後、設定を保存して、FWSM をリブートする必要があります。以前のコマンドでは、このメモリで十分であるか、またはコンテキストに追加する ACE に二度と依存しないかどうかに関係なく、ACE に対してより多くのメモリが提供されます。

    caution 注意:以前の再マッピングの 1 つの欠点は、別のコンテキストを追加する場合に、再度メモリのマッピングを再割り当てする必要があることです。このため、各コンテキストに使用できるメモリがさらに小さくなり、現在の ACE 定義が破綻する可能性があります。FWSM に割り当てられるメモリは有限であり、上述したように事前定義された方法または手動のリソース割り当てによって得られます。

Q. capture コマンドが FWSM に適用されると停止し、別の capture コマンドがインターフェイスに適用されても、すぐにトラフィックがキャプチャされないのはなぜですか。

A. キャプチャ「x」がすでに適用されているのと同じインターフェイスでキャプチャ「z」を設定する場合、キャプチャ「z」はキャプチャ「x」を置き換えます。アクティブなキャプチャは、特定のインターフェイスに関連付けられる最後のものです。

唯一の例外は、キャプチャ「x」のアクセス リストがキャプチャ「z」のアクセス リストとオーバーラップする場合です。この場合、両方のキャプチャは、アクセス リストがオーバーラップするトラフィックをキャプチャし続けます。

Q. 別々のスイッチ シャーシに分散されている FWSM の 3 つ以上のユニットに対してフェールオーバーを設定できますか。

A. いいえ。 フェールオーバーの設定がサポートされているのは、たとえば 2 つのユニットのような一対の FWSM に対してだけです。 これらの 2 つのユニットは同じスイッチにあっても、あるいは別の 2 基のスイッチにあってもかまいません。 プライマリの FWSM と同じスイッチにセカンダリの FWSM をインストールすると、モジュール レベルの障害に対処できます。 モジュール レベルの障害、さらに、スイッチ レベルの障害に対処するには、セカンダリの FWSM を別のスイッチにインストールできます。 FWSM はスイッチでフェールオーバーを直接取り扱うわけではなく、スイッチのフェールオーバー動作に対して協調的に動作します。 詳細は、『シャーシ内およびシャーシ間のモジュール配置』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 46385