https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953056#M331 <P>オグラさん、こんにちわ。</P> <P>ご指摘の通り、ACLは例えば複数IPを持つオブジェクトを利用時に、1個1個のIP処理の1文(ACE)に展開されます。</P> <P>show access-list | in element コマンドで確認できますが、詳しくは以下資料のスライド39以降を確認されると如何でしょうか。</P> <P>http://www.slideshare.net/CiscoJapan/connect2014-cc5-3</P> <P>ACE設定数上限は無いはずですが、ACEが増えるほど、極僅かの パフォーマンス低下と メモリ使用量増加が発生してくるので、各機器の推奨最大ACE数くらいまでの利用に留め、超える場合は ACL設定を工夫する(※例えば、host IPではなく Networkセグメント指定の制御を可能な限り利用したり、Objectが膨大な掛け算にならないよう工夫する)と、上手くACEの増加を抑えれると思います。</P> Fri, 30 Sep 2016 05:26:36 GMT Akira Muranaka 2016-09-30T05:26:36Z https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953055#M330 <P>ASA5500シリーズにおいて実アクセスリスト数（メモリーに展開された数量）を確認する方法（コマンド）をお教え頂けませんでしょうか？<BR /><BR />ASA 5585X SSP40とSSP20をVersion 9.1(6)10で使用しております。<BR /><BR />アクセスリスト設定可能最大値としては、以下と認識しております。<BR />ASA5585-X SSP-20&nbsp;&nbsp;&nbsp; 750,000<BR />ASA5585-X SSP-40&nbsp;&nbsp;&nbsp; 1,000,000<BR /><BR />ただし、このアクセスリストの数量はconfig上の設定数ではなく、configに基づきファイアウォールのメモリー上に展開し、生成されたアクセスリストの数と理解しております。たとえばobjectグループを使用した場合、アクセスリストの設定数は減りますが、メモリーに展開される実アクセスリスト数は個々のIPアドレスのマッチングされたものが展開されるため、設定量よりも多くなるということです。<BR /><BR />キャパプラの観点から、このメモリーに展開された実アクセスリスト数を適宜確認する方法を知りたいです。</P> Fri, 30 Sep 2016 05:14:32 GMT https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953055#M330 TAKEHARU OGURA 2016-09-30T05:14:32Z https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953056#M331 <P>オグラさん、こんにちわ。</P> <P>ご指摘の通り、ACLは例えば複数IPを持つオブジェクトを利用時に、1個1個のIP処理の1文(ACE)に展開されます。</P> <P>show access-list | in element コマンドで確認できますが、詳しくは以下資料のスライド39以降を確認されると如何でしょうか。</P> <P>http://www.slideshare.net/CiscoJapan/connect2014-cc5-3</P> <P>ACE設定数上限は無いはずですが、ACEが増えるほど、極僅かの パフォーマンス低下と メモリ使用量増加が発生してくるので、各機器の推奨最大ACE数くらいまでの利用に留め、超える場合は ACL設定を工夫する(※例えば、host IPではなく Networkセグメント指定の制御を可能な限り利用したり、Objectが膨大な掛け算にならないよう工夫する)と、上手くACEの増加を抑えれると思います。</P> Fri, 30 Sep 2016 05:26:36 GMT https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953056#M331 Akira Muranaka 2016-09-30T05:26:36Z https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953057#M332 <P>早速のご返信ありがとうございました。心より感謝申し上げます。</P> <P>来週、実機を使用できる機会がありますので、当該コマンドにて確認させていただきます。</P> Fri, 30 Sep 2016 09:52:30 GMT https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AA%E3%82%B9%E3%83%88%E6%95%B0%E3%81%AE%E4%BD%BF%E7%94%A8%E9%87%8F%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/m-p/2953057#M332 TAKEHARU OGURA 2016-09-30T09:52:30Z