キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
4673
閲覧回数
0
いいね!
2
返信

ASAのアクセスリスト数の使用量の確認方法

TAKEHARU OGURA
Level 1
Level 1

ASA5500シリーズにおいて実アクセスリスト数(メモリーに展開された数量)を確認する方法(コマンド)をお教え頂けませんでしょうか?

ASA 5585X SSP40とSSP20をVersion 9.1(6)10で使用しております。

アクセスリスト設定可能最大値としては、以下と認識しております。
ASA5585-X SSP-20    750,000
ASA5585-X SSP-40    1,000,000

ただし、このアクセスリストの数量はconfig上の設定数ではなく、configに基づきファイアウォールのメモリー上に展開し、生成されたアクセスリストの数と理解しております。たとえばobjectグループを使用した場合、アクセスリストの設定数は減りますが、メモリーに展開される実アクセスリスト数は個々のIPアドレスのマッチングされたものが展開されるため、設定量よりも多くなるということです。

キャパプラの観点から、このメモリーに展開された実アクセスリスト数を適宜確認する方法を知りたいです。

1 件の受理された解決策

受理された解決策

Akira Muranaka
Level 8
Level 8

オグラさん、こんにちわ。

ご指摘の通り、ACLは例えば複数IPを持つオブジェクトを利用時に、1個1個のIP処理の1文(ACE)に展開されます。

show access-list | in element コマンドで確認できますが、詳しくは以下資料のスライド39以降を確認されると如何でしょうか。

http://www.slideshare.net/CiscoJapan/connect2014-cc5-3

ACE設定数上限は無いはずですが、ACEが増えるほど、極僅かの パフォーマンス低下と メモリ使用量増加が発生してくるので、各機器の推奨最大ACE数くらいまでの利用に留め、超える場合は ACL設定を工夫する(※例えば、host IPではなく Networkセグメント指定の制御を可能な限り利用したり、Objectが膨大な掛け算にならないよう工夫する)と、上手くACEの増加を抑えれると思います。

元の投稿で解決策を見る

2件の返信2

Akira Muranaka
Level 8
Level 8

オグラさん、こんにちわ。

ご指摘の通り、ACLは例えば複数IPを持つオブジェクトを利用時に、1個1個のIP処理の1文(ACE)に展開されます。

show access-list | in element コマンドで確認できますが、詳しくは以下資料のスライド39以降を確認されると如何でしょうか。

http://www.slideshare.net/CiscoJapan/connect2014-cc5-3

ACE設定数上限は無いはずですが、ACEが増えるほど、極僅かの パフォーマンス低下と メモリ使用量増加が発生してくるので、各機器の推奨最大ACE数くらいまでの利用に留め、超える場合は ACL設定を工夫する(※例えば、host IPではなく Networkセグメント指定の制御を可能な限り利用したり、Objectが膨大な掛け算にならないよう工夫する)と、上手くACEの増加を抑えれると思います。

早速のご返信ありがとうございました。心より感謝申し上げます。

来週、実機を使用できる機会がありますので、当該コマンドにて確認させていただきます。