購入する または契約更新する
購入する または契約更新する
New! Cisco Secure Access の最新情報をチェック:ソフトウェアリリースノートとアナウンスメントはこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
595
閲覧回数
0
いいね!
1
返信

Cisco ASR 1006-X ルータ

hirokazu.kinugasa1
Level 1
Level 1

‎2020-02-22 09:41 AM

ファイアウォールポリシーを設定可能は可能ですか。出来るとすれば数は?

ラベル:
0 いいね!
1件の返信1

Akira Muranaka
Level 8
Level 8

‎2020-02-26 02:46 PM ‎2020-02-26 03:49 PM 更新

こんにちは。

ZBFW機能を利用すれば、IOS-Firewall機能を利用して 簡易的なFirewall処理は可能です。

https://www.cisco.com/c/ja_jp/td/docs/rt/wanaggregationinternetedgert/asr1000aggregationservsrt/cg/026/sec-data-zbf-xe-asr1000-book.html

https://www.cisco.com/c/ja_jp/support/docs/security/ios-firewall/117721-technote-iosfirewall-00.html

 

なお、FirewallやステートフルNAT、冗長機能の利用には、FLASR1-FW-RTUなどのライセンス購入が必要なので気をつけてください。
https://www.cisco.com/c/ja_jp/products/collateral/routers/asr-1000-series-aggregation-services-routers/guide-c07-731639.html#_Toc454983348

 

また、ASRはTCAMを使っての ACLやFirewall、QoS、NATの高速処理に対応しており、利用機能や設定量によりTCAMやメモリの利用状況は変わるので 単純にここまで設定したらダメというのは答えるのは難しいと思います。ただ、膨大な設定を投入するような極端な利用でなければ、数十個~数百個くらいのポリシー設定可能数は気にする必要はないのではと思います。TCAMの使用状況は show platform resources コマンドで確認できますし、使用量が多い場合はログが出たはずです。

 

なお、ASRルータのIOS-Firewallは簡易機能なので、正直言ってログは細かく出力されず、トラブルシューティングは面倒めで、公開情報も少ないので、設定や運用は大変な傾向です。 ASRはどちらかというと、「高速なQoS」や「WAN接続と集約」「ルーティング処理」「サイト間VPN」に特化した装置で、IOS Firewallはオプション的な位置だったはずです。

がっつりFirewallとして利用を検討してる場合は、ASA Firewallや FTD Next Generation Firewallなど専用機の導入の方がいいのではと思います。専用機の場合は、デバッグやロギングが豊富で、設定も(ASAの場合は) CLI/GUI両方からでき、パフォーマンスも低下し辛いはずです。


IOS Firewallと ASA(Firewall専用機)の違いは以下サイトさんなどが参考になります。
https://ipwithease.com/router-ios-firewall-vs-network-firewall/
https://www.techrepublic.com/forums/discussions/firewall-vs-router-cisco-guys-please-read/

 

何等か理由でASRで導入する場合は、ACLで設定で問題ない所は、極力ACLで制御したほうがパフォーマンスや安定性、ライセンスコストの面でもよいかと思います。

0 いいね!
Customers Also Viewed These Support Documents