Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
仕様
仕様
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

仕様

物理仕様

機能の制限

管理対象のシステム リソース

固定システム リソース

ルールの制限

仕様

この付録では、Firewall Services Module(FWSM)の仕様について説明します。次の内容について説明します。

「物理仕様」

「機能の制限」

「管理対象のシステム リソース」

「固定システム リソース」

「ルールの制限」

物理仕様

表A-1 に、FWSMの物理仕様を示します。

 

表A-1 物理仕様

仕様
説明

帯域幅

SFM(搭載されている場合)への6 Gbpsパスを備えたCEF256ライン カード、または32 Gbps共有バス

メモリ

1 GB RAM

128 MBフラッシュ メモリ

各スイッチのモジュール数

各スイッチに4台までのモジュールを搭載可能。

フェールオーバーを使用して2台をスタンバイ モードにした場合でも、各スイッチに搭載できるモジュールは4台までです。

機能の制限

表A-2 に、FWSMの機能の制限を示します。

 

表A-2 機能の制限

仕様
コンテキスト モード
シングル
マルチ

AAAサーバ(RADIUSおよびTACACS+)

16

各コンテキストに4

モニタできるフェールオーバー インターフェイス

250

すべてのコンテキスト全体で250

フィルタリング サーバ
(Websense EnterpriseおよびN2H2のSentian)

16

各コンテキストに4

ジャンボ イーサネット パケット

8,500バイト

8,500バイト

セキュリティ コンテキスト

適用外

100セキュリティ コンテキスト(ソフトウェア ライセンスによる)

Syslogサーバ

16

各コンテキストに4

VLANインターフェイス

ルーテッド モード

256

各コンテキストに256

FWSMのVLANインターフェイス数は、すべてのコンテキスト全体で1000までに限定されています。外部インターフェイスは複数のコンテキストで共有でき、状況によっては内部インターフェイスも共有できます。

トランスペアレント モード

2

各コンテキストに2

管理対象のシステム リソース

表A-3 に、FWSMの管理対象のシステム リソースを示します。リソース マネージャを使用して、これらのリソースをコンテキスト単位で管理できます。「リソース管理の設定」を参照してください。

 

表A-3 管理対象のシステム リソース

仕様
コンテキスト モード
シングル
マルチ

MACアドレス(トランスペアレント ファイアウォール モードのみ)

64,000

すべてのコンテキスト全体で64,000

FWSMで接続が許可されるホスト、同時

256,000

すべてのコンテキスト全体で256,000

インスペクション エンジンの接続、レート

10,000/秒

すべてのコンテキスト全体で10,000/秒

IPSec管理接続、同時

5

各コンテキストに5

すべてのコンテキスト全体で最大10

PDM 管理セッション、同時1

5

各コンテキストで最大5

すべてのコンテキスト全体で最大32

NAT変換、同時

256,000

すべてのコンテキスト全体で256,000

SSH2管理接続、同時

5

各コンテキストに5

すべてのコンテキスト全体で最大100

システム メッセージ、レート

FWSMの端末またはバッファへの送信メッセージは、
30,000/秒

Syslogサーバへの送信メッセージは、
25,000/秒

FWSMの端末またはバッファへの送信メッセージは、すべてのコンテキスト全体で30,000/秒

Syslogサーバへの送信メッセージは、すべてのコンテキスト全体で25,000/秒

1台のホストと複数の他のホスト間の接続を含む、任意の2つのホスト間のTCP3/UDP4接続、同時接続およびレート5

999,900

100,000/秒

すべてのコンテキスト全体で999,900

すべてのコンテキスト全体で100,000/秒

Telnet管理接続、同時

5

各コンテキストに5

すべてのコンテキスト全体で最大100の接続

1.PDMセッションでは、2つのHTTPS接続を使用します。1つは常に使用されるモニタ用、もう1つは変更時のみに使用される設定変更用です。たとえば、システム制限のPDMセッション数が32の場合、HTTPS接続数は64に制限されます。

2.Secure Shell(セキュア シェル)

3.Transmission Control Protocol

4.User Datagram Protocol

5.PAT(ポート アドレス変換)では各接続に個別の変換が必要なので、PATを使用する接続の有効な制限値は、接続制限ではなく変換の制限(256,000)になります。接続制限を適用するには、同じ変換セッションで複数の接続が可能なNATを使用する必要があります。

固定システム リソース

表A-4 に、FWSMの固定システム リソースを示します。

 

表A-4 固定システム リソース

仕様
コンテキスト モード
シングル
マルチ

AAA6接続、レート

80/秒

すべてのコンテキスト全体で80/秒

ACLロギングのフロー、同時

32,000

すべてのコンテキスト全体で32,000

エイリアス ステートメント

1,000

すべてのコンテキスト全体で1,000

ARP7テーブル エントリ、同時

64,000

すべてのコンテキスト全体で64.00

グローバル ステートメント

1,051

すべてのコンテキスト全体で1,051

インスペクション エンジン(フィックスアップ[fixup])ステートメント

32

各コンテキストで328

NATステートメント

2,000

すべてのコンテキスト全体で2,000

パケット再組み立て、同時

30,000

すべてのコンテキスト全体で30,000フラグメント

ルート テーブル エントリ、同時

32,000

すべてのコンテキスト全体で32,000

shunステートメント

5,000

すべてのコンテキスト全体で5,000

SIP接続、同時

5,000

すべてのコンテキスト全体で5,000

スタティックNATステートメント

2,000

すべてのコンテキスト全体で2,000

ユーザ認証セッション、同時

50,000

すべてのコンテキスト全体で50,000

ユーザ許可セッション、同時

150,000

各ユーザで最大15セッション

すべてのコンテキスト全体で150,000

各ユーザで最大15セッション

6.Authentication, Authorization, Accounting(認証、許可、アカウンティング)

7.Address Resolution Protocol

8.この制限には、デフォルトでイネーブルになるTFTP、Sun PRC over UDP、NetBIOS NameServer、XDMCP、およびCUSeeMeインスペクション エンジンが含まれるので、設定できるインスペクション エンジンの総数は27です。OraServおよびRealAudioのインスペクション エンジンもデフォルトでイネーブルに設定されますが、この制限には影響しません。

ルールの制限

FWSMがシステム全体でサポートできるルール数は、シングルモードで約80K、マルチモードで約142Kです。

マルチコンテキスト モードでは各コンテキストで最大12,130のルールをサポートできますが、実際に1つのコンテキストでサポートできるルール数は、設定するコンテキスト数に応じて最大数より少なくなることがあります。各コンテキストは、最大12,130ルールを提供する12のプールの1つに属します。FWSMは各コンテキストを、スタートアップ時にロードされる順序でプールに割り当てます。たとえば、12のコンテキストを設定した場合、各コンテキストはそれぞれ個別のプールに割り当てられ、12,130のルールを使用できます。さらに1つのコンテキストを追加すると、コンテキスト番号1および新しいコンテキスト番号13の両方がプール1に割り当てられるので、2つのコンテキストが12,130のルールを共有します。他の11のコンテキストは単独で12,130のルールを使用できます。コンテキストを削除してもプールの構成には影響しません。したがって、再起動してコンテキストを均等に割り当てるまでは、コンテキストの割り当てが不均一になります。


) ルールは、先着順で使用されるので、コンテキストによっては使用するルールが他のコンテキストよりも多くなることがあります。


表A-5 に、タイプ別のルールの最大数を示します。

 

表A-5 ルールの制限

仕様
コンテキスト モード
シングル
マルチ(各プールの最大数)

AAAルール

3,942

6069

ACE10

63,078

9,704

ネットワーク アクセス許可用にダウンロードされるACE

3,000

3,000

establishedルール

788

121

フィルタ ルール

3,942

606

ICMP11、Telnet、SSH、およびHTTP12ルール

2,365

363

ポリシーNAT ACE

3,942

606

9.たとえば、96のコンテキストを12プールに均等に割り当てた場合、各プールに8つのコンテキストがあるので、各コンテキストが均等に使用できるフィルタ ルール数は75になります。

10.Access Control Entry(アクセス制御エントリ)

11.Internet Control Message Protocol

12.HyperText Transfer Protocol