Cisco Security Manager 4.1 ユーザ ガイド
ホスト名、リソース、ユーザ アカウントおよ び SLA の設定
ホスト名、リソース、ユーザ アカウントおよび SLA の設定
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ホスト名、リソース、ユーザ アカウントおよび SLA の設定

[Hostname] ページ

マルチコンテキスト FWSM でのリソース管理

[Resources] ページ

[Add Resource]/[Edit Resource] ダイアログボックス

ユーザ アカウントの設定

[Add User Account]/[Edit User Account] ダイアログボックス

接続を維持するためのサービス レベル契約(SLA)のモニタリング

サービス レベル契約の作成

SLA モニタ オブジェクトの設定

ホスト名、リソース、ユーザ アカウントおよび SLA の設定

ここでは、セキュリティ アプライアンス上のホスト名の設定、マルチコンテキスト モードの Firewall Services Module(FWSM; ファイアウォール サービス モジュール)でのリソース クラスの定義と管理、ローカル ユーザ データベースでのユーザ アカウントの管理、およびルート トラッキングを実行するための Service Level Agreement(SLA; サービス レベル契約)のモニタリングについて説明します。

この章は、次の内容で構成されています。

「[Hostname] ページ」

「マルチコンテキスト FWSM でのリソース管理」

「ユーザ アカウントの設定」

「接続を維持するためのサービス レベル契約(SLA)のモニタリング」

[Hostname] ページ

[Hostname] ページを使用して、セキュリティ デバイスのホスト名を指定し、デフォルト ドメインを指定します。設定ファイルが展開されたあとで、他のコマンドで完全修飾ドメインを入力しない場合、デバイスではこのドメイン名が使用されます。RSA キーの生成でもこのドメイン名が使用されます。

デバイスは、このドメイン名を非修飾名に追加します。たとえば、ドメイン名を「example.com」に設定し、非修飾名「jupiter」で syslog サーバを指定する場合、セキュリティ アプライアンスは名前を「jupiter.example.com」として完成させます。

セキュリティ アプライアンスのホスト名を設定した場合は、その名前がコマンド ライン プロンプトに表示されます。複数のデバイスへのセッションを確立する場合、ホスト名はコマンドを入力する場所の追跡に役立ちます。デフォルトのホスト名はプラットフォームによって異なります。

マルチコンテキスト モードでは、各コンテキストのドメイン名と、システム実行スペースを指定できます。システム実行スペースで指定するホスト名は、すべてのコンテキストのコマンド ライン プロンプトに表示されます。オプションでコンテキストに設定されているホスト名はコマンド ラインに表示されませんが、バナー コマンド $(hostname) トークンでは使用できます。

ナビゲーション パス

デバイス ビューで、セキュリティ デバイスを選択し、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Hostname] を選択します。

フィールド リファレンス

 

表 47-1 [Hostname] ページ

要素
説明

[Host Name]

デバイスの区別に役立つ一意のデバイス名( PIX-510-A など)を入力します。

(注) 管理するデバイスごとに一意のホスト名を使用することを推奨します。デバイス名には最大 63 文字の英数字(米国英語)を使用でき、次の特殊文字をすべて使用できます。` ( ) + - , ./ : =

[Domain Name]

オプションで、デバイスの有効な Domain Name System(DNS; ドメイン ネーム システム)ドメイン名( cisco.com など)を入力します。

マルチコンテキスト FWSM でのリソース管理

デフォルトでは、マルチコンテキスト Firewall Services Module(FWSM; ファイアウォール サービス モジュール)のすべてのセキュリティ コンテキストは、コンテキストごとの最大制限が設定されている場合を除き、FWSM のリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストで使用しているリソースが多すぎ、たとえばそれが原因で他のコンテキストが接続を拒否されていることがわかった場合は、リソース管理を設定して、コンテキストあたりのリソースの使用を制限できます。


) FWSM はコンテキストあたりの帯域幅を制限しませんが、FWSM が含まれているスイッチは VLAN あたりの帯域幅を制限できます。詳細については、スイッチのマニュアルを参照してください。


FWSM は、リソース クラスにコンテキストを割り当てることでリソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。クラスを作成する場合、FWSM はクラスに割り当てられている各コンテキストのリソースの一部を確保しません。代わりに、FWSM はコンテキストの最大制限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。

すべてのリソースの制限は、デバイスで使用可能な合計に対するパーセンテージとして設定できます。また、個々のリソースの制限をパーセンテージまたは絶対値として設定できます。

すべてのコンテキストにリソースの 100% を超えて割り当てることで、FWSM をオーバーサブスクライブできます。たとえば、接続をコンテキストあたり 20% に制限するクラスを設定してから、10 個のコンテキストをクラスに割り当てて、合計が 200% になるようにできます。コンテキストがシステム制限を超えて同時に使用する場合、各コンテキストは意図した 20% を下回ります。

FWSM では、パーセンテージや絶対値の代わりに、クラス内の 1 つ以上のリソースへの無制限アクセスを割り当てることもできます。リソースが無制限の場合、コンテキストはシステムで使用可能な量までリソースを使用できます。たとえば、コンテキスト A、B、および C がクラス「Onepercent」に割り当てられているとします。このクラスでは、各クラス メンバを 1 秒あたりのシステム インスペクションの 1% に制限し、合計で 3% に制限しますが、3 つのコンテキストは現在合計 2% だけを使用しています。一方、クラス「Nolimit」では、インスペクションへのアクセスが制限されていません。Nolimit のコンテキストは、「未割り当て」インスペクションの 97% 以上を使用できます。また、Nolimit のコンテキストはコンテキスト A、B、および C で現在使用されていない 1% のインスペクションも使用できます。ただし、その場合、コンテキスト A、B、および C は合計 3% の制限に到達できないことになります。無制限アクセスの設定は FWSM のオーバーサブスクライブと同様ですが、システムをどの程度オーバーサブスクライブできるかを詳細には制御できません。

デフォルト クラス

すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に対して 2% の制限があり、その他の制限はないクラスを作成する場合、他のすべての制限はデフォルト クラスから継承されます。反対に、すべてのリソースに対して 2% の制限があるクラスを作成する場合、クラスはデフォルト クラスの設定を使用しません。

初期設定時に、デフォルト クラスは、デフォルトでコンテキストあたり許可される最大値に設定される次の制限を除き、すべてのコンテキストに対してリソースへの無制限アクセスを提供します。

Telnet セッション:5 セッション

SSH セッション:5 セッション

IPSec セッション:5 セッション

MAC アドレス:65,535 エントリ

デフォルト クラスは編集できます。

関連項目

「[Resources] ページ」

「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」

[Resources] ページ

[Resources] ページを使用して、リソース管理クラスを設定および管理します。

このページのテーブルには、現在定義されているすべてのリソース クラスがリストされます。テーブルの下のボタンを使用して、このリストを管理します。

[Add Row]:新規クラスを定義してセキュリティ コンテキストに割り当てることのできる [Add Resource] ダイアログボックスを開きます。詳細については、「[Add Resource]/[Edit Resource] ダイアログボックス」を参照してください。

[Edit Row]:現在選択されている行で [Edit Resource] ダイアログボックスを開いて、クラスとそのコンテキスト割り当てを編集できるようにします。詳細については、「[Add Resource]/[Edit Resource] ダイアログボックス」を参照してください。

[Delete Row]:現在選択されている行を削除します。確認が必要な場合があります。

ナビゲーション パス

デバイス ビューで、マルチコンテキスト モードの FWSM のシステム コンテキストを選択し、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Resources] を選択します。

関連項目

「マルチコンテキスト FWSM でのリソース管理」

[Add Resource]/[Edit Resource] ダイアログボックス

[Add Resource]/[Edit Resource] ダイアログボックスを使用して、FWSM セキュリティ コンテキストのリソース クラスと割り当てを追加または編集します。

タイトルを除き、両方のダイアログボックスは同じです。次の説明は両方のダイアログボックスに適用されます。

ナビゲーション パス

[Add Resource]/[Edit Resource] ダイアログボックスには、「[Resources] ページ」からアクセスできます。

関連項目

「マルチコンテキスト FWSM でのリソース管理」

フィールド リファレンス

 

表 47-2 [Add Resource]/[Edit Resource] ダイアログボックス

要素
説明

[Class Name]

このクラスの名前を入力します。最大 20 文字の英数字を入力でき、次の特殊文字をすべて使用できます。` ( ) + - , ./ : =

[Limits] タブ
のレートと見なされます(オンになっている場合、値は合計リソースに対するパーセンテージです)。

[TCP or UDP Connections]

1 つのホストと他の複数のホスト間の接続を含め、任意の 2 つのホスト間の TCP または UDP 接続に対するレート制限を設定します。0(システム制限)~ 102400 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[Inspections (Fixups)]

アプリケーション インスペクションのレート制限を設定します。1 秒あたり 0(システム制限)~ 10000 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[Syslog Messages]

システム ログ メッセージのレート制限を設定します。制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

FWSM では、FWSM 端末またはバッファに送信されるメッセージに対して 1 秒あたり 30,000 メッセージをサポートできます。メッセージを syslog サーバに送信する場合、FWSM では 1 秒あたり 25,000 がサポートされます。

[Connections]

同時の TCP または UDP 接続の絶対制限を設定します。0(システム制限)~ 999900 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

』を参照)、不均等を考慮して接続制限を増やしたりすることができます。

[Hosts]

FWSM を介して同時に接続できるホストの制限を設定します。0(システム制限)~ 262144 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[IPsec Sessions]

IPsec セッションの制限を設定します。1 ~ 5 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。同時セッションの最大数は 10 で、すべてのコンテキスト間で分割されます。

[SSH Sessions]

SSH セッションの制限を設定します。1 ~ 5 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。同時セッションの最大数は 100 で、すべてのコンテキスト間で分割されます。

[Telnet Sessions]

同時 Telnet セッションの制限を設定します。1 ~ 5 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。同時セッションの最大数は 100 で、すべてのコンテキスト間で分割されます。

[NAT Translations]

同時アドレス変換の制限を設定します。0(システム制限)~ 266144 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100 % を超える値を割り当てることができます。

[MAC Address]

(トランスペアレント モードのみ)MAC アドレス テーブルで許可される同時 MAC アドレス エントリの制限を設定します。0(システム制限)~ 65535 の整数を入力して制限を絶対値で設定するか、またはデバイスをオーバーサブスクライブする場合は 100% を超える値を割り当てることができます。

[ASDM]

ASDM 管理セッションの制限を設定します(デフォルトは 5 です)。1 ~ 5 の整数を入力して制限を絶対値で設定するか、3.0 ~ 15.0 のパーセンテージを入力できます。同時セッションの最大数は 80 で、すべてのコンテキスト間で分割されます。

ASDM セッションでは、2 つの HTTPS 接続が使用されます。一方は常に存在するモニタ用で、もう一方は変更を行ったときにだけ存在する設定変更用です。たとえば、80 ASDM セッションのシステム制限は、すべてのコンテキスト間で分割される 160 HTTPS セッションの制限を表します。

[All Resources Limit]

すべてのリソースの制限を設定します。特定のリソースの制限も設定した場合は、その制限によって、すべてのリソースに対してここで設定した制限が上書きされます。制限をパーセンテージで設定するか、値を 0 に設定することで無制限として設定できます([percent] がオンになっていない場合)。他の絶対値は設定できません。デバイスをオーバーサブスクライブする場合は、100% を超えて割り当てることができます。

[Contexts] タブ

[Available Contexts]

クラス割り当てに使用可能なすべてのコンテキストがリストされます。クラスがすでに割り当てられているコンテキストは表示されません。

1 つ以上のコンテキストを選択し、[>>] ボタンをクリックしてコンテキストを [Selected Contexts] リストに追加します。

[Selected Contexts]

このクラスに割り当てられているすべてのコンテキストがリストされます。

1 つ以上のコンテキストを選択し、[<<] ボタンをクリックしてコンテキストを [Available Contexts] リストに戻します。

ユーザ アカウントの設定

[User Accounts] ページを使用すると、ローカル ユーザ データベースを管理できます。ローカル データベースのユーザ アカウントを Authorization, Authentication, Accounting(AAA; 認証、認可、アカウンティング)機能とともに使用して、デバイス上で「どのユーザが何を実行できるか」を指定できます。詳細は「セキュリティ デバイスでの AAA について」を参照してください。

このページのテーブルには、現在定義されているすべてのローカル ユーザ アカウントがリストされ、それぞれのユーザに関して、名前および割り当てられている権限レベルが示されます。これらのフィールドの詳細については、「[Add User Account]/[Edit User Account] ダイアログボックス」を参照してください。

ユーザ アカウントを追加するには、[Add Row] ボタンをクリックします。

アカウントの設定を編集するには、そのアカウント設定を選択し、[Edit Row] ボタンをクリックします。

ユーザ アカウントを削除するには、そのアカウントを選択して [Delete Row] ボタンをクリックします。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [User Accounts] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [User Accounts] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ローカル データベース」

「AAA の準備」

[Add User Account]/[Edit User Account] ダイアログボックス

[Add User Account] および [Edit User Account] ダイアログボックスを使用して、ローカル ユーザ アカウントを追加するか、または既存のユーザ アカウントを編集します。

ナビゲーション パス

[Add User Account] および [Edit User Account] ダイアログボックスには、「ユーザ アカウントの設定」で説明しているように、[User Accounts] ページからアクセスできます。

フィールド リファレンス

 

表 47-3 [Add User Account]/[Edit User Account] ダイアログボックス

要素
説明

[Username]

ユーザ アカウントの名前を入力します。4 文字以上である必要があります。最大値は 64 文字です。エントリは、大文字と小文字が区別されます。

[Password]

ユーザ アカウントの一意のパスワードを入力します。3 文字以上である必要があります。最大値は 32 文字です。エントリは、大文字と小文字が区別されます。

(注) セキュリティを確保するために、パスワードの長さは 8 文字以上にすることを推奨します。

[Confirm]

確認のためにユーザ パスワードを再入力します。

[Privilege Level]

ユーザの権限レベルを選択します。ローカル コマンド認可を定義します。範囲は、0(最低)~ 15(最高)です。デフォルトの権限レベルは 2 です。

接続を維持するためのサービス レベル契約(SLA)のモニタリング

サービス レベル契約をモニタリングしてルート トラッキングを実行するように、バージョン 7.2 以降を実行している ASA または PIX デバイスを設定できます。別のネットワーク上のデバイスへの接続性をモニタリングすることによって、プライマリ ルートの可用性をトラッキングし、プライマリ ルートに障害が発生した場合のバックアップ ルートを準備することができます。たとえば、Internet Service Provider(ISP; インターネット サービス プロバイダー)ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。この方法はデュアル ISP と呼ばれ、セキュリティ アプライアンスにハイ アベイラビリティをもたらします。ハイ アベイラビリティは、カスタマーに必要なサービスを提供するための重要な要素となります。

ルートが有効かどうかを本質的に判断するメカニズムは、ルート トラッキング以外には存在しません。ネクストホップ ゲートウェイが使用できなくなった場合にも、スタティック ルートはルーティング テーブル内に残ります。セキュリティ アプライアンス上の関連付けられたインターフェイスがダウンした場合にのみ削除されます。

セキュリティ アプライアンスは、SLA モニタのポリシー オブジェクトで定義したモニタリング対象にルートを関連付けることによって、ルート トラッキングを実行します。対象のモニタリングは、オブジェクトで設定されたパラメータに従い、ICMP エコー要求を使用して行われます。指定された時間内にエコー応答が受信されない場合、SLA モニタはダウンしていると見なされ、関連付けられたルートがルーティング テーブルから削除されます。削除されたルートの代わりに、前に設定されたバックアップ ルートが使用されます。

SLA モニタリング ジョブは、デバイス設定から SLA モニタを削除していないかぎり、展開後すぐに開始して実行し続けます(つまり、ジョブはエージング アウトしません)。

関連項目

「スタティック ルートの設定」

「ファイアウォール デバイスのインターフェイスの設定」

「ポリシー オブジェクトの作成」

ここでは、次の内容について説明します。

「サービス レベル契約の作成」

サービス レベル契約の作成

次の手順では、SLA モニタ オブジェクトを設定し、ASA または PIX の設定で、それらのオブジェクトをルートおよびインターフェイスに関連付ける方法について説明します。

関連項目

「接続を維持するためのサービス レベル契約(SLA)のモニタリング」

「スタティック ルートの設定」

「ファイアウォール デバイスのインターフェイスの設定」

「ポリシー オブジェクトの作成」


ステップ 1 SLA モニタ ポリシー オブジェクトを作成します。

a. [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開き(「[Policy Object Manager] ウィンドウ」を参照)、コンテンツ テーブルから [SLA Monitors] を選択します。


ヒント SLA モニタ オブジェクトは、このオブジェクト タイプを使用するポリシーを定義する際に作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


b. 作業領域を右クリックして [New Object] を選択し、[Add SLA Monitor] ダイアログボックスを開きます。詳細については、「SLA モニタ オブジェクトの設定」を参照してください。

c. モニタリング オプションはほとんどの接続に適しているため、設定する必要があるのは次の項目のみです。

[Name]:オブジェクトの名前。

[SLA Monitor ID]:モニタリング プロセスを識別する番号。この番号は 1 つのデバイス設定内で一意である必要があります。

[Monitored Address]:モニタリング対象のアドレス。モニタリング対象を選択する場合は、その対象が ICMP エコー要求(ping)に応答できることを確認してください。対象には任意のネットワーク アドレスを選択できますが、次のどれを使用するか検討する必要があります。

ISP ゲートウェイ アドレス。

ネクストホップ ゲートウェイ アドレス(ISP ゲートウェイの可用性を確認する場合)。

セキュリティ アプライアンスが通信する必要のある、AAA サーバなどのターゲット ネットワーク上のサーバ。

宛先ネットワーク上の永続的なネットワーク デバイス(夜間にシャットダウンされるデスクトップ コンピュータやノートブック コンピュータは適切ではありません)。

[Interface]:ICMP メッセージのソースとなるインターフェイスを識別する、インターフェイス名またはインターフェイス ロール。デバイスでは、モニタリング対象のアドレスに対して、このインターフェイスの IP アドレスから ping が行われます。

d. [OK] をクリックしてオブジェクトを保存します。

ステップ 2 このオブジェクトを使用してルートをモニタリングするように、ASA/PIX ポリシーを設定します。SLA をモニタリングするために、次のポリシーを設定できます。

[Platform] > [Routing] > [Static Route]:スタティック ルートを定義するとき、そのルートに対するルート トラッキングを実行する SLA モニタ オブジェクトを選択できます。詳細については、「スタティック ルートの設定」および「[Add Static Route]/[Edit Static Route] ダイアログボックス」を参照してください。

[Interfaces]:DHCP または PPPoE を使用するインターフェイスを定義するとき、DHCP または PPPoE の学習されたデフォルト ルートがトラッキングされるように設定できます。詳細については、「デバイス インターフェイス:IP タイプ(PIX/ASA 7.0 以降)」を参照してください。


 

SLA モニタ オブジェクトの設定

[Add SLA Monitor] と [Edit SLA Monitor] ダイアログボックスを使用すると、SLA モニタ オブジェクトを作成、編集およびコピーできます。各 SLA モニタでは、モニタリング対象のアドレスへの接続ポリシーを定義し、そのアドレスへのルートの可用性をトラッキングします。ルートの可用性は、ICMP エコー要求を送信し、応答を待機することによって、定期的にチェックされます。要求がタイムアウトすると、そのルートはルーティング テーブルから削除され、バックアップ ルートに置き換えられます。

SLA モニタは、PIX/ASA バージョン 7.2 以降を実行するセキュリティ アプライアンスにのみ設定できます。SLA モニタリング ジョブは、デバイス設定から SLA モニタを削除していないかぎり、展開後すぐに開始して実行し続けます(つまり、ジョブはエージング アウトしません)。

SLA モニタ オブジェクトの設定と使用の詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [SLA Monitors] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「接続を維持するためのサービス レベル契約(SLA)のモニタリング」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 47-4 [SLA Monitor] ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[SLA Monitor ID]

SLA 操作の ID 番号。値の範囲は 1 ~ 2147483647 です。1 つのデバイスには最大で 2000 個の SLA 操作を作成できます。各 ID 番号はポリシーとデバイス設定に対して一意である必要があります。

[Monitored Address]

SLA 操作によって可用性をモニタリングされる IP アドレス。モニタリングするアドレスの選択に関する推奨事項については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。

[Interface]

可用性をテストするためにモニタリング対象のアドレスに対して送信される、すべての ICMP エコー要求の送信元インターフェイス。インターフェイスやインターフェイス ロールの名前を入力するか、または [Select] をクリックしてリストから名前を選択するか新しいインターフェイス ロールを作成します。

[Frequency]

ICMP エコー要求の送信頻度(秒単位)。値の範囲は 1 ~ 604800 秒(7 日)です。デフォルトは 60 秒です。

(注) 頻度はタイムアウト値未満にできません。これらの値を比較するには、頻度をミリ秒に換算する必要があります。

[Threshold]

上昇しきい値が宣言されるまでに、ICMP エコー要求のあとに経過する必要のある時間(ミリ秒単位)。値の範囲は 0 ~ 2147483647 ミリ秒です。デフォルトは 5000 ミリ秒です。

しきい値は、定義された値を超過したイベントを示すためだけに使用されます。これらのイベントは、タイムアウト値が適切であるかどうかを評価するために使用できます。このイベントは、モニタリング対象のアドレスへの到達可能性を直接的に示すものではありません。

(注) しきい値はタイムアウト値を超過しないようにします。

[Time out]

SLA 操作が ICMP エコー要求への応答を待機する時間(ミリ秒単位)。値の範囲は 0 ~ 604800000 ミリ秒(7 日)です。デフォルトは 5000 ミリ秒です。

モニタリング対象のアドレスからの応答がこのフィールドに定義された時間内に受信されない場合、スタティック ルートがルーティング テーブルから削除され、バックアップ ルートに置き換えられます。

(注) タイムアウト値は頻度値を超過できません。2 つの数値を比較するには、頻度値をミリ秒に換算してください。

[Request Data Size]

ICMP 要求パケット ペイロードのサイズ(バイト単位)。値の範囲は 0 ~ 16384 バイトです。デフォルトは 28 バイトです。この場合、全体の ICMP パケットは 64 バイトとなります。この値には、プロトコルまたは Path Maximum Transmission Unit(PMTU)で許可される最大値を超える値を設定しないでください。

場合によっては、到達可能性を確保するために、デフォルトのデータ サイズを大きくして、ソースとターゲットの間での PMTU の違いを検出できるようにすることが必要となります。PMTU が小さいと、セッションのパフォーマンスに影響を及ぼすことがあります。セッションのパフォーマンスへの影響が検出されると、セカンダリ パスが使用されます。

[ToS]

ICMP 要求パケットの IP ヘッダー内に定義された Type of Service(ToS; タイプ オブ サービス)。値の範囲は 0 ~ 255 です。デフォルトは 0 です。

このフィールドには、遅延、優先順位、信頼性などの情報が含まれます。この情報は、ポリシー ルーティングのためにネットワーク上の他のデバイスが使用する場合もあれば、専用アクセス レートなどの機能によって使用される場合もあります。

[Number of Packets]

送信されたパケットの数。値の範囲は 1 ~ 100 です。デフォルトは 1 パケットです。

ヒント パケット損失によって、セキュリティ アプライアンスがモニタリング対象のアドレスに到達できないと誤って認識することが懸念される場合は、デフォルトのパケット数を大きくしてください。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。