2018-07-16 01:24 PM 2019-03-22 07:36 AM 更新
こんにちは。
Cisco ASA 5545X + OS:9.6系 + AnyConnect 4.5系で、エンドユーザーにSSL-VPNサービスを提供しています。
クライアントPC(Windows 7/8/8.1/10です)からの、のブロードキャスト通信の扱いについて質問があります。
どなたか、ご回答いただけますでしょうか。
■状況
クライアントPCから大量に送信されるブロードキャストが、上位のL3スイッチにルーティングされます。
・Cisco ASA 5545Xにてcaptureコマンドで確認しました。
・多くは、udp:137(NetBIOS名前解決サービス)です。
-------------------
captureコマンドによる確認例
ASA# show capture cap01
2883 packets captured
: 14:50:57.868897 10.201.xxx.222.137 > 10.201.xxx.255.137: udp 50
: 14:50:57.868973 10.201.xxx.222.137 > 10.201.xxx.255.137: udp 50
: 14:50:57.964259 10.201.yyy.8.137 > 10.201.yyy.255.137: udp 50
: 14:50:57.975154 10.201.zzz.114.137 > 10.201.zzz.255.137: udp 50
(以下省略)
--------------------
これが多少なりとも、上位のL3スイッチに負荷をかけているのではないかと懸念しております。
理由は、
Cisco ASA内で定義したアドレスPoolでのブロードキャストアドレス(/24であれば第4オクテット=255)が上位のL3スイッチに届く
→L3スイッチではRouting tableを参照してCisco ASA5545Xに戻す
という無駄な通信が最低1往復は発生していると推測されるからです。
L3スイッチにはCisco 3750Xを使用しているのですが、上記のようなルーティングループに似た現象が発生すると、CPU受信キューのicmpのカテゴリ(icmpリダイレクト)のカウンタ値が上昇します。クライアントPCの台数が多いため(約700~800)、結構なスピードで毎日カウントアップします。
・CPU受信キューの各カウンタ値はshow controller cpu-interface で確認可能です。
・参照先:https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat3750swt/tg/001/cpu-util.html
■質問事項
ASAで定義したPoolのブロードキャストアドレスが、上位のL3スイッチに届いても意味がないと思います。(少し自信がないですが)
L3スイッチでブロードキャストを止める場合、ACLによる方法が考えられます。テストすると期待した動作によるようでした。
ただ、これをやって、副作用はないでしょうか。
どなたか、ご教示しただければと思います。
------------------------
前提
・クライアントPCにアサインするIPアドレスは10.201.0.0/16の範囲
・1つのアドレスプールのサイズは、/24(ブロードキャストのアドレスは第4オクテットが255となる)
ACLの書き方
・10.201.[任意].255への通信はドロップという要件を満たすために、ワイルドカードによる指定方法を使います。
ip access-list ACL_TEST_IN
deny ip 10.201.0.0 0.0.255.255 10.201.0.255 0.0.255.0
permit ip any any
interface Vlan123 <- Cisco ASAとの接続インターフェース
ip access-group ACL_TEST_IN in
------------------------
よろしくお願いします。
■補足
・クライアントPCでは、WINSサーバは使用しません。DNSサーバは使用します。
・コンピュータ名とIPアドレスの対応をDNSサーバに登録する機能は有効化します。
■添付ファイル
・簡単な構成図を添付します。
・ネットワークアダプタ(AnyConnect)のプロパティシートの画面キャプチャを添付します。
2019-11-27 10:57 PM
こんばんは!
シスコさんの話というよりかは、Microsoftさんの話のように思いますが、マルチキャストは ネットワークセグメントを通常越えれないので、そのセグメント内に他のWindowsマシンなどなければ、特に対向機器でドロップしても問題ないように思います。。どのみちCatalystはNetBIOSの利用はできませんので、であれば私なら躊躇なく受け取りCatalystで拒否しちゃうと思います・・・。
正解になってるかわかりませんが、、
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド