キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
2813
閲覧回数
15
いいね!
3
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee

 

ASAに設定可能な Dynamic access policies (DAP) レコード数についてお問い合わせを頂くことがあります。

 

DAPレコード数について明示的な制限はありませんが、DAPレコードの 推奨最大設定数は100です。

 

DAPレコード数が100を超過時は、即座に問題が発生するわけではありませんが、パフォーマンス低下や 予期せぬトラブルの原因となります。 勿論、DAPレコード数は少ないほう(目安: 10~20まで)が、複数のAnyConnectなどの同時アクセスが発生時の 処理が軽快となるため、100を越えなくても、できるだけ少なくシンプルに保つこと、及び 使わないDAPレコードは削除することが、パフォーマンスや安定性を保つうえで重要となります。

 

また、各DAPに設定可能なAttributeも、設定可能数に制限はありません。 各Attributeに設定可能な instance/valueは、最大5000(※)となります。(※ASA 8.x系を利用時は CSCtc95264の影響の回避のため、8.4トレインの最新Interimバージョンを利用してください。 ASA9.x系はCSCtc95264は修正済みです。) これら設定の 推奨設定数の目安はないのですが、これらも設定量が少ないほど 処理量が減り、パフォーマンス上 優れます。

 

 

参考情報

DAP のトラブルシューティングで取得する情報

https://supportforums.cisco.com/t5/-/-/ta-p/3151003

コメント
mayupon0110
Level 1
Level 1

こんにちは!

 

DAP に関する本記事について、お気づきになられた際で構いませんので

もし回答可能なネタがあれば教えて頂ければ幸いです...

 

DAP の推奨数について record が 100 、attribute が 5000 という部分は助言頂いていると思いますが、

作成している dap.xml に関して、これらの数値が ASA の CLi 上で確認できるコマンドは実装されていますか。

 

show dynamic-access-policy といったコマンドがないので、何かしら CLI で確認できる術を知りたかった背景があります。

 

もし実装されていない場合、目視確認するとすれば dap.xml をテキストエディタ等で開いた上で

"<dapRecord> </dapRecord>" の総数が Record 数、 "<attr> </attr>" の総数が Attribute 数として確認するしかなさそうでしょうか。
 
よろしくお願い致します。
 
[2021/07/31 追記]
 
こちらですが、QA として TAC へ問い合わせることにしました。
Taisuke Nakamura
Cisco Employee
Cisco Employee

こんにちは! いつもシスココミュニティをご利用頂きまして有難う御座います。確認遅れました。

 

dap.xmlの中身は「more disk0:/dap.xml」で確認でき、show techにも含まれています。また、| count を使えば簡単に総数を数えることができます。なお、count はASA バージョン9.9以降で利用可能です。
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/cli.html#32623


例えば以下の出力例だとレコードが3つあることが確認できます。

 

ASA5555(config)# more disk0:/dap.xml | in <dapRecord>|<attr>
<dapRecord>
<attr>
<attr>
<attr>
<dapRecord>
<attr>
<attr>
<attr>
<attr>
<attr>
<attr>
<attr>
<attr>
<attr>
<dapRecord>

 

 

Countを利用すると、以下の出力例のようにRecordが3つだとすぐわかります。便利です!

 

ASA5555(config)# more disk0:/dap.xml | count <dapRecord>
Number of lines which match regexp = 3

 

 

なお、ご存知かと思われますが、特に推奨値を越えても問題がすぐ出るわけではありません。(DAP大好きなお客様の場合、Record数百などと超過して利用されてるケースも多いです。。)

 

ただ、過大なレコードやAttribute設定は、CP高負荷などのパフォーマンス問題や、dap.xmlのサイズが膨らんでASAに展開できない問題といった、様々な問題の原因となることがあります。DAP設定し過ぎによりこれら問題発生してると確認できた場合は、弊社としても設定削減などを お願いせざるえません。そのため、設定量多い場合は不要な設定は消したり統合するなどして、適宜メンテ頂けますと幸いです。(過大な設定量にならないよう、設計/設定やチューニングが大事というのは、運用してるとどんどん設定量が増えがちなACL/ACEと似てるかと思います。。)

 

なお、恐縮ですが、私だとすぐお答えできないケースも御座いますため、お急ぎの時は、弊社サポートまでお問い合わせ頂けますと幸いです。今後ともよろしくお願いいたします。

mayupon0110
Level 1
Level 1

Taisuke さん

 

こんにちは、ご丁寧にレスポンス頂きありがとうございました!

※ 丁度必要な情報を収集して TAC へ確認する段階でした、感謝いたします

 

やはり dap.xml から確認するしかないようですね。

しかしながら 9.9 から実装されている count はとても便利ですね、in を通常利用することが多いのですが

ケースによっては count は非常に有益なオプションと感じました。(今後積極的に利用したいと思います)

 

昨今はテレワークが主流となりつつある関係で

DAP を利用して、接続端末の MAC を識別することでより強固にするといったケースも増えてきています。

 

そのため、ユーザによっては DAP の行数が多い場合もありますが、基本的には処理が遅い場合など

パフォーマンスに影響がある場合には、DAP の利用有無を確認→適切な行数か というポイントも着目したいと思います。

 

いつもご親切にありがとうございます。

今後も有益な情報公開を楽しみにしています!

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします