Cisco Security Manager 4.0 ユーザ ガイド
接続を維持するためのサービス レベル契約 (SLA)のモニタリング
接続を維持するためのサービス レベル契約(SLA)のモニタリング
発行日;2012/02/02 | 英語版ドキュメント(2011/01/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

接続を維持するためのサービス レベル契約(SLA)のモニタリング

サービス レベル契約の作成

SLA モニタ オブジェクトの設定

接続を維持するためのサービス レベル契約(SLA)のモニタリング

バージョン 7.2 以上を実行している ASA または PIX デバイスは、サービス レベル契約をモニタリングすることによってルート トラッキングを実行するように設定できます。別のネットワーク上のデバイスへの接続性をモニタリングすることによって、プライマリ ルートの可用性をトラッキングし、プライマリ ルートに障害が発生した場合にバックアップ ルートをインストールできます。たとえば、Internet Service Provider(ISP; インターネット サービス プロバイダー)ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。この方法はデュアル ISP と呼ばれ、セキュリティ アプライアンスに高可用性をもたらします。高可用性は、カスタマーに必要なサービスを提供するための重要な要素となります。

ルートが有効かどうかを本質的に判断するメカニズムは、ルート トラッキング以外には存在しません。ネクストホップ ゲートウェイが使用できなくなった場合も、スタティック ルートはルーティング テーブル内に残り、セキュリティ アプライアンス上の、関連付けられたインターフェイスがダウンした場合にだけ削除されます。

セキュリティ アプライアンスでは、ルートを SLA モニタのポリシー オブジェクトで定義したモニタリング ターゲットに関連付けることによって、ルート トラッキングを実行します。セキュリティ アプライアンスでは、オブジェクト内に設定されたパラメータに従い、ICMP エコー要求を使用してターゲットをモニタリングします。指定された時間内にエコー応答が受信されない場合、SLA モニタはダウンしていると見なされ、関連付けられたルートがルーティング テーブルから削除されます。削除されたルートの代わりに、前に設定されたバックアップ ルートが使用されます。

SLA モニタリング ジョブは、デバイス設定から SLA モニタを削除していないかぎり、展開後すぐに開始して実行し続けます(つまり、ジョブはエージング アウトしません)。

関連項目

「スタティック ルートの設定」

「ファイアウォール デバイスのインターフェイスの設定」

「ポリシー オブジェクトの作成」

この章は、次の内容で構成されています。

「サービス レベル契約の作成」

サービス レベル契約の作成

次の手順では、SLA モニタ オブジェクトを設定し、ASA または PIX の設定で、それらのオブジェクトをルートおよびインターフェイスに関連付ける方法について説明します。

関連項目

「接続を維持するためのサービス レベル契約(SLA)のモニタリング」

「スタティック ルートの設定」

「ファイアウォール デバイスのインターフェイスの設定」

「ポリシー オブジェクトの作成」


ステップ 1 SLA モニタ ポリシー オブジェクトを作成します。

a. [Tools] > [Policy Object Manager] を選択して、[Policy Object Manager] を開き(「[Policy Object Manager] ウィンドウ」を参照)、コンテンツ テーブルから [SLA Monitors] を選択します。


ヒント また、SLA モニタ オブジェクトは、このオブジェクト タイプを使用するポリシーを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


b. 作業領域を右クリックして [New Object] を選択し、[Add SLA Monitor] ダイアログボックスを開きます。詳細については、「SLA モニタ オブジェクトの設定」を参照してください。

c. モニタリング オプションはほとんどの接続に適しているため、次の項目だけを設定する必要があります。

[Name]:オブジェクトの名前。

[SLA Monitor ID]:モニタリング プロセスを識別する番号。この番号は 1 つのデバイス設定において.一意である必要があります。

[Monitored Address]:モニタリング対象のアドレス。モニタリングのターゲットを選択する場合は、ターゲットが ICMP エコー要求(ping)に応答できることを確認してください。ターゲットは、任意のネットワーク アドレスにできます。ただし、次のいずれのものを使用するかを考慮してください。

ISP ゲートウェイ アドレス。

ネクストホップ ゲートウェイ アドレス(ISP ゲートウェイの可用性を確認する場合)。

セキュリティ アプライアンスが通信する必要のある、AAA サーバなどの.ターゲット ネットワーク上のサーバ。

宛先ネットワーク上の永続的なネットワーク デバイス。夜間にシャットダウンされるデスクトップ コンピュータおよびノートブック コンピュータは適切ではありません。

[Interface]:ICMP メッセージのソースとなるインターフェイスを識別する、インターフェイス名またはインターフェイス ロール。デバイスでは、モニタリング対象のアドレスに対して、このインターフェイスの IP アドレスから ping を行います。

d. [OK] をクリックしてオブジェクトを保存します。

ステップ 2 このオブジェクトを使用してルートをモニタリングするように、ASA/PIX ポリシーを設定します。SLA をモニタリングするために、次のポリシーを設定できます。

[Platform] > [Routing] > [Static Route]:スタティック ルートを定義するとき、そのルートに対するルート トラッキングを実行する SLA モニタ オブジェクトを選択できます。詳細については、「スタティック ルートの設定」および「[Add Static Route]/[Edit Static Route] ダイアログボックス」を参照してください。

[Interfaces]:DHCP または PPPoE を使用するインターフェイスを定義するとき、DHCP または PPPoE の学習されたデフォルト ルートがトラッキングされるように設定できます。詳細については、「デバイス インターフェイス:IP タイプ(PIX/ASA)」を参照してください。


 

SLA モニタ オブジェクトの設定

[ADD SLA Monitor]/[Edit SLA Monitor] ダイアログボックスを使用すると、SLA モニタ オブジェクトを作成、編集およびコピーできます。各 SLA モニタでは、モニタリング対象のアドレスへの接続ポリシーを定義し、そのアドレスへのルートの可用性をトラッキングします。ルートの可用性は、ICMP エコー要求を送信し、応答を待機することによって、定期的にチェックされます。要求がタイムアウトすると、そのルートはルーティング テーブルから削除され、バックアップ ルートに置き換えられます。

SLA モニタは、PIX/ASA バージョン 7.2 以上を実行するセキュリティ アプライアンスに対してだけ設定できます。SLA モニタリング ジョブは、デバイス設定から SLA モニタを削除していないかぎり、展開後すぐに開始して実行し続けます(つまり、ジョブはエージング アウトしません)。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次に、オブジェクト タイプ セレクタから [SLA Monitors] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 44-1 SLA モニタ ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[SLA Monitor ID]

SLA 操作の ID 番号。値の範囲は 1 ~ 2147483647 です。1 つのデバイスに最大 2000 の SLA 操作を作成できます。各 ID 番号はポリシーとデバイス設定に対して一意である必要があります。

[Monitored Address]

SLA 操作によって可用性をモニタリングされる IP アドレス。モニタリングするアドレスの選択に関する推奨事項については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。

[Interface]

可用性をテストするためにモニタリング対象のアドレスに対して送信される、すべての ICMP エコー要求の送信元インターフェイス。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロールを作成します。

[Frequency]

ICMP エコー要求の送信頻度(秒単位)。値の範囲は 1 ~ 604800 秒(7 日)です。デフォルトは 60 秒です。

(注) 頻度はタイムアウト値未満にできません。これらの値を比較するには、頻度をミリ秒に換算する必要があります。

[Threshold]

上昇しきい値が宣言される前に、ICMP エコー要求のあとに経過する必要のある時間(ミリ秒単位)。値の範囲は 0 ~ 2147483647 ミリ秒です。デフォルトは 5000 ミリ秒です。

しきい値は、定義された値を超過したイベントを示すためにだけ使用されます。これらのイベントは、タイムアウト値が適切であるかどうかを評価するために使用できます。このイベントは、モニタリング対象のアドレスへの到達可能性を直接的に示すものではありません。

(注) しきい値はタイムアウト値を超過しないようにします。

[Time out]

SLA 操作が ICMP エコー要求への応答を待機する時間(ミリ秒単位)。値の範囲は 0 ~604800000 ミリ秒(7 日)です。デフォルトは 5000 ミリ秒です。

モニタリング対象のアドレスからの応答が、このフィールドに定義された時間内に受信されない場合は、スタティック ルートがルーティング テーブルから削除され、バックアップ ルートに置き換えられます。

(注) タイムアウト値は頻度値を超過できません。これらの数値を比較するには、頻度値をミリ秒に変換します。

[Request Data Size]

ICMP 要求パケット ペイロード(バイト単位)。有効値の範囲は 0 ~ 16384 バイトです。デフォルトは 28 バイトです。この場合、全体の ICMP パケットは 64 バイトとなります。この値には、プロトコルまたは Path Maximum Transmission Unit(PMTU)で許可される最大値を超える値を設定しないでください。

場合によっては、到達可能性を確保するために、デフォルトのデータ サイズを大きくして、ソースとターゲットの間での PMTU の違いを検出できるようにすることが必要となります。PMTU が小さいと、セッションのパフォーマンスに影響を及ぼすことがあり、このことが検出された場合は、セカンダリ パスの使用が必要となることがあります。

[ToS]

ICMP 要求パケットの IP ヘッダー内に定義された Type of Service(ToS; タイプ オブ サービス)。有効値の範囲は 0 ~ 255 です。デフォルトは 0 です。

このフィールドには、遅延、優先順位、信頼性などの情報が含まれます。この情報は、ポリシー ルーティングや専用アクセス レートなどの機能のために、ネットワーク上の他のデバイスが使用できます。

[Number of Packets]

送信されたパケットの数。値の範囲は 1 ~ 100 です。デフォルトは 1 パケットです。

ヒント パケット損失によって、セキュリティ アプライアンスがモニタリング対象のアドレスに到達できないと誤って認識することが懸念される場合は、デフォルトのパケット数を大きくしてください。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。