Cisco Security Manager 4.0 ユーザ ガイド
ホスト名とリソースの設定
ホスト名とリソースの設定
発行日;2012/02/02 | 英語版ドキュメント(2010/07/28 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ホスト名とリソースの設定

[Hostname] ページ

マルチコンテキスト FWSM でのリソース管理

[Resources] ページ

[Add Resource]/[Edit Resource] ダイアログボックス

ホスト名とリソースの設定

ここでは、セキュリティ アプライアンス上のホスト名の設定と、マルチコンテキスト モードの Firewall Services Modules(FWSM; ファイアウォール サービス モジュール)でのリソース クラスの定義と管理について説明します。

この章は、次の内容で構成されています。

「[Hostname] ページ」

「マルチコンテキスト FWSM でのリソース管理」

[Hostname] ページ

[Hostname] ページを使用して、セキュリティ デバイスのホスト名を指定し、デフォルト ドメインを指定します。設定ファイルが展開されたあとで、他のコマンドで完全修飾ドメインを入力しない場合、デバイスではこのドメイン名が使用されます。RSA キーの生成でもこのドメイン名が使用されます。

デバイスは、このドメイン名を非修飾名に追加します。たとえば、ドメイン名を「example.com」に設定し、非修飾名「jupiter」で syslog サーバを指定する場合、セキュリティ アプライアンスは名前を「jupiter.example.com」として完成させます。

セキュリティ アプライアンスのホスト名を設定した場合は、その名前がコマンド ライン プロンプトに表示されます。複数のデバイスへのセッションを確立する場合、ホスト名はコマンドを入力する場所の追跡に役立ちます。デフォルトのホスト名はプラットフォームによって異なります。

マルチコンテキスト モードでは、各コンテキストのドメイン名と、システム実行スペースを指定できます。システム実行スペースで指定するホスト名は、すべてのコンテキストのコマンド ライン プロンプトに表示されます。オプションでコンテキストに設定されているホスト名はコマンド ラインに表示されませんが、バナー コマンド $(hostname) トークンでは使用できます。

ナビゲーション パス

デバイス ビューで、セキュリティ デバイスを選択し、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Hostname] を選択します。

関連項目

「PIX/ASA/FWSM プラットフォームのユーザ インターフェイス リファレンス」

フィールド リファレンス

 

表 38-1 [Hostname] ページ

要素
説明

[Host Name]

デバイスの区別に役立つ一意のデバイス名( PIX-510-A など)を入力します。

(注) 管理するデバイスごとに一意のホスト名を使用することを推奨します。デバイス名には、最大 63 文字の英数字(米国英語)を使用でき、特殊文字 ` ( ) + - , . / : = のいずれも使用できます。

[Domain Name]

オプションで、デバイスの有効な Domain Name System(DNS; ドメイン ネーム システム)ドメイン名( cisco.com など)を入力します。

マルチコンテキスト FWSM でのリソース管理

デフォルトでは、マルチコンテキスト Firewall Services Module(FWSM; ファイアウォール サービス モジュール)のすべてのセキュリティ コンテキストは、コンテキストごとの最大制限が設定されている場合を除き、FWSM のリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストで使用しているリソースが多すぎ、たとえばそれが原因で他のコンテキストが接続を拒否されていることがわかった場合は、リソース管理を設定して、コンテキストあたりのリソースの使用を制限できます。


) FWSM はコンテキストあたりの帯域幅を制限しませんが、FWSM が含まれているスイッチは VLAN あたりの帯域幅を制限できます。詳細については、スイッチのマニュアルを参照してください。


FWSM は、リソース クラスにコンテキストを割り当てることでリソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。クラスを作成する場合、FWSM はクラスに割り当てられている各コンテキストのリソースの一部を確保しません。代わりに、FWSM はコンテキストの最大制限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。

すべてのリソースの制限は、デバイスで使用可能な合計に対するパーセンテージとして設定できます。また、個々のリソースの制限をパーセンテージまたは絶対値として設定できます。

すべてのコンテキストにリソースの 100% を超えて割り当てることで、FWSM をオーバーサブスクライブできます。たとえば、接続をコンテキストあたり 20% に制限するクラスを設定してから、10 個のコンテキストをクラスに割り当てて、合計が 200% になるようにできます。コンテキストがシステム制限を超えて同時に使用する場合、各コンテキストは意図した 20% を下回ります。

FWSM では、パーセンテージや絶対値の代わりに、クラス内の 1 つ以上のリソースへの無制限アクセスを割り当てることもできます。リソースが無制限の場合、コンテキストはシステムで使用可能な量までリソースを使用できます。たとえば、コンテキスト A、B、および C がクラス「Onepercent」に割り当てられているとします。このクラスでは、各クラス メンバを 1 秒あたりのシステム インスペクションの 1% に制限し、合計で 3% に制限しますが、3 つのコンテキストは現在合計 2% だけを使用しています。一方、クラス「Nolimit」では、インスペクションへのアクセスが制限されていません。Nolimit のコンテキストは、「未割り当て」インスペクションの 97% 以上を使用できます。また、Nolimit のコンテキストはコンテキスト A、B、および C で現在使用されていない 1% のインスペクションも使用できます。ただし、その場合、コンテキスト A、B、および C は合計 3% の制限に到達できないことになります。無制限アクセスの設定は FWSM のオーバーサブスクライブと同様ですが、システムをどの程度オーバーサブスクライブできるかを詳細には制御できません。

デフォルト クラス

すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に対して 2% の制限があり、その他の制限はないクラスを作成する場合、他のすべての制限はデフォルト クラスから継承されます。反対に、すべてのリソースに対して 2% の制限があるクラスを作成する場合、クラスはデフォルト クラスの設定を使用しません。

初期設定時に、デフォルト クラスは、デフォルトでコンテキストあたり許可される最大値に設定される次の制限を除き、すべてのコンテキストに対してリソースへの無制限アクセスを提供します。

Telnet セッション:5 セッション

SSH セッション:5 セッション

IPSec セッション:5 セッション

MAC アドレス:65,535 エントリ

デフォルト クラスは編集できます。

関連項目

「[Resources] ページ」

「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」

[Resources] ページ

[Resources] ページを使用して、リソース管理クラスを設定および管理します。

このページのテーブルには、現在定義されているすべてのリソース クラスがリストされます。テーブルの下のボタンを使用して、このリストを管理します。

[Add Row]:新規クラスを定義してセキュリティ コンテキストに割り当てることのできる [Add Resource] ダイアログボックスを開きます。詳細については、「[Add Resource]/[Edit Resource] ダイアログボックス」を参照してください。

[Edit Row]:現在選択されている行について、[Edit Resource] ダイアログボックスを開いて、クラスとそのコンテキスト割り当てを編集できるようにします。詳細については、「[Add Resource]/[Edit Resource] ダイアログボックス」を参照してください。

[Delete Row]:現在選択されている行を削除します。確認が必要な場合があります。

ナビゲーション パス

デバイス ビューで、マルチコンテキスト モードの FWSM のシステム コンテキストを選択し、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Resources] を選択します。

関連項目

「マルチコンテキスト FWSM でのリソース管理」

[Add Resource]/[Edit Resource] ダイアログボックス

[Add Resource]/[Edit Resource] ダイアログボックスを使用して、FWSM セキュリティ コンテキストのリソース クラスと割り当てを追加または編集します。

タイトルを除き、両方のダイアログボックスは同じです。次の説明は両方のダイアログボックスに適用されます。

ナビゲーション パス

[Add Resource]/[Edit Resource] ダイアログボックスには、「[Resources] ページ」からアクセスできます。

関連項目

「マルチコンテキスト FWSM でのリソース管理」

フィールド リファレンス

 

表 38-2 [Add Resource]/[Edit Resource] ダイアログボックス

要素
説明

[Class Name]

このクラスの名前を入力します。最大 20 文字の英数字文字列を入力でき、特殊文字 ` ( ) + - , . / : = のいずれも使用できます。

[Limits] タブ
のレートと見なされます(オンになっている場合、値は合計リソースに対するパーセンテージです)。

[TCP or UDP Connections]

1 つのホストと他の複数のホスト間の接続を含め、任意の 2 つのホスト間の TCP または UDP 接続に対するレート制限を設定します。0(システム制限)~ 102400 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[Inspections (Fixups)]

アプリケーション インスペクションのレート制限を設定します。1 秒あたり 0(システム制限)~ 10000 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[Syslog Messages]

システム ログ メッセージのレート制限を設定します。制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

FWSM では、FWSM 端末またはバッファに送信されるメッセージに対して 1 秒あたり 30,000 メッセージをサポートできます。メッセージを syslog サーバに送信する場合、FWSM では 1 秒あたり 25,000 がサポートされます。

[Connections]

同時の TCP または UDP 接続の絶対制限を設定します。0(システム制限)~ 999900 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

』を参照)、不均等を考慮して接続制限を増やしたりすることができます。

[Hosts]

FWSM を介して同時に接続できるホストの制限を設定します。0(システム制限)~ 262144 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[IPsec Sessions]

IPsec セッションの制限を設定します。1 ~ 5 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。同時セッションの最大数は 10 で、すべてのコンテキスト間で分割されます。

[SSH Sessions]

SSH セッションの制限を設定します。1 ~ 5 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。同時セッションの最大数は 100 で、すべてのコンテキスト間で分割されます。

[Telnet Sessions]

同時 Telnet セッションの制限を設定します。1 ~ 5 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。同時セッションの最大数は 100 で、すべてのコンテキスト間で分割されます。

[NAT Translations]

同時アドレス変換の制限を設定します。0(システム制限)~ 266144 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[MAC Address]

(トランスペアレント モードのみ)MAC アドレス テーブルで許可される同時 MAC アドレス エントリの制限を設定します。0(システム制限)~ 65535 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[ASDM]

ASDM 管理セッションの制限を設定します(デフォルトは 5 です)。1 ~ 5 の整数を入力して制限を絶対値で設定するか、3.0 ~ 15.0 のパーセンテージを入力できます。同時セッションの最大数は 80 で、すべてのコンテキスト間で分割されます。

ASDM セッションでは、2 つの HTTPS 接続が使用されます。一方は常に存在するモニタ用で、もう一方は変更を行ったときにだけ存在する設定変更用です。たとえば、80 ASDM セッションのシステム制限は、すべてのコンテキスト間で分割される 160 HTTPS セッションの制限を表します。

[All Resources Limit]

すべてのリソースの制限を設定します。特定のリソースの制限も設定した場合は、その制限によって、すべてのリソースに対してここで設定した制限が上書きされます。制限をパーセンテージで設定するか、値を 0 に設定することで無制限として設定できます([percent] がオンになっていない場合)。他の絶対値は設定できません。デバイスをオーバーサブスクライブする場合は、100% を超えて割り当てることができます。

[Contexts] タブ

[Available Contexts]

クラス割り当てに使用可能なすべてのコンテキストがリストされます。クラスがすでに割り当てられているコンテキストは表示されません。

1 つ以上のコンテキストを選択し、[>>] ボタンをクリックしてコンテキストを [Selected Contexts] リストに追加します。

[Selected Contexts]

このクラスに割り当てられているすべてのコンテキストがリストされます。

1 つ以上のコンテキストを選択し、[<<] ボタンをクリックしてコンテキストを [Available Contexts] リストに戻します。