Cisco ASDM ユーザ ガイド 5.2(3)F
仕様
仕様
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

仕様

スイッチのハードウェアおよびソフトウェアの互換性

ライセンス対象機能

物理仕様

機能制限

管理対象のシステム リソース

固定システム リソース

ルール制限

デフォルトのルール割り当て

マルチコンテキスト モードのルール

機能間のルールの再割り当て

スイッチのハードウェアおよびソフトウェアの互換性

FWSM をサポートするスイッチのモデルには、次のプラットフォームがあります。

次のコンポーネントを要件とする Catalyst 6500 シリーズのスイッチ。

Cisco IOS ソフトウェア(スーパーバイザ IOS)使用のスーパーバイザ エンジン または Catalyst オペレーティング システム(OS)。サポートされているスーパーバイザ エンジンおよびソフトウェア リリースの 表A-1 を参照してください。

Cisco IOS ソフトウェア使用の MSFC 2。サポートされている Cisco IOS ソフトウェア リリースの 表A-1 を参照してください。

次のコンポーネントを要件とする Cisco 7600 シリーズのルータ。

Cisco IOS ソフトウェア使用のスーパーバイザ エンジン。サポートされているスーパーバイザ エンジンおよびソフトウェア リリースの 表A-1 を参照してください。

Cisco IOS ソフトウェア使用の MSFC 2。サポートされている Cisco IOS ソフトウェア リリースの 表A-1 を参照してください。


) FWSM は、WAN ポートがスタティック VLAN を使用しないため、スイッチの WAN ポートへの直接接続をサポートしません。ただし、WAN ポートは、FWSM へ接続できる MSFC に接続できます。


表A-1 では、スーパーバイザ エンジンのバージョンとソフトウェアを示しています。

 

表A-1 FWSM 3.2 のサポート

スーパーバイザ エンジン 1
Cisco IOS ソフトウェア リリース

12.2(18)SXF 以降

720, 32

12.2(18)SXF2 以降

2, 720, 32

Cisco IOS ソフトウェア モジュラリティ リリース

12.2(18)SXF4

720, 32

Catalyst ソフトウェア リリース 2

8.5(3) 以降

2. 720, 32

1.FWSM は、スーパーバイザ 1 または 1A をサポートしていません。

2.スーパーバイザで Catalyst ソフトウェアを使用する場合は、上記のサポートされている Cisco IOS ソフトウェア リリースをどれでも MSFC で使用できます(スーパーバイザで Cisco IOS ソフトウェアを使用する場合も、同じリリースを MSFC で使用できます)。

ライセンス対象機能

FWSM は、次のライセンス対象機能をサポートしています。

マルチセキュリティ コンテキスト。FWSM は、ライセンスのない計 3 つのセキュリティ コンテキストに対して、2 つのコンテキストと 1 つの管理コンテキストをサポートしています。4 つ以上のコンテキストには次のライセンスのいずれかを取得します。

20

50

100

250

GTP/GPRS サポート。

BGP スタブ サポート。

物理仕様

表A-2 では、FWSM の物理仕様を示しています。

 

表A-2 物理仕様

仕様
説明

帯域幅

スイッチ ファブリック モジュールへの 6-Gbps のパスを持つ CEF256 ラインカード(存在する場合)または 32-Gbps の共有バス。

メモリ

1 GB のRAM。

128 MB のフラッシュ メモリ。

スイッチごとのモジュール

スイッチごとに最大 4 つのモジュール。

フェールオーバーを使用する場合、2 つのモジュールがスタンバイ モードでも、スイッチごとに 4 つしかモジュールを持てません。

機能制限

表A-3 では、FWSM の機能制限がリストされています。

 

表A-3 機能制限

仕様
コンテキスト モード
シングル
マルチ

AAA サーバ(RADIUS および TACACS+)

16

コンテキストごとに 4 つ

フェールオーバー インターフェイスのモニタリング

250

すべてのコンテキスト合計で 250

フィルタリング サーバ(Websense Enterprise または Sentian をN2H2 で実行する)

16

コンテキストごとに 4 つ

ジャンボ イーサネット パケット

8500 バイト

8500 バイト

セキュリティ コンテキスト

該当なし

250 のセキュリティ コンテキスト(ソフトウェアのライセンスによる)。

Syslog サーバ

16

コンテキストごとに 4 つ

すべてのコンテキスト合計で最大 16

VLAN インターフェイス

ルーテッド モード

256

コンテキストごとに 100 つ

FWSM 全体の VLAN インターフェイスの制限数は、すべてのコンテキスト合計で 1,000 です。コンテキスト間で外部インターフェイスを共有することができ、場合によっては、内部インターフェイスも共有できます。

透過モード

8 ペア

コンテキストごとに 8 ペア

管理対象のシステム リソース

表A-4 では、FWSM の管理対象のシステム リソースをリストしています。リソース マネージャを使用して、コンテキストごとのリソースを管理できます。詳細については、「リソース クラスの設定」を参照してください。

 

表A-4 管理対象のシステム リソース

仕様
コンテキスト モード
シングル
マルチ

MAC アドレス(透過ファイアウォール モードのみ)

64 K

すべてのコンテキスト合計で 64 K

FWSM による接続を許可されるホスト、同時

256 K

すべてのコンテキスト合計で 256 K

インスペクション エンジン接続、レート

10,000/秒

すべてのコンテキスト合計で 10,000/秒

IPSec 管理接続、同時

5

コンテキストごとに 5 つ

すべてのコンテキスト合計で最大 10

ASDM 管理セッション、同時 3

5

コンテキストごとに最大 5

すべてのコンテキスト合計で最大 80

NAT 変換、同時

256 K

すべてのコンテキスト合計で 256 K

SSH 管理接続、同時 4

5

コンテキストごとに 5 つ

すべてのコンテキスト合計で最大 100

システム ログ メッセージ、レート

FWSM のターミナルまたはバッファへ送信されるメッセージの速度は 30,000/秒

syslog サーバへ送信されるメッセージの速度は 25,000/秒

FWSM のターミナルまたはバッファへ送信されるメッセージの速度は、すべてのコンテキスト合計で 30,000/秒

syslog サーバへ送信されるメッセージの速度は、すべてのコンテキスト合計で 25,000/秒

1 台のホストと他の複数台のホスト間の接続を含む 56 、任意の 2 つのホスト間の TCP または UDP 接続、同時およびレート

999,900 7

100,000/秒

すべてのコンテキスト合計で 999,900 5

すべてのコンテキスト合計で 100,000/秒

Telnet 管理接続、同時 2

5

コンテキストごとに 5 つ

すべてのコンテキスト合計で最大 100 の接続。

3.ASDM セッションは、2 つの HTTPS 接続を使用します。1 つは常駐の監視用、もう 1 つは変更時にのみ使用されるコンフィギュレーション変更用です。たとえば、ASDM のセッション数のシステム制限値が 80 の場合は、HTTPS 接続数が 160 に制限されます。

4.管理コンテキストでは、Telnet および SSH 接続が最大 15 まで使用できます。

5.初期接続は合計接続数に含まれます。初期接続制限数を設定する場合、制限数を超える初期接続はカウントされません。

6.FWSM では、削除マークの付いた接続を削除するのに最大 500 ミリ秒かかる場合があります。削除中はその接続のトラフィックがドロップされるため、接続が削除されるまでは、同じ送信元ポートと宛先ポートを使用して、同じ宛先へ新しい接続を開始することはできません。ほとんどの TCP アプリケーションでは、逆並列接続で同一ポートが再利用されることはありませんが、RSH では同一ポートが再利用される場合があります。RSH または逆並列接続で同一ポートが再利用される他のアプリケーションを使用すると、FWSM はパケットをドロップする場合があります。

7.PAT では、各接続に個別の変換が必要なため、PAT を使用した効果的な接続制限は、変換制限(256K)になり、より高い接続制限ではありません。接続制限を使用するには、同一変換セッションを使用して複数の接続が許可される NAT を使用する必要があります。

固定システム リソース

表A-5 では、FWSM の固定システム リソースをリストしています。

 

表A-5 固定されたシステム リソース

仕様
コンテキスト モード
シングル
マルチ

AAA 接続、レート

80/秒

すべてのコンテキスト合計で 80/秒

ネットワーク アクセス許可のためにダウンロードされた ACE

3,500

すべてのコンテキスト合計で 3,500

ACL ロギング フロー、同時

32 K

すべてのコンテキスト合計で 32 K

エイリアス文

1 K

すべてのコンテキスト合計で 1 K

ARP テーブル エントリ、同時

64 K

すべてのコンテキスト合計で 64 K

DNS 検査、レート

5000/秒

すべてのコンテキスト合計で 5000/秒

グローバル文

4 K

すべてのコンテキスト合計で 4 K

検査文

32

コンテキストごとに 32

NAT 文

2 K

すべてのコンテキスト合計で 2 K

パケット リアセンブリ、同時

30,000

すべてのコンテキスト合計で 30,000 フラグメント

ルート テーブル エントリ、同時

32 K

すべてのコンテキスト合計で 32 K

Shun 文

5 K

すべてのコンテキスト合計で 5 K

スタティック NAT 文

2 K

すべてのコンテキスト合計で 2 K

TFTP セッション、同時 8

999,100

すべてのコンテキスト合計で 999,100

URL フィルタリング要求

200/秒 では CPU 使用率は 50%

200/秒 ではすべてのコンテキスト合計の CPU 使用率は 50%

ユーザ認証セッション、同時

50 K

すべてのコンテキスト合計で 50 K

ユーザ許可セッション、同時

150 K

ユーザごとに最大 15 セッション。

すべてのコンテキスト合計で 150 K

ユーザごとに最大 15 セッション。

8.FWSM バージョン 1.1 では、TFTP セッション数は、1024 セッションに制限されていました。

ルール制限

FWSM では、システム全体でサポートされるルールの数が決まっています。この項では、機能ごとのデフォルト最大ルール数、機能間にルールを割り当てる方法、ルールをマルチコンテキスト間に分割する方法について説明します。次の項目を取り上げます。

「デフォルトのルール割り当て」

「マルチコンテキスト モードのルール」

「機能間のルールの再割り当て」

デフォルトのルール割り当て

表A-6 では、各ルール タイプの最大数をリストしています。


コンテキスト モード
仕様
シングル
12 個のプールを持つマルチ(パーティションごとの最大数)

AAA ルール

6451

992

アクセス ルール

74,188

10,633

established コマンド 9

460

70

フィルタ ルール

2764

425

ICMP、Telnet、SSH、HTTP ルール

1843

283

ポリシー NAT ACE 10

1843

283

検査ルール

4147

1417

ルール合計

92,156

14,173

9.established コマンドは、コントロール ルールとデータ ルールを作成するため、ルール合計の値は 2 倍になります。established コマンドは、CLI でのみサポートされているため、ASDM 内では設定できません。

10.この制限はリリース 2.3 より低くなっています。

マルチコンテキスト モードのルール

デフォルトで 12 のメモリ パーティションを持つマルチコンテキスト モードでは、各コンテキストが、 表A-6 にリストされている最大数をサポートします。コンテキストでサポートされている実際のルール数は、持っているコンテキスト数と設定したパーティション数によって異なります。コンテキスト間のメモリ分散についての詳細は、「メモリ パーティションの設定」を参照してください。

パーティション数を減らすと、ルールの最大数が再計算され、12 のパーティションで使用可能な合計システム数と一致しない場合もあります。パーティションの最大ルール数を表示するには、「機能間のルールの再割り当て」の項を参照してください。

機能間のルールの再割り当て

1 つの機能から別の機能へルールを再割り当てできます。ルールを再割り当てするには、次の手順を実行します。


ステップ 1 再割り当ての計画ができるように現在使用されているルール数を表示するには、Command Line Interface ツールを使用して次のコマンドの 1 つを入力します。

シングルモードまたはコンテキスト内で、次のコマンドを入力します。

show np 3 acl count
 

マルチコンテキスト モードのシステム実行スペースで、次のコマンドを入力します。

show np 3 acl count partition_number
 

パーティションの詳細については、「マルチコンテキスト モードのルール」を参照してください。

たとえば、次の表には最大数 9216 に近い検査数(Fixup ルール)が表示されています。一部のアクセスリスト ルール(ACL ルール)を検査に再割り当てすることもできます。

show np 3 acl count
 
-------------- CLS Rule Current Counts --------------
CLS Filter Rule Count : 0
CLS Fixup Rule Count : 9001
CLS Est Ctl Rule Count : 4
CLS AAA Rule Count : 15
CLS Est Data Rule Count : 4
CLS Console Rule Count : 16
CLS Policy NAT Rule Count : 0
CLS ACL Rule Count : 30500
CLS ACL Uncommitted Add : 0
CLS ACL Uncommitted Del : 0
...

established コマンドは、管理とデータの 2 種類のルールを作成します。両方のタイプが表示されていますが、established コマンドの数を設定することで両方のルールを割り当て、各ルールの設定を個別には行いません。

established コマンドは、CLI でのみサポートされているため、ASDM 内では設定できません。


ステップ 2 機能間にルールを再割り当てするには、Configuration > Properties > Dynamic Resource Allocation へ移動します。マルチコンテキスト モードの場合は、この機能はシステム実行スペースでのみ使用できます。

ステップ 3 変更する各機能のフィールドに値を入力するか、デフォルトまたは最大値をドロップダウン リストから選択して、機能間にルールを再割り当てします。

マルチコンテキスト モードでは、このペインで パーティションごと のルールの割り当てを設定します。

設定したルール数、最大ルール数、使用可能なルール数が下の機能フィールドに表示されます。設定したルールのフィールドでは、機能の新しい値を入力するとダイナミックに更新します。Control ルールと Data ルールの両方をアカウンディングするには、Established ルールの数を 2 倍にします。 established コマンドは、CLI でのみサポートされているため、ASDM 内では設定できません。

ステップ 4 Apply をクリックします。

新しい制限はすぐに反映されます。