Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
マルチコンテキスト モードの管理
マルチコンテキスト モードの管理
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

マルチコンテキスト モードの管理

セキュリティ コンテキストに関する情報

セキュリティ コンテキストの一般的な使用方法

サポートされていない機能

コンテキスト コンフィギュレーション ファイル

コンテキスト コンフィギュレーション

システム コンフィギュレーション

管理コンテキスト コンフィギュレーション

セキュリティ アプライアンスによるパケットの分類方法

有効な分類子の基準

無効な分類子の基準

分類の例

セキュリティ コンテキストのカスケード接続

セキュリティ コンテキストへの管理アクセス

システム管理者のアクセス

コンテキスト管理者のアクセス

マルチコンテキスト モードのイネーブル化とディセーブル化

シングルモード コンフィギュレーションのバックアップ

マルチコンテキスト モードのイネーブル化

シングルコンテキスト モードの復元

リソース管理の設定

クラスおよびクラス メンバーの概要

リソース制限値

デフォルト クラス

クラスメンバー

クラスの設定

セキュリティ コンテキストの設定

コンテキスト インターフェイスへの MAC アドレスの自動割り当て

MAC アドレスに関する情報

デフォルトの MAC アドレス

手動 MAC アドレスとの相互作用

フェールオーバー用の MAC アドレス

MAC アドレス形式

MAC アドレスの自動生成のイネーブル化

割り当てられた MAC アドレスの表示

システム コンフィギュレーション内の MAC アドレスの表示

コンテキスト内での MAC アドレスの表示

コンテキストとシステム実行スペースの切り替え

セキュリティ コンテキストの管理

セキュリティ コンテキストの削除

管理コンテキストの変更

セキュリティ コンテキスト URL の変更

セキュリティ コンテキストのリロード

コンフィギュレーションのクリアによるリロード

コンテキストの削除および再追加によるリロード

セキュリティ コンテキストのモニタリング

コンテキスト情報の表示

リソース割り当ての表示

リソースの使用状況の表示

コンテキストでの SYN 攻撃のモニタリング

マルチコンテキスト モードの管理

この章では、適応型セキュリティ アプライアンスにマルチセキュリティ コンテキストを設定する方法について説明します。次の項で構成されています。

「セキュリティ コンテキストに関する情報」

「マルチコンテキスト モードのイネーブル化とディセーブル化」

「リソース管理の設定」

「セキュリティ コンテキストの設定」

「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」

「コンテキストとシステム実行スペースの切り替え」

「セキュリティ コンテキストの管理」

「セキュリティ コンテキストのモニタリング」

セキュリティ コンテキストに関する情報

1 台の適応型セキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチコンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。


) 適応型セキュリティ アプライアンスがセキュリティ コンテキスト(ファイアウォール マルチモードとも呼ばれる)、または Active/Active ステートフル フェールオーバーに設定されている場合、IPSec または SSL VPN をイネーブルにできません。したがって、これらの機能は使用できません。


この項では、セキュリティ コンテキストの概要について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの一般的な使用方法」

「サポートされていない機能」

「コンテキスト コンフィギュレーション ファイル」

「セキュリティ アプライアンスによるパケットの分類方法」

「セキュリティ コンテキストのカスケード接続」

「セキュリティ コンテキストへの管理アクセス」

セキュリティ コンテキストの一般的な使用方法

マルチセキュリティ コンテキストを使用する状況には次のようなものがあります。

サービス プロバイダーとして、多数のカスタマーにセキュリティ サービスを販売する。適応型セキュリティ アプライアンス上でマルチセキュリティ コンテキストをイネーブルにすることによって、費用対効果の高い、省スペース ソリューションを実装できます。このソリューションでは、カスタマーのトラフィックすべての分離とセキュリティが確保され、設定も容易です。

大企業または広大な大学の構内で、各部門の完全な独立を維持する必要がある。

企業で、部門ごとに個別のセキュリティ ポリシーの提供が求められている。

複数の適応型セキュリティ アプライアンスが必要なネットワークを使用している。

サポートされていない機能

マルチコンテキスト モードでサポートされていない機能は、次のとおりです。

ダイナミック ルーティング プロトコル

セキュリティ コンテキストは、スタティック ルートのみサポートします。マルチコンテキスト モードでは、OSPF、RIP、または EIGRP をイネーブルにできません。

VPN

マルチキャスト ルーティング。マルチキャスト ブリッジはサポートされています。

脅威の検出

Phone Proxy

コンテキスト コンフィギュレーション ファイル

この項では、適応型セキュリティ アプライアンスがマルチコンテキスト モードのコンフィギュレーションを実装する方法について説明します。次の項目を取り上げます。

「コンテキスト コンフィギュレーション」

「システム コンフィギュレーション」

「管理コンテキスト コンフィギュレーション」

コンテキスト コンフィギュレーション

適応型セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。コンテキスト コンフィギュレーションは、内部フラッシュ メモリまたは外部フラッシュ メモリ カードに保存することも、TFTP サーバ、FTP サーバ、または HTTP(S)サーバからダウンロードすることもできます。

システム コンフィギュレーション

システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイス、およびその他のコンテキスト操作パラメータをシステム コンフィギュレーションに設定することで、コンテキストを追加および管理します。このコンフィギュレーションは、シングルモードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、適応型セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、 管理コンテキスト として指定されたコンテキストのいずれかを使用します。システム コンフィギュレーションに含まれているものに、フェールオーバー トラフィック専用の特殊なフェールオーバー インターフェイスがあります。

管理コンテキスト コンフィギュレーション

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限する必要があります。管理コンテキストは、リモートではなくフラッシュ メモリに置く必要があります。

システムがすでにマルチコンテキスト モードになっている場合、またはシングルモードから変換された場合、管理コンテキストが admin.cfg と呼ばれるファイルとして内部フラッシュ メモリに自動的に作成されます。このコンテキストは「admin」と名付けられます。admin.cfg を管理コンテキストとして使用しない場合は、管理コンテキストを変更できます。

セキュリティ アプライアンスによるパケットの分類方法

適応型セキュリティ アプライアンスに入ってくるパケットはいずれも分類する必要があります。その結果、適応型セキュリティ アプライアンスは、どのコンテキストにパケットを送信するかを決定できます。この項は、次の内容で構成されています。

「有効な分類子の基準」

「無効な分類子の基準」

「分類の例」


) 宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製され、各コンテキストに送信されます。


有効な分類子の基準

この項では、分類子で使用される基準について説明します。次の項目を取り上げます。

「固有のインターフェイス」

「固有の MAC アドレス」

「NAT コンフィギュレーション」

固有のインターフェイス

入力インターフェイスに関連付けられているコンテキストが 1 つだけの場合、適応型セキュリティ アプライアンスはパケットをそのコンテキストに分類します。透過ファイアウォール モードでは、各コンテキストに固有のインターフェイスが必要なため、この方法は、常にパケット分類の目的で使用されます。

固有の MAC アドレス

マルチコンテキストがインターフェイスを共有している場合、分類子はインターフェイス MAC アドレスを使用します。適応型セキュリティ アプライアンスでは、各コンテキストで異なる MAC アドレスを同一の共有インターフェイス(共有物理インターフェイスまたは共有サブインターフェイス)に割り当てることができます。デフォルトでは、共有インターフェイスには固有の MAC アドレスがありません。インターフェイスは、すべてのコンテキストの物理インターフェイスの焼き付け済み MAC アドレスを使用します。固有の MAC アドレスがないと、アップストリーム ルータはコンテキストに直接ルーティングできません。各インターフェイスを設定するときに、手動で MAC アドレスを設定できます(「MAC アドレスの設定」を参照)。または、MAC アドレスを自動的に設定することもできます(「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照)。

NAT コンフィギュレーション

固有の MAC アドレスがない場合、分類子はパケットを代行受信し、宛先 IP アドレス ルックアップを実行します。その他のすべてのフィールドは無視され、宛先 IP アドレスだけが使用されます。分類に宛先アドレスを使用するには、分類子が、各セキュリティ コンテキストの背後にあるサブネットを認識できる必要があります。分類子は、Network Address Translation(NAT; ネットワーク アドレス変換)コンフィギュレーションに基づいて各コンテキストのサブネットを判別します。分類子は、宛先 IP アドレスを static コマンドまたは global コマンドのいずれかと照合します。 global コマンドの場合、分類子は、 nat コマンドまたはアクティブな NAT セッションを照合してパケットを分類する必要がありません。分類後にパケットが宛先 IP アドレスと通信ができるかどうかは、NAT および NAT 制御の設定方法によります。

たとえば、コンテキスト管理者が各コンテキストの static コマンドを次のように設定した場合、分類子はサブネット 10.10.10.0、10.20.10.0、および 10.30.10.0 を認識します。

コンテキスト A:

static (inside,shared) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
 

コンテキスト B:

static (inside,shared) 10.20.10.0 10.20.10.0 netmask 255.255.255.0
 

コンテキスト C:

static (inside,shared) 10.30.10.0 10.30.10.0 netmask 255.255.255.0
 

) インターフェイス宛の管理トラフィックでは、インターフェイス IP アドレスが分類に使用されます。


無効な分類子の基準

次のコンフィギュレーションは、パケットの分類に使用されません。

NAT 免除:分類子は、分類の目的では NAT 免除コンフィギュレーションは使用しません。これは、NAT 免除がマッピング インターフェイスを識別しないためです。

ルーティング テーブル:コンテキストに、あるサブネットへのネクストホップとして外部ルータをポイントするスタティック ルートが含まれており、別のコンテキストに、同じサブネットに対する static コマンドが含まれている場合、分類子は static コマンドを使用してそのサブネットを宛先とするパケットを分類し、スタティック ルートを無視します。

分類の例

図 5-1 に、外部インターフェイスを共有するマルチコンテキストを示します。コンテキスト B にはルータがパケットを送信する MAC アドレスが含まれているため、分類子はパケットをコンテキスト B に割り当てます。

図 5-1 MAC アドレスを使用した共有インターフェイスを持つパケット分類

 

図 5-2 に、MAC アドレスが割り当てられていない外部インターフェイスを共有するマルチコンテキストを示します。コンテキスト B には宛先アドレスに一致するアドレス変換が含まれるため、分類子はパケットをコンテキスト B に割り当てます。

図 5-2 NAT を使用した共有インターフェイスを持つパケット分類

 

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。図 5-3 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 0/1.3 で、このイーサネットがコンテキスト B に割り当てられているためです。


内部インターフェイスを共有し、固有の MAC アドレスを使用していない場合、分類子には重要な制限事項がいくつかあります。分類子は、アドレス変換コンフィギュレーションに基づいてコンテキスト内のパケットを分類します。そのトラフィックの宛先アドレスを変換する必要があります。通常は外部アドレスに対して NAT を実行しないため、パケットを共有インターフェイスの内部から外部へ送信できない場合もあります。これは、Web のように巨大な外部ネットワークで、外部 NAT コンフィギュレーションのアドレスを予測できないためです。内部インターフェイスを共有する場合、固有の MAC アドレスを使用することをお勧めします。


図 5-3 内部ネットワークからの着信トラフィック

 

透過ファイアウォールでは、固有のインターフェイスを使用する必要があります。図 5-4 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 1/0.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図 5-4 透過ファイアウォールのコンテキスト

 

セキュリティ コンテキストのカスケード接続

コンテキストを別のコンテキストの前に置くことを、コンテキストをカスケード接続するといいます。あるコンテキストの外部インターフェイスは、別のコンテキストの内部インターフェイスと同じインターフェイスです。いくつかのコンテキストのコンフィギュレーションを単純化する場合、最上位のコンテキストの共有パラメータを設定することで、コンテキストをカスケード接続できます。


) コンテキストをカスケード接続するには、各コンテキスト インターフェイスに固有の MAC アドレスを設定する必要があります。MAC アドレスのない共有インターフェイスのパケットを分類するには限界があるため、固有の MAC アドレスを設定しないでコンテキストのカスケード接続を使用することはお勧めしません。


図 5-5 に、ゲートウェイの背後に 2 つのコンテキストがあるゲートウェイ コンテキストを示します。

図 5-5 コンテキストのカスケード接続

 

セキュリティ コンテキストへの管理アクセス

適応型セキュリティ アプライアンスでは、マルチコンテキスト モードでのシステム管理アクセスと、各コンテキスト管理者のアクセスを提供します。次の各項では、システム管理者またはコンテキスト管理者としてのログインについて説明します。

「システム管理者のアクセス」

「コンテキスト管理者のアクセス」

システム管理者のアクセス

適応型セキュリティ アプライアンスにシステム管理者としてアクセスするには、次の 2 つの方法があります。

適応型セキュリティ アプライアンス コンソールにアクセスする

コンソールから システム実行スペース にアクセスします。この場合、入力したコマンドは、システム コンフィギュレーションまたはシステムの実行(run-time コマンド)だけに影響します。

Telnet、SSH、または ASDM を使用して管理コンテキストにアクセスする

Telnet、SSH、および SDM アクセスをイネーブルにするには、「管理アクセスの設定」を参照してください。

システム管理者として、すべてのコンテキストにアクセスできます。

管理者またはシステムからコンテキストに変更すると、ユーザ名はデフォルトの「enable_15」に変わります。そのコンテキストでコマンド認可を設定した場合は、「enable_15」というユーザの認可特権を設定するか、またはコンテキストのコマンド認可コンフィギュレーションで十分な特権を与えられる別の名前でログインできます。ユーザ名を指定してログインするには、 login コマンドを入力します。たとえば、「admin」というユーザ名で管理コンテキストにログインします。管理コンテキストにコマンド認可コンフィギュレーションはありませんが、それ以外のすべてのコンテキストにはコマンド認可があります。便宜上、各コンテキスト コンフィギュレーションには、最大特権を持つ「admin」がユーザとして含まれています。管理コンテキストからコンテキスト A に変更したら、ユーザ名が変わるため、 login コマンドを入力して再度「admin」でログインする必要があります。コンテキスト B に変更したら、再度 login コマンドを入力して、「admin」でログインする必要があります。

システム実行スペースでは AAA コマンドはサポートされていませんが、個別のログインのために、固有のイネーブル パスワードおよびユーザ名をローカル データベースに設定することができます。

コンテキスト管理者のアクセス

Telnet、SSH、または ASDM を使用して、コンテキストにアクセスできます。管理外コンテキストにログインすると、アクセスできるのはそのコンテキストのコンフィギュレーションだけになります。そのコンテキストに個別のログインを付与できます。Telnet、SSH、および SDM によるアクセスをイネーブルにして管理認証を設定するには、「管理アクセスの設定」を参照してください。

マルチコンテキスト モードのイネーブル化とディセーブル化

シスコへの発注方法によっては、適応型セキュリティ アプライアンスがすでにマルチセキュリティ コンテキスト用に設定されている場合があります。ただし、アップグレードする場合は、この項で説明する手順に従ってシングルモードからマルチモードに変換することが必要になる場合があります。

この項は、次の内容で構成されています。

「シングルモード コンフィギュレーションのバックアップ」

「マルチコンテキスト モードのイネーブル化」

「シングルコンテキスト モードの復元」

シングルモード コンフィギュレーションのバックアップ

シングルモードからマルチモードに変換すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションを 2 つのファイルに変換します。元のスタートアップ コンフィギュレーションは保存されないため、実行コンフィギュレーションと異なる場合は、手順を進める前にバックアップを取る必要があります。

マルチコンテキスト モードのイネーブル化

コンテキスト モード(シングルまたはマルチ)は、リブートしても保持されますが、コンフィギュレーション ファイルには保存されません。別のデバイスにコンフィギュレーションをコピーする必要がある場合、 mode コマンドを実行して新しいデバイスのモードを一致するように設定します。

シングルモードからマルチモードに変換すると、適応型セキュリティ アプライアンスは、実行コンフィギュレーションを 2 つのファイルに変換します。その 2 つは、システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg です(内部フラッシュ メモリのルート ディレクトリに作成されます)。元の実行コンフィギュレーションは、old_running.cfg として保存されます(内部フラッシュ メモリのルート ディレクトリに保存されます)。元のスタートアップ コンフィギュレーションは保存されません。管理コンテキストのエントリは、「admin」という名前でシステム コンフィギュレーションに適応型セキュリティ アプライアンスによって自動的に追加されます。

マルチモードをイネーブルにするには、次のコマンドを入力します。

hostname(config)# mode multiple
 

適応型セキュリティ アプライアンスをリブートするよう求められます。

シングルコンテキスト モードの復元

マルチモードからシングルモードに変換する場合、最初にスタートアップ コンフィギュレーション全体を適応型セキュリティ アプライアンスにコピーします(可能な場合)。これは、シングルモードのデバイスにとって、マルチモードから継承されるシステム コンフィギュレーションは完全に機能を果たすコンフィギュレーションではないためです。システム コンフィギュレーションは、自身のコンフィギュレーションの一部としてネットワーク インターフェイスを持たないため、コンソールから適応型セキュリティ アプライアンスにアクセスしてコピーをとる必要があります。

以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーしてモードをシングルモードに変更するには、システム実行スペースで次の手順を実行します。


ステップ 1 元の実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションにコピーするには、システムの実行スペースで次のコマンドを入力します。

hostname(config)# copy flash:old_running.cfg startup-config
 

ステップ 2 モードをシングルモードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# mode single
 

適応型セキュリティ アプライアンスがリブートします。


 

リソース管理の設定

デフォルトでは、すべてのセキュリティ コンテキストは、コンテキストあたりの最大制限が適用されている場合を除いて、適応型セキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、他のコンテキストが接続を拒否される原因になっている場合など、1 つ以上のコンテキストが過度に多くのリソースを使用している場合は、コンテキストあたりのリソース使用量を制限するようにリソース管理を設定できます。

この項は、次の内容で構成されています。

「クラスおよびクラス メンバーの概要」

「クラスの設定」

クラスおよびクラス メンバーの概要

適応型セキュリティ アプライアンスは、リソース クラスにコンテキストを割り当てることでリソースを管理します。各コンテキストは、クラスによって設定されるリソース制限値を使用します。この項は、次の内容で構成されています。

「リソース制限値」

「デフォルト クラス」

「クラス メンバー」

リソース制限値

クラスを作成すると、適応型セキュリティ アプライアンスでは、そのクラスに割り当てられたコンテキストごとにリソースの一部を取り分けることはしません。適応型セキュリティ アプライアンス は、コンテキストの最大限度を設定します。リソースをオーバーサブスクライブしたり、特定のリソースを無制限に使用できるようにしたりすると、少数のコンテキストがリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。

個々のリソースには、割合(ハードウェアのシステム制限がある場合)または絶対値で制限を設定できます。

コンテキスト全体に渡って 100% を超えるリソースを割り当てることにより、適応型セキュリティ アプライアンスをオーバーサブスクライブすることができます。たとえば、接続がコンテキストあたり 20% までに制限されるように Bronze クラスを設定し、それから 10 個のコンテキストをそのクラスに割り当てれば、リソースの合計を 200% にできます。複数のコンテキストによる同時使用量がシステム制限を超えると、各コンテキストのリソース使用量は設定した 20% 未満になります(図 5-6 を参照)。

図 5-6 リソースのオーバーサブスクライブ

 

コンテキスト全体に渡って、適応型セキュリティ アプライアンスの実際の制限を超える絶対値をリソースに割り当てると、適応型セキュリティ アプライアンスのパフォーマンスが低下する場合があります。

適応型セキュリティ アプライアンスでは、割合や絶対値ではなく、クラス内の 1 つ以上のリソースへの無制限アクセスを割り当てることができます。リソースに制限がない場合、コンテキストは、システムに存在する(実際に使用可能な)だけのリソースを使用できます。たとえば、コンテキスト A、B、C が Silver クラスに属しており、クラスの各メンバーの使用量が接続の 1% に制限されていて、合計 3% が割り当てられているが、3 つのコンテキストが現在使用しているのは合計 2% だけだとします。Gold クラスは、接続に無制限にアクセスできます。Gold クラスのコンテキストは「未割り当て」接続の 97% 以上を使用できるため、コンテキスト A、B、C で現在使用されていない接続の残りの 1% も使用できます。その場合、コンテキスト A、B、C の使用量は合計制限値である 3% 以下になります(図 5-7 を参照)。無制限アクセスの設定は、システムのオーバーサブスクライブ量を制御する機能が劣る点を除いて、適応型セキュリティ アプライアンスのオーバーサブスクライブに類似しています。

図 5-7 無制限リソース

 

デフォルト クラス

すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。したがって、コンテキストをデフォルト クラスに割り当てる必要は特にありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定はデフォルト クラスの設定よりも常に優先されます。ただし、デフォルト以外のクラスに未定義の設定がある場合、メンバー コンテキストはデフォルト クラスの設定をそれらの制限値として使用します。たとえば、クラスを作成するときにすべての同時接続の 2% という制限を設けても、他の制限を設定しないと、それらの制限値はデフォルト クラスから継承されます。これとは逆に、すべてのリソースに対する制限値を設定してクラスを作成すると、そのクラスではデフォルト クラスの設定を何も使用しません。

デフォルトでは、デフォルト クラスのすべてのコンテキストにリソースへの無制限アクセスが許可されますが、次の制限の場合は例外で、コンテキストあたりの許容最大値に設定されます。

Telnet セッション:5 セッション

SSH セッション:5 セッション

IPSec セッション:5 セッション

MAC アドレス:65,535 エントリ

図 5-8 に、デフォルト クラスと他のクラスの関係を示します。コンテキスト A および C は、いくつかの制限が設定されたクラスに属しており、それ以外の制限はデフォルト クラスから継承します。コンテキスト B は、属している Gold クラスですべての制限が設定されているため、デフォルト クラスから制限値を継承しません。コンテキスト D はクラスに割り当てられなかったため、デフォルトでデフォルト クラスのメンバーになります。

図 5-8 リソース クラス

 

クラス メンバー

クラスの設定を使用するには、コンテキストを定義するときに、そのコンテキストをクラスに割り当てます。すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。したがって、コンテキストをデフォルト クラスに割り当てる必要は特にありません。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。この規則の例外は、メンバー クラスで未定義の制限はデフォルト クラスから継承されることです。そのため実際には、コンテキストがデフォルト クラスおよび別のクラスのメンバーになります。

クラスの設定

システム コンフィギュレーションでクラスを設定するには、次の手順を実行します。新しい値を指定してコマンドを再入力すると、特定のリソース制限値を変更できます。

ガイドライン

表 5-1 に、リソース タイプとその制限値の一覧を示します。 show resource types コマンドも参照してください。

 

表 5-1 リソース名と制限値

リソース名
レートまたは同時
コンテキストあたりの最小および最大数
システム制限1
説明

mac-addresses

同時

該当なし

65,535

透過ファイアウォール モードの場合は、MAC アドレス テーブルで許容される MAC アドレスの数。

conns

同時またはレート

該当なし

同時接続:プラットフォームの接続制限値については、「モデルごとにサポートされている機能のライセンス」を参照してください。

レート:該当なし

任意の 2 つのホスト間の TCP 接続または UDP 接続。これには、1 台のホストと他の複数台のホストとの接続も含まれます。

inspects

レート

該当なし

該当なし

アプリケーション検査

hosts

同時

該当なし

該当なし

適応型セキュリティ アプライアンスを通して接続可能なホスト

asdm

同時

最小 1

最大 5

32

ASDM 管理セッション

(注) ASDM セッションでは、モニタリング用の常に存在する接続と、コンフィギュレーションを変更する場合にだけ確立されるコンフィギュレーション用の接続の、2 つの HTTPS 接続を使用します。たとえば、システム制限が 32 の ASDM セッションであれば、HTTPS セッションの制限は 64 になります。

ssh

同時

最小 1

最大 5

100

SSH セッション

syslogs

レート

該当なし

該当なし

システム ログ メッセージ

telnet

同時

最小 1

最大 5

100

Telnet セッション

xlates

同時

該当なし

該当なし

アドレス変換

1.このカラムの値が「該当なし」の場合は、そのリソースにハードウェア システム制限がないため、リソースの割合を設定できません。

手順の詳細


ステップ 1 クラス名を指定してクラス コンフィギュレーション モードに移行するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# class name
 

name は、最大 20 文字の文字列です。デフォルト クラスの制限値を設定するには、名前として default と入力します。

ステップ 2 リソースの制限値を設定する場合は、次のオプションを参照してください。

すべてのリソース制限値を無制限に設定するには( 表 5-1 を参照)、次のコマンドを入力します。

hostname(config-resmgmt)# limit-resource all 0
 

たとえば、制限のない管理コンテキストを含むクラスを作成するとします。デフォルト クラスでは、デフォルトですべてのリソースが無制限に設定されています。

特定のリソース制限値を設定するには、次のコマンドを入力します。

hostname(config-resmgmt)# limit-resource [rate] resource_name number[%]
 

この特定のリソースでは、この制限値が all に設定された制限値より優先されます。 rate 引数を入力して、特定のリソースの毎秒あたりのレートを設定します。システム制限が設定されていないリソースの場合は、1 ~ 100 の割合(%)値は設定できず、絶対値だけを設定できます。毎秒あたりのレートを設定可能なリソース、およびシステム制限が設定されていないリソースについては、 表 5-1 を参照してください。


 

たとえば、接続のデフォルト クラス制限を、無制限ではなく 10% に設定するには、次のコマンドを入力します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

他のすべてのリソースは無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 

セキュリティ コンテキストの設定

システム コンフィギュレーション内のセキュリティ コンテキストの定義によって、コンテキストの名前、コンフィギュレーション ファイルの URL、コンテキストが使用できるインターフェイスが識別されます。

前提条件

物理インターフェイス パラメータ、VLAN サブインターフェイス、および冗長インターフェイスを、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」に従って設定します。

管理コンテキストがない場合(コンフィギュレーションをクリアした場合など)は、最初に次のコマンドを入力して管理コンテキスト名を指定する必要があります。

hostname(config)# admin-context name

このコンテキスト名はコンフィギュレーションにまだ存在しませんが、続いて context name コマンドを入力すると、指定した名前との照合が行われて、管理コンテキスト コンフィギュレーションを続行できます。

手順の詳細


ステップ 1 コンテキストを追加または修正するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# context name
 

name は最大 32 文字の文字列です。この名前では、大文字と小文字が区別されるため、たとえば、「customerA」と「CustomerA」の 2 種類のコンテキストが使用できます。英字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンは使用できません。

「System」および「Null」(大文字および小文字)は予約されている名前であるため、使用できません。

ステップ 2 (オプション)このコンテキストに説明を追加するには、次のコマンドを使用します。

hostname(config-ctx)# description text
 

ステップ 3 コンテキストで使用するインターフェイスを指定するには、1 つの物理インターフェイス、あるいは 1 つまたは複数のサブインターフェイスに該当するコマンドを入力します。

物理インターフェイスを割り当てるには、次のコマンドを入力します。

hostname(config-ctx)# allocate-interface physical_interface [mapped_name] [visible | invisible]
 

1 つまたは複数のサブインターフェイスを割り当てるには、次のコマンドを入力します。

hostname(config-ctx)# allocate-interface physical_interface.subinterface[-physical_interface.subinterface] [mapped_name[-mapped_name]] [visible | invisible]
 

) インターフェイス タイプとポート番号の間にスペースを入れないでください。


これらのコマンドを複数回入力して複数の範囲を指定できます。このコマンドの no 形式を使用して割り当てを削除すると、このインターフェイスを含むコンテキスト コマンドすべてが実行コンフィギュレーションから削除されます。

透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。


) トランスペアレント モードの管理インターフェイスによって、MAC アドレス テーブルにないパケットがインターフェイスからフラッドされることはありません。


必要に応じて、同じインターフェイスをルーテッド モードの複数のコンテキストに割り当てることができます。トランスペアレント モードでは、インターフェイスの共有は許されません。

mapped_name は、インターフェイスの英数字のエイリアスで、インターフェイス ID の代わりにコンテキスト内で使用できます。マッピング名を指定しない場合は、コンテキスト内でインターフェイス ID が使用されます。セキュリティ保護上の目的から、コンテキストでどのインターフェイスが使用されているかをコンテキスト管理者に知られないようにすることができます。

マッピング名は英字で始まり英字または数字で終わる必要があります。中の文字として使用できるのは、英字、数字、下線だけです。たとえば、次のような名前が使用できます。

int0
 
inta
 
int_0
 

サブインターフェイスでは、マッピング名の範囲が指定できます。

サブインターフェイスの範囲を指定すると、マッピング名を照合する範囲が指定できます。範囲指定については次のガイドラインに従ってください。

マッピング名は、英字の部分とそれに続く数字の部分で構成する必要があります。マッピング名の英字部分は、範囲の両端で一致していなければなりません。たとえば、次の範囲を入力します。

int0-int10
 

たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力すると、コマンドは失敗します。

マッピング名の数字の部分には、サブインターフェイスの範囲と同じ数字が含まれていなければなりません。たとえば、次の両方の範囲には、100 のインターフェイスが含まれています。

gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100
 

たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力すると、コマンドは失敗します。

visible と指定することで、マッピング名を設定した場合でも、 show interface コマンドで物理インターフェイスのプロパティが表示されるようにします。デフォルトの invisible は、マッピング名だけが表示されるように指定するキーワードです。

次の例では、gigabitethernet 0/1.100、gigabitethernet 0/1.200、および gigabitethernet 0/2.300 ~ gigabitethernet 0/2.305 がコンテキストに割り当てられることを示します。int1 ~ int8 がマッピング名です。

hostname(config-ctx)# allocate-interface gigabitethernet0/1.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/2.300-gigabitethernet0/2.305 int3-int8
 

ステップ 4 システムがコンテキスト コンフィギュレーションをダウンロードする URL を識別するには、次のコマンドを入力します。

hostname(config-ctx)# config-url url
 

コンテキストの URL を追加すると、そのコンテキストをただちにロードし、コンフィギュレーションが使用可能であればコンテキストを実行できるようにします。


allocate-interface コマンドは、config-url コマンドを入力する前に入力してください。適応型セキュリティ アプライアンスは、コンテキスト コンフィギュレーションをロードする前にインターフェイスをコンテキストに割り当てる必要があります。これは、コンテキスト コンフィギュレーションに、インターフェイス(interfacenatglobal...)を参照するコマンドが含まれている場合があるためです。config-url コマンドを先に入力すると、適応型セキュリティ アプライアンスは、コンテキスト コンフィギュレーションをただちにロードします。この場合、コンテキストにインターフェイスを参照するコマンドが含まれていると、そのコマンドは失敗します。


次の URL 構文を参照してください。

disk:/ [ path / ] filename

この URL は内部フラッシュ メモリを示します。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在しない場合は、次のメッセージが表示されます。

WARNING: Could not fetch the URL disk:/url
INFO: Creating context with default config
 

次に、コンテキストを変更し、CLI で設定を行い、 write memory コマンドを入力してフラッシュ メモリにファイルを書き込むことができます。


) 管理コンテキスト ファイルは、内部フラッシュ メモリに保存する必要があります。


ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には、次のいずれかのキーワードを指定できます。

ap :ASCII パッシブ モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ パッシブ モード

in :バイナリ通常モード

管理コンテキストからサーバにアクセス可能である必要があります。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在しない場合は、次のメッセージが表示されます。

WARNING: Could not fetch the URL ftp://url
INFO: Creating context with default config
 

次に、コンテキストを変更し、CLI で設定を行い、 write memory コマンドを入力して FTP サーバにファイルを書き込むことができます。

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

管理コンテキストからサーバにアクセス可能である必要があります。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在しない場合は、次のメッセージが表示されます。

WARNING: Could not fetch the URL http://url
INFO: Creating context with default config
 

コンテキストに変更を加え、CLI でコンテキストを設定する場合は、 write memory コマンドを使用して HTTP または HTTPS サーバに変更を保存することはできません。ただし、 copy tftp コマンドを使用すれば、実行コンフィギュレーションを TFTP サーバにコピーできます。

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

管理コンテキストからサーバにアクセス可能である必要があります。サーバ アドレスへのルートを上書きする場合は、インターフェイス名を指定します。ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在しない場合は、次のメッセージが表示されます。

WARNING: Could not fetch the URL tftp://url
INFO: Creating context with default config
 

次に、コンテキストを変更し、CLI で設定を行い、 write memory コマンドを入力して TFTP サーバにファイルを書き込むことができます。

URL を変更するには、新しい URL を指定した config-url コマンドを再入力します。

URL の変更の詳細については、「セキュリティ コンテキスト URL の変更」を参照してください。

たとえば、次のコマンドを入力します。

hostname(config-ctx)# config-url ftp://joe:passw0rd1@10.1.1.1/configlets/test.cfg
 

ステップ 5 (オプション)コンテキストをリソース クラスに割り当てるには、次のコマンドを入力します。

hostname(config-ctx)# member class_name
 

クラスを指定しない場合、コンテキストはデフォルト クラスに属します。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。

たとえば、コンテキストを gold クラスに割り当てるには、次のコマンドを入力します。

hostname(config-ctx)# member gold
 

ステップ 6 (オプション)AIP SSM がインストールされている場合に、IPS 仮想センサーをこのコンテキストに割り当てるには、 allocate-ips コマンドを使用します。仮想センサーの詳細については、「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」を参照してください。


 


 

次の例では、管理コンテキストを「administrator」と設定し、内部フラッシュ メモリに「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加しています。

hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url flash:/admin.cfg
 
hostname(config-ctx)# context test
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 
 

コンテキスト インターフェイスへの MAC アドレスの自動割り当て

この項では、MAC アドレスの自動生成の設定方法について説明します。次の項目を取り上げます。

「MAC アドレスに関する情報」

「デフォルトの MAC アドレス」

「フェールオーバー用の MAC アドレス」

「MAC アドレス形式」

「MAC アドレスの自動生成のイネーブル化」

「割り当てられた MAC アドレスの表示」

MAC アドレスに関する情報

コンテキストでのインターフェイス共有を許可するため、各共有コンテキスト インターフェイスに固有の MAC アドレスを割り当てることをお勧めします。MAC アドレスは、コンテキスト内のパケットを分類するために使用します。1 つのインターフェイスを共有するときに、各コンテキストでインターフェイスに固有の MAC アドレスが指定されていない場合は、パケットの分類に宛先 IP アドレスが使用されます。宛先アドレスは、コンテキスト NAT コンフィギュレーションと照合されます。この方式には、MAC アドレス方式と比較していくつかの制限があります。パケットの分類の詳細については、「セキュリティ アプライアンスによるパケットの分類方法」を参照してください。

生成された MAC アドレスがネットワーク上の別のプライベート MAC アドレスと競合することはまれですが、競合した場合は、コンテキスト内のインターフェイスに手動で MAC アドレスを設定できます。MAC アドレスの手動設定の詳細については、「MAC アドレスの設定」を参照してください。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。

自動生成された MAC アドレスはすべて A2 で始まります。自動生成された MAC アドレスは、リロードしても保持されます。

手動 MAC アドレスとの相互作用

MAC アドレスを手動で割り当て、自動生成もイネーブルにしている場合、手動で割り当てた MAC アドレスが使用されます。後から手動の MAC アドレスを削除すると、自動生成されたアドレスが使用されます。

自動生成されたアドレスは A2 で始まるので、自動生成も使用する場合は、手動の MAC アドレスを A2 から始めることはできません。

フェールオーバー用の MAC アドレス

フェールオーバーで使用できるように、適応型セキュリティ アプライアンスによってインターフェイスごとにアクティブ MAC アドレスとスタンバイ MAC アドレスの両方が生成されます。アクティブ装置がフェールオーバーしてスタンバイ装置がアクティブになると、新規のアクティブ装置はアクティブ MAC アドレスを使用して起動し、ネットワークの中断を最小限に抑えます。詳細については、「MAC アドレス形式」を参照してください。

prefix キーワードが導入される前のレガシー バージョンの mac-address auto コマンドを使用したフェールオーバー装置のアップグレードについては、『 Cisco ASA 5500 Series Command Reference 』の mac-address auto コマンドを参照してください。

MAC アドレス形式

適応型セキュリティ アプライアンスによって生成される MAC アドレスは、次の形式になります。

A2xx.yyzz.zzzz

xx.yy はユーザ定義のプレフィックスであり、zz.zzzz は適応型セキュリティ アプライアンスによって生成される内部カウンタです。スタンバイ MAC アドレスについては、内部カウンタが 1 ずつ増えることを除き、同じアドレスになります。

プレフィックスの使い方を例に挙げると、プレフィックス 77 を設定した場合、適応型セキュリティ アプライアンスによって 77 は 16 進数値の 004D(yyxx)に変換されます。MAC アドレスで使用する場合、プレフィックスは、次に示す適応型セキュリティ アプライアンスのネイティブ フォーマットに一致するように予約されます(xxyy)。

A2 4D.00 zz.zzzz

プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。

A2 F1.03 zz.zzzz

MAC アドレスの自動生成のイネーブル化

プライベート MAC アドレスを各コンテキスト インターフェイスに自動的に割り当てることができます。

ガイドライン

コンテキストのインターフェイスに nameif コマンドを設定すると、新しい MAC アドレスがただちに生成されます。コンテキスト インターフェイスの作成後にこのコマンドをイネーブルにすると、コマンドを入力した直後に、すべてのインターフェイスに対して MAC アドレスが生成されます。 no mac-address auto コマンドを使用すると、各インターフェイスの MAC アドレスがデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは、GigabitEthernet 0/1 の MAC アドレスを再び使用します。


) プレフィックスを使用しない場合(推奨されません)の MAC アドレス生成方式については、『Cisco ASA 5500 Series Command Reference』の mac-address auto コマンドを参照してください。


手順の詳細

 

コマンド
目的

mac-address auto prefix prefix

 

hostname(config)# mac-address auto prefix 19

プライベート MAC アドレスを各コンテキスト インターフェイスに自動的に割り当てます。

prefix は、0 ~ 65535 の範囲の 10 進数値です。このプレフィックスは 4 桁の 16 進数値に変換され、MAC アドレスの一部として使用されます。プレフィックスの利用により、各適応型セキュリティ アプライアンスに固有の MAC アドレスが使用されので、たとえば、ネットワーク セグメントに複数の適応型セキュリティ アプライアンスを配置することができます。プレフィックスの使い方については、「MAC アドレス形式」を参照してください。

割り当てられた MAC アドレスの表示

システム コンフィギュレーション内またはコンテキスト内の自動生成された MAC アドレスを表示できます。この項は、次の内容で構成されています。

「システム コンフィギュレーション内の MAC アドレスの表示」

「コンテキスト内での MAC アドレスの表示」

システム コンフィギュレーション内の MAC アドレスの表示

この項では、システム コンフィギュレーション内の MAC アドレスを表示する方法について説明します。

ガイドライン

MAC アドレスを手動でインターフェイスに割り当て、自動生成もイネーブルにしている場合、使用中の MAC アドレスは手動で割り当てたものとなりますが、コンフィギュレーションには自動生成されたアドレスが引き続き表示されます。後から手動の MAC アドレスを削除すると、表示されている自動生成されたアドレスが使用されます。

手順の詳細

 

コマンド
目的

show running-config all context [ name ]

システム実行スペースから割り当てられた MAC アドレスを表示します。

割り当てされた MAC アドレスを表示するには、 all オプションが必要です。ユーザがこのコマンドを設定できるのは、グローバル コンフィギュレーション モードだけですが、各コンテキストのコンフィギュレーションには、割り当てられた MAC アドレスと一緒に、 mac-address auto コマンドが読み取り専用エントリとして表示されます。コンテキスト内で nameif コマンドで設定されている割り当て済みのインターフェイスだけに、MAC アドレスが割り当てられています。

次に示す show running-config all context admin コマンドの出力は、Management0/0 インターフェイスに割り当てられたプライマリ MAC アドレスとスタンバイ MAC アドレスを示しています。

hostname# show running-config all context admin
 
context admin
allocate-interface Management0/0
mac-address auto Management0/0 a24d.0000.1440 a24d.0000.1441
config-url disk0:/admin.cfg
 

次に示す show running-config all context コマンドの出力は、すべてのコンテキスト インターフェイスのすべての MAC アドレス(プライマリおよびスタンバイ)を示しています。GigabitEthernet0/0 および GigabitEthernet0/1 メイン インターフェイスは、コンテキスト内で nameif コマンドを使って設定されていないので、これらのインターフェイスには MAC アドレスが生成されていないことに注意してください。

 
hostname# show running-config all context
 
admin-context admin
context admin
allocate-interface Management0/0
mac-address auto Management0/0 a2d2.0400.125a a2d2.0400.125b
config-url disk0:/admin.cfg
!
 
context CTX1
allocate-interface GigabitEthernet0/0
allocate-interface GigabitEthernet0/0.1-GigabitEthernet0/0.5
mac-address auto GigabitEthernet0/0.1 a2d2.0400.11bc a2d2.0400.11bd
mac-address auto GigabitEthernet0/0.2 a2d2.0400.11c0 a2d2.0400.11c1
mac-address auto GigabitEthernet0/0.3 a2d2.0400.11c4 a2d2.0400.11c5
mac-address auto GigabitEthernet0/0.4 a2d2.0400.11c8 a2d2.0400.11c9
mac-address auto GigabitEthernet0/0.5 a2d2.0400.11cc a2d2.0400.11cd
allocate-interface GigabitEthernet0/1
allocate-interface GigabitEthernet0/1.1-GigabitEthernet0/1.3
mac-address auto GigabitEthernet0/1.1 a2d2.0400.120c a2d2.0400.120d
mac-address auto GigabitEthernet0/1.2 a2d2.0400.1210 a2d2.0400.1211
mac-address auto GigabitEthernet0/1.3 a2d2.0400.1214 a2d2.0400.1215
config-url disk0:/CTX1.cfg
!
 
context CTX2
allocate-interface GigabitEthernet0/0
allocate-interface GigabitEthernet0/0.1-GigabitEthernet0/0.5
mac-address auto GigabitEthernet0/0.1 a2d2.0400.11ba a2d2.0400.11bb
mac-address auto GigabitEthernet0/0.2 a2d2.0400.11be a2d2.0400.11bf
mac-address auto GigabitEthernet0/0.3 a2d2.0400.11c2 a2d2.0400.11c3
mac-address auto GigabitEthernet0/0.4 a2d2.0400.11c6 a2d2.0400.11c7
mac-address auto GigabitEthernet0/0.5 a2d2.0400.11ca a2d2.0400.11cb
allocate-interface GigabitEthernet0/1
allocate-interface GigabitEthernet0/1.1-GigabitEthernet0/1.3
mac-address auto GigabitEthernet0/1.1 a2d2.0400.120a a2d2.0400.120b
mac-address auto GigabitEthernet0/1.2 a2d2.0400.120e a2d2.0400.120f
mac-address auto GigabitEthernet0/1.3 a2d2.0400.1212 a2d2.0400.1213
config-url disk0:/CTX2.cfg
!

コンテキスト内での MAC アドレスの表示

この項では、コンテキスト内で MAC アドレスを表示する方法について説明します。

手順の詳細

 

コマンド
目的

show interface | include (Interface)|(MAC)

コンテキスト内で各インターフェイスに使用されている MAC アドレスを表示します。

次に例を示します。

hostname/context# show interface | include (Interface)|(MAC)
 
Interface GigabitEthernet1/1.1 "g1/1.1", is down, line protocol is down
MAC address a201.0101.0600, MTU 1500
Interface GigabitEthernet1/1.2 "g1/1.2", is down, line protocol is down
MAC address a201.0102.0600, MTU 1500
Interface GigabitEthernet1/1.3 "g1/1.3", is down, line protocol is down
MAC address a201.0103.0600, MTU 1500
...
 

show interface コマンドを実行すると、使用中の MAC アドレスが表示されます。MAC アドレスを手動で割り当て、自動生成もイネーブルにしている場合は、システム コンフィギュレーション内から自動生成された未使用のアドレスだけが表示されます。


コンテキストとシステム実行スペースの切り替え

システム実行スペースにログインした場合(または Telnet や SSH を使用して管理コンテキストにログインした場合)は、コンテキスト間の切り替えが可能であり、各コンテキスト内でコンフィギュレーション タスクやモニタリング タスクを実行できます。実行コンフィギュレーションが、コンフィギュレーション モードで編集するか、 copy コマンドまたは write コマンドに使用されるかは、ログインした場所で決まります。システム実行スペースにログインした場合、実行コンフィギュレーションはシステム コンフィギュレーションのみで構成され、コンテキストにログインした場合は、実行コンフィギュレーションはそのコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力しても、すべての実行コンフィギュレーション(システム コンテキストとすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。

システム実行スペースとコンテキスト間の切り替え、またはコンテキスト間の切り替えを行うには、次のコマンドを使用します。

あるコンテキストに切り替えるには、次のコマンドを入力します。

hostname# changeto context name
 

プロンプトが次のように変化します。

hostname/name#
 

システム実行スペースに切り替えるには、次のコマンドを入力します。

hostname/admin# changeto system
 

プロンプトが次のように変化します。

hostname#
 

セキュリティ コンテキストの管理

この項では、セキュリティ コンテキストを管理する方法について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの削除」

「管理コンテキストの変更」

「セキュリティ コンテキスト URL の変更」

「セキュリティ コンテキストのリロード」

セキュリティ コンテキストの削除

システム コンフィギュレーションを編集することで、削除できるのは 1 つのコンテキストだけです。現在の管理コンテキストは、 clear context コマンドを実行してすべてのコンテキストを削除しない限り、削除できません。


) フェールオーバーを使用すると、アクティブ装置でコンテキストを削除した時刻と、スタンバイ装置でコンテキストが削除された時刻との間で遅延が生じます。アクティブ装置とスタンバイ装置の間でインターフェイス数が一致していないことを示すエラー メッセージが表示される場合があります。このエラーは一時的に表示されるもので、無視できます。


コンテキストの削除には、次のコマンドを使用します。

1 つのコンテキストを削除するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# no context name
 

すべてのコンテキスト コマンドを削除することもできます。

すべてのコンテキスト(管理コンテキストを含む)を削除するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# clear context
 

管理コンテキストの変更

システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限する必要があります。

コンフィギュレーション ファイルが内部フラッシュ メモリに保存されている限り、任意のコンテキストを管理コンテキストとして設定できます。管理コンテキストを設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# admin-context context_name
 

Telnet、SSH、HTTPS など、管理コンテキストに接続しているリモート管理セッションはすべて終了します。新しい管理コンテキストに再接続する必要があります。


ntp server を含むいくつかのシステム コマンドは、管理コンテキストに所属するインターフェイス名を識別します。管理コンテキストを変更した場合に、そのインターフェイス名が新しい管理コンテキストに存在しないときは、そのインターフェイスを参照するシステム コマンドはすべて、アップデートしてください。


セキュリティ コンテキスト URL の変更

セキュリティ コンテキスト URL は、新しい URL からコンフィギュレーションをリロードしないと変更できません。

適応型セキュリティ アプライアンスは、新しいコンフィギュレーションを現在の実行コンフィギュレーションとマージします。同じ URL を再入力しても、保存済みのコンフィギュレーションが実行コンフィギュレーションとマージされます。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。実行コンフィギュレーションが空白の場合(サーバが利用できず、コンフィギュレーションがまったくダウンロードされなかった場合など)は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしない場合、実行コンフィギュレーションをクリアすることができます。これを行うとコンテキストを通る通信がすべて中断されるので、後で新しい URL からコンフィギュレーションをリロードします。

コンテキストの URL を変更するには、次の手順を実行します。


ステップ 1 コンフィギュレーションをマージしない場合、コンテキストに切り替えてそのコンフィギュレーションをクリアするには、次のコマンドを入力します。マージを実行する場合は、ステップ 2 にスキップします。

hostname# changeto context name
hostname/name# configure terminal
hostname/name(config)# clear configure all
 

ステップ 2 必要な場合は、次のコマンドを入力してシステム実行スペースに切り替えます。

hostname/name(config)# changeto system
 

ステップ 3 切り替えたコンテキストに対応するコンテキスト コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config)# context name
 

ステップ 4 新しい URL を入力するには、次のコマンドを入力します。

hostname(config)# config-url new_url
 

システムは、動作中になるように、ただちにコンテキストをロードします。


 

セキュリティ コンテキストのリロード

セキュリティ コンテキストは、次の 2 つの方法でリロードできます。

実行コンフィギュレーションをクリアしてからスタートアップ コンフィギュレーションをインポートする。

このアクションでは、セキュリティ コンテキストに関連付けられている接続や NAT テーブルなどのアトリビュートの大部分がクリアされます。

セキュリティ コンテキストをシステム コンフィギュレーションから削除する。

このアクションでは、トラブルシューティングに役立つ可能性のあるメモリ割り当てなど補足的なアトリビュートがクリアされます。しかし、コンテキストをシステムに戻して追加するには、URL とインターフェイスを再指定する必要があります。

この項は、次の内容で構成されています。

「コンフィギュレーションのクリアによるリロード」

「コンテキストの削除および再追加によるリロード」

コンフィギュレーションのクリアによるリロード

コンテキスト コンフィギュレーションをクリアし、URL からコンフィギュレーションをリロードすることによってコンテキストをリロードするには、次の手順を実行します。


ステップ 1 リロードするコンテキストに切り替えるには、次のコマンドを入力します。

hostname# changeto context name
 

ステップ 2 コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。

hostname/name# configure terminal
 

ステップ 3 実行コンフィギュレーションをクリアするには、次のコマンドを入力します。

hostname/name(config)# clear configure all
 

このコマンドを実行するとすべての接続がクリアされます。

ステップ 4 コンフィギュレーションをリロードするには、次のコマンドを入力します。

hostname/name(config)# copy startup-config running-config
 

適応型セキュリティ アプライアンスは、システム コンフィギュレーションに指定された URL からコンフィギュレーションをコピーします。コンテキスト内で URL を変更することはできません。


 

コンテキストの削除および再追加によるリロード

コンテキストを削除し、その後再追加することによってコンテキストをリロードするには、次の各項で説明してある手順を実行してください。

1. 「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」

2. 「セキュリティ コンテキストの設定」

セキュリティ コンテキストのモニタリング

この項では、コンテキスト情報の表示およびモニタの方法について説明します。次の項目を取り上げます。

「コンテキスト情報の表示」

「コンテキスト情報の表示」

「リソース割り当ての表示」

「リソースの使用状況の表示」

「コンテキストでの SYN 攻撃のモニタリング」

コンテキスト情報の表示

システム実行スペースから、名前、割り当てられているインターフェイス、コンフィギュレーション ファイル URL を含むコンテキストのリストを表示できます。

システム実行スペースから次のコマンドを入力すると、すべてのコンテキストが表示されます。

hostname# show context [name | detail| count]
 

detail オプションを指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。

特定のコンテキストの情報を表示する場合は、 name にコンテキスト名を指定します。

count オプションを指定すると、コンテキストの合計数が表示されます。

次に、 show context コマンドの出力例を示します。この出力例では、3 つのコンテキストが表示されています。

hostname# show context
 
Context Name Interfaces URL
*admin GigabitEthernet0/1.100 disk0:/admin.cfg
GigabitEthernet0/1.101
contexta GigabitEthernet0/1.200 disk0:/contexta.cfg
GigabitEthernet0/1.201
contextb GigabitEthernet0/1.300 disk0:/contextb.cfg
GigabitEthernet0/1.301
Total active Security Contexts: 3
 

表 5-2 に、各フィールドの説明を示します。

 

表 5-2 show context のフィールド

フィールド
説明

Context Name

すべてのコンテキスト名を表示します。アスタリスク(*)が付いたコンテキスト名は管理コンテキストです。

Interfaces

コンテキストに割り当てられるインターフェイス。

URL

適応型セキュリティ アプライアンス がコンテキスト コンフィギュレーションをロードする URL。

次に、 show context detail コマンドの出力例を示します。

hostname# show context detail
 
Context "admin", has been created, but initial ACL rules not complete
Config URL: disk0:/admin.cfg
Real Interfaces: Management0/0
Mapped Interfaces: Management0/0
Flags: 0x00000013, ID: 1
 
Context "ctx", has been created, but initial ACL rules not complete
Config URL: ctx.cfg
Real Interfaces: GigabitEthernet0/0.10, GigabitEthernet0/1.20,
GigabitEthernet0/2.30
Mapped Interfaces: int1, int2, int3
Flags: 0x00000011, ID: 2
 
Context "system", is a system resource
Config URL: startup-config
Real Interfaces:
Mapped Interfaces: Control0/0, GigabitEthernet0/0,
GigabitEthernet0/0.10, GigabitEthernet0/1, GigabitEthernet0/1.10,
GigabitEthernet0/1.20, GigabitEthernet0/2, GigabitEthernet0/2.30,
GigabitEthernet0/3, Management0/0, Management0/0.1
Flags: 0x00000019, ID: 257
 
Context "null", is a system resource
Config URL: ... null ...
Real Interfaces:
Mapped Interfaces:
Flags: 0x00000009, ID: 258
 

detail の出力の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。

次に、 show context count コマンドの出力例を示します。

hostname# show context count
Total active contexts: 2

リソース割り当ての表示

システム実行スペースから、すべてのクラスおよびクラス メンバーに渡るリソースごとの割り当て状況を表示できます。

リソース割り当てを表示するには、次のコマンドを入力します。

hostname# show resource allocation [detail]
 

このコマンドでリソース割り当てが表示されますが、実際に使用中のリソースは表示されません。実際のリソース使用状況の詳細については、「リソースの使用状況の表示」を参照してください。

detail 引数を指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。

次の出力例には、各リソースの合計割り当て量が絶対値および使用可能なシステム リソースの割合として示されています。

hostname# show resource allocation
Resource Total % of Avail
Conns [rate] 35000 N/A
Inspects [rate] 35000 N/A
Syslogs [rate] 10500 N/A
Conns 305000 30.50%
Hosts 78842 N/A
SSH 35 35.00%
Telnet 35 35.00%
Xlates 91749 N/A
All unlimited
 

表 5-3 に、各フィールドの説明を示します。

 

表 5-3 show resource allocation のフィールド

フィールド
説明

Resource

制限できるリソースの名前。

Total

コンテキスト全体に渡って割り当てられているリソースの合計量。合計量は、同時インスタンスの絶対値または秒あたりのインスタンス数です。クラス定義で割合を指定した場合、適応型セキュリティ アプライアンスは、この表示用に割合を絶対値に変換します。

% of Avail

リソースにハードウェア システム制限がある場合に、コンテキスト全体に渡って割り当てられている合計システム リソースの割合。リソースにシステム制限がない場合、このカラムの表示は N/A になります。

次に、 show resource allocation detail コマンドの出力例を示します。

hostname# show resource allocation detail
Resource Origin:
A Value was derived from the resource 'all'
C Value set in the definition of this class
D Value set in default class
Resource Class Mmbrs Origin Limit Total Total %
Conns [rate] default all CA unlimited
gold 1 C 34000 34000 N/A
silver 1 CA 17000 17000 N/A
bronze 0 CA 8500
All Contexts: 3 51000 N/A
 
Inspects [rate] default all CA unlimited
gold 1 DA unlimited
silver 1 CA 10000 10000 N/A
bronze 0 CA 5000
All Contexts: 3 10000 N/A
 
Syslogs [rate] default all CA unlimited
gold 1 C 6000 6000 N/A
silver 1 CA 3000 3000 N/A
bronze 0 CA 1500
All Contexts: 3 9000 N/A
 
Conns default all CA unlimited
gold 1 C 200000 200000 20.00%
silver 1 CA 100000 100000 10.00%
bronze 0 CA 50000
All Contexts: 3 300000 30.00%
 
Hosts default all CA unlimited
gold 1 DA unlimited
silver 1 CA 26214 26214 N/A
bronze 0 CA 13107
All Contexts: 3 26214 N/A
 
SSH default all C 5
gold 1 D 5 5 5.00%
silver 1 CA 10 10 10.00%
bronze 0 CA 5
All Contexts: 3 20 20.00%
 
Telnet default all C 5
gold 1 D 5 5 5.00%
silver 1 CA 10 10 10.00%
bronze 0 CA 5
All Contexts: 3 20 20.00%
 
Xlates default all CA unlimited
gold 1 DA unlimited
silver 1 CA 23040 23040 N/A
bronze 0 CA 11520
All Contexts: 3 23040 N/A
 
mac-addresses default all C 65535
gold 1 D 65535 65535 100.00%
silver 1 CA 6553 6553 9.99%
bronze 0 CA 3276
All Contexts: 3 137623 209.99%
 

表 5-4 に、各フィールドの説明を示します。

 

表 5-4 show resource allocation detail のフィールド

フィールド
説明

Resource

制限できるリソースの名前。

Class

デフォルト クラスを含む、各クラスの名前。

すべてのコンテキスト フィールドには、すべてのクラスを包含した合計値が表示されます。

Mmbrs

各クラスに割り当てられたコンテキストの数。

Origin

リソース制限の派生元。表示の意味は次のとおりです。

A:この制限は、個々のリソースの代わりに all オプションを使用して設定されています。

C:この制限はメンバー クラスから派生しています。

D:この制限はメンバー クラスで定義されていませんが、デフォルト クラスから派生しています。デフォルト クラスに割り当てられたコンテキストの場合、この値は「D」ではなく「C」となります。

適応型セキュリティ アプライアンスは「A」と「C」または「A」と「D」を組み合せることができます。

Limit

コンテキスト当たりのリソースの制限を示す絶対値。クラス定義で割合を指定した場合、適応型セキュリティ アプライアンスは、この表示用に割合を絶対値に変換します。

Total

クラス内のコンテキスト全体に渡って割り当てられているリソースの合計量。合計量は、同時インスタンスの絶対値または秒あたりのインスタンス数です。リソースが無制限の場合、この表示は空白になります。

% of Avail

クラス内のコンテキスト全体に渡って割り当てられている合計システム リソースの割合。リソースが無制限の場合、この表示は空白になります。リソースにシステム制限がない場合、このカラムの表示は N/A になります。

リソースの使用状況の表示

システム実行スペースで、コンテキストごとのリソースの使用状況やシステム リソースの使用状況を表示できます。

システム実行スペースでコンテキストごとのリソースの使用状況を表示するには、次のコマンドを入力します。

hostname# show resource usage [context context_name | top n | all | summary | system] [resource {resource_name | all} | detail] [counter counter_name [count_threshold]]
 

デフォルトでは、 all (すべての)コンテキストの使用状況が表示されます。各コンテキストは個別にリスト表示されます。

指定したリソースの上位 n 人のユーザとなっているコンテキストを表示するには、 top n キーワードを入力します。このオプションには、リソース タイプを 1 つ指定する必要がありますが、 resource all は指定しないでください。

summary オプションを指定すると、すべてのコンテキストの使用状況が組み合されて表示されます。

system オプションでは、すべてのコンテキストの使用状況が組み合されて表示されますが、組み合されたコンテキスト制限ではなく、リソースに対するシステムの制限が表示されます。

resource resource_name で使用可能なリソース名については、 表 5-1 を参照してください。 show resource type コマンドも参照してください。すべてのタイプを表示するには all (デフォルト)を指定します。

detail オプションを指定すると、管理できないリソースを含むすべてのリソースの使用状況が表示されます。たとえば、TCP 割り込みの回数を表示できます。

counter counter_name には、次のいずれかのキーワードを指定します。

current :アクティブな同時インスタンスまたはリソースの現在のレートを示します。

denied :Limit カラムに示されるリソース制限を超過したために拒否された、インスタンスの数を表示します。

peak :同時インスタンスのピーク値、またはリソースのレートのピーク値を表示します。 clear resource usage コマンドまたはリブートによって、最後に統計情報がクリアされて以来の値です。

all :(デフォルト)すべての統計情報を表示します。

count_threshold は、表示するリソースの下限を設定します。デフォルトは 1 です。リソースの使用状況が設定した数字より少ないとそのリソースは表示されません。カウンタ名に all を指定すると、 count_threshold が現在の使用状況に適用されます。


) すべてのリソースを表示するには、count_threshold0 に設定します。


次に、 show resource usage context コマンドの出力例を示します。このコマンドは、管理コンテキストのリソース使用状況を表示します。

hostname# show resource usage context admin
 
Resource Current Peak Limit Denied Context
Telnet 1 1 5 0 admin
Conns 44 55 N/A 0 admin
Hosts 45 56 N/A 0 admin
 

次に、 show resource usage summary コマンドの出力例を示します。このコマンドは、すべてのコンテキストおよびすべてのリソースのリソース使用状況を表示します。この出力例では、6 コンテキストという限界を示しています。

hostname# show resource usage summary
 
Resource Current Peak Limit Denied Context
Syslogs [rate] 1743 2132 N/A 0 Summary
Conns 584 763 280000(S) 0 Summary
Xlates 8526 8966 N/A 0 Summary
Hosts 254 254 N/A 0 Summary
Conns [rate] 270 535 N/A 1704 Summary
Inspects [rate] 270 535 N/A 0 Summary
S = System: Combined context limits exceed the system limit; the system limit is shown.
 

次に、 show resource usage summary コマンドの出力例を示します。このコマンドでは、25 コンテキストの制限が示されます。Telnet 接続および SSH 接続のコンテキストの限界がコンテキストごとに 5 であるため、合計の限界は 125 です。システムの限界が単に 100 であるため、システムの限界が表示されています。

hostname# show resource usage summary
 
Resource Current Peak Limit Denied Context
Telnet 1 1 100[S] 0 Summary
SSH 2 2 100[S] 0 Summary
Conns 56 90 N/A 0 Summary
Hosts 89 102 N/A 0 Summary
S = System: Combined context limits exceed the system limit; the system limit is shown.
 

次に、 show resource usage system コマンドの出力例を示します。このコマンドは、すべてのコンテキストのリソース使用状況を表示しますが、組み合せたコンテキストの限界ではなく、システムの限界を表示しています。現在使用中でないリソースを表示するには、 counter all 0 オプションを指定します。Denied の統計情報は、システム制限がある場合に、その制限によってリソースが拒否された回数を示します。

hostname# show resource usage system counter all 0
 
Resource Current Peak Limit Denied Context
Telnet 0 0 100 0 System
SSH 0 0 100 0 System
ASDM 0 0 32 0 System
Syslogs [rate] 1 18 N/A 0 System
Conns 0 1 280000 0 System
Xlates 0 0 N/A 0 System
Hosts 0 2 N/A 0 System
Conns [rate] 1 1 N/A 0 System
Inspects [rate] 0 0 N/A 0 System
 

コンテキストでの SYN 攻撃のモニタリング

適応型セキュリティ アプライアンス は、TCP 代行受信を使用して SYN 攻撃を防ぎます。TCP 代行受信では、SYN クッキー アルゴリズムを使用して TCP SYN フラッディング攻撃を防ぎます。SYN フラッディング攻撃は、通常はスプーフィングされた IP アドレスから送信されてくる一連の SYN パケットで構成されています。SYN パケットのフラッディングが定常的に生じると、SYN キューが一杯になる状況が続き、接続要求に対してサービスを提供できなくなります。接続の初期接続しきい値を超えると、適応型セキュリティ アプライアンスはサーバのプロキシとして動作し、クライアント SYN 要求に対する SYN-ACK 応答を生成します。適応型セキュリティ アプライアンスがクライアントから ACK を受信すると、クライアントを認証し、サーバへの接続を許可できます。

show perfmon コマンドを使用して、個々のコンテキストの攻撃レートをモニタできます。show resource usage detail コマンドを使用すれば、個々のコンテキストの TCP 代行受信で使用されるリソース量をモニタできます。システム全体での TCP 代行受信で使用されるリソースをモニタするには、show resource usage summary detail コマンドを使用します。

次に、 show perfmon コマンドの出力例を示します。このコマンドは、admin というコンテキストの TCP 代行受信レートを表示します。

hostname/admin# show perfmon
 
Context:admin
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
WebSns Req 0/s 0/s
TCP Fixup 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
TCP Intercept 322779/s 322779/s
 

次に、 show resource usage detail コマンドの出力例を示します。このコマンドは、個々のコンテキストの TCP 代行受信で使用されるリソース量を表示します(イタリック体のサンプル テキストは、TCP 代行受信情報を示します)。

hostname(config)# show resource usage detail
Resource Current Peak Limit Denied Context
memory 843732 847288 unlimited 0 admin
chunk:channels 14 15 unlimited 0 admin
chunk:fixup 15 15 unlimited 0 admin
chunk:hole 1 1 unlimited 0 admin
chunk:ip-users 10 10 unlimited 0 admin
chunk:list-elem 21 21 unlimited 0 admin
chunk:list-hdr 3 4 unlimited 0 admin
chunk:route 2 2 unlimited 0 admin
chunk:static 1 1 unlimited 0 admin
tcp-intercepts 328787 803610 unlimited 0 admin
np-statics 3 3 unlimited 0 admin
statics 1 1 unlimited 0 admin
ace-rules 1 1 unlimited 0 admin
console-access-rul 2 2 unlimited 0 admin
fixup-rules 14 15 unlimited 0 admin
memory 959872 960000 unlimited 0 c1
chunk:channels 15 16 unlimited 0 c1
chunk:dbgtrace 1 1 unlimited 0 c1
chunk:fixup 15 15 unlimited 0 c1
chunk:global 1 1 unlimited 0 c1
chunk:hole 2 2 unlimited 0 c1
chunk:ip-users 10 10 unlimited 0 c1
chunk:udp-ctrl-blk 1 1 unlimited 0 c1
chunk:list-elem 24 24 unlimited 0 c1
chunk:list-hdr 5 6 unlimited 0 c1
chunk:nat 1 1 unlimited 0 c1
chunk:route 2 2 unlimited 0 c1
chunk:static 1 1 unlimited 0 c1
tcp-intercept-rate 16056 16254 unlimited 0 c1
globals 1 1 unlimited 0 c1
np-statics 3 3 unlimited 0 c1
statics 1 1 unlimited 0 c1
nats 1 1 unlimited 0 c1
ace-rules 2 2 unlimited 0 c1
console-access-rul 2 2 unlimited 0 c1
fixup-rules 14 15 unlimited 0 c1
memory 232695716 232020648 unlimited 0 system
chunk:channels 17 20 unlimited 0 system
chunk:dbgtrace 3 3 unlimited 0 system
chunk:fixup 15 15 unlimited 0 system
chunk:ip-users 4 4 unlimited 0 system
chunk:list-elem 1014 1014 unlimited 0 system
chunk:list-hdr 1 1 unlimited 0 system
chunk:route 1 1 unlimited 0 system
block:16384 510 885 unlimited 0 system
block:2048 32 34 unlimited 0 system
 

次の出力例は、システム全体の TCP 代行受信で使用されるリソースを示します(イタリック体のサンプル テキストは、TCP 代行受信情報を示します)。

hostname(config)# show resource usage summary detail
Resource Current Peak Limit Denied Context
memory 238421312 238434336 unlimited 0 Summary
chunk:channels 46 48 unlimited 0 Summary
chunk:dbgtrace 4 4 unlimited 0 Summary
chunk:fixup 45 45 unlimited 0 Summary
chunk:global 1 1 unlimited 0 Summary
chunk:hole 3 3 unlimited 0 Summary
chunk:ip-users 24 24 unlimited 0 Summary
chunk:udp-ctrl-blk 1 1 unlimited 0 Summary
chunk:list-elem 1059 1059 unlimited 0 Summary
chunk:list-hdr 10 11 unlimited 0 Summary
chunk:nat 1 1 unlimited 0 Summary
chunk:route 5 5 unlimited 0 Summary
chunk:static 2 2 unlimited 0 Summary
block:16384 510 885 unlimited 0 Summary
block:2048 32 35 unlimited 0 Summary
tcp-intercept-rate 341306 811579 unlimited 0 Summary
globals 1 1 unlimited 0 Summary
np-statics 6 6 unlimited 0 Summary
statics 2 2 N/A 0 Summary
nats 1 1 N/A 0 Summary
ace-rules 3 3 N/A 0 Summary
console-access-rul 4 4 N/A 0 Summary
fixup-rules 43 44 N/A 0 Summary