はじめに
ASA5500シリーズの Content Security and Control Security Services Module(CSC-SSM) は、2007年販売開始の Small and Midsize Business(SMB) をターゲットとした セキュリティ サービス モジュールです。
近年のクライアントの処理能力の増大、及び、1クライアントあたりが利用するコネクション量の増加傾向により、CSC-SSM の 同時コネクション処理可能数を超過するケースが増えてきました。また、一部の通信量の多いクライアントが CSC-SSM のパフォーマンスの低下を引き起こし、全体に影響を与える事が有ります。
何らかのパフォーマンスや通信安定性の問題が発生時は、以下を参考に 同時コネクション処理可能数を超過していないか確認してください。合わせ、他のクライアントに比べ、明らかにコネクション量が多い、もしくは バイト数(≒トランザクション)の多いクライアントが無いかを確認してください。
一時的なコネクション量や通信量の増大の場合は、問題のクライアントの対処により復旧を期待できます。 しかし、慢性的にコネクション量や通信量の多い状態が続いている場合は、後継製品 (e.g. ASA5500-X with FirePOWER services)へのマイグレーションを検討してください。
同時コネクション最大数
CSC-10
HTTP/HTTPS | 500 simultaneous connections |
POP3/SMTP | 45 simultaneous connections |
FTP | 50 simultaneous connections |
CSC-20
HTTP/HTTPS | 1000 simultaneous connections |
POP3/SMTP | 75 simultaneous connections |
FTP | 100 simultaneous connections |
コネクションの確認方法 (ASAコマンドライン)
CSC-SSMで処理対象のコネクション数を確認します。合わせ、コネクションリソースを圧迫しているクライアントが無いかの確認、及び 各コネクションのバイト数を確認し 異常な量の通信を行っているクライアントが無いかを確認します。
調査コマンド
HTTP | show conn protocol tcp port 80 |
HTTPS | show conn protocol tcp port 443 |
SMTP | show conn protocol tcp port 25 |
POP3 | show conn protocol tcp port 110 |
コマンド実行例
ASA# show conn protocol tcp port 80
214 in use, 3964 most used
TCP outside 74.217.77.52:80 inside 192.168.0.27:16225, idle 0:03:07, bytes 70317, flags UFRIOX
TCP outside 64.102.255.40:80 inside 192.168.0.47:36922, idle 0:00:04, bytes 6097, flags UIOX
TCP outside 64.102.255.40:80 inside 192.168.0.104:63585, idle 0:00:29, bytes 12870, flags UIOX
TCP outside 64.102.255.40:80 inside 192.168.0.104:63485, idle 0:00:29, bytes 207484, flags UIOX
TCP outside 64.102.255.40:80 inside 192.168.0.104:59903, idle 0:00:30, bytes 40125, flags UIOX
TCP outside 64.102.255.40:80 inside 192.168.0.47:36738, idle 0:00:12, bytes 8265, flags UIOX
TCP outside 23.0.160.67:80 inside 192.168.0.123:49871, idle 0:04:53, bytes 8459, flags UIOX
TCP outside 23.72.180.19:80 inside 172.16.0.26:52786, idle 0:08:07, bytes 8459, flags UFRIOX
--- 略 ---
参考情報
Sizing Guide: Cisco ASA 5500 Series CSC-SSM
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/prod_white_paper0900aecd805c3cd6.html
End-of-Sale and End-of-Life Announcement for the Cisco ASA 5500 Series Content Security and Control Software
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-c51-731795.html