発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
MAC アドレスのコンテキスト インターフェイスへの自動割り当て
セキュリティ コンテキストの追加と管理
この章では、セキュリティ アプライアンスにマルチセキュリティ コンテキストを設定する方法について説明します。次の項で構成されています。
•
「MAC アドレスのコンテキスト インターフェイスへの自動割り当て」
コンテキストの機能およびマルチコンテキスト モードのイネーブル化については、 第 3 章「マルチコンテキスト モードのイネーブル化」 を参照してください。
リソース管理の設定
デフォルトでは、コンテキストごとの最大限度が設定されている場合を除いて、すべてのセキュリティ コンテキストはセキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つまたは複数のコンテキストがリソースを使用し過ぎて、他のコンテキストが接続できなくなる場合には、リソース管理の設定を行い、コンテキストごとのリソースの使用を制限することができます。
•
クラスおよびクラス メンバーの概要
セキュリティ アプライアンスでは、コンテキストをリソース クラスに割り当てることによりリソースを管理します。各コンテキストは、クラスが設定するリソース制限を使用します。ここでは、次の項目について説明します。
•
リソース制限
クラスを作成すると、セキュリティ アプライアンスでは、そのクラスに割り当てられたコンテキストごとにリソースの一部を除外するのではなく、コンテキストの最大限度を設定します。リソースをオーバーサブスクライブしたり、特定のリソースを無制限にしたりすると、いくつかのコンテキストがリソースを使い果たして、他のコンテキストに対するサービスに影響が出ることがあります。
個々のリソースに、制限をパーセント(ハードウェアのシステム制限がある場合)または絶対値で設定できます。
すべてのテキストに渡って100%以上割り当てることにより、セキュリティ アプライアンスをオーバーサブスクライブすることができます。たとえば、Bronze クラスにはコンテキストごとに 20% の接続制限を設定してから、そのクラスに 10 のコンテキストを割り当てると、合計は 200% になります。いくつかのコンテキストがシステムの制限を超えて同時に使用すれば、各コンテキストは、当初想定した 20% に満たなくなります(図6-1 を参照)。
すべてのコンテキストのリソースに、セキュリティ アプライアンスの実際の制限を超えた絶対値を割り当てると、セキュリティ アプライアンスのパフォーマンスが低下することがあります。
セキュリティ アプライアンスでは、あるクラスの 1 つまたは複数のリソースに、パーセントや絶対値ではなく、無制限アクセスを割り当てることができます。あるリソースが無制限の場合、コンテキストは、システムで利用できるリソース(実際に使用できるリソース)をすべて使用できます。たとえば、Silver クラスの中にコンテキスト A、B、C があり、各クラス メンバーに 1% の接続制限を課しているため、合計が 3% になります。しかし、3 つのコンテキストは、現在合計 2% しか使用していません。Gold クラスは無制限に接続できます。Gold クラスのコンテキストは、「未割り当て」接続の 97% 以上を使用できます。また、コンテキスト A、B、C が現在使用していない 1% の接続も(コンテキスト A、B、C の制限が合計 3% に到達できない場合でも)使用できます。(図6-2 を参照)。無制限アクセスの設定は、セキュリティ アプライアンスのオーバーサブスクライブに似ています。相違点は、システムのオーバーサブスクライブ量について管理が劣る点です。
デフォルト クラス
すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。したがって、コンテキストをデフォルト クラスに特に割り当てる必要はありません。
コンテキストがデフォルト クラス以外のクラスに属している場合、クラス設定は、常にデフォルト クラス設定を上書きします。ただし、他のクラス設定が定義されていない場合、メンバー コンテキストはデフォルト クラスを制限用に使用します。たとえば、同時接続に 2% を設定されたクラスを作成し、その他の制限がない場合、その他すべての制限はデフォルト クラスから継承されます。反対に、すべてのリソースに制限のあるクラスを作成すれば、そのクラスはデフォルト クラス設定を使用しません。
デフォルトでは、デフォルト クラスは、すべてのコンテキストに無制限アクセスを与えますが、例外は次の制限で、これらは、デフォルトでコンテキストごとの最大値に設定されます。
図6-3 に、デフォルト クラスと他のクラスとの関係を示します。コンテキスト A と C は、いくつか制限のあるクラスに属しています。他の制限は、デフォルト クラスから継承されます。コンテキスト B は、すべての制限がそのクラス(Gold クラス)に設定されているので、デフォルト クラスから制限を継承することはありません。コンテキスト D はクラスに割り当てられていないため、デフォルトでデフォルト クラスのメンバーになります。
クラス メンバー
クラスの設定を使用するには、コンテキストの定義時に、コンテキストをそのクラスに割り当てます。すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。したがって、コンテキストをデフォルト クラスに特に割り当てる必要はありません。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。この規則の例外は、メンバー クラスで未定義の制限がデフォルト クラスから継承される点です。したがって、実際には、コンテキストはデフォルト クラスと別のクラスのメンバーということになります。
クラスの設定
システム コンフィギュレーションにクラスを設定する場合、次の手順を実行します。新しい値を指定してこのコマンドを再入力すると、特定のリソース制限の値を変更することができます。
ステップ 1
name は、最大 20 文字の文字列です。デフォルト クラスに制限を設定するには、その名前に default を入力します。
ステップ 2
•
たとえば、無制限の管理者コンテキストを含めたクラスを作成することができます。デフォルト クラスでは、デフォルトですべてのリソースが無制限に設定されます。
•
この特定のリソースについては、この制限が all に設定されている制限を上書きします。特定のリソースの毎秒のレートを設定するには、 rate 引数を入力します。システム制限のないリソースについては、1 ~ 100 のパーセント(%)を設定できません。設定できるのは絶対値だけです。システム制限がなく、毎秒のレートを設定できるリソースについては、 表6-1 を参照してください。
表6-1 にリソースの種類と制限を示します。また、 show resource types コマンドも参照してください。
同時接続:プラットフォームの接続制限については、「サポートされているプラットフォームと機能」を参照してください。
任意の 2 つのホスト間の TCP 接続または UDP 接続。これには、1 台のホストと他の複数台のホストとの接続も含まれます。
(注) ASDM セッションは、2 つの
HTTPS 接続を使用します。1 つは常駐の監視用、もう 1 つは変更時にのみ存在するコンフィギュレーション変更用です。たとえば、32 の ASDM セッションのシステム制限は、64 の HTTPS セッションの制限という意味です。
セキュリティ コンテキストの設定
システム コンフィギュレーション内のセキュリティ コンテキストの定義によって、コンテキストの名前、コンフィギュレーション ファイルの URL、コンテキストが使用できるインターフェイスが識別されます。
(注) 管理コンテキストがない場合(コンフィギュレーションをクリアした場合など)は、最初に次のコマンドを入力して管理コンテキスト名を指定する必要があります。
hostname(config)# admin-context name
このコンテキスト名はコンフィギュレーションにまだ存在しませんが、この後に context name コマンドを入力すると、指定した名前との照合が行われて、管理コンテキスト コンフィギュレーションを続行できます。
システム コンフィギュレーションにコンテキストを追加する場合、または既存のコンテキストを変更する場合は、次の手順を実行します。
ステップ 1
name は最大 32 文字の文字列です。この名前では、大文字と小文字が区別されるため、たとえば、「customerA」と「CustomerA」の 2 種類のコンテキストが使用できます。英字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンを使用することはできません。
「System」および「Null」(大文字および小文字)は予約されている名前であるため、使用できません。
ステップ 2
ステップ 3
•
•
hostname(config-ctx)# allocate-interface physical_interface.subinterface[-physical_interface.subinterface] [map_name[-map_name]] [visible | invisible]これらのコマンドを複数回入力して複数の範囲を指定できます。このコマンドの no 形式で割り当てを削除すると、このインターフェイスが含まれているコンテキスト コマンドは、すべて実行コンフィギュレーションから削除されます。
透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過できます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。
(注) 透過モードの管理インターフェイスによって、MAC アドレス テーブルにないパケットがインターフェイスからフラッドされることはありません。
必要に応じて、同じインターフェイスをルーテッド モードの複数のコンテキストに割り当てることができます。透過モードでは、インターフェイスの共有は許されません。
map_name は、インターフェイスの英数字のエイリアスで、インターフェイス ID の代わりにコンテキスト内で使用できます。マッピング名を指定しない場合は、コンテキスト内でインターフェイス ID が使用されます。セキュリティ保護上の目的から、コンテキストでどのインターフェイスが使用されているかをコンテキスト管理者に知られないようにすることができます。
マッピング名は英字で始まり英字または数字で終わる必要があります。中の文字として使用できるのは、英字、数字、下線だけです。たとえば、次のような名前が使用できます。
サブインターフェイスでは、マッピング名の範囲が指定できます。
サブインターフェイスの範囲を指定すると、マッピング名を照合する範囲が指定できます。範囲指定については次のガイドラインに従ってください。
•
たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力すると、コマンドは失敗します。
•
たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力すると、コマンドは失敗します。
visible を設定して、マッピング名を設定した場合でも、 show interface コマンドによって、物理インターフェイスのプロパティが表示されるようにします。デフォルトの invisible は、マッピング名だけが表示されるように指定するキーワードです。
次の例は、コンテキストに割り当てられた gigabitethernet0/1.100、gigabitethernet0/1.200、およびgigabitethernet0/2.300 ~ gigabitethernet0/1.305 を示しています。int1 ~ int8 がマッピング名です。
ステップ 4
コンテキストの URL を追加すると、システムは、動作中になるように、ただちにそのコンテキストをロードします(そのコンフィギュレーションが使用可能である場合)。
(注) allocate-interface コマンドは、config-url コマンドを入力する前に入力してください。セキュリティ アプライアンスは、コンテキスト コンフィギュレーションをロードする前にインターフェイスをコンテキストに割り当てる必要があります。これは、コンテキスト コンフィギュレーションに、インターフェイス(interface、nat、global...)を参照するコマンドが含まれている場合があるためです。config-url コマンドを先に入力すると、セキュリティ アプライアンスは、コンテキスト コンフィギュレーションをただちにロードします。この場合、コンテキストにインターフェイスを参照するコマンドが含まれていると、そのコマンドは失敗します。
この URL は内部フラッシュ メモリを示します。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが使用不可の場合、次のメッセージが表示されます。
この場合、コンテキストに切り替えて CLI でコンテキストを設定し、 write memory コマンドを入力してファイルをフラッシュ メモリに書き込むことができます。
(注) 管理コンテキスト ファイルは、内部フラッシュ メモリに保存する必要があります。
•
サーバは、管理コンテキストからアクセス可能である必要があります。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが使用不可の場合、次のメッセージが表示されます。
この場合、コンテキストに切り替えて CLI でコンテキストを設定し、 write memory コマンドを入力してファイルを FTP サーバに書き込むことができます。
•
サーバは、管理コンテキストからアクセス可能である必要があります。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが使用不可の場合、次のメッセージが表示されます。
コンテキストに切り替えて CLI でコンテキストを設定した場合、 write memory コマンドを使用して変更内容を HTTP サーバまたは HTTPS サーバに保存し直すことはできません。しかし、 copy tftp コマンドを使用すると、実行コンフィギュレーションを TFTP サーバにコピーできます。
•
サーバは、管理コンテキストからアクセス可能である必要があります。サーバ アドレスへのルートを上書きする場合は、インターフェイス名を指定します。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが使用不可の場合、次のメッセージが表示されます。
この場合、コンテキストに切り替えて CLI でコンテキストを設定し、 write memory コマンドを入力してファイルを TFTP サーバに書き込むことができます。
URL を変更するには、新しい URL を指定した config-url コマンドを再入力します。
URL の変更の詳細については、「セキュリティ コンテキスト URL の変更」を参照してください。
ステップ 5
クラスを指定しない場合、コンテキストはデフォルト クラスに属します。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。
たとえば、コンテキストを gold クラスに割り当てるには、次のコマンドを入力します。
ステップ 6
次の例では、管理コンテキストを「administrator」と設定し、内部フラッシュ メモリに「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加しています。
MAC アドレスのコンテキスト インターフェイスへの自動割り当て
コンテキストがインターフェイスを共有できるようにするには、それぞれのコンテキスト インターフェイスに固有の MAC アドレスを割り当てることを推奨します。MAC アドレスは、コンテキスト内のパケットを分類するために使用します。インターフェイスを共有化していても、各コンテキストのインターフェイスに固有の MAC アドレスがない場合、宛先 IP アドレスを使用してパケットを分類します。宛先アドレスと NAT コンフィギュレーションとの照合が行われますが、この方式には、MAC アドレス方式に比べると、いくつか制限があります。パケットの分類については、「セキュリティ アプライアンスによるパケットの分類方法」を参照してください。
デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。
次のコマンドをシステム コンフィギュレーションに入力することにより、MAC アドレスを各共有コンテキスト インターフェイスに自動的に割り当てることができます。
フェールオーバーで使用する場合、セキュリティ アプライアンスでは、各インターフェイスにアクティブとスタンバイの両方の MAC アドレスが生成されます。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新たなアクティブ装置はアクティブ MAC アドレスを使用して、ネットワークの中断を最小限に抑えます。
インターフェイスをコンテキストに割り当てると、ただちに新しい MAC アドレスが生成されます。コンテキスト インターフェイスの作成後にこのコマンドをイネーブルにすると、コマンドの入力直後に、MAC アドレスがすべてのインターフェイス用に生成されます。 no mac-address auto コマンドを使用すると、各インターフェイスの MAC アドレスはデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは、再度 GigabitEthernet 0/1 の MAC アドレスを使用するようになります。
•
•
インターフェイス スロットのないプラットフォームでは、スロットは常に 0 です。 port はインターフェイス ポートです。 subid はサブインターフェイスの内部 ID ですが、表示できません。 contextid はコンテキストの内部 ID で、 show context detail コマンドで表示できます。たとえば、ID 1 のコンテキストのインターフェイス GigabitEthernet 0/1.200 には、次の生成された MAC アドレスがあり、31 がサブインターフェイス 200 の内部 ID です。
生成された MAC アドレスがネットワーク内のプライベート MAC アドレスと競合することがまれに生じますが、その場合、MAC アドレスをコンテキスト内のインターフェイスに手動で設定することができます。MAC アドレスの手動設定については、「インターフェイスの設定」を参照してください。
コンテキストとシステム実行スペース間の切り替え
システム実行スペースにログインした場合(または Telnet や SSH を使用して管理コンテキストにログインした場合)は、コンテキスト間の切り替えが可能であり、各コンテキスト内でコンフィギュレーション タスクやモニタリング タスクを実行できます。実行コンフィギュレーションが、コンフィギュレーション モードで編集するか、 copy コマンドまたは write コマンドに使用されるかは、ログインした場所で決まります。システム実行スペースにログインした場合、実行コンフィギュレーションはシステム コンフィギュレーションのみで構成され、コンテキストにログインした場合は、実行コンフィギュレーションはそのコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力しても、すべての実行コンフィギュレーション(システム コンテキストとすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。
システム実行スペースとコンテキスト間の切り替え、またはコンテキスト間の切り替えを行うには、次のコマンドを使用します。
•
セキュリティ コンテキストの管理
この項では、セキュリティ コンテキストの管理方法について説明します。次の項目を取り上げます。
セキュリティ コンテキストの削除
システム コンフィギュレーションを編集することで、削除できるのは 1 つのコンテキストだけです。現在の管理コンテキストは、 clear context コマンドを実行してすべてのコンテキストを削除しない限り、削除できません。
(注) フェールオーバーを使用すると、アクティブ装置でコンテキストを削除した時刻と、スタンバイ装置でコンテキストが削除された時刻との間で遅延が生じます。アクティブ装置とスタンバイ装置の間でインターフェイス数が一致していないことを示すエラー メッセージが表示される場合があります。このエラーは一時的に表示されるもので、無視できます。
管理コンテキストの変更
システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。
管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないので、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインするとすべてのコンテキストに管理者の特権が許可されるので、管理コンテキストへのアクセスを適切なユーザに制限しなければならないことがあります。
コンフィギュレーション ファイルが内部フラッシュ メモリに保存されている限り、任意のコンテキストを管理コンテキストに設定することができます。管理コンテキストを設定するには、システム実行スペースで次のコマンドを入力します。
Telnet、SSH、HTTPS など、管理コンテキストに接続しているリモート管理セッションはすべて終了します。新しい管理コンテキストに再接続する必要があります。
(注) ntp server を含むいくつかのシステム コマンドは、管理コンテキストに所属するインターフェイス名を識別します。管理コンテキストを変更した場合に、そのインターフェイス名が新しい管理コンテキストに存在しないときは、そのインターフェイスを参照するシステム コマンドはすべて、アップデートしてください。
セキュリティ コンテキスト URL の変更
セキュリティ コンテキスト URL は、新しい URL からコンフィギュレーションをリロードしないと変更できません。
セキュリティ アプライアンスは、新しいコンフィギュレーションを現在の実行コンフィギュレーションとマージします。同じ URL を再入力しても、保存済みのコンフィギュレーションが実行コンフィギュレーションとマージされます。マージは、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドを追加します。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。実行コンフィギュレーションが空白の場合(サーバが利用できず、コンフィギュレーションがまったくダウンロードされなかった場合など)は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしない場合、実行コンフィギュレーションをクリアすることができます。これを行うとコンテキストを通る通信がすべて中断されるので、後で新しい URL からコンフィギュレーションをリロードします。
コンテキストの URL を変更するには、次の手順を実行します。
ステップ 1
ステップ 2
ステップ 3
ステップ 4
システムは、動作中になるように、ただちにコンテキストをロードします。
セキュリティ コンテキストのリロード
セキュリティ コンテキストは、次の 2 つの方法でリロードできます。
•
このアクションでは、セキュリティ コンテキストに関連付けられている接続や NAT テーブルなどのアトリビュートの大部分がクリアされます。
•
このアクションでは、トラブルシューティングに役立つ可能性のあるメモリ割り当てなど補足的なアトリビュートがクリアされます。しかし、コンテキストをシステムに戻して追加するには、URL とインターフェイスを再指定する必要があります。
コンフィギュレーションのクリアによるリロード
コンテキスト コンフィギュレーションをクリアし、URL からコンフィギュレーションをリロードすることによってコンテキストをリロードするには、次の手順を実行します。
ステップ 1
ステップ 2
ステップ 3
ステップ 4
セキュリティ アプライアンスは、システム コンフィギュレーションに指定された URL からコンフィギュレーションをコピーします。コンテキスト内で URL を変更することはできません。
コンテキストの削除および再追加によるリロード
コンテキストを削除し、その後再追加することによってコンテキストをリロードするには、次の各項で説明してある手順を実行してください。
コンテキスト情報の表示
システム実行スペースから、名前、割り当てられているインターフェイス、コンフィギュレーション ファイル URL を含むコンテキストのリストを表示できます。
システム実行スペースから次のコマンドを入力すると、すべてのコンテキストが表示されます。
detail オプションを指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。
特定のコンテキストの情報を表示する場合は、 name にコンテキスト名を指定します。
count オプションを指定すると、コンテキストの合計数が表示されます。
次に、 show context コマンドの出力例を示します。この出力例では、3 つのコンテキストが表示されています。
表6-2 に、各フィールドの説明を示します。
次に、 show context detail コマンドの出力例を示します。
detail の出力の詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。
リソースの割り当ての表示
システム実行スペースで、すべてのクラスおよびクラス メンバーのそれぞれのリソースの割り当て状況を表示できます。
リソースの割り当てを表示するには、次のコマンドを入力します。
このコマンドで、リソースの割り当てを表示することができますが、実際に使用中のリソースは表示できません。実際のリソースの使用状況の詳細については、「リソースの使用状況の表示」を参照してください。
detail 引数を指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。
次の出力例では、各リソースの合計割り当て数を、絶対値および利用可能なシステム リソースの割合で表示しています。
表6-3 に、各フィールドの説明を示します。
次に、 show context allocation detail コマンドの出力例を示します。
表6-4 に、各フィールドの説明を示します。
リソースの使用状況の表示
システム実行スペースで、コンテキストごとのリソースの使用状況やシステム リソースの使用状況を表示できます。
システム実行スペースでコンテキストごとのリソースの使用状況を表示するには、次のコマンドを入力します。
hostname# show resource usage [context context_name | top n | all | summary | system] [resource {resource_name | all} | detail] [counter counter_name [count_threshold]]デフォルトでは、 all (すべての)コンテキストの使用状況が表示されます。各コンテキストは個別にリスト表示されます。
指定したリソースの上位 n 人のユーザとなっているコンテキストを表示するには、 top n キーワードを入力します。このオプションには、リソース タイプを 1 つ指定する必要がありますが、 resource all は指定しないでください。
summary オプションでは、すべてのコンテキストの使用状況を組み合せて表示されます。
system オプションでは、すべてのコンテキストの使用状況を組み合せて表示されますが、組み合せたコンテキストの制限ではなく、リソースに対するシステムの制限が表示されます。
resource resource_name については、 表6-1 で使用可能なリソース名を参照してください。また、 show resource type コマンドも参照してください。すべてのタイプを表示するには all (デフォルト)を指定します。
detail オプションを指定すると、管理できないものも含めて、すべてのリソースの使用状況が表示されます。たとえば、 TCP 代行受信数を表示できます。
counter counter_name には、次のいずれかのキーワードを指定します。
•
•
•
count_threshold は、表示するリソースの下限を設定します。デフォルトは 1 です。リソースの使用状況が設定した数字より少ないとそのリソースは表示されません。カウンタ名に all を指定すると、 count_threshold が現在の使用状況に適用されます。
(注) すべてのリソースを表示するには、count_threshold を 0 に設定します。
次に、 show resource usage context コマンドの出力例を示します。このコマンドは、管理コンテキストのリソースの使用状況を表示します。
show resource usage summary コマンドの出力例を次に示します。このコマンドは、すべてのコンテキストおよびすべてのリソースのリソース使用状況を表示します。この出力例では、6 コンテキストという限界を示しています。
次に、 show resource usage summary コマンドの出力例を示します。この出力例では、25 コンテキストという限界を示しています。Telnet 接続および SSH 接続のコンテキストの限界がコンテキストごとに 5 であるため、合計の限界は 125 です。システムの限界が単に 100 であるため、システムの限界が表示されています。
次に、 show resource usage system コマンドの出力例を示します。このコマンドは、すべてのコンテキストのリソースの使用状況を表示しますが、ここでは、組み合せたコンテキストの限界ではなく、システムの限界を表示しています。 counter all 0 オプションを使用して、現在使用されていないリソースを表示します。Denied 統計情報は、利用できる場合に、そのリソースがシステム制限により何度拒否されているかを示します。
コンテキストの SYN 攻撃の監視
セキュリティ アプライアンスは、TCP 代行受信を使用して SYN 攻撃を防止します。TCP 代行受信は、SYN クッキー アルゴリズムを使用して、TCP SYN フラッディング攻撃を防止します。SYN フラッディング攻撃は、通常スプーフィングされた IP アドレスから発信される一連の SYN パケットで構成されています。SYN パケットによる絶え間ないフラッディングがサーバの SYN キューをいっぱいにし、接続要求に応答できないようにします。接続の初期接続制限しきい値を超えると、セキュリティ アプライアンスがサーバのプロキシの役割を果たし、クライアントの SYN 要求に対して SYN-ACK 応答を生成します。セキュリティ アプライアンスがクライアントから返された ACK を受け取ると、クライアントの認証を行い、サーバへの接続を許可します。
show perfmon コマンドを使用すると、個々のコンテキストの攻撃レートを監視できます。show resource usage detail コマンドを使用すると、個々のコンテキストについて、TCP 代行受信が使用中のリソース量を監視できます。show resource usage summary detail コマンドを使用すると、システム全体について、TCP 代行受信が使用中のリソースを監視できます。
次の show perfmon コマンドの出力例は、admin と呼ばれるコンテキストの TCP 代行受信のレートを示します。
次の show resource usage detail コマンドの出力例は、個々のコンテキストについて、TCP 代行受信が使用中のリソース量を示します(例の中のイタリック体のテキストは TCP 代行受信情報を示します)。
次の出力例は、システム全体について、TCP 代行受信が使用中のリソースを示します(例の中のイタリック体のテキストは TCP 代行受信情報を示します)。