2015-10-29 10:21 AM
2015-11-02 09:09 PM
こんばんわ。
以下コマンドで確認できますので、ACL Rule MAXに近づいてないか確認してみてください。
FWSM-TEST/test(config)# show np 3 acl count
-------------- CLS Rule Current Counts --------------
CLS Filter Rule Count : 0
CLS Fixup Rule Count : 17
CLS Est Ctl Rule Count : 0
CLS AAA Rule Count : 0
CLS Est Data Rule Count : 0
CLS Console Rule Count : 0
CLS Policy NAT Rule Count : 0
CLS ACL Rule Count : 1 ←Access Control Entry(ACE)使用状況
CLS ACL Uncommitted Add : 0
CLS ACL Uncommitted Del : 0
---------------- CLS Rule MAX Counts ----------------
CLS Filter MAX : 576
CLS Fixup MAX : 1537
CLS Est Ctl Rule MAX : 96
CLS Est Data Rule MAX : 96
CLS AAA Rule MAX : 1345
CLS Console Rule MAX : 384
CLS Policy NAT Rule MAX : 384
CLS ACL Rule MAX : 14801 ←最大許容数
また、ACLが大きくなればなるほど、以下のノードカウントも消費するため、上限に近くないか確認するといいかもしれません。
FWSM-TEST/test(config)# show np 3 acl stats
----------------------------
ACL Tree Statistics
----------------------------
Rule count : 18
Bit nodes (PSCB's): 15
Leaf nodes : 16
Total nodes : 31 (max 38439) ←ノード上限
Leaf chains : 15
Total stored rules: 24
Max rules in leaf : 2
Node depth : 6
----------------------------
英語ですが、以下のサポートコミュニティの情報が参考になると思います。
上記が参考になれば幸いです。
2015-11-04 05:58 PM
ありがとうございます。
show np 3 acl count 0
で、内容確認できました。
statsの方がわからないので、教えていただけないでしょうか。
すいませんが、よろしくお願いします。
2015-11-05 11:05 AM
クロカワさん、こんにちわ。
以下の Total nodesの値が、括弧内のmax値に近づいてないか確認してみてください。 このACLに割当て可能なメモリ領域は、ACLを利用すれば利用するほど増え、圧迫されてきます。 その為、どの程度 ACLを追加できるかの確認には、"show np 3 acl count"でルール数と、"show np 3 acl stats"でnode数(≒ACL用のメモリ負荷状況)、の両方が 十分余裕あるかの確認が有効です。
FWSM-TEST/test(config)# show np 3 acl stats
----------------------------
ACL Tree Statistics
----------------------------
Rule count : 18
Bit nodes (PSCB's): 15
Leaf nodes : 16
Total nodes : 31 (max 38439) ←ノード上限
Leaf chains : 15
Total stored rules: 24
Max rules in leaf : 2
Node depth : 6
----------------------------
また、FWSMバージョン 3.0以下の場合は、3.1~や、4.xで ACL設定可能数が増えてるので、バージョンアップも、ソリューションの1つになると思います。
詳しくは以下URLの「Q. より多くのアクセス・コントロール・リスト(ACL)を貯えるためにメモリを高めることができますか。」も参考にしてみてください。
http://www.cisco.com/cisco/web/support/JP/100/1004/1004236_fwsm-faq.html
ご参考になれば幸いです。
2015-11-05 12:12 PM
ありがとうございます。
コマンドを投入してみましたが
「Tree cannot be displayed (invalid or not created).」
というメッセージで表示されません。
準備や他に必要なことがあるのであれば
教えていただけませんでしょうか。
2015-11-05 12:43 PM
クロカワさん、こんにちわ
おそらく、マルチコンテキストモードで利用してないでしょうか。
その場合は、ACLを設定しているContextに、chanegto context [context名] コマンドで移動してから、コマンドを実行してみてください。
FWSM-TEST# show mode
Security context mode: multiple
The flash mode is the SAME as the running mode.
FWSM-TEST# show context
Context Name Class Interfaces Mode URL
*admin default Vlan100,Vlan133, Routed disk:/admin.cfg
test default Vlan100,Vlan1029, Routed disk:/20140925-test.cfg
Total active Security Contexts: 2
FWSM-TEST#
FWSM-TEST# changeto context test
FWSM-TEST/test#
FWSM-TEST/test# show np 3 acl stats
----------------------------
ACL Tree Statistics
----------------------------
Rule count : 18
Bit nodes (PSCB's): 15
Leaf nodes : 16
Total nodes : 31 (max 38439)
Leaf chains : 15
Total stored rules: 24
Max rules in leaf : 2
Node depth : 6
----------------------------
2015-11-05 05:45 PM
CONTEXTに入ることで確認できました。
これでACLの追加できるかの目安がわかりました、削減・圧縮を行いながら状況の確認ができるようになり、助かりました。
ありがとうございました。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします