ASA5505-50-BUN-K9のファイヤーウォールユーザ数について

この質問は 進行中です
11月 14th, 2011
User Badges:

お世話になっております。



ASA5505-50-BUN-K9のファイヤーウォールユーザ数に関して確認させてください。


ファイヤーウォールユーザ数はASAを透過する機器接続台数の制限かと思いますが

50台の機器が通信していた場合に、51台目に通信(アクセス)しようとした場合に

拒否されるということでしょうか?


また最初の50台の中で、一部通信が終了した場合に先ほど拒否された通信は可能なのでしょうか?


つまり同時通信台数=ファイヤーウォールユーザ数なのか?

それとも明示的に通信対象をASAに登録する必要があり、登録されていない機器(IP)には

通信できないということなのでしょうか?


大変申し訳ございませんが、ご教授願います。


よろしくお願いします。

I have this problem too.
得票数:0
Loading.
miarai 2011/11/22 - 01:33
User Badges:
  • Cisco Employee,

おそらくライセンスによる接続デバイス数に関するご質問かと思いますが、

ASA は、通過する通信を行うデバイスを、local-host の数で管理しており、local-host の数が

ライセンスで制限された値を超過した場合、


%ASA-4-407001: Deny traffic for local-host interface_name:inside_address, license limit of number exceeded


というログとともに、そのデバイスの通信は deny されます。


つまり、ご認識の通り、ライセンスでの制限が 50 の場合、51 番目に ASA を通過しようとした

ホストからのパケットは拒否されます。





>  また最初の50台の中で、一部通信が終了した場合に先ほど拒否された通信は可能なのでしょうか?

>

>  つまり同時通信台数=ファイヤーウォールユーザ数なのか?

>  それとも明示的に通信対象をASAに登録する必要があり、登録されていない機器(IP)には

>  通信できないということなのでしょうか?


local-host の数は通信が ASA によって転送された際や、NAT(PAT) された際、認証された際にカウントされ、

時間が建つと開放されます。そのため、一度 local-host の数が上限値に達した場合でも、通信を終了してし

ばらく時間が建つと、他のホストが通信を行う余地ができます。


また、local-host は前述の通り、ASA が通信を検知した際に自動的に作成しますので、事前に登録する

必要はありません。



下記の URL の内容が参考になると思いますので、ご参照いただければと思います。


http://www.cisco.com/en/US/customer/docs/security/asa/asa84/system/message/logmsgs.html#wp4773013

アクション

このディスカッションについて