キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: 評価・再現試験のベストプラクティス

 

    
    

検証の重要性と、検証機の選定

実機で確認しないと解らない事も少なくありません。 安定したシステムの構築・運用には、机上の設計と、実際の実機動作の、両面からの評価は 欠かす事ができません。 また、設計・設定が正しいにも関わらず、想定通りに動作しないのが不具合となり、修正対象となる事があります。 ASAソフトウェアは、各トレイン毎に大きな機能追加を行い、弊社内でのリリース前の入念な試験や、更に実際にご利用頂く事で、より洗練され成熟していきます。

よくある TACへのお問い合わせの 1つに、再現試験の ご相談があります。 「本番機でトラブルが発生したが、本番機は簡単に触れないため、ラボの別機器で再現試験(i.e.機能や設定の問題か or 不具合の影響かの調査)をしたいが、どうすれば良いか」という問い合わせです。

再現試験や事前評価を、検証ラボの別機器で行う場合、同型機の同じバージョン機器で実施するのがベストです。 例えば、本番機 ASA5585 SSP-20 ver=9.4(3)で発生したトラブルの再現試験を行う場合、同じ ASA5585 SSP-20の 同バージョンの機種を準備し実施するのが最も精度が良いです。 しかし、常に同型機をラボで保持し、使える状態に維持するのは、大きな労力とコストを要します。

なお、ASAはプラットフォームが異なる場合、内部アーキテクチャが大きく変わり、また動作ソフトウェアのアーキテクチャが変わる事もあります。 逆に 同じプラットフォーム内であれば、性能の差を決定しているのは 主にCPU処理速度やコア数、メモリなどと変化は小さくなり、利用ソフトウェアも ほぼ同等です。

つまり、ASA5585 SSP-20 ver=9.4(3)で発生したトラブルの再現検証や 機能評価は、ASA5585 SSP-10や SSP-40/60などの同バージョンでも、高い精度で実施できるという事です。

性能試験は、同じバージョンの 同じ機種で実施する必要があります。 しかし、機能検証や不具合調査は、同じバージョンの 同じプラットフォーム内の機種で実施すれば、ほぼ同等の結果を得れます。

    
     

プラットフォームの違い

どのプラットフォームに属するかは、おおよそ外観で判断できます。(高解像度版は添付ファイルを参照。)

例えば、ASA5525で発生した不具合の再現性は、ASA5515やASA5545でも高い精度で得る事ができます。 機能検証も同様です。

asa-repro-best-practice-01

     
    

ソフトウェア不具合に該当有無の確認方法

ユーザ本番機で発生したトラブルの、検証ラボの別機器を用いての 既知不具合の影響かの調査・判断には、以下のチャートが利用できます。(高解像度版は添付ファイルを参照。)

仮に新規ソフトウェア不具合の可能性が疑われ、TACにエスカレーションをする場合、事前に当チャートに基づき、再現性の確保と バージョン絞り込みを実施頂くと、問題対応が非常に早くなります。(なお、TACは 評価・検証サービスは提供してませんので、あらかじめご了承ください。)

asa-repro-best-practice-02
        
利用バージョン毎の修正不具合一覧は 以下より確認できます。
     
ASA 5500-X Series Firewalls Release Notes
  - 主にメンテナンスバージョン毎の不具合一覧
  - 各トレインのリリースノートの"Open and Resolved Bugs"を参照
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-release-notes-list.html
ASA-release-notes-01

   

Interim Release Notes
  - Interimバージョン毎の不具合一覧
  - Download Softwareの Interim Releaseダウンロードページの右上"Release Notes for x.x.x Interim"を参照
https://software.cisco.com/download/navigator.html
interim-release-notes-01

     
   

設定の簡易動作確認

ある通信がASAを通過時の、NATやACL、Routing、MPFの、どの設定行にマッチし、どう処理されるか、の評価には、パケットトレーサ機能を用いることができます。 パケットトレーサは、ASAにビルトインの通信シミュレータです。 機器内部で評価用の実パケットを生成、実設定を用いマッチング試験と その結果を出力しますので、信頼性の高い情報が得られ、かつ ASA 1台あれば実行できるので 簡便です。

パケットトレーサは、ユーザ本番機で発生したトラブルの、検証機での、設定の問題かの切り分けにも利用できます。 上述の機器選定のルールに基づき用意した検証機(※ソフトウェアバージョンは同一にする事)に 、ユーザ本番機と同じ設定を投入し、確認したい通信のパケットトレースを実行してください。 どの設定行にマッチし処理されるか評価ができます。

パケットトレーサは、ユーザ本番機に設定変更を行う前の、検証機での、事前の簡易動作確認にも利用できます。 検証機に 新規追加設定を行った後、パケットトレーサを実行し、想定の設定にマッチ・処理されるか確認を行います。  検証機での事前動作確認が問題ない事を評価し、その後、ユーザ本番機への設定投入を検討します。
    

パケットトレーサの利用方法や出力例は、以下のドキュメントを参照してください。

ASA 8.3+ パケット処理順序と 処理負荷概要と、パケットトレーサ
https://supportforums.cisco.com/ja/document/12745356#hdr-2

    
    

よくある質問

  • 不具合修正や機能追加が、新しいトレインの最新バージョンにのみ適用される事がある理由は?

基本的にサポート中の各トレインの最新バージョンに、不具合修正は適用されます。

しかし、古いトレインの場合、その安定性の保護のため、適用されないことがあります。 重大な不具合の場合、古いトレインでも優先し修正が適用されます。 しかし、新機能の追加や大きなコード変更を伴う大規模修正などは、見送りとなる可能性があがります。 これは、コード変更に伴う 別影響の発生リスクを天秤にかけ、Cisco社内で評価のうえ、その変更を 該当トレインに適用するか判断されます。 

つまり、安定性を重視する環境の場合は メンテナンスが重ねられ成熟したトレインの利用が好ましい傾向にある、という事になります。 逆に新しいトレインは、先進性のある機能追加や修正が進んで適用されます。
   

  • パケットトレーサは、どのような ユーザ インターフェイスで利用できるか?

CLIASDM(GUI)ASA CLIアナライザで、各利用できます。

   

  • 何故 再現試験が重要か? ログから 問題解析や不具合修正はできないのか?

例えば、過去事例が多数あり どのようなログが出力されるか 既に多数事例がある場合は、ログと設定からの原因の強い推定が可能です。 しかし、ログは 処理の結果であって、新規(未知)の問題や 複雑なトラブルの調査には、対応可能な範囲に限界があります。

新規(未知)の問題や、複雑なトラブルの調査は、発生環境と条件を見極め、並びに 細かな特殊なログやデバッグをタイミングを見極め取得・解析が重要となってきます。 再現性を確保する事で、発生時の事実状況の確認、並びに この適切なタイミングでの解析用取得が非常に容易になります。 及び、再現性を確保する事で、設定の変更/削除をしての原因設定の調査や、S/WバージョンやH/Wを変更をしての 問題バージョンやH/Wの切り分けも可能になります。

また、弊社(Cisco)で不具合の分析・修正を行う際も、再現性の確保は極めて重要です。 TACや 製品開発チームでの詳細解析時や、不具合修正後のバージョンのテストで、再現試験を実施するためです。 強い信頼性の確保のためには、再現試験は欠かす事ができません。

新規(未知)の問題や 複雑な問題の場合は特に、再現性を確保する事が、結果的にトラブルの素早い分析・解決につながります。

 
    

参考情報

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 10:42 AM
更新者:
 
ラベル(1)
添付
寄稿者:
タグ(1)