Cisco 適応型セキュリティ仮想アプライア ンス(ASAv)クイック スタート ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco 適応型セキュリティ仮想アプライア ンス(ASAv)クイック スタート ガイド

Chapter Title

Cisco ASAv の概要

検索結果

Updated:
2017年7月26日

章のタイトル: Cisco ASAv の概要

Cisco ASAv の概要

Cisco 適応型セキュリティ仮想アプライアンス(ASAv)は、仮想化環境に包括的なファイアウォール機能を提供し、データセンター トラフィックとマルチテナント環境のセキュリティを強化します。

ASDM、REST API、または CLI を使用して、ASAv を管理およびモニタすることができます。その他の管理オプションを使用できる場合もあります。

ASAv の前提条件

ハイパーバイザのサポートについては、「Cisco ASA Compatibility」を参照してください。

ASAv(すべてのモデル)に関するガイドライン

コンテキスト モードのガイドライン

シングル コンテキスト モードでだけサポートされます。マルチ コンテキスト モードをサポートしません。

フェールオーバーのガイドライン

フェールオーバー配置の場合は、スタンバイ装置が同じモデル ライセンスを備えていることを確認してください(たとえば、両方の装置が ASAv30s であることなど)。

サポートしない ASA 機能

ASAv は、次の ASA 機能をサポートしません。

  • クラスタ
  • マルチ コンテキスト モード
  • アクティブ/アクティブ フェールオーバー
  • EtherChannel
  • AnyConnect Premium(共有)ライセンス

ASAv5 に関するガイドライン

ASAv5 のガイドライン、機能、および制約事項

  • ジャンボ フレームはサポートされていません。
  • 1 GB のメモリで実行するには、ASAv5 VM を 9.5.1.200 以降のバージョンで再プロビジョニングする必要があります。9.5.1.200 以降のバージョンを実行する ASAv のみが 1 GB のメモリで動作可能です。以前のバージョンにダウングレードする場合は、メモリを 2 GB に増やす必要があります。
  • ASAv5 は、100 Mbps のしきい値に達するとすぐに、パケットのドロップを開始します(100 Mbps をすべて使用できるように、多少のヘッドルームがあります)。ASAv5 は小さいメモリ フットプリントと低スループットを必要とするユーザ向けであるため、不要なメモリを使用することなく多数の ASAv5 を導入できます。
  • 1 秒あたり 8000 接続、最大 25 の VLAN、50,000 の同時セッション、および 50 の VPN セッションをサポートします。
  • AWS では未サポート。

ASAv50 に関するガイドライン

ASAv50 に関するガイドライン、機能、および制限事項

システム要件

ASAv 導入に使用される特定のハードウェアは、サイズや使用要件によって異なります。スマートライセンス資格 は、さまざまな ASAv プラットフォームのライセンス資格を満たすリソース シナリオを示しています。加えて、SR-IOV 仮想機能には特定のシステム リソースが必要です。

ホスト オペレーティング システムとハイパーバイザ サポート

SR-IOV サポートと VF ドライバは、以下で使用できます。

  • Linux 2.6.30 カーネル以降

SR-IOV インターフェイスを備えた ASAv は、現在、次のハイパーバイザでサポートされます。

  • VMware vSphere/ESXi 5.5 および 6.0
  • QEMU/KVM
  • AWS
ハードウェア プラットフォーム サポート

このセクションでは、SR-IOV サポートに関するハードウェア ガイドラインについて説明します。以下はガイドラインであって要件ではありませんが、このガイドラインに従っていないハードウェアを使用すると、機能の問題や性能の低下につながる可能性があります。

SR-IOV 対応 PCIe アダプタに加えて、SR-IOV をサポートするサーバが必要です。以下のハードウェア検討事項に留意する必要があります。

  • 使用可能な VF の数を含む SR-IOV NIC の機能は、ベンダーやデバイスによって異なります。
  • すべての PCIe スロットが SR-IOV をサポートしているわけではありません。
  • SR-IOV 対応 PCIe スロットは機能が異なる場合があります。

メーカーのマニュアルで、お使いのシステムの SR-IOV サポートを確認する必要があります。

  • VT-d 対応のチップセット、マザーボード、および CPU については、『 virtualization-capable IOMMU supporting hardware 』を参照してください。VT-d は、SR-IOV システムに必須の BIOS 設定です。
  • VMware の場合は、オンラインの『 Compatibility Guide 』で SR-IOV サポートを検索できます。
  • KVM の場合は、 CPU の互換性 を確認できます。KVM 上の ASAv では、x86 ハードウェアしかサポートされないことに注意してください。

シスコでは、ASAv を Cisco UCS C シリーズ ラック サーバでテストしました。Cisco UCS-B シリーズは ixgbe-vf vNIC をサポートしていないことに注意してください。

SR-IOV に対してサポートされている NIC

CPU

  • x86_64 マルチコア CPU

Intel Sandy Bridge 以降(推奨)

シスコでは、ASAv を 2.3 GHz の Intel Broadwell CPU(E5-2699-v4)でテストしました。

  • コア

CPU ソケットあたり 8 個以上の物理コア

単一のソケット上で 8 コアにする必要があります。

CPU ピンニングは、ASAv50 上でフル スループット レートを実現するために推奨されています。ESXi 構成でのパフォーマンスの向上KVM 構成でのパフォーマンスの向上を参照してください。

BIOS 設定

SR-IOV は、BIOS だけでなく、ハードウェアで実行しているオペレーティング システム インスタンスまたはハイパーバイザのサポートも必要です。システム BIOS で次の設定をチェックします。

  • SR-IOV が有効になっている。
  • VT-x(仮想化テクノロジー)が有効になっている。
  • VT-d が有効になっている。
  • (オプション)ハイパースレッディングが無効になっている。

システムごとに BIOS 設定にアクセスして変更する方法が異なるため、ベンダーのマニュアルでプロセスを確認することをお勧めします。

ixgbe-vf インターフェイスに関するガイドライン、機能、および制限事項
  • ゲスト VM では、VF を無差別モードに設定できません。そのため、ixgbe-vf の使用時はトランスペアレント モードがサポートされません。
  • ゲスト VM では、VF 上で MAC アドレスを設定できません。そのため、HA 中は MAC アドレスが転送されません。他の ASA プラットフォームや他のインターフェイス タイプを使用した場合は転送されます。HA フェールオーバーは、IP アドレスをアクティブからスタンバイに移行することによって機能します。
  • Cisco UCSB サーバは ixgbe-vf の vNIC をサポートしません。

ASAv のライセンス

ASAv ライセンス資格、リソース、およびモデル仕様に関する情報については、次の表を参照してください。

  • スマート ライセンス資格スマートライセンス資格 は、ASAv プラットフォームのライセンス資格を満たすリソース シナリオを示しています。

ASAv はシスコ スマート ソフトウェア ライセンシングを使用します。スマート ライセンスは、通常の操作に必要です。ライセンスをインストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。詳細については、『Smart Software Licensing for the ASAv』を参照してください。

  • ASAv ライセンスの状態ASAv ライセンスの状態 は、ASAv のリソースと資格に関連した状態とメッセージを示しています。
  • ASAv モデルの説明と仕様ASAv モデルの説明と仕様 は、ASAv モデルと関連仕様、リソース要件、および制限事項を示しています。

表 1 スマートライセンス資格

 

 

ライセンスの権限付与

vCPU/RAM

スループット

適用されるレート リミッタ
ラボ エディション モード(ライセンスは不要)
すべてのプラットフォーム
100 Kbps
あり
ASAv5(100 M)
1 vCPU/1 GB
100 Mbps
あり
ASAv10(1 GB)
1 vCPU/2 GB
1 Gbps
あり
ASAv30(2 GB)
4 vCPU/8 GB
2 Gbps
あり
ASAv50(10 GB)
8 vCPU/16 GB
10 Gbps
あり

表 2 ASAv ライセンスの状態

 

状態

リソース対権限付与

アクションおよびメッセージ
Compliant
リソース = 権限付与の上限
(vCPU、GB の RAM)
アプライアンスに最適にリソースが割り当てられます
ASAv5(1vCPU、1G)、ASAv10(1vCPU、2G)、ASAv30(4vCPU、8G)、ASAv50(8vCPU、16G)
アクションなし、メッセージなし
リソース < 権限付与の上限
アンダープロビジョニングされます
ASAv がライセンスのスループットで実行できないとの警告メッセージが記録されている間はアクションなし
Non-compliant
リソース > 権限付与の上限
オーバープロビジョニングされます
ASAv レート リミッタによってパフォーマンスが制限され、コンソールに警告が出力されます。
ASAv10、ASAv30、および ASAv50 は、エラー メッセージがコンソールに出力された後、リブートします。

表 3 ASAv モデルの説明と仕様

 

モデル

ライセンス要件

ASAv5

スマート ライセンス

次の仕様を参照してください。

  • 100 Mbps スループット
  • 1 vCPU
  • 1GB RAM
  • 50,000 の同時ファイアウォール接続
  • AWS はサポート対象外
  • Standard D3 インスタンスと Standard D3_v2 インスタンスで Azure をサポート

ASAv10

スマート ライセンス

次の仕様を参照してください。

  • 1 Gbps スループット
  • 1 vCPU
  • 2 GB のメモリ
  • 100,000 の同時ファイアウォール接続
  • c3.large インスタンスと c4.large インスタンスで AWS をサポート
  • Standard D3 インスタンスと Standard D3_v2 インスタンスで Azure をサポート

ASAv30

スマート ライセンス

次の仕様を参照してください。

  • 2 Gbps スループット
  • 4 vCPU
  • 8 GB RAM
  • 500,000 の同時ファイアウォール接続
  • c3.large インスタンスと c4.large インスタンスで AWS をサポート
  • Standard D3 インスタンスと Standard D3_v2 インスタンスで Azure をサポート

ASAv50

スマート ライセンス

次の仕様を参照してください。

  • 10 Gbps スループット
  • 8 vCPU

CPU ソケットあたり 8 個以上の物理コアが必要(複数の CPU ソケットにはプロビジョニングできない)

  • 16 GB メモリ
  • 2,000,000 の同時ファイアウォール接続
  • AWS、Microsoft Azure、または Hyper-V をサポートしません。

ASAv インターフェイスおよび仮想 NIC

ASAv は、仮想プラットフォーム上のゲストとして、基盤となる物理プラットフォームのネットワーク インターフェイスを利用します。ASAv の各インターフェイスは仮想 NIC(vNIC)にマッピングされます。

ASAv インターフェイス

ASAv は、次のギガビット イーサネット インターフェイスがあります。

  • Management 0/0

AWS と Azure の場合は、Management 0/0 をトラフィック伝送用の「外部」インターフェイスにすることができます。

  • GigabitEthernet 0/0 ~ 0/8。ASAv をフェールオーバー ペアの一部として展開する場合は GigabitEthernet 0/8 がフェールオーバー リンクに使用されることに注意してください。
  • ASAv50 上の TenGigabitEthernet 0/0 ~ 0/8。ASAv50 をフェールオーバー ペアの一部として導入する場合は TenGigabitEthernet 0/8 がフェールオーバー リンクに使用されることに注意してください。
  • Hyper-V は最大 8 つのインターフェイスをサポートします。Management 0/0 および GigabitEthernet 0/0 ~ 0/6。フェールオーバー リンクとして GigabitEthernet を使用できます。

サポートされる vNIC

ASAv は次の vNIC をサポートします。

 

vNIC のタイプ

ハイパーバイザのサポート

ASAv のバージョン

注意

VMware

KVM
e1000
あり
あり
9.2(1) 以降
VMware のデフォルト。
Virtio
なし
あり
9.3(2.200) 以降
KVM のデフォルト。
ixgbe-vf
あり
あり
9.8(1) 以降

AWS のデフォルト。SR-IOV サポート用の ESXi と KVM。

ASAv と SR-IOV インターフェイスのプロビジョニング

単一のルート I/O 仮想化(SR-IOV)により、さまざまなゲスト オペレーティング システムを実行している複数の VM が、ホスト サーバ内の単一の PCIe ネットワーク アダプタを共有できるようになります。SR-IOV では、VM がネットワーク アダプタとの間で直接データを移動でき、ハイパーバイザをバイパスすることで、ネットワークのスループットが増加しサーバの CPU 負荷が低下します。最近の x86 サーバ プロセッサには、SR-IOV に必要なダイレクト メモリの転送やその他の操作を容易にする Intel VT-d テクノロジーなど、チップセットの拡張機能が搭載されています。

SR-IOV 仕様では、次の 2 つのデバイス タイプが定義されています。

  • 物理機能(PF):基本的にスタティック NIC です。PF は、SR-IOV 機能を含む完全な PCIe デバイスです。PF は、通常の PCIe デバイスとして検出、管理、設定されます。単一 PF は、一連の仮想関数(VF)の管理および設定を提供できます。
  • 仮想機能(VF):ダイナミック vNIC と同様に、VF はデータ移動に必要な最低限のリソースを提供する、完全または軽量の仮想 PCIe デバイスです。VF は直接的には管理されず、PF を介して配信および管理されます。1 つ以上の VF を 1 つの VM に割り当てることができます。

SR-IOV は、PCI 標準の開発および管理が公認されている業界組織である Peripheral Component Interconnect Special Interest Group( PCI SIG )によって定義および管理されています。SR-IOV の詳細については、『 PCI-SIG SR-IOV Primer: An Introduction to SR-IOV Technology 』を参照してください。

ASAv 上で SR-IOV インターフェイスをプロビジョニングするには、適切なオペレーティング システム レベル、ハードウェアと CPU、アダプタ タイプ、およびアダプタ設定から始まる計画が必要です。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ