シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

2013/7/23 Webcast 「Advanced ASA Firewalls Inside Out」 Q&A

Q1. "show asp" コマンドの出力は show tech-support にも含まれますか?

A1.含まれません。 また、取得タイミングによってカウンタが変動するのでトラフィックの調査に用いる際には 出来るだけ定期的に複数回コマンドを実行していただくことをお勧めします。

Q2. show interface で"overrun/underrun/no buffer" となったパケットは直ぐに破棄されますか?

A2.overrun/inderrun の場合は即時破棄となりますが、 no buffer の場合は破棄されずにキューで保持されたまま、buffer の空きを待ちます。

Q3.ACL (ACE) の設定数に上限はありますか? また、上限に達することでACL が追加出来なくなるなどの制限はありますか?

A3.ACL の定義自体に制限はありませんが、ACE の数が推奨上限値に近付いたり上回った場合には ASA 自身の挙動にパフォーマンス低下等の問題が見られるようになります。

Q4.Manual NAT とAutomatic NAT それぞれのメリットは?

A4.Manual (Twice) NAT はconfig の設定順に処理が進みます。また、一行のルールで Source とDestination のアドレス変換を同時に定義出来ます。 Automatic NAT は設定内容に応じて自動的に適用順序が決定されます。 1件のobject に対して定義可能なNAT ルールは1件のみなので複雑な定義は必要ありません。

Q5.クラスタリング構成時のスケールファクタの詳細を教えてください。

A5.スライド中の"0.7"はスループットのスケールファクタです。 最大Connection 数は 0.6、CPS レートは 0.5 が目安になります。

Q6.クラスタリング構成時の制約事項を教えてください。

A6.[1] クラスタリング構成時にサポートしていない機能があります。

例) リモートアクセスVPN (SSL, IPSec)、VoIP 系トラフィックへのInspection、DHCP Server/Client、ASA-CX

[2] 'master' 機器のみで処理可能な機能があります。

例) L2L VPN、一部Inspection、各種Routing、Multicast トラフィック処理、AAA

[3] クラスタに参加する全てのASA では"Cluster License" と"Encryption License" が 有効になっている必要がありますが、その他のLicense 項目は一致している必要はありません。 また、クラスタに参加するASA は全て同一容量のDRAM を搭載した同一Model である必要があります。 Flash の容量が一致している必要はありません。

Q7.クラスタリングを構成するASA の台数は?

A7.最大8台での構成が可能です。

Q8.クラスタ構成時にASA と接続する機器としてサポートされているものは?

A8. 1) Nexus7000 Series w/NXOS 5.2(5)

2) Sup32, 720, 720-10GE 搭載のCat6k w/IOS 12.2(33)SXI7 以降

Q9.ASP DropカウンタはSNMP MIBから参照できますか?

A9. Interface MIB から一部のdrop カウンタ情報を取得できますが、SoftNP におけるASP Drop は、ASA の機能に応じて詳細のReason code を細分化して表示するDrop カウンタになりますので、SNMP MIB 経由での取得には基本的に対応していません。

Q10.設定されたACLのEntryとASP Table上でのIDとの対応を一覧で参照できるコマンドはありますか?

A10.DP レベルの情報となるshow asp table classify domain permit 上の個別ID はCP では直接参照出来ず、CP レベルの情報となるshow access-list 等で対応付けた形で対比させることは出来ません。

Q11.クラスタはリモートアクセスVPNも対応してますか?

A11. Q6. でも回答していますが、クラスタリング構成のASA ではリモートアクセスVPN は終端出来ません。

Q12. ASAにIPSモジュールorIPSソフト(55xx-Xシリーズ)を使用した場合、パフォーマンスはどの程度落ちるのでしょうか?目安はありますでしょうか?

A12.ASA5500-X シリーズ製品のハードウェアパフォーマンスとしては、Firewall とIPS ではハードウェアリソースが分けられているのでIPS Software Module の有効化のみによりFirewall のパフォーマンスが低下することは特にありません。

Q13. Packet Tracer にて、正常な通信にもかかわらず%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows;がloggingされました。理由はおわかりでしょうか?

A13.Packet Tracer でのシミュレーションの結果と、実際に通過したトラフィックの処理結果との間に相違があったということでしょうか。

可能であれば当該事象の発生が見られた環境での設定内容やPacket Tracer の結果等をご教示いただけますと、より具体的なご案内が可能かと存じます。

弊社アカウントチームへの照会、またはTAC へのSR Open もご検討ください。

Q14. CPU Coreそれぞれの負荷状況をコマンドで確認することはできますでしょうか?

A14. show cpu usage core all コマンドをご利用ください。

----------------------------------------------------

2013年7月23日(火)開催 Live Expert Webcast のセミナー資料はこちらです。

7月29日 掲載資料をアップデートしました。最初の資料上の図やテキストの重なり等を修正しました。

セッション録画ビデオはこちらよりご覧ください。

528
閲覧回数
0
いいね!
0
コメント