Firepower Management Center バージョン 6.5 コンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2023年1月13日金曜日

SSL ハードウェアアクセラレーションのモニタ

TLS 暗号化アクセラレーションの動作を評価するには、CLI で show counters コマンドを使用します。このコマンドにより、通常のアクティビティ、アラート、および潜在する致命的な問題について通知するさまざまなメトリックが一覧表示されます。

（注）

show counters description コマンドを使用して各カウンタの説明を表示します。TLS 暗号化アクセラレーションに関連するカウンタのみを表示するには、show counters description | include TLS_TRK を使用します。

情報カウンタ

負荷のかかっているシステムが正常に動作している場合は、次のカウンタのカウントが大きくなります。接続ごとにトラッカープロセスには 2 つの側面があるため、これらのカウンタは接続ごとに 2 ずつ増加します。PRIV_KEY_RECV カウンタと SECU_PARAM_RECV カウンタが最も重要で、強調表示されています。CONTEXT_CREATED カウンタと CONTEXT_DESTROYED カウンタは、暗号化チップメモリの割り当てに関連しています。


> show counters
Protocol     Counter                           Value   Context
SSLENC       CONTEXT_CREATED                  258225   Summary 
SSLENC       CONTEXT_DESTROYED                258225   Summary
TLS_TRK      OPEN_SERVER_SESSION              258225   Summary
TLS_TRK      OPEN_CLIENT_SESSION              258225   Summary
TLS_TRK      UPSTREAM_CLOSE                   516450   Summary
TLS_TRK      DOWNSTREAM_CLOSE                 516450   Summary
TLS_TRK      FREE_SESSION                     516450   Summary
TLS_TRK      CACHE_FREE                       516450   Summary
TLS_TRK      PRIV_KEY_RECV                    258225   Summary
TLS_TRK      NO_KEY_ENABLE                    258225   Summary
TLS_TRK      SECU_PARAM_RECV                  516446   Summary
TLS_TRK      DECRYPTED_ALERT                  258222   Summary
TLS_TRK      DECRYPTED_APPLICATION          33568976   Summary
TLS_TRK      ALERT_RX_CNT                     258222   Summary
TLS_TRK      ALERT_RX_WARNING_ALERT           258222   Summary
TLS_TRK      ALERT_RX_CLOSE_NOTIFY            258222   Summary
TCP_PRX      OPEN_SESSION                     516450   Summary
TCP_PRX      FREE_SESSION                     516450   Summary
TCP_PRX      UPSTREAM_CLOSE                   516450   Summary
TCP_PRX      DOWNSTREAM_CLOSE                 516450   Summary
TCP_PRX      FREE_CONN                        258222   Summary
TCP_PRX      SERVER_CLEAN_UP                  258222   Summary
TCP_PRX      CLIENT_CLEAN_UP                  258222   Summary

アラートカウンタ

TLS 1.2 の仕様に従い、次のカウンタを実装しました。FATAL アラートまたは BAD アラートは問題を示している可能性があります。ただし、ALERT_RX_CLOSE_NOTIFY は正常です。

詳細については、RFC 5246 のセクション 7.2 を参照してください。

TLS_TRK      ALERT_RX_CNT                                    311   Summary
TLS_TRK      ALERT_TX_CNT                                      2   Summary
TLS_TRK      ALERT_TX_IN_HANDSHAKE_CNT                         2   Summary
TLS_TRK      ALERT_RX_IN_HANDSHAKE_CNT                         2   Summary
TLS_TRK      ALERT_RX_WARNING_ALERT                          308   Summary
TLS_TRK      ALERT_RX_FATAL_ALERT                              3   Summary
TLS_TRK      ALERT_TX_FATAL_ALERT                              2   Summary
TLS_TRK      ALERT_RX_CLOSE_NOTIFY                           308   Summary
TLS_TRK      ALERT_RX_BAD_RECORD_MAC                           2   Summary
TLS_TRK      ALERT_TX_BAD_RECORD_MAC                           2   Summary
TLS_TRK      ALERT_RX_BAD_CERTIFICATE                          1   Summary

エラーカウンタ

このカウンタは、システムエラーを示します。このカウントは、正常なシステムでは小さい値になります。BY_PASS カウンタは、復号せずに（ソフトウェアで実行される）インスペクションエンジン（Snort）プロセスとの間で直接渡されたパケットを示します。次の例は、いくつかの問題があるカウンタの一覧を示しています。

値が 0 のカウンタは表示されません。カウンタの完全な一覧を表示するには、次のコマンドを使用します。 show counters description | include TLS_TRK


> show counters
Protocol     Counter                           Value   Context
TCP_PRX      BYPASS_NOT_ENOUGH_MEM              2134   Summary
TLS_TRK      CLOSED_WITH_INBOUND_PACKET            2   Summary
TLS_TRK      ENC_FAIL                             82   Summary
TLS_TRK      DEC_FAIL                            211   Summary
TLS_TRK      DEC_CKE_FAIL                      43194   Summary
TLS_TRK      ENC_CB_FAIL                        4335   Summary
TLS_TRK      DEC_CB_FAIL                         909   Summary
TLS_TRK      DEC_CKE_CB_FAIL                     818   Summary
TLS_TRK      RECORD_PARSE_ERR                    123   Summary
TLS_TRK      IN_ERROR                          44948   Summary
TLS_TRK      ERROR_UPSTREAM_RECORD             43194   Summary
TLS_TRK      INVALID_CONTENT_TYPE                123   Summary
TLS_TRK      DOWNSTREAM_REC_CHK_ERROR            123   Summary
TLS_TRK      DECRYPT_FAIL                      43194   Summary
TLS_TRK      UPSTREAM_BY_PASS                    127   Summary
TLS_TRK      DOWNSTREAM_BY_PASS                  127   Summary

重大カウンタ

重大カウンタは、重大なエラーを示します。正常なシステムでは、このカウンタは 0 または 0 に近い値になります。次の例は、重大カウンタの一覧を示しています。


> show counters
Protocol     Counter                           Value   Context
CRYPTO       RING_FULL                             1   Summary 
CRYPTO       ACCELERATOR_CORE_TIMEOUT              1   Summary 
CRYPTO       ACCELERATOR_RESET                     1   Summary 
CRYPTO       RSA_PRIVATE_DECRYPT_FAILED            1   Summary

RING_FULL カウンタは重大カウンタではなく、システムが暗号化チップに過負荷を与える頻度を示します。ACCELERATOR_RESET カウンタは、TLS 暗号化アクセラレーションプロセスが予期せず失敗した回数です。これは、保留中の操作が失敗する原因にもなり、この失敗の回数は ACCELERATOR_CORE_TIMEOUT および RSA_PRIVATE_DECRYPT_FAILED に表示されます。

永続的な問題がある場合は、TLS 暗号化アクセラレーションを無効にして（または config hwCrypto disable ）、問題を解決するためにシスコテクニカルサポートと協力してください。

（注）

show snort tls-offload コマンドと debug snort tls-offload コマンドを使用して、追加のトラブルシューティングを行うことができます。clear snort tls-offload コマンドを使用して、show snort tls-offload コマンドに表示されているカウンタをゼロにリセットします。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Firepower Management Center バージョン 6.5 コンフィギュレーション ガイド