キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

FWSM の基本アーキテクチャと機能

FWSM の基本アーキテクチャでは、以下の 4 つのコンポーネントにより、階層的に構成されています。

   - Network Processor 1 (NP1)

   - Network Processor 2 (NP2)

   - Network Processor 3 (NP3)

   - Control Point (CP, CPU)

アーキテクチャの構成図に関しては、以下の図をご参考ください。

FWSM-architecture.png

上図にあります通り、FWSM は 6 本の 1G の link (合計 6 G) が  Cat6500/7600 の

Backplane I/F に接続されています。NP1 と NP2 それぞれ 3 本ずつ接続されている

ため、FWSM にて検査される通信はまず NP1 もしくは NP2 を通過します。FWSM と

Backplane I/F にある 6 本の link では port-channel が形成されており、どの link を

経由するかはデフォルトでは通信の送信元、宛先の IP アドレスにて決まります。

(こちらは port-channel load-balance コマンドにて設定変更が可能です。)

FWSM は基本的に H/W 処理となりますので、FWSM にて検査する通信は NP にて

処理されます。各 NP の役割としては、NP3 では新規コネクションに対する処理

(slow path)、NP1/2 では既存コネクションに対する処理 (fast path) に対する

処理を担います。

[ NP1/NP2 の機能 ]

- 各パケットに対する session lookup

- connection table の管理

- NAT/PAT の実施

- IP packet のリアセンブル (NP2 のみ)

- TCP check

- TCP シーケンス番号の randomazation

- SYN Cookies

[NP3 の機能]

- xlate の作成

- Route lookup

- ACL チェック

- embryonic/establish connection のカウント

- TCP/UDP checksum

- TCP intercept

全ての packet は NP1/2 を経由し、session lookup にて既存コネクションかどうか

の確認を行います。もし、既存コネクションがない場合には、NP3 にて新規コネク

ションのためのセキュリティチェックが行われますが、既存コネクションに関しては、

基本的には NP1/NP2 にて処理されます。

NP3 は CP とも接続しており、アプリケーション層の inspection の処理を行う

通信は CP に送られ、こちらで処理が行われます。NP1/2 の session lookup にて

既存コネクションが存在し、L7 inspection が実施される通信に関しては、NP3 の

新規コネクション確立における処理は行わず CP へ転送します。また、CP は syslog

の生成や failover に関する通信など、FWSM 自身が宛先、送信元となる通信の処理

に関する役割も担っております。

[CP の機能]

- syslog

- AAA(Radius/TACACS+)

- URL filtering (Websense/N2H2)

- マネージメント関連の通信 (telnet/SSH/HTTPS/SNMP)

- Failover 通信

- ルーティングプロトコル通信

- L7 inspection/fixup

※ FWSM の EOS、EOL につきましては以下の URL をご参照いただければと思います。

http://www.cisco.com/en/US/prod/collateral/modules/ps2706/eol_c51-699134.html

バージョン履歴
改訂番号
1/1
最終更新:
‎10-23-2013 10:21 PM
更新者:
 
ラベル(1)