CHAPTER 5 マルチコンテキスト モードの管理 この章では、適応型セキュリティ アプライアンスにマルチセキュリティ コンテキストを設定する方法 について説明します。次の項で構成されています。 • 「セキュリティ コンテキストに関する情報」(P.5-1) • 「マルチコンテキスト モードのイネーブル化とディセーブル化」(P.5-10) • 「リソース管理の設定」(P.5-12) • 「セキュリティ コンテキストの設定」(P.5-17) • 「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」(P.5-21) • 「コンテキストとシステム実行スペースの切り替え」(P.5-22) • 「セキュリティ コンテキストの管理」(P.5-23) • 「セキュリティ コンテキストの監視」(P.5-26) セキュリティ コンテキストに関する情報 1 台の適応型セキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置 に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理 者を持つ独立した装置です。マルチコンテキストは、複数のスタンドアロン装置を使用することに似て います。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理 など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつか の機能はサポートされません。 (注) 適応型セキュリティ アプライアンスがセキュリティ コンテキスト(ファイアウォール マルチモードと も呼ばれる)、または Active/Active ステートフル フェールオーバーに設定されている場合、IPSec ま たは SSL VPN をイネーブルにできません。したがって、これらの機能は使用できません。 この項では、セキュリティ コンテキストの概要について説明します。次の項目を取り上げます。 • 「セキュリティ コンテキストの一般的な使用方法」(P.5-2) • 「サポートされていない機能」(P.5-2) • 「コンテキスト コンフィギュレーション ファイル」(P.5-2) • 「セキュリティ アプライアンスによるパケットの分類方法」(P.5-3) • 「セキュリティ コンテキストのカスケード接続」(P.5-9) • 「セキュリティ コンテキストへの管理アクセス」(P.5-9) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-1 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 セキュリティ コンテキストの一般的な使用方法 マルチセキュリティ コンテキストを使用する状況には次のようなものがあります。 • サービス プロバイダーとして、多数のカスタマーにセキュリティ サービスを販売する。適応型セ キュリティ アプライアンス上でマルチセキュリティ コンテキストをイネーブルにすることによっ て、費用対効果の高い、省スペース ソリューションを実装できます。このソリューションでは、 カスタマーのトラフィックすべての分離とセキュリティが確保され、設定も容易です。 • 大企業または広大な大学の構内で、各部門の完全な独立を維持する必要がある。 • 企業で、部門ごとに個別のセキュリティ ポリシーの提供が求められている。 • 複数の適応型セキュリティ アプライアンスが必要なネットワークを使用している。 サポートされていない機能 マルチコンテキスト モードでサポートされていない機能は、次のとおりです。 • ダイナミック ルーティング プロトコル セキュリティ コンテキストは、スタティック ルートのみサポートします。マルチコンテキスト モードでは、OSPF、RIP、または EIGRP をイネーブルにできません。 • VPN • マルチキャスト ルーティング。マルチキャスト ブリッジはサポートされています。 • 脅威の検出 コンテキスト コンフィギュレーション ファイル この項では、適応型セキュリティ アプライアンスがマルチコンテキスト モードのコンフィギュレー ションを実装する方法について説明します。次の項目を取り上げます。 • 「コンテキスト コンフィギュレーション」(P.5-2) • 「システム コンフィギュレーション」(P.5-2) • 「管理コンテキスト コンフィギュレーション」(P.5-3) コンテキスト コンフィギュレーション 適応型セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタン ドアロン装置で設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーショ ンが含まれます。コンテキスト コンフィギュレーションは、内部フラッシュ メモリまたは外部フラッ シュ メモリ カードに保存することも、TFTP サーバ、FTP サーバ、または HTTP(S)サーバからダウ ンロードすることもできます。 システム コンフィギュレーション システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイ ス、およびその他のコンテキスト操作パラメータをシステム コンフィギュレーションに設定すること で、コンテキストを追加および管理します。このコンフィギュレーションは、シングルモードのコン フィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレー Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-2 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 ションは、適応型セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレー ションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。シ ステムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウン ロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。 システム コンフィギュレーションに含まれているものに、フェールオーバー トラフィック専用の特殊 なフェールオーバー インターフェイスがあります。 管理コンテキスト コンフィギュレーション 管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログ インすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキス トにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキ ストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管 理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限す る必要があります。管理コンテキストは、リモートではなくフラッシュ メモリに置く必要があります。 システムがすでにマルチコンテキスト モードになっている場合、またはシングルモードから変換され た場合、管理コンテキストが admin.cfg と呼ばれるファイルとして内部フラッシュ メモリに自動的に 作成されます。このコンテキストは「admin」と名付けられます。admin.cfg を管理コンテキストとし て使用しない場合は、管理コンテキストを変更できます。 セキュリティ アプライアンスによるパケットの分類方法 適応型セキュリティ アプライアンスに入ってくるパケットはいずれも分類する必要があります。その 結果、適応型セキュリティ アプライアンスは、どのコンテキストにパケットを送信するかを決定でき ます。この項は、次の内容で構成されています。 • 「有効な分類子の基準」(P.5-3) • 「無効な分類子の基準」(P.5-4) • 「分類の例」(P.5-5) (注) 宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製 され、各コンテキストに送信されます。 有効な分類子の基準 この項では、分類子で使用される基準について説明します。次の項目を取り上げます。 • 「固有のインターフェイス」(P.5-3) • 「固有の MAC アドレス」(P.5-4) • 「NAT コンフィギュレーション」(P.5-4) 固有のインターフェイス 入力インターフェイスに関連付けられているコンテキストが 1 つだけの場合、適応型セキュリティ ア プライアンスはパケットをそのコンテキストに分類します。透過ファイアウォール モードでは、各コ ンテキストに固有のインターフェイスが必要なため、この方法は、常にパケット分類の目的で使用され ます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-3 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 固有の MAC アドレス マルチコンテキストがインターフェイスを共有している場合、分類子はインターフェイス MAC アドレ スを使用します。適応型セキュリティ アプライアンスでは、各コンテキストで異なる MAC アドレス を同一の共有インターフェイス(共有物理インターフェイスまたは共有サブインターフェイス)に割り 当てることができます。デフォルトでは、共有インターフェイスには固有の MAC アドレスがありませ ん。インターフェイスは、すべてのコンテキストの物理インターフェイスの焼き付け済み MAC アドレ スを使用します。固有の MAC アドレスがないと、アップストリーム ルータはコンテキストに直接 ルーティングできません。各インターフェイスを設定するときに、手動で MAC アドレスを設定できま す(「MAC アドレスの設定」(P.6-28)を参照)。または、MAC アドレスを自動的に設定することもで きます(「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」(P.5-21)を参照)。 NAT コンフィギュレーション 固有の MAC アドレスがない場合、分類子はパケットを代行受信し、宛先 IP アドレス ルックアップを 実行します。その他のすべてのフィールドは無視され、宛先 IP アドレスだけが使用されます。分類に 宛先アドレスを使用するには、分類子が、各セキュリティ コンテキストの背後にあるサブネットを認 識できる必要があります。分類子は、Network Address Translation(NAT; ネットワーク アドレス変 換)コンフィギュレーションに基づいて各コンテキストのサブネットを判別します。分類子は、宛先 IP アドレスを static コマンドまたは global コマンドのいずれかと照合します。global コマンドの場 合、分類子は、nat コマンドまたはアクティブな NAT セッションを照合してパケットを分類する必要 がありません。分類後にパケットが宛先 IP アドレスと通信ができるかどうかは、NAT および NAT 制 御の設定方法によります。 たとえば、コンテキスト管理者が各コンテキストの static コマンドを次のように設定した場合、分類子 はサブネット 10.10.10.0、10.20.10.0、および 10.30.10.0 を認識します。 • コンテキスト A: static (inside,shared) 10.10.10.0 10.10.10.0 netmask 255.255.255.0 • コンテキスト B: static (inside,shared) 10.20.10.0 10.20.10.0 netmask 255.255.255.0 • コンテキスト C: static (inside,shared) 10.30.10.0 10.30.10.0 netmask 255.255.255.0 (注) インターフェイス宛の管理トラフィックでは、インターフェイス IP アドレスが分類に使用されます。 無効な分類子の基準 次のコンフィギュレーションは、パケットの分類に使用されません。 • NAT 免除:分類子は、分類の目的では NAT 免除コンフィギュレーションは使用しません。これ は、NAT 免除がマッピング インターフェイスを識別しないためです。 • ルーティング テーブル:コンテキストに、あるサブネットへのネクストホップとして外部ルータ をポイントするスタティック ルートが含まれており、別のコンテキストに、同じサブネットに対 する static コマンドが含まれている場合、分類子は static コマンドを使用してそのサブネットを宛 先とするパケットを分類し、スタティック ルートを無視します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-4 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 分類の例 図 5-1 に、外部インターフェイスを共有するマルチコンテキストを示します。コンテキスト B には ルータがパケットを送信する MAC アドレスが含まれているため、分類子はパケットをコンテキスト B に割り当てます。 図 5-1 MAC アドレスを使用した共有インターフェイスを持つパケット分類 ࠗࡦ࠲ࡀ࠶࠻ ࡄࠤ࠶࠻ߩተవ㧦 MAC 000C.F142.4CDC ǛʼƠƨ 209.165.201.1 GE 0/0.1㧔ࠗࡦ࠲ࡈࠚࠗࠬ㧕 ಽ㘃ሶ MAC 000C.F142.4CDB ࠦࡦ࠹ࠠࠬ࠻ A GE 0/1.1 MAC 000C.F142.4CDC ࠦࡦ࠹ࠠࠬ࠻ B GE 0/1.2 GE 0/1.3 ▤ℂ ࡀ࠶࠻ࡢࠢ ࠞࠬ࠲ࡑ A ౝㇱ ౝㇱ ࠞࠬ࠲ࡑ B ࡎࠬ࠻ 209.165.202.129 ࡎࠬ࠻ 209.165.200.225 ࡎࠬ࠻ 209.165.201.1 153367 MAC 000C.F142.4CDA ▤ℂ ࠦࡦ࠹ࠠࠬ࠻ Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-5 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 図 5-2 に、MAC アドレスが割り当てられていない外部インターフェイスを共有するマルチコンテキス トを示します。コンテキスト B には宛先アドレスに一致するアドレス変換が含まれるため、分類子は パケットをコンテキスト B に割り当てます。 図 5-2 NAT を使用した共有インターフェイスを持つパケット分類 ࠗࡦ࠲ࡀ࠶࠻ ࡄࠤ࠶࠻ߩተవ㧦 209.165.201.3 GE 0/0.1㧔ࠗࡦ࠲ࡈࠚࠗࠬ㧕 ಽ㘃ሶ ▤ℂ ࠦࡦ࠹ࠠࠬ࠻ ࠦࡦ࠹ࠠࠬ࠻ A ࠦࡦ࠹ࠠࠬ࠻ B ተవࠕ࠼ࠬᄌ឵ 209.165.201.3 10.1.1.13 GE 0/1.1 GE 0/1.2 GE 0/1.3 ࠞࠬ࠲ࡑ A ౝㇱ ࠞࠬ࠲ࡑ B ౝㇱ ࡎࠬ࠻ 10.1.1.13 ࡎࠬ࠻ 10.1.1.13 ࡎࠬ࠻ 10.1.1.13 92399 ▤ℂ ࡀ࠶࠻ࡢࠢ 内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してく ださい。図 5-3 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスして いる場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インター フェイスがギガビット イーサネット 0/1.3 で、このイーサネットがコンテキスト B に割り当てられて いるためです。 (注) 内部インターフェイスを共有し、固有の MAC アドレスを使用していない場合、分類子には重要な制限 事項がいくつかあります。分類子は、アドレス変換コンフィギュレーションに基づいてコンテキスト内 のパケットを分類します。そのトラフィックの宛先アドレスを変換する必要があります。通常は外部ア ドレスに対して NAT を実行しないため、パケットを共有インターフェイスの内部から外部へ送信でき ない場合もあります。これは、Web のように巨大な外部ネットワークで、外部 NAT コンフィギュレー ションのアドレスを予測できないためです。内部インターフェイスを共有する場合、固有の MAC アド レスを使用することをお勧めします。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-6 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 図 5-3 内部ネットワークからの着信トラフィック ࠗࡦ࠲ࡀ࠶࠻ GE 0/0.1 ▤ℂ ࠦࡦ࠹ࠠࠬ࠻ ࠦࡦ࠹ࠠࠬ࠻ A ࠦࡦ࠹ࠠࠬ࠻ B ಽ㘃ሶ GE 0/1.1 GE 0/1.2 GE 0/1.3 ࠞࠬ࠲ࡑ A ౝㇱ ࠞࠬ࠲ࡑ B ౝㇱ ࡎࠬ࠻ 10.1.1.13 ࡎࠬ࠻ 10.1.1.13 ࡎࠬ࠻ 10.1.1.13 92395 ▤ℂ ࡀ࠶࠻ࡢࠢ Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-7 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 透過ファイアウォールでは、固有のインターフェイスを使用する必要があります。図 5-4 に、内部ネッ トワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子 は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサ ネット 1/0.3 で、このイーサネットがコンテキスト B に割り当てられているためです。 図 5-4 透過ファイアウォールのコンテキスト ࠗࡦ࠲ࡀ࠶࠻ ಽ㘃ሶ GE 0/0.2 GE 0/0.1 GE 0/0.3 ▤ℂ ࠦࡦ࠹ࠠࠬ࠻ ࠦࡦ࠹ࠠࠬ࠻ A GE 1/0.1 GE 1/0.2 GE 1/0.3 ࠞࠬ࠲ࡑ A ౝㇱ ࠞࠬ࠲ࡑ B ౝㇱ ࡎࠬ࠻ 10.1.2.13 ࡎࠬ࠻ 10.1.3.13 92401 ▤ℂ ࡀ࠶࠻ࡢࠢ ࠦࡦ࠹ࠠࠬ࠻ B ࡎࠬ࠻ 10.1.1.13 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-8 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストに関する情報 セキュリティ コンテキストのカスケード接続 コンテキストを別のコンテキストの前に置くことを、コンテキストをカスケード接続するといいます。 あるコンテキストの外部インターフェイスは、別のコンテキストの内部インターフェイスと同じイン ターフェイスです。いくつかのコンテキストのコンフィギュレーションを単純化する場合、最上位のコ ンテキストの共有パラメータを設定することで、コンテキストをカスケード接続できます。 (注) コンテキストをカスケード接続するには、各コンテキスト インターフェイスに固有の MAC アドレス を設定する必要があります。MAC アドレスのない共有インターフェイスのパケットを分類するには限 界があるため、固有の MAC アドレスを設定しないでコンテキストのカスケード接続を使用することは お勧めしません。 図 5-5 に、ゲートウェイの背後に 2 つのコンテキストがあるゲートウェイ コンテキストを示します。 図 5-5 コンテキストのカスケード接続 ࠗࡦ࠲ࡀ࠶࠻ GE 0/0.2 ᄖㇱ ࠥ࠻࠙ࠚࠗ ࠦࡦ࠹ࠠࠬ࠻ ౝㇱ GE 0/0.1 㧔ࠗࡦ࠲ࡈࠚࠗࠬ㧕 ᄖㇱ ᄖㇱ ▤ℂ ࠦࡦ࠹ࠠࠬ࠻ ࠦࡦ࠹ࠠࠬ࠻ A ౝㇱ GE 1/1.43 ౝㇱ 153366 GE 1/1.8 セキュリティ コンテキストへの管理アクセス 適応型セキュリティ アプライアンスでは、マルチコンテキスト モードでのシステム管理アクセスと、 各コンテキスト管理者のアクセスを提供します。次の各項では、システム管理者またはコンテキスト管 理者としてのログインについて説明します。 • 「システム管理者のアクセス」(P.5-10) • 「コンテキスト管理者のアクセス」(P.5-10) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-9 第5章 マルチコンテキスト モードの管理 マルチコンテキスト モードのイネーブル化とディセーブル化 システム管理者のアクセス 適応型セキュリティ アプライアンスにシステム管理者としてアクセスするには、次の 2 つの方法があ ります。 • 適応型セキュリティ アプライアンス コンソールにアクセスする コンソールからシステム実行スペースにアクセスします。この場合、入力したコマンドは、システ ム コンフィギュレーションまたはシステムの実行(run-time コマンド)だけに影響します。 • Telnet、SSH、または ASDM を使用して管理コンテキストにアクセスする Telnet、SSH、および SDM アクセスをイネーブルにするには、第 37 章「管理アクセスの設定」 を参照してください。 システム管理者として、すべてのコンテキストにアクセスできます。 管理者またはシステムからコンテキストに変更すると、ユーザ名はデフォルトの「enable_15」に変わ ります。そのコンテキストでコマンド認可を設定した場合は、「enable_15」というユーザの認可特権 を設定するか、またはコンテキストのコマンド認可コンフィギュレーションで十分な特権を与えられる 別の名前でログインできます。ユーザ名を指定してログインするには、login コマンドを入力します。 たとえば、「admin」というユーザ名で管理コンテキストにログインします。管理コンテキストにコマ ンド認可コンフィギュレーションはありませんが、それ以外のすべてのコンテキストにはコマンド認可 があります。便宜上、各コンテキスト コンフィギュレーションには、最大特権を持つ「admin」がユー ザとして含まれています。管理コンテキストからコンテキスト A に変更したら、ユーザ名が変わるた め、login コマンドを入力して再度「admin」でログインする必要があります。コンテキスト B に変更 したら、再度 login コマンドを入力して、「admin」でログインする必要があります。 システム実行スペースでは AAA コマンドはサポートされていませんが、個別のログインのために、固 有のイネーブル パスワードおよびユーザ名をローカル データベースに設定することができます。 コンテキスト管理者のアクセス Telnet、SSH、または ASDM を使用して、コンテキストにアクセスできます。管理外コンテキストに ログインすると、アクセスできるのはそのコンテキストのコンフィギュレーションだけになります。そ のコンテキストに個別のログインを付与できます。Telnet、SSH、および SDM によるアクセスをイ ネーブルにして管理認証を設定するには、第 37 章「管理アクセスの設定」を参照してください。 マルチコンテキスト モードのイネーブル化とディセーブル化 シスコへの発注方法によっては、適応型セキュリティ アプライアンスがすでにマルチセキュリティ コ ンテキスト用に設定されている場合があります。ただし、アップグレードする場合は、この項で説明す る手順に従ってシングルモードからマルチモードに変換することが必要になる場合があります。 ASDM はモードの変更をサポートしていないため、CLI を使用してモードを変更する必要があります。 この項は、次の内容で構成されています。 • 「シングルモード コンフィギュレーションのバックアップ」(P.5-11) • 「マルチコンテキスト モードのイネーブル化」(P.5-11) • 「シングルコンテキスト モードの復元」(P.5-11) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-10 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 マルチコンテキスト モードのイネーブル化とディセーブル化 シングルモード コンフィギュレーションのバックアップ シングルモードからマルチモードに変換すると、適応型セキュリティ アプライアンスは実行コンフィ ギュレーションを 2 つのファイルに変換します。元のスタートアップ コンフィギュレーションは保存 されないため、実行コンフィギュレーションと異なる場合は、手順を進める前にバックアップを取る必 要があります。 マルチコンテキスト モードのイネーブル化 コンテキスト モード(シングルまたはマルチ)は、リブートしても保持されますが、コンフィギュ レーション ファイルには保存されません。別の装置にコンフィギュレーションをコピーする必要があ る場合、mode コマンドを実行して新しい装置のモードを一致するように設定します。 シングルモードからマルチモードに変換すると、適応型セキュリティ アプライアンスは、実行コン フィギュレーションを 2 つのファイルに変換します。その 2 つは、システム コンフィギュレーション を構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg です(内部フラッシュ メモリのルート ディレクトリに作成されます)。元の実行コンフィギュレーショ ンは、old_running.cfg として保存されます(内部フラッシュ メモリのルート ディレクトリに保存され ます)。元のスタートアップ コンフィギュレーションは保存されません。管理コンテキストのエントリ は、「admin」という名前でシステム コンフィギュレーションに適応型セキュリティ アプライアンスに よって自動的に追加されます。 マルチモードをイネーブルにするには、次のコマンドを入力します。 hostname(config)# mode multiple 適応型セキュリティ アプライアンスをリブートするよう求められます。 シングルコンテキスト モードの復元 マルチモードからシングルモードに変換する場合、最初にスタートアップ コンフィギュレーション全 体を適応型セキュリティ アプライアンスにコピーします(可能な場合)。これは、シングルモードの装 置にとって、マルチモードから継承されるシステム コンフィギュレーションは完全に機能を果たすコ ンフィギュレーションではないためです。システム コンフィギュレーションは、自身のコンフィギュ レーションの一部としてネットワーク インターフェイスを持たないため、コンソールから適応型セ キュリティ アプライアンスにアクセスしてコピーをとる必要があります。 以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーしてモードを シングルモードに変更するには、システム実行スペースで次の手順を実行します。 ステップ 1 元の実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュ レーションにコピーするには、システムの実行スペースで次のコマンドを入力します。 hostname(config)# copy flash:old_running.cfg startup-config ステップ 2 モードをシングルモードに設定するには、システム実行スペースで次のコマンドを入力します。 hostname(config)# mode single 適応型セキュリティ アプライアンスがリブートします。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-11 第5章 マルチコンテキスト モードの管理 リソース管理の設定 リソース管理の設定 デフォルトでは、すべてのセキュリティ コンテキストは、コンテキストあたりの最大制限が適用され ている場合を除いて、適応型セキュリティ アプライアンスのリソースに無制限にアクセスできます。 ただし、他のコンテキストが接続を拒否される原因になっている場合など、1 つ以上のコンテキストが 過度に多くのリソースを使用している場合は、コンテキストあたりのリソース使用量を制限するように リソース管理を設定できます。 この項は、次の内容で構成されています。 • 「クラスおよびクラス メンバーの概要」(P.5-12) • 「クラスの設定」(P.5-15) クラスおよびクラス メンバーの概要 適応型セキュリティ アプライアンスは、リソース クラスにコンテキストを割り当てることでリソース を管理します。各コンテキストは、クラスによって設定されるリソース制限値を使用します。この項 は、次の内容で構成されています。 • 「リソース制限値」(P.5-12) • 「デフォルト クラス」(P.5-13) • 「クラス メンバー」(P.5-14) リソース制限値 クラスを作成すると、適応型セキュリティ アプライアンスでは、そのクラスに割り当てられたコンテ キストごとにリソースの一部を取り分けることはしません。適応型セキュリティ アプライアンス は、 コンテキストの最大限度を設定します。リソースをオーバーサブスクライブしたり、特定のリソースを 無制限に使用できるようにしたりすると、少数のコンテキストがリソースを「使い果たし」、他のコン テキストへのサービスに影響する可能性があります。 個々のリソースには、割合(ハードウェアのシステム制限がある場合)または絶対値で制限を設定でき ます。 コンテキスト全体に渡って 100% 以上のリソースを割り当てることにより、適応型セキュリティ アプ ライアンスをオーバーサブスクライブすることができます。たとえば、接続がコンテキストあたり 20% までに制限されるように Bronze クラスを設定し、それから 10 個のコンテキストをそのクラスに 割り当てれば、リソースの合計を 200% にできます。複数のコンテキストによる同時使用量がシステム 制限を超えると、各コンテキストのリソース使用量は設定した 20% 未満になります (図 5-6 を参照)。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-12 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 リソース管理の設定 図 5-6 リソースのオーバーサブスクライブ ࠪࠬ࠹ࡓធ⛯ߩ✚ᢙ = 999,900 ᦨᄢ 20% (199,800) ⸵นߐࠇߡࠆ ᦨᄢធ⛯ᢙޕ 16% (159,984) ↪ߐࠇߡࠆធ⛯ޕ 12% (119,988) ࠪࠬ࠹ࡓߩ㒢୯ߦ ㆐ߒߚߚޔ ធ⛯߇ᜎุߐࠇߚޕ 8% (79,992) 1 2 3 4 5 6 7 ࠢࠬߩࠦࡦ࠹ࠠࠬ࠻ 8 9 104895 4% (39,996) 10 コンテキスト全体に渡って、適応型セキュリティ アプライアンスの実際の制限を超える絶対値をリ ソースに割り当てると、適応型セキュリティ アプライアンスのパフォーマンスが低下する場合があり ます。 適応型セキュリティ アプライアンスでは、割合や絶対値ではなく、クラス内の 1 つ以上のリソースへ の無制限アクセスを割り当てることができます。リソースに制限がない場合、コンテキストは、システ ムに存在する(実際に使用可能な)だけのリソースを使用できます。たとえば、コンテキスト A、B、 C が Silver クラスに属しており、クラスの各メンバーの使用量が接続の 1% に制限されていて、合計 3% が割り当てられているが、3 つのコンテキストが現在使用しているのは合計 2% だけだとします。 Gold クラスは、接続に無制限にアクセスできます。Gold クラスのコンテキストは「未割り当て」接続 の 97% 以上を使用できるため、コンテキスト A、B、C で現在使用されていない接続の残りの 1% も 使用できます。その場合、コンテキスト A、B、C の使用量は合計制限値である 3% 以下になります (図 5-7 を参照)。無制限アクセスの設定は、システムのオーバーサブスクライブ量を制御する機能が劣 る点を除いて、適応型セキュリティ アプライアンスのオーバーサブスクライブに類似しています。 図 5-7 無制限リソース 50% 43% 5% ⸵นߐࠇߡࠆ ᦨᄢធ⛯ᢙޕ 4% ↪ߐࠇߡࠆធ⛯ޕ 3% ࠪࠬ࠹ࡓߩ㒢୯ߦ ㆐ߒߚߚޔ ធ⛯߇ᜎุߐࠇߚޕ 2% A B C ࠦࡦ࠹ࠠࠬ࠻ Silver ࠢࠬ 1 2 3 ࠦࡦ࠹ࠠࠬ࠻ Gold ࠢࠬ 153211 1% デフォルト クラス すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。 したがって、コンテキストをデフォルト クラスに割り当てる必要は特にありません。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-13 第5章 マルチコンテキスト モードの管理 リソース管理の設定 コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定はデフォルト クラ スの設定よりも常に優先されます。ただし、デフォルト以外のクラスに未定義の設定がある場合、メン バー コンテキストはデフォルト クラスの設定をそれらの制限値として使用します。たとえば、クラス を作成するときにすべての同時接続の 2% という制限を設けても、他の制限を設定しないと、それらの 制限値はデフォルト クラスから継承されます。これとは逆に、すべてのリソースに対する制限値を設 定してクラスを作成すると、そのクラスではデフォルト クラスの設定を何も使用しません。 デフォルトでは、デフォルト クラスのすべてのコンテキストにリソースへの無制限アクセスが許可さ れますが、次の制限の場合は例外で、コンテキストあたりの許容最大値に設定されます。 • Telnet セッション:5 セッション • SSH セッション:5 セッション • IPSec セッション:5 セッション • MAC アドレス:65,535 エントリ 図 5-8 に、デフォルト クラスと他のクラスの関係を示します。コンテキスト A および C は、いくつか の制限が設定されたクラスに属しており、それ以外の制限はデフォルト クラスから継承します。コン テキスト B は、属している Gold クラスですべての制限が設定されているため、デフォルト クラスから 制限値を継承しません。コンテキスト D はクラスに割り当てられなかったため、デフォルトでデフォ ルト クラスのメンバーになります。 図 5-8 Bronze ࠢࠬ 㧔ߊߟ߆ߩ 㒢߇ ⸳ቯߐࠇߡࠆ㧕 ࠦࡦ࠹ࠠࠬ࠻ A リソース クラス ࠺ࡈࠜ࡞࠻ ࠢࠬ ࠦࡦ࠹ࠠࠬ࠻ D Silver ࠢࠬ 㧔ߊߟ߆ߩ㒢߇ ⸳ቯߐࠇߡࠆ㧕 Gold ࠢࠬ 㧔ߔߴߡߩ㒢߇ ⸳ቯߐࠇߡࠆ㧕 ࠦࡦ࠹ࠠࠬ࠻ B 104689 ࠦࡦ࠹ࠠࠬ࠻ C クラス メンバー クラスの設定を使用するには、コンテキストを定義するときに、そのコンテキストをクラスに割り当て ます。すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属し ます。したがって、コンテキストをデフォルト クラスに割り当てる必要は特にありません。コンテキ ストは 1 つのリソース クラスにだけ割り当てることができます。この規則の例外は、メンバー クラス で未定義の制限はデフォルト クラスから継承されることです。そのため実際には、コンテキストがデ フォルト クラスおよび別のクラスのメンバーになります。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-14 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 リソース管理の設定 クラスの設定 システム コンフィギュレーションでクラスを設定するには、次の手順を実行します。新しい値を指定 してコマンドを再入力すると、特定のリソース制限値を変更できます。 ステップ 1 クラス名を指定してクラス コンフィギュレーション モードに移行するには、システム実行スペースで 次のコマンドを入力します。 hostname(config)# class name name は、最大 20 文字の文字列です。デフォルト クラスの制限値を設定するには、名前として default と入力します。 ステップ 2 リソースの制限値を設定する場合は、次のオプションを参照してください。 • すべてのリソース制限値を無制限に設定するには(表 5-1 を参照)、次のコマンドを入力します。 hostname(config-resmgmt)# limit-resource all 0 たとえば、制限のない管理コンテキストを含むクラスを作成するとします。デフォルト クラスで は、デフォルトですべてのリソースが無制限に設定されています。 • 特定のリソース制限値を設定するには、次のコマンドを入力します。 hostname(config-resmgmt)# limit-resource [rate] resource_name number[%] この特定のリソースでは、この制限値が all に設定された制限値より優先されます。rate 引数を入 力して、特定のリソースの毎秒あたりのレートを設定します。システム制限が設定されていないリ ソースの場合は、1 ~ 100 の割合(%)値は設定できず、絶対値だけを設定できます。毎秒あたり のレートを設定可能なリソース、およびシステム制限が設定されていないリソースについては、 表 5-1 を参照してください。 表 5-1 に、リソース タイプとその制限値の一覧を示します。show resource types コマンドも参照 してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-15 第5章 マルチコンテキスト モードの管理 リソース管理の設定 表 5-1 リソース名と制限値 リソース名 レートまた は同時 コンテキストあた りの最小および最 大数 システム制限1 説明 mac-addresses 同時 該当なし 65,535 透過ファイアウォール モードの場合は、 MAC アドレス テーブルで許容される MAC アドレスの数。 conns 同時または レート 該当なし 同時接続:プラット 任意の 2 つのホスト間の TCP 接続または フォームの接続制限値に UDP 接続。これには、1 台のホストと他の複 ついては、「モデルごと 数台のホストとの接続も含まれます。 にサポートされている機 能のライセンス」 (P.3-1)を参照してくだ さい。 レート:該当なし inspects レート 該当なし 該当なし アプリケーション検査。 hosts 同時 該当なし 該当なし 適応型セキュリティ アプライアンスを通し て接続可能なホスト。 asdm 同時 最小 1 32 ASDM 管理セッション。 最大 5 ssh 同時 最小 1 (注) ASDM セッションでは、モニタリン グ用の常に存在する接続と、コン フィギュレーションを変更する場合 にだけ確立されるコンフィギュレー ション用の接続の、2 つの HTTPS 接 続を使用します。たとえば、システ ム制限が 32 の ASDM セッションで あれば、HTTPS セッションの制限は 64 になります。 100 SSH セッション。 最大 5 syslogs レート 該当なし 該当なし システム ログ メッセージ。 telnet 同時 最小 1 100 Telnet セッション。 該当なし アドレス変換。 最大 5 xlates 同時 該当なし 1. このカラムの値が「該当なし」の場合は、そのリソースにハードウェア システム制限がないため、リソースの割合を設定できません。 たとえば、接続のデフォルト クラス制限を、無制限ではなく 10% に設定するには、次のコマンドを入 力します。 hostname(config)# class default hostname(config-class)# limit-resource conns 10% 他のすべてのリソースは無制限のままです。 gold というクラスを追加するには、次のコマンドを入力します。 hostname(config)# class gold Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-16 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの設定 hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# hostname(config-class)# limit-resource limit-resource limit-resource limit-resource limit-resource limit-resource limit-resource limit-resource limit-resource limit-resource mac-addresses 10000 conns 15% rate conns 1000 rate inspects 500 hosts 9000 asdm 5 ssh 5 rate syslogs 5000 telnet 5 xlates 36000 セキュリティ コンテキストの設定 システム コンフィギュレーション内のセキュリティ コンテキストの定義によって、コンテキストの名 前、コンフィギュレーション ファイルの URL、コンテキストが使用できるインターフェイスが識別さ れます。 前提条件 • 物理インターフェイス パラメータ、VLAN サブインターフェイス、および冗長インターフェイス を、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」(P.6-9)に従って設定 します。 • 管理コンテキストがない場合(コンフィギュレーションをクリアした場合など)は、最初に次のコ マンドを入力して管理コンテキスト名を指定する必要があります。 hostname(config)# admin-context name このコンテキスト名はコンフィギュレーションにまだ存在しませんが、続いて context name コマ ンドを入力すると、指定した名前との照合が行われて、管理コンテキスト コンフィギュレーショ ンを続行できます。 詳細な手順 システム コンフィギュレーションにコンテキストを追加する場合、または既存のコンテキストを変更 する場合は、次の手順を実行します。 ステップ 1 コンテキストを追加または修正するには、システム実行スペースで次のコマンドを入力します。 hostname(config)# context name name は最大 32 文字の文字列です。この名前では、大文字と小文字が区別されるため、たとえば、 「customerA」と「CustomerA」の 2 種類のコンテキストが使用できます。英字、数字、またはハイフ ンを使用できますが、名前の先頭または末尾にハイフンは使用できません。 「System 」および「Null」(大文字および小文字)は予約されている名前であるため、使用できません。 ステップ 2 (オプション)このコンテキストに説明を追加するには、次のコマンドを使用します。 hostname(config-ctx)# description text ステップ 3 コンテキストで使用するインターフェイスを指定するには、1 つの物理インターフェイス、あるいは 1 つまたは複数のサブインターフェイスに該当するコマンドを入力します。 • 物理インターフェイスを割り当てるには、次のコマンドを入力します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-17 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの設定 hostname(config-ctx)# allocate-interface physical_interface [mapped_name] [visible | invisible] • 1 つまたは複数のサブインターフェイスを割り当てるには、次のコマンドを入力します。 hostname(config-ctx)# allocate-interface physical_interface.subinterface[-physical_interface.subinterface] [mapped_name[-mapped_name]] [visible | invisible] (注) インターフェイス タイプとポート番号の間にスペースを入れないでください。 これらのコマンドを複数回入力して複数の範囲を指定できます。このコマンドの no 形式を使用して割 り当てを削除すると、このインターフェイスを含むコンテキスト コマンドすべてが実行コンフィギュ レーションから削除されます。 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることがで きます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。 (注) トランスペアレント モードの管理インターフェイスによって、MAC アドレス テーブルにないパケッ トがインターフェイスからフラッドされることはありません。 必要に応じて、同じインターフェイスをルーテッド モードの複数のコンテキストに割り当てることが できます。トランスペアレント モードでは、インターフェイスの共有は許されません。 mapped_name は、インターフェイスの英数字のエイリアスで、インターフェイス ID の代わりにコン テキスト内で使用できます。マッピング名を指定しない場合は、コンテキスト内でインターフェイス ID が使用されます。セキュリティ保護上の目的から、コンテキストでどのインターフェイスが使用さ れているかをコンテキスト管理者に知られないようにすることができます。 マッピング名は英字で始まり英字または数字で終わる必要があります。中の文字として使用できるの は、英字、数字、下線だけです。たとえば、次のような名前が使用できます。 int0 inta int_0 サブインターフェイスでは、マッピング名の範囲が指定できます。 サブインターフェイスの範囲を指定すると、マッピング名を照合する範囲が指定できます。範囲指定に ついては次のガイドラインに従ってください。 • マッピング名は、英字の部分とそれに続く数字の部分で構成する必要があります。マッピング名の 英字部分は、範囲の両端で一致していなければなりません。たとえば、次の範囲を入力します。 int0-int10 たとえば、gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力すると、コマンドは失 敗します。 • マッピング名の数字の部分には、サブインターフェイスの範囲と同じ数字が含まれていなければな りません。たとえば、次の両方の範囲には、100 のインターフェイスが含まれています。 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-18 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの設定 たとえば、gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力すると、コマンドは 失敗します。 visible と指定することで、マッピング名を設定した場合でも、show interface コマンドで物理イン ターフェイスのプロパティが表示されるようにします。デフォルトの invisible は、マッピング名だけ が表示されるように指定するキーワードです。 次の例では、gigabitethernet 0/1.100、gigabitethernet 0/1.200、および gigabitethernet 0/2.300 ~ gigabitethernet 0/2.305 がコンテキストに割り当てられることを示します。int1 ~ int8 がマッピング名 です。 hostname(config-ctx)# allocate-interface gigabitethernet0/1.100 int1 hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int2 hostname(config-ctx)# allocate-interface gigabitethernet0/2.300-gigabitethernet0/2.305 int3-int8 ステップ 4 システムがコンテキスト コンフィギュレーションをダウンロードする URL を識別するには、次のコマ ンドを入力します。 hostname(config-ctx)# config-url url コンテキストの URL を追加すると、そのコンテキストをただちにロードし、コンフィギュレーション が使用可能であればコンテキストを実行できるようにします。 (注) allocate-interface コマンドは、config-url コマンドを入力する前に入力してください。適応型セキュ リティ アプライアンスは、コンテキスト コンフィギュレーションをロードする前にインターフェイス をコンテキストに割り当てる必要があります。これは、コンテキスト コンフィギュレーションに、イ ンターフェイス(interface、nat、global...)を参照するコマンドが含まれている場合があるためです。 config-url コマンドを先に入力すると、適応型セキュリティ アプライアンスは、コンテキスト コン フィギュレーションをただちにロードします。この場合、コンテキストにインターフェイスを参照する コマンドが含まれていると、そのコマンドは失敗します。 次の URL シンタックスを参照してください。 • disk:/[path/]filename この URL は内部フラッシュ メモリを示します。ファイル名にファイル拡張子は不要ですが、 「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在しない場合は、 次のメッセージが表示されます。 WARNING: Could not fetch the URL disk:/url INFO: Creating context with default config 次に、コンテキストを変更し、CLI で設定を行い、write memory コマンドを入力してフラッシュ メモリにファイルを書き込むことができます。 (注) 管理コンテキスト ファイルは、内部フラッシュ メモリに保存する必要があります。 • ftp://[user[:password]@]server[:port]/[path/]filename[;type=xx] type には、次のいずれかのキーワードを指定できます。 – ap:ASCII パッシブ モード – an:ASCII 通常モード – ip:(デフォルト)バイナリ パッシブ モード – in:バイナリ通常モード Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-19 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの設定 管理コンテキストからサーバにアクセス可能である必要があります。ファイル名にファイル拡張子 は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在 しない場合は、次のメッセージが表示されます。 WARNING: Could not fetch the URL ftp://url INFO: Creating context with default config 次に、コンテキストを変更し、CLI で設定を行い、write memory コマンドを入力して FTP サーバ にファイルを書き込むことができます。 • http[s]://[user[:password]@]server[:port]/[path/]filename 管理コンテキストからサーバにアクセス可能である必要があります。ファイル名にファイル拡張子 は不要ですが、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在 しない場合は、次のメッセージが表示されます。 WARNING: Could not fetch the URL http://url INFO: Creating context with default config コンテキストに変更を加え、CLI でコンテキストを設定する場合は、write memory コマンドを使 用して HTTP または HTTPS サーバに変更を保存することはできません。ただし、copy tftp コマ ンドを使用すれば、実行コンフィギュレーションを TFTP サーバにコピーできます。 • tftp://[user[:password]@]server[:port]/[path/]filename[;int=interface_name] 管理コンテキストからサーバにアクセス可能である必要があります。サーバ アドレスへのルート を上書きする場合は、インターフェイス名を指定します。ファイル名にファイル拡張子は不要です が、「.cfg」を使用することをお勧めします。コンフィギュレーション ファイルが存在しない場合 は、次のメッセージが表示されます。 WARNING: Could not fetch the URL tftp://url INFO: Creating context with default config 次に、コンテキストを変更し、CLI で設定を行い、write memory コマンドを入力して TFTP サー バにファイルを書き込むことができます。 URL を変更するには、新しい URL を指定した config-url コマンドを再入力します。 「セキュリティ コンテキスト URL の変更」 (P.5-24)を参照してくださ URL の変更の詳細については、 い。 たとえば、次のコマンドを入力します。 hostname(config-ctx)# config-url ftp://joe:[email protected]/configlets/test.cfg ステップ 5 (オプション)コンテキストをリソース クラスに割り当てるには、次のコマンドを入力します。 hostname(config-ctx)# member class_name クラスを指定しない場合、コンテキストはデフォルト クラスに属します。コンテキストは 1 つのリ ソース クラスにだけ割り当てることができます。 たとえば、コンテキストを gold クラスに割り当てるには、次のコマンドを入力します。 hostname(config-ctx)# member gold ステップ 6 (オプション)AIP SSM がインストールされている場合に、IPS 仮想センサーをこのコンテキストに割 り当てるには、allocate-ips コマンドを使用します。仮想センサーの詳細については、「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」(P.59-7)を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-20 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 コンテキスト インターフェイスへの MAC アドレスの自動割り当て 例 次の例では、管理コンテキストを「administrator」と設定し、内部フラッシュ メモリに 「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追 加しています。 hostname(config)# admin-context administrator hostname(config)# context administrator hostname(config-ctx)# allocate-interface gigabitethernet0/0.1 hostname(config-ctx)# allocate-interface gigabitethernet0/1.1 hostname(config-ctx)# config-url flash:/admin.cfg hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# int3-int8 hostname(config-ctx)# hostname(config-ctx)# context test allocate-interface gigabitethernet0/0.100 int1 allocate-interface gigabitethernet0/0.102 int2 allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# int3-int8 hostname(config-ctx)# hostname(config-ctx)# context sample allocate-interface gigabitethernet0/1.200 int1 allocate-interface gigabitethernet0/1.212 int2 allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 config-url ftp://user1:[email protected]/configlets/test.cfg member gold config-url ftp://user1:[email protected]/configlets/sample.cfg member silver コンテキスト インターフェイスへの MAC アドレスの自動割 り当て コンテキストでのインターフェイス共有を許可するため、各コンテキスト インターフェイスに固有の MAC アドレスを割り当てることをお勧めします。生成された MAC アドレスがネットワーク上の別の プライベート MAC アドレスと競合することはまれですが、競合した場合は、コンテキスト内のイン ターフェイスに手動で MAC アドレスを設定できます。MAC アドレスの手動設定の詳細については、 「MAC アドレスの設定」(P.6-28)を参照してください。 デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイ スのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。 マルチコンテキスト モードでの MAC アドレス MAC アドレスは、コンテキスト内のパケットを分類するために使用します。1 つのインターフェイス を共有するときに、各コンテキストでインターフェイスに固有の MAC アドレスが指定されていない場 合は、パケットの分類に宛先 IP アドレスが使用されます。宛先アドレスは、コンテキスト NAT コン フィギュレーションと照合されます。この方式には、MAC アドレス方式と比較していくつかの制限が あります。パケットの分類の詳細については、「セキュリティ アプライアンスによるパケットの分類方 法」(P.5-3)を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-21 第5章 マルチコンテキスト モードの管理 コンテキストとシステム実行スペースの切り替え MAC アドレスの自動割り当てとフェールオーバー フェールオーバーで MAC アドレスの自動割り当てを使用するとき、適応型セキュリティ アプライア ンスは、インターフェイスごとにアクティブとスタンバイの両方の MAC アドレスを生成します。アク ティブ装置がフェールオーバーしてスタンバイ装置がアクティブになると、新規のアクティブ装置はア クティブ MAC アドレスを使用して起動し、ネットワークの中断を最小限に抑えます。 MAC アドレス形式 MAC アドレスは、次の形式で生成されます。 • アクティブ装置の MAC アドレス:12_slot.port_subid.contextid • スタンバイ装置の MAC アドレス:02_slot.port_subid.contextid インターフェイス スロットなしのプラットフォームのスロット番号は常に 0 です。port はインター フェイス ポートです。subid は、サブインターフェイスの内部 ID で、表示できません。contextid は、 コンテキストの内部 ID で、show context detail コマンドで表示できます。たとえば、ID 1 のコンテキ ストの GigabitEthernet 0/1.200 インターフェイスには、次の MAC アドレスが生成されます。この場合 のサブインターフェイス 200 の内部 ID は 31 です。 • アクティブ:1200.0131.0001 • スタンバイ:0200.0131.0001 前提条件 このタスクはシステム実行スペースで実行します。 詳細な手順 システム コンフィギュレーションで次のコマンドを入力して、各共有コンテキスト インターフェイス にプライベート MAC アドレスを自動的に割り当てることができます。 hostname(config)# mac-address auto (注) コンテキストにインターフェイスを割り当てると、新規の MAC アドレスがただちに生成されます。コ ンテキスト インターフェイスの作成後にこの機能をイネーブルにすると、コマンドを入力した直後に、 すべてのインターフェイスに対して MAC アドレスが生成されます。no mac-address auto コマンドを 使用すると、各インターフェイスの MAC アドレスがデフォルトの MAC アドレスに戻ります。たとえ ば、GigabitEthernet 0/1 のサブインターフェイスは、GigabitEthernet 0/1 の MAC アドレスを再び使用 します。 コンテキストとシステム実行スペースの切り替え システム実行スペースにログインした場合(または Telnet や SSH を使用して管理コンテキストにログ インした場合)は、コンテキスト間の切り替えが可能であり、各コンテキスト内でコンフィギュレー ション タスクやモニタリング タスクを実行できます。実行コンフィギュレーションが、コンフィギュ レーション モードで編集するか、copy コマンドまたは write コマンドに使用されるかは、ログインし た場所で決まります。システム実行スペースにログインした場合、実行コンフィギュレーションはシス テム コンフィギュレーションのみで構成され、コンテキストにログインした場合は、実行コンフィ Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-22 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの管理 ギュレーションはそのコンテキストのみで構成されます。たとえば、show running-config コマンドを 入力しても、すべての実行コンフィギュレーション(システム コンテキストとすべてのコンテキスト) を表示することはできません。現在のコンフィギュレーションだけが表示されます。 システム実行スペースとコンテキスト間の切り替え、またはコンテキスト間の切り替えを行うには、次 のコマンドを使用します。 • あるコンテキストに切り替えるには、次のコマンドを入力します。 hostname# changeto context name プロンプトが次のように変化します。 hostname/name# • システム実行スペースに切り替えるには、次のコマンドを入力します。 hostname/admin# changeto system プロンプトが次のように変化します。 hostname# セキュリティ コンテキストの管理 この項では、セキュリティ コンテキストを管理する方法について説明します。次の項目を取り上げます。 • 「セキュリティ コンテキストの削除」(P.5-23) • 「管理コンテキストの変更」(P.5-24) • 「セキュリティ コンテキスト URL の変更」(P.5-24) • 「セキュリティ コンテキストのリロード」(P.5-25) セキュリティ コンテキストの削除 システム コンフィギュレーションを編集することで、削除できるのは 1 つのコンテキストだけです。 現在の管理コンテキストは、clear context コマンドを実行してすべてのコンテキストを削除しない限 り、削除できません。 (注) フェールオーバーを使用すると、アクティブ装置でコンテキストを削除した時刻と、スタンバイ装置で コンテキストが削除された時刻との間で遅延が生じます。アクティブ装置とスタンバイ装置の間でイン ターフェイス数が一致していないことを示すエラー メッセージが表示される場合があります。このエ ラーは一時的に表示されるもので、無視できます。 コンテキストの削除には、次のコマンドを使用します。 • 1 つのコンテキストを削除するには、システム実行スペースで次のコマンドを入力します。 hostname(config)# no context name すべてのコンテキスト コマンドを削除することもできます。 • すべてのコンテキスト(管理コンテキストを含む)を削除するには、システム実行スペースで次の コマンドを入力します。 hostname(config)# clear context Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-23 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの管理 管理コンテキストの変更 システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワー ク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバ からコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキスト のいずれかを使用します。 管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログ インすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキス トにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキ ストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管 理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限す る必要があります。 コンフィギュレーション ファイルが内部フラッシュ メモリに保存されている限り、任意のコンテキス トを管理コンテキストとして設定できます。管理コンテキストを設定するには、システム実行スペース で次のコマンドを入力します。 hostname(config)# admin-context context_name Telnet、SSH、HTTPS など、管理コンテキストに接続しているリモート管理セッションはすべて終了 します。新しい管理コンテキストに再接続する必要があります。 (注) ntp server を含むいくつかのシステム コマンドは、管理コンテキストに所属するインターフェイス名 を識別します。管理コンテキストを変更した場合に、そのインターフェイス名が新しい管理コンテキス トに存在しないときは、そのインターフェイスを参照するシステム コマンドはすべて、アップデート してください。 セキュリティ コンテキスト URL の変更 セキュリティ コンテキスト URL は、新しい URL からコンフィギュレーションをリロードしないと変 更できません。 適応型セキュリティ アプライアンスは、新しいコンフィギュレーションを現在の実行コンフィギュ レーションとマージします。同じ URL を再入力しても、保存済みのコンフィギュレーションが実行コ ンフィギュレーションとマージされます。マージによって、新しいコンフィギュレーションから実行コ ンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は 発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、 マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じるこ ともあります。実行コンフィギュレーションが空白の場合(サーバが利用できず、コンフィギュレー ションがまったくダウンロードされなかった場合など)は、新しいコンフィギュレーションが使用され ます。コンフィギュレーションをマージしない場合、実行コンフィギュレーションをクリアすることが できます。これを行うとコンテキストを通る通信がすべて中断されるので、後で新しい URL からコン フィギュレーションをリロードします。 コンテキストの URL を変更するには、次の手順を実行します。 ステップ 1 コンフィギュレーションをマージしない場合、コンテキストに切り替えてそのコンフィギュレーションを クリアするには、次のコマンドを入力します。マージを実行する場合は、ステップ 2 にスキップします。 hostname# changeto context name Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-24 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの管理 hostname/name# configure terminal hostname/name(config)# clear configure all ステップ 2 必要な場合は、次のコマンドを入力してシステム実行スペースに切り替えます。 hostname/name(config)# changeto system ステップ 3 切り替えたコンテキストに対応するコンテキスト コンフィギュレーション モードに入るには、次のコ マンドを入力します。 hostname(config)# context name ステップ 4 新しい URL を入力するには、次のコマンドを入力します。 hostname(config)# config-url new_url システムは、動作中になるように、ただちにコンテキストをロードします。 セキュリティ コンテキストのリロード セキュリティ コンテキストは、次の 2 つの方法でリロードできます。 • 実行コンフィギュレーションをクリアしてからスタートアップ コンフィギュレーションをイン ポートする。 このアクションでは、セキュリティ コンテキストに関連付けられている接続や NAT テーブルなど のアトリビュートの大部分がクリアされます。 • セキュリティ コンテキストをシステム コンフィギュレーションから削除する。 このアクションでは、トラブルシューティングに役立つ可能性のあるメモリ割り当てなど補足的な アトリビュートがクリアされます。しかし、コンテキストをシステムに戻して追加するには、 URL とインターフェイスを再指定する必要があります。 この項は、次の内容で構成されています。 • 「コンフィギュレーションのクリアによるリロード」(P.5-25) • 「コンテキストの削除および再追加によるリロード」(P.5-26) コンフィギュレーションのクリアによるリロード コンテキスト コンフィギュレーションをクリアし、URL からコンフィギュレーションをリロードする ことによってコンテキストをリロードするには、次の手順を実行します。 ステップ 1 リロードするコンテキストに切り替えるには、次のコマンドを入力します。 hostname# changeto context name ステップ 2 コンフィギュレーション モードにアクセスするには、次のコマンドを入力します。 hostname/name# configure terminal ステップ 3 実行コンフィギュレーションをクリアするには、次のコマンドを入力します。 hostname/name(config)# clear configure all このコマンドを実行するとすべての接続がクリアされます。 ステップ 4 コンフィギュレーションをリロードするには、次のコマンドを入力します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-25 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 hostname/name(config)# copy startup-config running-config 適応型セキュリティ アプライアンスは、システム コンフィギュレーションに指定された URL からコ ンフィギュレーションをコピーします。コンテキスト内で URL を変更することはできません。 コンテキストの削除および再追加によるリロード コンテキストを削除し、その後再追加することによってコンテキストをリロードするには、次の各項で 説明してある手順を実行してください。 1. 「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」(P.5-21) 2. 「セキュリティ コンテキストの設定」(P.5-17) セキュリティ コンテキストの監視 この項では、コンテキスト情報の表示および監視の方法について説明します。次の項目を取り上げます。 • 「コンテキスト情報の表示」(P.5-26) • 「リソース割り当ての表示」(P.5-27) • 「リソースの使用状況の表示」(P.5-30) • 「コンテキストでの SYN 攻撃の監視」(P.5-32) コンテキスト情報の表示 システム実行スペースから、名前、割り当てられているインターフェイス、コンフィギュレーション ファイル URL を含むコンテキストのリストを表示できます。 システム実行スペースから次のコマンドを入力すると、すべてのコンテキストが表示されます。 hostname# show context [name | detail| count] detail オプションを指定すると、追加情報が表示されます。詳細については、次の出力例を参照してく ださい。 特定のコンテキストの情報を表示する場合は、name にコンテキスト名を指定します。 count オプションを指定すると、コンテキストの合計数が表示されます。 次に、show context コマンドの出力例を示します。この出力例では、3 つのコンテキストが表示されて います。 hostname# show context Context Name *admin Interfaces GigabitEthernet0/1.100 GigabitEthernet0/1.101 contexta GigabitEthernet0/1.200 GigabitEthernet0/1.201 contextb GigabitEthernet0/1.300 GigabitEthernet0/1.301 Total active Security Contexts: 3 URL disk0:/admin.cfg disk0:/contexta.cfg disk0:/contextb.cfg 表 5-2 に、各フィールドの説明を示します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-26 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 表 5-2 show context のフィールド フィールド 説明 Context Name すべてのコンテキスト名を表示します。アスタリスク(*)が付いたコンテキスト 名は管理コンテキストです。 Interfaces コンテキストに割り当てられるインターフェイス。 URL 適応型セキュリティ アプライアンス がコンテキスト コンフィギュレーションを ロードする URL。 次に、show context detail コマンドの出力例を示します。 hostname# show context detail Context "admin", has been created, but initial ACL rules not complete Config URL: disk0:/admin.cfg Real Interfaces: Management0/0 Mapped Interfaces: Management0/0 Flags: 0x00000013, ID: 1 Context "ctx", has been created, but initial ACL rules not complete Config URL: ctx.cfg Real Interfaces: GigabitEthernet0/0.10, GigabitEthernet0/1.20, GigabitEthernet0/2.30 Mapped Interfaces: int1, int2, int3 Flags: 0x00000011, ID: 2 Context "system", is a system resource Config URL: startup-config Real Interfaces: Mapped Interfaces: Control0/0, GigabitEthernet0/0, GigabitEthernet0/0.10, GigabitEthernet0/1, GigabitEthernet0/1.10, GigabitEthernet0/1.20, GigabitEthernet0/2, GigabitEthernet0/2.30, GigabitEthernet0/3, Management0/0, Management0/0.1 Flags: 0x00000019, ID: 257 Context "null", is a system resource Config URL: ... null ... Real Interfaces: Mapped Interfaces: Flags: 0x00000009, ID: 258 detail の出力の詳細については、『Cisco ASA 5500 Series Command Reference』を参照してください。 次に、show context count コマンドの出力例を示します。 hostname# show context count Total active contexts: 2 リソース割り当ての表示 システム実行スペースから、すべてのクラスおよびクラス メンバーに渡るリソースごとの割り当て状 況を表示できます。 リソース割り当てを表示するには、次のコマンドを入力します。 hostname# show resource allocation [detail] このコマンドでリソース割り当てが表示されますが、実際に使用中のリソースは表示されません。実際 のリソース使用状況の詳細については、「リソースの使用状況の表示」(P.5-30)を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-27 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 detail 引数を指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。 次の出力例には、各リソースの合計割り当て量が絶対値および使用可能なシステム リソースの割合と して示されています。 hostname# show resource allocation Resource Total Conns [rate] 35000 Inspects [rate] 35000 Syslogs [rate] 10500 Conns 305000 Hosts 78842 SSH 35 Telnet 35 Xlates 91749 All unlimited % of Avail N/A N/A N/A 30.50% N/A 35.00% 35.00% N/A 表 5-3 に、各フィールドの説明を示します。 表 5-3 show resource allocation のフィールド フィールド 説明 Resource 制限できるリソースの名前。 Total コンテキスト全体に渡って割り当てられているリソースの合計量。合計量は、同 時インスタンスの絶対値または秒あたりのインスタンス数です。クラス定義で割 合を指定した場合、適応型セキュリティ アプライアンスは、この表示用に割合を 絶対値に変換します。 % of Avail リソースにハードウェア システム制限がある場合に、コンテキスト全体に渡って 割り当てられている合計システム リソースの割合。リソースにシステム制限がな い場合、このカラムの表示は N/A になります。 次に、show resource allocation detail コマンドの出力例を示します。 hostname# show resource allocation detail Resource Origin: A Value was derived from the resource 'all' C Value set in the definition of this class D Value set in default class Resource Class Mmbrs Origin Limit Conns [rate] default all CA unlimited gold 1 C 34000 silver 1 CA 17000 bronze 0 CA 8500 All Contexts: 3 Inspects [rate] Syslogs [rate] Conns default gold silver bronze All Contexts: all 1 1 0 3 CA DA CA CA default gold silver bronze All Contexts: all 1 1 0 3 CA C CA CA default gold silver all 1 1 CA C CA unlimited unlimited 10000 5000 unlimited 6000 3000 1500 unlimited 200000 100000 Total Total % 34000 17000 N/A N/A 51000 N/A 10000 N/A 10000 N/A 6000 3000 N/A N/A 9000 N/A 200000 100000 20.00% 10.00% Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-28 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 Hosts SSH Telnet Xlates mac-addresses bronze All Contexts: 0 3 CA default gold silver bronze All Contexts: all 1 1 0 3 CA DA CA CA default gold silver bronze All Contexts: all 1 1 0 3 C D CA CA default gold silver bronze All Contexts: all 1 1 0 3 C D CA CA default gold silver bronze All Contexts: all 1 1 0 3 CA DA CA CA default gold silver bronze All Contexts: all 1 1 0 3 C D CA CA 50000 300000 unlimited unlimited 26214 13107 5 5 10 5 5 5 10 5 unlimited unlimited 23040 11520 65535 65535 6553 3276 30.00% 26214 N/A 26214 N/A 5 10 5.00% 10.00% 20 20.00% 5 10 5.00% 10.00% 20 20.00% 23040 N/A 23040 N/A 65535 6553 100.00% 9.99% 137623 209.99% 表 5-4 に、各フィールドの説明を示します。 表 5-4 show resource allocation detail のフィールド フィールド 説明 Resource 制限できるリソースの名前。 Class デフォルト クラスを含む、各クラスの名前。 すべてのコンテキスト フィールドには、すべてのクラスを包含した合計値が表示 されます。 Mmbrs 各クラスに割り当てられたコンテキストの数。 Origin リソース制限の派生元。表示の意味は次のとおりです。 • A:この制限は、個々のリソースの代わりに all オプションを使用して設定さ れています。 • C:この制限はメンバー クラスから派生しています。 • D:この制限はメンバー クラスで定義されていませんが、デフォルト クラス から派生しています。デフォルト クラスに割り当てられたコンテキストの場 合、この値は「D」ではなく「C」となります。 適応型セキュリティ アプライアンスは「A」と「C」または「A」と「D」を組み 合せることができます。 Limit コンテキスト当たりのリソースの制限を示す絶対値。クラス定義で割合を指定し た場合、適応型セキュリティ アプライアンスは、この表示用に割合を絶対値に変 換します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-29 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 表 5-4 show resource allocation detail のフィールド (続き) フィールド 説明 Total クラス内のコンテキスト全体に渡って割り当てられているリソースの合計量。合 計量は、同時インスタンスの絶対値または秒あたりのインスタンス数です。リ ソースが無制限の場合、この表示は空白になります。 % of Avail クラス内のコンテキスト全体に渡って割り当てられている合計システム リソース の割合。リソースが無制限の場合、この表示は空白になります。リソースにシス テム制限がない場合、このカラムの表示は N/A になります。 リソースの使用状況の表示 システム実行スペースで、コンテキストごとのリソースの使用状況やシステム リソースの使用状況を 表示できます。 システム実行スペースでコンテキストごとのリソースの使用状況を表示するには、次のコマンドを入力 します。 hostname# show resource usage [context context_name | top n | all | summary | system] [resource {resource_name | all} | detail] [counter counter_name [count_threshold]] デフォルトでは、all(すべての)コンテキストの使用状況が表示されます。各コンテキストは個別に リスト表示されます。 指定したリソースの上位 n 人のユーザとなっているコンテキストを表示するには、top n キーワードを 入力します。このオプションには、リソース タイプを 1 つ指定する必要がありますが、resource all は 指定しないでください。 summary オプションを指定すると、すべてのコンテキストの使用状況が組み合されて表示されます。 system オプションでは、すべてのコンテキストの使用状況が組み合されて表示されますが、組み合さ れたコンテキスト制限ではなく、リソースに対するシステムの制限が表示されます。 resource resource_name で使用可能なリソース名については、表 5-1 を参照してください。show resource type コマンドも参照してください。すべてのタイプを表示するには all(デフォルト)を指定 します。 detail オプションを指定すると、管理できないリソースを含むすべてのリソースの使用状況が表示され ます。たとえば、TCP 割り込みの回数を表示できます。 counter counter_name には、次のいずれかのキーワードを指定します。 • current:アクティブな同時インスタンスまたはリソースの現在のレートを示します。 • denied:Limit カラムに示されるリソース制限を超過したために拒否された、インスタンスの数を 表示します。 • peak:同時インスタンスのピーク値、またはリソースのレートのピーク値を表示します。clear resource usage コマンドまたはリブートによって、最後に統計情報がクリアされて以来の値です。 • all:(デフォルト)すべての統計情報を表示します。 count_threshold は、表示するリソースの下限を設定します。デフォルトは 1 です。リソースの使用状 況が設定した数字より少ないとそのリソースは表示されません。カウンタ名に all を指定すると、 count_threshold が現在の使用状況に適用されます。 (注) すべてのリソースを表示するには、count_threshold を 0 に設定します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-30 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 次に、show resource usage context コマンドの出力例を示します。このコマンドは、管理コンテキス トのリソース使用状況を表示します。 hostname# show resource usage context admin Resource Telnet Conns Hosts Current 1 44 45 Peak 1 55 56 Limit 5 N/A N/A Denied 0 0 0 Context admin admin admin 次に、show resource usage summary コマンドの出力例を示します。このコマンドは、すべてのコン テキストおよびすべてのリソースのリソース使用状況を表示します。この出力例では、6 コンテキスト という限界を示しています。 hostname# show resource usage summary Resource Current Peak Limit Denied Syslogs [rate] 1743 2132 N/A 0 Conns 584 763 280000(S) 0 Xlates 8526 8966 N/A 0 Hosts 254 254 N/A 0 Conns [rate] 270 535 N/A 1704 Inspects [rate] 270 535 N/A 0 S = System: Combined context limits exceed the system limit; the Context Summary Summary Summary Summary Summary Summary system limit is shown. 次に、show resource usage summary コマンドの出力例を示します。このコマンドでは、25 コンテキ ストの制限が示されます。Telnet 接続および SSH 接続のコンテキストの限界がコンテキストごとに 5 であるため、合計の限界は 125 です。システムの限界が単に 100 であるため、システムの限界が表示 されています。 hostname# show resource usage summary Resource Current Peak Limit Denied Context Telnet 1 1 100[S] 0 Summary SSH 2 2 100[S] 0 Summary Conns 56 90 N/A 0 Summary Hosts 89 102 N/A 0 Summary S = System: Combined context limits exceed the system limit; the system limit is shown. 次に、show resource usage system コマンドの出力例を示します。このコマンドは、すべてのコンテ キストのリソース使用状況を表示しますが、組み合せたコンテキストの限界ではなく、システムの限界 を表示しています。現在使用中でないリソースを表示するには、counter all 0 オプションを指定しま す。Denied の統計情報は、システム制限がある場合に、その制限によってリソースが拒否された回数 を示します。 hostname# show resource usage system counter all 0 Resource Telnet SSH ASDM Syslogs [rate] Conns Xlates Hosts Conns [rate] Inspects [rate] Current 0 0 0 1 0 0 0 1 0 Peak 0 0 0 18 1 0 2 1 0 Limit 100 100 32 N/A 280000 N/A N/A N/A N/A Denied 0 0 0 0 0 0 0 0 0 Context System System System System System System System System System Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-31 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 コンテキストでの SYN 攻撃の監視 適応型セキュリティ アプライアンスは、TCP 代行受信を使用して SYN 攻撃を防ぎます。TCP 代行受 信では、SYN クッキー アルゴリズムを使用して TCP SYN フラッディング攻撃を防ぎます。SYN フ ラッディング攻撃は、通常はスプーフィングされた IP アドレスから送信されてくる一連の SYN パケッ トで構成されています。SYN パケットのフラッディングが定常的に生じると、SYN キューが一杯にな る状況が続き、接続要求に対してサービスを提供できなくなります。接続の初期接続しきい値を超える と、適応型セキュリティ アプライアンスはサーバのプロキシとして動作し、クライアント SYN 要求に 対する SYN-ACK 応答を生成します。適応型セキュリティ アプライアンスがクライアントから ACK を受信すると、クライアントを認証し、サーバへの接続を許可できます。 show perfmon コマンドを使用して、個々のコンテキストの攻撃レートを監視できます。show resource usage detail コマンドを使用すれば、個々のコンテキストの TCP 代行受信で使用されるリ ソース量を監視できます。システム全体での TCP 代行受信で使用されるリソースを監視するには、 show resource usage summary detail コマンドを使用します。 次に、show perfmon コマンドの出力例を示します。このコマンドは、admin というコンテキストの TCP 代行受信レートを表示します。 hostname/admin# show perfmon Context:admin PERFMON STATS: Xlates Connections TCP Conns UDP Conns URL Access URL Server Req WebSns Req TCP Fixup HTTP Fixup FTP Fixup AAA Authen AAA Author AAA Account TCP Intercept Current 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 322779/s Average 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 322779/s 次に、show resource usage detail コマンドの出力例を示します。このコマンドは、個々のコンテキス トの TCP 代行受信で使用されるリソース量を表示します (イタリック体のサンプル テキストは、TCP 代行受信情報を示します)。 hostname(config)# show resource usage detail Resource Current Peak Limit memory 843732 847288 unlimited chunk:channels 14 15 unlimited chunk:fixup 15 15 unlimited chunk:hole 1 1 unlimited chunk:ip-users 10 10 unlimited chunk:list-elem 21 21 unlimited chunk:list-hdr 3 4 unlimited chunk:route 2 2 unlimited chunk:static 1 1 unlimited tcp-intercepts 328787 803610 unlimited np-statics 3 3 unlimited statics 1 1 unlimited ace-rules 1 1 unlimited console-access-rul 2 2 unlimited fixup-rules 14 15 unlimited memory 959872 960000 unlimited chunk:channels 15 16 unlimited chunk:dbgtrace 1 1 unlimited Denied 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Context admin admin admin admin admin admin admin admin admin admin admin admin admin admin admin c1 c1 c1 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-32 OL-18970-01-J 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 chunk:fixup chunk:global chunk:hole chunk:ip-users chunk:udp-ctrl-blk chunk:list-elem chunk:list-hdr chunk:nat chunk:route chunk:static tcp-intercept-rate globals np-statics statics nats ace-rules console-access-rul fixup-rules memory chunk:channels chunk:dbgtrace chunk:fixup chunk:ip-users chunk:list-elem chunk:list-hdr chunk:route block:16384 block:2048 15 1 2 10 1 24 5 1 2 1 16056 1 3 1 1 2 2 14 232695716 17 3 15 4 1014 1 1 510 32 15 1 2 10 1 24 6 1 2 1 16254 1 3 1 1 2 2 15 232020648 20 3 15 4 1014 1 1 885 34 unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited unlimited 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 c1 system system system system system system system system system system 次の出力例は、システム全体の TCP 代行受信で使用されるリソースを示します (イタリック体のサン プル テキストは、TCP 代行受信情報を示します)。 hostname(config)# show resource usage summary detail Resource Current Peak Limit memory 238421312 238434336 unlimited chunk:channels 46 48 unlimited chunk:dbgtrace 4 4 unlimited chunk:fixup 45 45 unlimited chunk:global 1 1 unlimited chunk:hole 3 3 unlimited chunk:ip-users 24 24 unlimited chunk:udp-ctrl-blk 1 1 unlimited chunk:list-elem 1059 1059 unlimited chunk:list-hdr 10 11 unlimited chunk:nat 1 1 unlimited chunk:route 5 5 unlimited chunk:static 2 2 unlimited block:16384 510 885 unlimited block:2048 32 35 unlimited tcp-intercept-rate 341306 811579 unlimited globals 1 1 unlimited np-statics 6 6 unlimited statics 2 2 N/A nats 1 1 N/A ace-rules 3 3 N/A console-access-rul 4 4 N/A fixup-rules 43 44 N/A Denied 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Context Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Summary Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 5-33 第5章 マルチコンテキスト モードの管理 セキュリティ コンテキストの監視 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 5-34 OL-18970-01-J
© Copyright 2026 Paperzz