スピーカー紹介
秦 昭 (シン ショウ)
保有資格: CCIE 22796 in Routing and Switching 及びSecurity
シスコテクニカルサポート、Firewall テクノロジテクニカルリード
2008年入社。カスタマーサポートエンジニアとしてシスコ テクニカルサポート部門、セキュリティチームへ配属。
以降、Firewall、VPN、ACS や IPS などのテクノロジに関するサポートを担当。現在は、Firewall を最も専門とし活躍している。
資格は、2テクノロジ の CCIE の他に RedHat と VMware も保有。
セミナーの録画ビデオはこちら。
12月25日(日)までエキスパートに質問で、引き続き質問を受け付けています。
質問
Q1. なぜ twice nat というのですか?
A1. Twice は「二」のことなので、二と関連する特徴があるわけです。一行の設定で送信元と送信先両方のアドレスを変換できますので、イメージとしては同じパケットを二回 NAT することになっていて、Twice はそのことと関連すると考えられます。
Q2. NAT の設定方法が、8.3 以降に大きく変わったのはなぜですか?
A2. きちんとと機能している体系を突然変更することは、基本的に何か大きな戦略的な裏付けがあります。ポイントとしては、ASA OS の進化に伴って内部コードの整理、製品のマーケティング、テクニカル的なメリットなどが考えられます。
この変更に対して疑問を感じる方は既存の ASA ユーザ様だと思いますので、既存の ASA ユーザ様にとって、interface / security-level から NAT の設定を分離できること、コマンドのシンプル化によって NAT ルールがわかりやすくなり、より柔軟かつ自由な設定ができるようになることが主なメリットだと思います。
Q3. NP とは何ですか?
A3. パケットの転送では、たくさんの処理が発生します。それらの処理の中で、どんなパケットでも発生する処理と、ごく一部のパケットでしか発生しない処理があります。頻繁に発生するシンプルの処理を専門で行うハードウェアはネットワークプロセッサ、略して NP と言います。NP は FWSM にしかありません。
Q4. NP1 と NP2 の違いは何かあるんですか?
A4. 基本的に同じ役割で、同じ動作になります。それぞれが独自の connection テーブルと xlate テーブルなどのフロー情報を維持しています。唯一異なる点は、フラグメントされた IP パケットは、NP3 でリアセンブルされるが、その後必ず NP2 に転送されて、NP2 から Catalyst 側に出力されることです。
ちなみに、NP1 と NP2 の間でもパケットの転送が発生する場合があります。例えば、行きのパケットに対する connection が NP1 にあるが、そのパケットが NP1 で NAT されたとする、その後、戻りのパケットが NAT 後のアドレスなので、送信元と送信先アドレスのハッシュ値が行きのパケットと違うため、Port-Channel の違うポートから入ってきて、NP2 で受信することがあります。そこで、connection が NP1 にあるため、NP2 がその戻りパケットを NP1 に転送して、NP1 に処理してもらう、ということがあります。
Q5.予め決められた制限には、H/W 以外に設定も含まれるというお話でしたが、どのような設定項目が存在しますか?
A5. 一番良く出てくるのは、Modular Policy Framework、つまり policy-map で設定できる制限です。Connection 数のリミットとして、established connection、half-open connection、per-client の connection リミットなどがあります。
また、Multi-Context モードを利用する場合、各 context で使える connection の数、Telnet/SSH/ASDM の管理セッションの数などのリソースの上限を設定できます。
Q6. CP の処理を要する通信のうち、そのほかの AAA、HA、RP の負荷はどのように確認すれば良いですか?
A6. 切り分けはいくつのステップに分けて行います。まず最初は、show process cpu-usage などのコマンドで関連のプロセスがたくさん CPU を使っているかどうかをみます。
次は、それぞれの機能に対する個別の show コマンドで、関連処理がどのぐらい発生したかをみます。例えば、Failover の場合は、show failover コマンドで、どのぐらいの stateful 情報が同期されているか、同期エラーがあるかどうかを示すカウンターがあります。
最後は、パケットキャプチャをとって見ることです。どんなパケットが多かったかをみて判断します。
Q7. NATを使用した時に著しくトラフィックスピードが落ちた場合の推奨される対処方法はありますか?
A7. 原因を推測するのに情報が不足しているので、どのような NAT 設定により、どんなトラフィックが影響され、レートがどのぐらい落ちて、その時どんな syslog が発生したかをもう少し詳細にご説明して頂くことが必要です。
Q8. FWを通過するセッション情報をすべて取得したい場合の推奨方式があれば教えてください。
A8. ASA の Syslog にてセッション情報を取得することが一番効率良いと思います。例えば、TCP/UDP/ICMP のセッションの開始と終了情報は下記の Syslog で取得できます。
%ASA-6-302013: Built {inbound|outbound} TCP connection
%ASA-6-302014: Teardown TCP connection
%ASA-6-302015: Built {inbound|outbound} UDP connection
%ASA-6-302016: Teardown UDP connection
%ASA-6-302020: Built {in | out}bound ICMP connection
%ASA-6-302021: Teardown ICMP connection
その他の Syslog Message については、下記の一覧をご参考ください。
http://www.cisco.com/en/US/docs/security/asa/asa84/system/message/logmsgs.html