購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
958
閲覧回数
0
いいね!
0
コメント

CSC-SSM: 同時コネクション最大数とパフォーマンスについて

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2015-06-28 01:36 AM ‎2017-08-31 10:59 AM 更新

 

 

はじめに

ASA5500シリーズの Content Security and Control Security Services Module(CSC-SSM) は、2007年販売開始の Small and Midsize Business(SMB) をターゲットとした セキュリティ サービス モジュールです。

近年のクライアントの処理能力の増大、及び、1クライアントあたりが利用するコネクション量の増加傾向により、CSC-SSM の 同時コネクション処理可能数を超過するケースが増えてきました。また、一部の通信量の多いクライアントが CSC-SSM のパフォーマンスの低下を引き起こし、全体に影響を与える事が有ります。

何らかのパフォーマンスや通信安定性の問題が発生時は、以下を参考に 同時コネクション処理可能数を超過していないか確認してください。合わせ、他のクライアントに比べ、明らかにコネクション量が多い、もしくは バイト数(≒トランザクション)の多いクライアントが無いかを確認してください。

一時的なコネクション量や通信量の増大の場合は、問題のクライアントの対処により復旧を期待できます。 しかし、慢性的にコネクション量や通信量の多い状態が続いている場合は、後継製品 (e.g. ASA5500-X with FirePOWER services)へのマイグレーションを検討してください。


 

同時コネクション最大数

CSC-10

 HTTP/HTTPS 500 simultaneous connections
 POP3/SMTP 45 simultaneous connections
 FTP 50 simultaneous connections


CSC-20

 HTTP/HTTPS 1000 simultaneous connections
 POP3/SMTP 75 simultaneous connections
 FTP 100 simultaneous connections



 

コネクションの確認方法 (ASAコマンドライン)

CSC-SSMで処理対象のコネクション数を確認します。合わせ、コネクションリソースを圧迫しているクライアントが無いかの確認、及び 各コネクションのバイト数を確認し 異常な量の通信を行っているクライアントが無いかを確認します。

調査コマンド

 HTTP    show conn protocol tcp port 80
 HTTPS  show conn protocol tcp port 443
 SMTP    show conn protocol tcp port 25
 POP3    show conn protocol tcp port 110


コマンド実行例

ASA# show conn protocol tcp port 80
214 in use, 3964 most used

TCP outside  74.217.77.52:80 inside  192.168.0.27:16225, idle 0:03:07, bytes 70317, flags UFRIOX
TCP outside  64.102.255.40:80 inside  192.168.0.47:36922, idle 0:00:04, bytes 6097, flags UIOX
TCP outside  64.102.255.40:80 inside  192.168.0.104:63585, idle 0:00:29, bytes 12870, flags UIOX
TCP outside  64.102.255.40:80 inside  192.168.0.104:63485, idle 0:00:29, bytes 207484, flags UIOX
TCP outside  64.102.255.40:80 inside  192.168.0.104:59903, idle 0:00:30, bytes 40125, flags UIOX
TCP outside  64.102.255.40:80 inside  192.168.0.47:36738, idle 0:00:12, bytes 8265, flags UIOX
TCP outside  23.0.160.67:80 inside  192.168.0.123:49871, idle 0:04:53, bytes 8459, flags UIOX
TCP outside  23.72.180.19:80 inside  172.16.0.26:52786, idle 0:08:07, bytes 8459, flags UFRIOX
    --- 略 ---

 

tipTip:
コネクション量の多いホストの調査には show local-host brief コマンドも有用です。詳しくは以下を参照してください。

ASA: show local-host コマンドの活用例
https://supportforums.cisco.com/ja/document/12529576


 

参考情報

Sizing Guide: Cisco ASA 5500 Series CSC-SSM
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/prod_white_paper0900aecd805c3cd6.html

End-of-Sale and End-of-Life Announcement for the Cisco ASA 5500 Series Content Security and Control Software
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-c51-731795.html

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents