ハイパーバイザのサポート
ハイパーバイザのサポートについては、Cisco ASA の互換性 [英語] を参照してください。
適応型セキュリティ仮想アプライアンス(ASAv)は、仮想化環境に包括的なファイアウォール機能を提供し、データセンタートラフィックとマルチテナント環境のセキュリティを強化します。
ASDM または CLI を使用して、ASAv を管理およびモニタすることができます。その他の管理オプションを使用できる場合もあります。
ハイパーバイザのサポートについては、Cisco ASA の互換性 [英語] を参照してください。
ASAv はシスコ スマート ソフトウェア ライセンシングを使用しています。詳細については、「Smart Software Licensing」を参照してください。
(注) |
ASAv にスマートライセンスをインストールする必要があります。ライセンスをインストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。スマート ライセンスは、通常の操作に必要です。 |
ASAv ライセンスの権限付与と、サポートされているプライベートおよびパブリック導入ターゲットのリソース仕様については、以降の各セクションを参照してください。
ASAv ライセンス資格、ライセンスの状態、必要なリソース、およびモデル仕様に関する情報については、次の表を参照してください。
スマートライセンスの権限付与:ASAv プラットフォームのライセンスの権限付与の条件を満たすリソースシナリオ準拠を示しています。
(注) |
ASAv は Cisco Smart Software Licensing を使用します。スマート ライセンスは、通常の操作に必要です。ライセンスをインストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。 |
ASAv ライセンスの状態:ASAv のリソースと資格に関連した状態とメッセージを示しています。
ASAv モデルの説明と仕様:ASAv モデルと関連仕様、リソース要件、および制限事項を示しています。
ASAv は Cisco Smart Software Licensing を使用します。詳細については、『Smart Software Licensing for the ASAv and ASA』を参照してください。
(注) |
ASAv にスマート ライセンスをインストールする必要があります。ライセンスをインストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。スマート ライセンスは、通常の操作に必要です。 |
ライセンスの権限付与 |
vCPU/RAM |
スループット |
適用されるレート リミッタ |
---|---|---|---|
ラボ エディション モード(ライセンスは不要) |
すべてのプラットフォーム |
100 Kbps |
あり |
ASAv5(100M) |
1 vCPU/1 GB ~ 1.5 GB (2 GB 推奨) |
100Mbps |
あり |
ASAv10(1 GB) |
1 vCPU/2 GB |
1Gbps |
あり |
ASAv30(2 GB) |
4 vCPU/8 GB |
2 Gbps |
あり |
状態 |
リソース対権限付与 |
アクションおよびメッセージ |
---|---|---|
Compliant |
リソース = 権限付与の上限 (vCPU、GB の RAM) |
アプライアンスに最適にリソースが割り当てられます アクションなし、メッセージなし |
リソース < 権限付与の上限 アンダープロビジョニングされます |
ASAv がライセンスのスループットで実行できないとの警告メッセージが記録されている間はアクションなし |
|
Non-compliant |
リソース > 権限付与の上限 オーバープロビジョニングされます |
ASAv レート リミッタによってパフォーマンスが制限され、コンソールに警告が出力されます。 |
モデル |
ライセンス要件 |
||
---|---|---|---|
ASAv5 |
スマート ライセンス 次の仕様を参照してください。
|
||
ASAv10 |
スマート ライセンス 次の仕様を参照してください。
|
||
ASAv30 |
スマート ライセンス 次の仕様を参照してください。
|
ASAv ファイアウォール機能は ASA ハードウェア ファイアウォールとよく似ていますが、次のガイドラインと制限事項があります。
ASAv は、デフォルトで最大 8 GB の仮想ディスクをサポートします。ディスクサイズを 8 GB を超えて増やすことはできません。VM リソースをプロビジョニングする場合は、この点に注意してください。
シングル コンテキスト モードでだけサポートされます。マルチ コンテキスト モードをサポートしません。
フェールオーバー配置の場合は、スタンバイ装置が同じモデル ライセンスを備えていることを確認してください(たとえば、両方の装置が ASAv30s であることなど)。
重要 |
ASAv を使用して高可用性ペアを作成する場合は、データインターフェイスを各 ASAv に同じ順序で追加する必要があります。完全に同じインターフェイスが異なる順序で各 ASAv に追加されると、ASAv コンソールにエラーが表示されることがあります。また、フェールオーバー機能にも影響が出ることがあります。 |
ASAv は、次の ASA 機能をサポートしません。
クラスタリング( KVM と VMware を除くすべての権限付与)
マルチ コンテキスト モード
アクティブ/アクティブ フェールオーバー
EtherChannel
AnyConnect Premium(共有)ライセンス
ASAv は、x710 NIC の 1.9.5 i40en ホストドライバと互換性がありません。これより古いバージョンまたは新しいバージョンのドライバは動作します。(VMware のみ)
1 秒あたり 8000 接続、最大 25 の VLAN、50,000 の同時セッション、および 50 の VPN セッションをサポートします。
ASAv5 は小さいメモリ フットプリントと低スループットを必要とするユーザー向けであるため、不要なメモリを使用することなく多数の ASAv5 を導入できます。
9.5(1.200) 以降、AVAv5 のメモリ要件は 1 GB に減りました。ASAv5 で使用可能なメモリを 2 GB から 1 GB にダウングレードすることはサポートされていません。1 GB のメモリで実行するには、ASAv5 VM を 9.5(1.200) 以降のバージョンで再導入する必要があります。同様に、9.5(1.200) より前のバージョンにダウングレードする場合、メモリを 2 GB に増やす必要があります。
(注) |
最適なパフォーマンスを実現するには、ASAv5 に 2 GB のメモリを推奨します。 |
場合によっては、ASAv5 のメモリが枯渇状態になります。これは、AnyConnect の有効化やファイルのダウンロードなど、特定リソースの利用が多い場合に発生することがあります。
自動的な再起動に関するコンソール メッセージやメモリ使用量に関する重大な syslog が、メモリ枯渇の状態を示します。
このような場合、1.5 GB メモリの VM に ASAv5 を導入できます。1 GB から 1.5 GB に変更するには、VM の電源をオフにして、メモリを変更し、VM の電源を再度オンにします。
CLI から show memory
コマンドを使用して、システムで使用可能な最大メモリと現在の空きメモリ量の概要を表示できます。
ASAv5 は、100 Mbps のしきい値に達するとすぐに、パケットのドロップを開始します(100 Mbps をすべて使用できるように、多少のヘッドルームがあります)。
ASAv5 は AnyConnect HostScan 4.8 と互換性がありません。これには 2 GB の RAM が必要です。
ASAv5 は Amazon Web Services(AWS)ではサポートされていません。
ジャンボ フレームはサポートされていません。
ASAv は、仮想プラットフォーム上のゲストとして、基盤となる物理プラットフォームのネットワーク インターフェイスを利用します。ASAv の各インターフェイスは仮想 NIC(vNIC)にマッピングされます。
ASAv のインターフェイス
サポートされている vNIC
ASAv は、次のギガビット イーサネット インターフェイスがあります。
Management 0/0
AWS と Azure の場合は、Management 0/0 をトラフィック伝送用の「外部」インターフェイスにすることができます。
GigabitEthernet 0/0 ~ 0/8。ASAv をフェールオーバー ペアの一部として展開する場合は GigabitEthernet 0/8 がフェールオーバー リンクに使用されることに注意してください。
Hyper-V は最大 8 つのインターフェイスをサポートします。Management 0/0 および GigabitEthernet 0/0 ~ 0/6。フェールオーバー リンクとして GigabitEthernet 0/6 を使用できます。
ASAv では次の vNIC がサポートされています。
vNIC のタイプ |
ハイパーバイザのサポート |
ASAv バージョン |
注意 |
|
---|---|---|---|---|
VMware |
KVM |
|||
e1000 |
対応 |
対応 |
9.2(1) 以降 |
VMware のデフォルト |
virtio |
非対応 |
対応 |
9.3(2.200) 以降 |
KVM のデフォルト |
Large Receive Offload(LRO)は、CPU オーバーヘッドを削減することによって、高帯域幅ネットワーク接続のインバウンドスループットを向上させる手法です。これは、1 つのストリームからの複数の着信パケットを大きなバッファに集約してから、ネットワークスタックの上位に渡されるようにすることによって、処理する必要があるパケットの数を減らすことによって機能します。ただし、LRO は、ネットワークパケット配信のフローが一貫せず、輻輳しているネットワークで「バースト」する可能性がある場合に、TCP パフォーマンスの問題を引き起こす可能性があります。
重要 |
VMware は、デフォルトで LRO を有効にして、全体的なスループットを向上させます。したがって、このプラットフォームで ASAv 導入の LRO を無効にする必要があります。 |
ASAv マシンで LRO を直接無効化できます。設定変更を行う前に、仮想マシンの電源をオフにします。
vSphere Web Client インベントリで ASAv マシンを検索します。
仮想マシンを検索するには、データセンター、フォルダ、クラスタ、リソースプール、またはホストを選択します。
[Related Objects] タブをクリックし、[Virtual Machines] タブをクリックします。
仮想マシンを右クリックして、[Edit Settings] をクリックします。
[VM Options] をクリックします。
[Advanced] を展開します。
[Configuration Parameters] の下で、[Edit Configuration] ボタンをクリックします。
[Add Parameter] をクリックし、LRO パラメータの名前と値を入力します。
Net.VmxnetSwLROSL | 0
Net.Vmxnet3SwLRO | 0
Net.Vmxnet3HwLRO | 0
Net.Vmxnet2SwLRO | 0
Net.Vmxnet2HwLRO | 0
(注) |
オプションで、LRO パラメータが存在する場合は、値を調べて必要に応じて変更できます。パラメータが 1 に等しい場合、LRO は有効です。0 に等しい場合、LRO は無効です。 |
[OK] をクリックして変更を保存し、[Configuration Parameters] ダイアログボックスを終了します。
[保存(Save)] をクリックします。
詳細については、次の VMware サポート記事を参照してください。