Cisco ASDM ユーザガイド 5.2(3)F

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco ASDM ユーザガイド 5.2(3)F

Chapter Title

仕様

PDF - Complete Book (5.12 MB) PDF - This Chapter (527.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月13日

仕様

この付録には、FWSM の仕様が一覧表示されています。次の項目を取り上げます。

• 「スイッチのハードウェアおよびソフトウェアの互換性」

スイッチのハードウェアおよびソフトウェアの互換性

FWSM をサポートするスイッチのモデルには、次のプラットフォームがあります。

• 次のコンポーネントを要件とする Catalyst 6500 シリーズのスイッチ。

–Cisco IOS ソフトウェア（スーパーバイザ IOS）使用のスーパーバイザエンジン または Catalyst オペレーティングシステム（OS）。サポートされているスーパーバイザエンジンおよびソフトウェアリリースの表A-1 を参照してください。

–Cisco IOS ソフトウェア使用の MSFC 2。サポートされている Cisco IOS ソフトウェアリリースの表A-1 を参照してください。

• 次のコンポーネントを要件とする Cisco 7600 シリーズのルータ。

–Cisco IOS ソフトウェア使用のスーパーバイザエンジン。サポートされているスーパーバイザエンジンおよびソフトウェアリリースの表A-1 を参照してください。

–Cisco IOS ソフトウェア使用の MSFC 2。サポートされている Cisco IOS ソフトウェアリリースの表A-1 を参照してください。

（注） FWSM は、WAN ポートがスタティック VLAN を使用しないため、スイッチの WAN ポートへの直接接続をサポートしません。ただし、WAN ポートは、FWSM へ接続できる MSFC に接続できます。

表A-1 では、スーパーバイザエンジンのバージョンとソフトウェアを示しています。

表A-1 FWSM 3.2 のサポート
	スーパーバイザエンジン ¹
Cisco IOS ソフトウェアリリース
12.2(18)SXF 以降	720, 32
12.2(18)SXF2 以降	2, 720, 32
Cisco IOS ソフトウェアモジュラリティリリース
12.2(18)SXF4	720, 32
Catalyst ソフトウェアリリース ²
8.5(3) 以降	2. 720, 32

^1.FWSM は、スーパーバイザ 1 または 1A をサポートしていません。

^2.スーパーバイザで Catalyst ソフトウェアを使用する場合は、上記のサポートされている Cisco IOS ソフトウェアリリースをどれでも MSFC で使用できます（スーパーバイザで Cisco IOS ソフトウェアを使用する場合も、同じリリースを MSFC で使用できます）。

ライセンス対象機能

FWSM は、次のライセンス対象機能をサポートしています。

• マルチセキュリティコンテキスト。FWSM は、ライセンスのない計 3 つのセキュリティコンテキストに対して、2 つのコンテキストと 1 つの管理コンテキストをサポートしています。4 つ以上のコンテキストには次のライセンスのいずれかを取得します。

–20

–50

–100

–250

• GTP/GPRS サポート。

• BGP スタブサポート。

物理仕様

表A-2 では、FWSM の物理仕様を示しています。

表A-2 物理仕様
仕様	説明
帯域幅	スイッチファブリックモジュールへの 6-Gbps のパスを持つ CEF256 ラインカード（存在する場合）または 32-Gbps の共有バス。
メモリ	• 1 GB の RAM。 • 128 MB のフラッシュメモリ。
スイッチごとのモジュール	スイッチごとに最大 4 つのモジュール。フェールオーバーを使用する場合、2 つのモジュールがスタンバイモードでも、スイッチごとに 4 つしかモジュールを持てません。

機能制限

表A-3 では、FWSM の機能制限がリストされています。

表A-3 機能制限
仕様	コンテキストモード
仕様	シングル	マルチ
AAA サーバ（RADIUS および TACACS+）	16	コンテキストごとに 4 つ
フェールオーバーインターフェイスのモニタリング	250	すべてのコンテキスト合計で 250
フィルタリングサーバ（Websense Enterprise または Sentian をN2H2 で実行する）	16	コンテキストごとに 4 つ
ジャンボイーサネットパケット	8500 バイト	8500 バイト
セキュリティコンテキスト	該当なし	250 のセキュリティコンテキスト（ソフトウェアのライセンスによる）。
Syslog サーバ	16	コンテキストごとに 4 つすべてのコンテキスト合計で最大 16
VLAN インターフェイス
ルーテッドモード	256	コンテキストごとに 100 つ FWSM 全体の VLAN インターフェイスの制限数は、すべてのコンテキスト合計で 1,000 です。コンテキスト間で外部インターフェイスを共有することができ、場合によっては、内部インターフェイスも共有できます。
透過モード	8 ペア	コンテキストごとに 8 ペア

管理対象のシステムリソース

表A-4 では、FWSM の管理対象のシステムリソースをリストしています。リソースマネージャを使用して、コンテキストごとのリソースを管理できます。詳細については、「リソースクラスの設定」を参照してください。

表A-4 管理対象のシステムリソース
仕様	コンテキストモード
仕様	シングル	マルチ
MAC アドレス（透過ファイアウォールモードのみ）	64 K	すべてのコンテキスト合計で 64 K
FWSM による接続を許可されるホスト、同時	256 K	すべてのコンテキスト合計で 256 K
インスペクションエンジン接続、レート	10,000/秒	すべてのコンテキスト合計で 10,000/秒
IPSec 管理接続、同時	5	コンテキストごとに 5 つすべてのコンテキスト合計で最大 10
ASDM 管理セッション、同時³	5	コンテキストごとに最大 5 すべてのコンテキスト合計で最大 80
NAT 変換、同時	256 K	すべてのコンテキスト合計で 256 K
SSH 管理接続、同時⁴	5	コンテキストごとに 5 つすべてのコンテキスト合計で最大 100
システムログメッセージ、レート	FWSM のターミナルまたはバッファへ送信されるメッセージの速度は 30,000/秒 syslog サーバへ送信されるメッセージの速度は 25,000/秒	FWSM のターミナルまたはバッファへ送信されるメッセージの速度は、すべてのコンテキスト合計で 30,000/秒 syslog サーバへ送信されるメッセージの速度は、すべてのコンテキスト合計で 25,000/秒
1 台のホストと他の複数台のホスト間の接続を含む^5、6 、任意の 2 つのホスト間の TCP または UDP 接続、同時およびレート	999,900⁷ 100,000/秒	すべてのコンテキスト合計で 999,900⁵ すべてのコンテキスト合計で 100,000/秒
Telnet 管理接続、同時²	5	コンテキストごとに 5 つすべてのコンテキスト合計で最大 100 の接続。

^3.ASDM セッションは、2 つの HTTPS 接続を使用します。1 つは常駐の監視用、もう 1 つは変更時にのみ使用されるコンフィギュレーション変更用です。たとえば、ASDM のセッション数のシステム制限値が 80 の場合は、HTTPS 接続数が 160 に制限されます。

^4.管理コンテキストでは、Telnet および SSH 接続が最大 15 まで使用できます。

^5.初期接続は合計接続数に含まれます。初期接続制限数を設定する場合、制限数を超える初期接続はカウントされません。

^6.FWSM では、削除マークの付いた接続を削除するのに最大 500 ミリ秒かかる場合があります。削除中はその接続のトラフィックがドロップされるため、接続が削除されるまでは、同じ送信元ポートと宛先ポートを使用して、同じ宛先へ新しい接続を開始することはできません。ほとんどの TCP アプリケーションでは、逆並列接続で同一ポートが再利用されることはありませんが、RSH では同一ポートが再利用される場合があります。RSH または逆並列接続で同一ポートが再利用される他のアプリケーションを使用すると、FWSM はパケットをドロップする場合があります。

^7.PAT では、各接続に個別の変換が必要なため、PAT を使用した効果的な接続制限は、変換制限（256K）になり、より高い接続制限ではありません。接続制限を使用するには、同一変換セッションを使用して複数の接続が許可される NAT を使用する必要があります。

固定システムリソース

表A-5 では、FWSM の固定システムリソースをリストしています。

表A-5 固定されたシステムリソース
仕様	コンテキストモード
仕様	シングル	マルチ
AAA 接続、レート	80/秒	すべてのコンテキスト合計で 80/秒
ネットワークアクセス許可のためにダウンロードされた ACE	3,500	すべてのコンテキスト合計で 3,500
ACL ロギングフロー、同時	32 K	すべてのコンテキスト合計で 32 K
エイリアス文	1 K	すべてのコンテキスト合計で 1 K
ARP テーブルエントリ、同時	64 K	すべてのコンテキスト合計で 64 K
DNS 検査、レート	5000/秒	すべてのコンテキスト合計で 5000/秒
グローバル文	4 K	すべてのコンテキスト合計で 4 K
検査文	32	コンテキストごとに 32
NAT 文	2 K	すべてのコンテキスト合計で 2 K
パケットリアセンブリ、同時	30,000	すべてのコンテキスト合計で 30,000 フラグメント
ルートテーブルエントリ、同時	32 K	すべてのコンテキスト合計で 32 K
Shun 文	5 K	すべてのコンテキスト合計で 5 K
スタティック NAT 文	2 K	すべてのコンテキスト合計で 2 K
TFTP セッション、同時⁸	999,100	すべてのコンテキスト合計で 999,100
URL フィルタリング要求	200/秒では CPU 使用率は 50％	200/秒ではすべてのコンテキスト合計の CPU 使用率は 50％
ユーザ認証セッション、同時	50 K	すべてのコンテキスト合計で 50 K
ユーザ許可セッション、同時	150 K ユーザごとに最大 15 セッション。	すべてのコンテキスト合計で 150 K ユーザごとに最大 15 セッション。

^8.FWSM バージョン 1.1 では、TFTP セッション数は、1024 セッションに制限されていました。

ルール制限

FWSM では、システム全体でサポートされるルールの数が決まっています。この項では、機能ごとのデフォルト最大ルール数、機能間にルールを割り当てる方法、ルールをマルチコンテキスト間に分割する方法について説明します。次の項目を取り上げます。

• 「デフォルトのルール割り当て」

• 「マルチコンテキストモードのルール」

• 「機能間のルールの再割り当て」

デフォルトのルール割り当て

表A-6 では、各ルールタイプの最大数をリストしています。

	コンテキストモード
仕様	シングル	12 個のプールを持つマルチ（パーティションごとの最大数）
AAA ルール	6451	992
アクセスルール	74,188	10,633
established コマンド⁹	460	70
フィルタルール	2764	425
ICMP、Telnet、SSH、HTTP ルール	1843	283
ポリシー NAT ACE ¹⁰	1843	283
検査ルール	4147	1417
ルール合計	92,156	14,173

^9.各 established コマンドは、コントロールルールとデータルールを作成するため、ルール合計の値は 2 倍になります。established コマンドは、CLI でのみサポートされているため、ASDM 内では設定できません。

^10.この制限はリリース 2.3 より低くなっています。

マルチコンテキストモードのルール

デフォルトで 12 のメモリパーティションを持つマルチコンテキストモードでは、各コンテキストが、表A-6 にリストされている最大数をサポートします。コンテキストでサポートされている実際のルール数は、持っているコンテキスト数と設定したパーティション数によって異なります。コンテキスト間のメモリ分散についての詳細は、「メモリパーティションの設定」を参照してください。

パーティション数を減らすと、ルールの最大数が再計算され、12 のパーティションで使用可能な合計システム数と一致しない場合もあります。パーティションの最大ルール数を表示するには、「機能間のルールの再割り当て」の項を参照してください。

機能間のルールの再割り当て

1 つの機能から別の機能へルールを再割り当てできます。ルールを再割り当てするには、次の手順を実行します。

ステップ 1 再割り当ての計画ができるように現在使用されているルール数を表示するには、Command Line Interface ツールを使用して次のコマンドの 1 つを入力します。

• シングルモードまたはコンテキスト内で、次のコマンドを入力します。

show np 3 acl count

• マルチコンテキストモードのシステム実行スペースで、次のコマンドを入力します。

show np 3 acl count partition_number

パーティションの詳細については、「マルチコンテキストモードのルール」を参照してください。

たとえば、次の表には最大数 9216 に近い検査数（Fixup ルール）が表示されています。一部のアクセスリストルール（ACL ルール）を検査に再割り当てすることもできます。

show np 3 acl count

-------------- CLS Rule Current Counts --------------

CLS Filter Rule Count : 0

CLS Fixup Rule Count : 9001

CLS Est Ctl Rule Count : 4

CLS AAA Rule Count : 15

CLS Est Data Rule Count : 4

CLS Console Rule Count : 16

CLS Policy NAT Rule Count : 0

CLS ACL Rule Count : 30500

CLS ACL Uncommitted Add : 0

CLS ACL Uncommitted Del : 0

...

（注） established コマンドは、管理とデータの 2 種類のルールを作成します。両方のタイプが表示されていますが、established コマンドの数を設定することで両方のルールを割り当て、各ルールの設定を個別には行いません。

established コマンドは、CLI でのみサポートされているため、ASDM 内では設定できません。

ステップ 2 機能間にルールを再割り当てするには、Configuration > Properties > Dynamic Resource Allocation へ移動します。マルチコンテキストモードの場合は、この機能はシステム実行スペースでのみ使用できます。

ステップ 3 変更する各機能のフィールドに値を入力するか、デフォルトまたは最大値をドロップダウンリストから選択して、機能間にルールを再割り当てします。

マルチコンテキストモードでは、このペインで パーティションごと のルールの割り当てを設定します。

設定したルール数、最大ルール数、使用可能なルール数が下の機能フィールドに表示されます。設定したルールのフィールドでは、機能の新しい値を入力するとダイナミックに更新します。Control ルールと Data ルールの両方をアカウンディングするには、Established ルールの数を 2 倍にします。 established コマンドは、CLI でのみサポートされているため、ASDM 内では設定できません。

ステップ 4 Apply をクリックします。

新しい制限はすぐに反映されます。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco ASDM ユーザ ガイド 5.2(3)F