ユーザー設定

[ユーザー設定(User preferences)] セクションは、[展開(Deployment)] ページと [トランザクションコミット(Transactional Commit)] ページで構成されています。[展開(Deployment)] ページでは、[展開時にXLATEをクリア(Clear XLATE on deployment)] オプションにアクセスできます。[トランザクションコミット(Transactional Commit)] ページでは、アクセスルールまたは NAT ルールのトランザクション コミット モデルを有効または無効にすることができます。

ファイアウォールデバイスでの展開設定の構成

[ユーザー設定の展開(User Preferences Deployment)] ページを使用して、特定のファイアウォールデバイスの展開オプションを指定します。使用する展開オプションでポリシーを作成し、それらの展開設定を使用して、必要なすべてのデバイスにそのポリシーを適用できます。

手順

ステップ 1

次のいずれかを実行します。

  • (デバイスビュー)デバイスポリシーセレクタから [プラットフォーム(Platform)] > [ユーザー設定(User Preferences)] > [展開(Deployment)] を選択します。

  • (ポリシービュー)ポリシータイプセレクタから [PIX/ASA/FWSM プラットフォーム(PIX/ASA/FWSM Platform)] > [ユーザー設定(User Preferences)] > [展開(Deployment)] を選択します。[展開(Deployment)] を右クリックし、[新規展開ポリシー(New Deployment Policy)] を選択してポリシーを作成するか、またはポリシーセレクタから既存ポリシーを選択します。

[導入(Deployment)] ページが表示されます。

ステップ 2

設定がこのデバイスに展開されるときに変換テーブルをクリアする場合は、[展開時に XLATE をクリア(Clear XLATE on deployment)] をオンにします。

アクセスリストが変更される前に、clear xlate コマンドをファイアウォールに送信するには、このオプションをオンにします。このコマンドにより、すべての NAT 変換がクリアされます。デフォルトでは、このオプションはオフになっています。

(注)  

 
このオプションは、特定のコマンドを有効にする場合に必要です。これらのコマンドを変更する場合は、デバイスに対してこのオプションが有効になっていることを確認する必要があります。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。

ステップ 3

ページ下部の [保存(Save)]をクリックします。

ファイアウォールデバイスでのトランザクション コミットの設定の構成

デフォルトでは、ルール ベースのポリシー(アクセス ルールなど)を変更した場合、変更はただちに有効になります。ただし、この即時性にはパフォーマンスにわずかなコストがかかります。パフォーマンス コストは、1 秒あたりの接続数が多い環境で大量のルール リストがある場合に顕著です。たとえば、ASA が 1 秒あたり 18,000 個の接続を処理しながら、25,000 個のルールがあるポリシーを変更する場合などです。

パフォーマンスに影響するのは、ルール検索を高速化するためにルール エンジンがルールをコンパイルするためです。デフォルトでは、新しいルールを適用できるように、接続試行を評価するときに未コンパイルのルールも検索されます。新しいルールはコンパイルされていないため、検索に時間がかかります。

ASA 9.1(5) 以降、この動作を変更して、ルールエンジンがトランザクションモデルを使用してルールの変更を展開し、新しいルールがコンパイルされて使用可能な状態になるまで古いルールを引き続き使用するようにできます。トランザクション モデルを使用すると、ルールのコンパイル中、パフォーマンスは低下しないはずです。次の表は、その動作の違いを明確にします。

モデル

コンパイル前

コンパイル中

コンパイル後

デフォルト

古いルールと一致します。

新しいルールと照合します。

(接続数/秒が削減されます)

新しいルールと照合します。

トランザクション

古いルールと一致します。

古いルールと照合します。

(接続数/秒は影響を受けません)

新しいルールと照合します。

トランザクション モデルのメリットにはこのほか、インターフェイスで ACL を置き換える際、古い ACL の削除と新しいポリシーの適用との間にギャップが生じないことがあります。これにより、動作中に許容可能な接続がドロップされる確率が減少します。


ヒント
ルール タイプのトランザクション モデルをイネーブルにした場合、コンパイルの先頭と末尾をマークする syslog メッセージが存在します。これらのメッセージには、780001 以降の番号が付けられます。

手順

ステップ 1

次のいずれかを実行します。

  • (デバイスビュー)デバイスポリシーセレクタから [プラットフォーム(Platform)] > [ユーザー設定(User Preferences)] > [トランザクションコミット(Transactional Commit)] を選択します。

  • (ポリシービュー)ポリシータイプセレクタから [PIX/ASA/FWSMプラットフォーム(PIX/ASA/FWSM Platform)][ユーザー設定(User Preferences)][トランザクションコミット(Transactional Commit)] を選択します。[トランザクションコミット(Transactional Commit)] を右クリックし [新しいトランザクションコミットポリシー(New Transactional Commit Policy)] を選択してポリシーを作成するか、ポリシーセレクタから既存ポリシーを選択します。

[トランザクションコミット(Transactional Commit)] ページが表示されます。

ステップ 2

目的の機能のトランザクション コミット モデルを有効にします。次のオプションがあります。

  • アクセスグループ

  • NAT

ステップ 3

ページ下部の [保存(Save)]をクリックします。