Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法

Cisco ASA 5500-X 次世代ファイアウォールの
機能と、安定導入・運用方法
Session ID CC5-3
テクニカルサービス
カスタマーサポートエンジニア
中村太亮
～シスコ TAC サポート実績に基づくベストプラクティス～

Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Introduction
シスコテクニカルアシスタンスセンター（Cisco TAC）について
3
 シスコ製品の最終エスカレーション先
 複雑な問題に対する調査・解析とソリューションの提供
 機能、設定、構成に関する情報提供、または支援
 世界各国に拠点を持ちグローバルで情報共有
 365日 24時間のグローバルサポート
ジャパンテクニカルサービスラボ
米国本社ラボに匹敵する日本のテクニカル
サポートラボは、10,000点以上のデバイス
を保有し、日々サポートに活用しています

Agenda
 Cisco ASA 5500-X 次世代ファイアウォールラインアップ
 Cisco ASA 5500-X 次世代ファイアウォール主要セキュリティ機能
 最適なソフトウェアバージョンの選定方法
 パフォーマンスのボトルネック把握と最適化
 シスログのボトルネック把握と最適化
 シスコサポートコミュニティ（Japan）
4

Cisco ASA 5500-X 次世代ファイアウォール
ラインアップ

ラインアップ
6
PerformanceandScalability
Data CenterCampusBranch OfficeSOHO Internet Edge
ASA 5555-X
2.0 Gbps
ASA 5515-X
600 Mbps
ASA 5525-X
1.0 Gbps
ASA 5545-X
1.5 Gbps
ASA 5585-X
SSP-10
2 Gbps
ASA 5585-X
SSP-20
5 Gbps
ASA 5585-X
SSP-40
10 Gbps
ASA 5585-X
SSP-60
20 Gbps
ASA 5512-X
500 Mbps
ファイアウォールスループット
（マルチプロトコル）
HTTP、SMTP、DNSなどの混合トラフィック時
ASA5545-X以上
電源冗長対応
ASA5585-X SSP-40以上
マルチCPU 対応

データシート
7
5512-X
sec+
5515-X 5525-X 5545-X 5555-X
5585-X
SSP-10
5585-X
SSP-20
5585-X
SSP-40
5585-X
SSP-60
CPU
1 CPU
2.8 GHz,
2 cores
1 CPU
3.06 GHz,
2 cores
1 Xeon
CPU
4 cores
2.4 GHz
1 Xeon
CPU
8 cores
2.6 GHz
1 Xeon
CPU
8 cores
2.8 GHz
1 Xeon
CPU
4 core
2.0 GHz
1 Xeon
CPU
8 cores
2.133 GHz
2 Xeon
CPUs
16 cores
2.133 GHz
2 Xeon
CPUs
24 cores
2.4 GHz
RAM
4 Gb
(2 Gb
ASA)
8 Gb
(4 Gb
ASA)
8 Gb
(6 Gb
ASA)
12 Gb
(6 GB ASA)
16 Gb
(8 Gb ASA)
6 Gb 12 Gb 12 GB 24 Gb
Integrated Port 1G x 6 1G x 6 1G x 8 1G x 8 1G x 8
1G x 8
10G x 2
1G x 8
10G x 2
1G x 6
10G x 4
1G x 6
10G x 4
FW Throughput
(Multi-protocol)
500 Mbps 600 Mbps 1 Gbps 1.5 Gbps 2 Gbps 2 Gbps 5 Gbps 10 Gbps 20 Gbps
Conn/sec Rate 10K 15K 20K 30K 50K 50K 125K 200K 350K
Concurrent
Connections
100K 250K 500K 750K 1 M 1 M 2 M 4 M 10 M
3DES/AES VPN
Throughput
200 Mbps 250 Mbps 300 Mbps 400 Mbps 700 Mbps 1 Gbps 2 Gbps 3 Gbps 5 Gpbs
Max IPSec/SSL
VPN Peers
250 250 750 2,500 5,000 5,000 10,000 10,000 10,000
Max VLANS 100 100 200 300 500 1024 1024 1024 1024
Max Security
Contexts
0/2/5 5 20 50 100 100 250 250 250

Cisco ASA 5500-X 次世代ファイアウォール
主要セキュリティ機能

主要セキュリティ機能一覧
9
 アクセスコントロールリスト（ACL）
 TCPノーマライザ
 MPF - TCP SYN フラッド対策
 MPF - コネクションフラッド対策
 スレットディテクション - 脅威検出
 VPN - リモートセキュアアクセス
 NGFW - アプリケーション可視化と制御（AVC）
 NGFW - URLフィルタリング
 NGIPS - 侵入防御システム
注意) NGFW とNGIPS利用には、SSDもしくは
専用モジュールの増設が必要

アクセスコントロールリスト（ACL）
10
 IPアドレスや、プロトコル、ポート、方向を元に、パケットの許可・拒否を判断
 許可した通信は、フローを常に監視し、戻りのパケットを動的に許可
戻りパケットを動的に許可
許可していない方向からのパケットをブロック
TIPS) ベーシックな機能だが、システムのセキュリティの土台として、無くてはならない機能

TCPノーマライザ
11
 デフォルト有効
 TCPパケットやフローを監視、セキュリティチェックし、異常なパケットをドロップ
- TCPの正規化
TCP
TCP
セキュリティ
チェック例
説明
check-
retransmission
一貫性のないTCP再送を防止
checksum-
verification
チェックサムの確認
invalid-ack 無効なACKを検出、ブロック
syn-data
データを含む不正なSYNパケットを
ブロック
synack-data
データを含む不正なSYNACK
パケットをブロック
reserved-bit
TCPヘッダの予約ビットに対する
アクション。デフォルト無効
Windows
Variation
予想外のウィンドサイズの変更が
発生時にアクション。デフォルト
許可
TIPS) デフォルト設定のままで通常問題無し

モジュラーポリシーフレームワーク（MPF)
TCP SYN フラッド対策
12
 指定数を上回る TCP SYNフラッドに対し、ASAが代理応答し、身元確認を行う
 送信元から応答がないと、TCP SYNパケットをドロップ
CLI 設定例
policy-map CONNS
class OUT-to-IN
set connection embryonic-conn-max 50
ASDM 設定箇所
IPアドレス偽装
攻撃者
指定数を上回ると、ASAが TCPプロキシの
ように動作、身元確認と制御を行う
多くの場合、攻撃者は自分のIPアドレスを偽装
TIPS) 中継機器や対向機器の、コネクション処理リソースの保護に有効

モジュラーポリシーフレームワーク（MPF)
コネクションフラッド対策
13
 指定数を上回るコネクション生成をブロック
 TCPとUDPのコネクション数の制御に対応
CLI 設定例
policy-map CONNS
class OUT-to-IN
set connection conn-max 50
ASDM 設定箇所
指定数以上のコネクションの生成を拒否
TIPS) 中継機器や対向機器の、コネクション処理リソースの保護に有効

スレットディテクション - 脅威検出
14
 デフォルト有効
 ドロップしたパケットを定間隔で監視し、
閾値を越えた時にアラートアクション

 攻撃や異常通信の把握に有益
検知対象説明
acl-drop ACLでドロップしたパケット数
bad-packet-
drop
RFC標準に準拠しない、不正
なフォームのパケット数
conn-limit-
drop
定義したコネクションリミットを
超過した数
dos-drop DoS攻撃
fw-drop
ベーシックファイアウォール
セキュリティチェック
icmp-drop 疑わしいICMPパケット数
inspect-
drop
アプリケーション
インスペクションでドロップ数
interface-
drop
インターフェイスでドロップされ
たパケット数
scanning-
threat
ネットワーク/ホストスキャニン
グ攻撃
syn-attack 不完全なセッション攻撃
ドロップパケットのレートを監視し、
閾値超過時にアラート、もしくは遮断
Dec 06 2014 00:44:31: %ASA-4-733100: [ SYN attack] drop rate-1
exceeded. Current burst rate is 5667 per second, max configured rate
is 200; Current average rate is 11366 per second, max configured rate
is 100; Cumulative total count is 6819865
Syslogメッセージ出力例
TIPS) アクションを攻撃者IPアドレス遮断に変更可

VPN - リモートセキュアアクセス
15
 デスクトップやモバイルからの、セキュアなリモートアクセスを終端
 専用VPNクライアント、もしくはウェブブラウザ経由
Cisco AnyConnect
VPNクライアント
ウェブブラウザベース
クライアントレス SSL VPN
Cisco AnyConnect VPNクライアント
サポートデスクトップサポートモバイル
Microsoft Windows Apple iOS - iPhone
Apple Mac OS X Apple iOS - iPad
Linux Google Android
クライアントレス SSL VPN
サポートデスクトップ
ウェブブラウザ
サポートモバイル
ウェブブラウザ
Google Chrome Citrix Receiver
Internet Explorer Pocket IE
Mozilla Firefox
Apple Safari
Citrix Receiver
TIPS) Cisco AnyConnectは柔軟なセキュリティ制御が可能

次世代ファイアウォール（NGFW）
アプリケーション可視化と制御（AVC）
16
 アプリケーション制御
- 1400以上のアプリケーションに対応
 対応アプリケーションは逐次更新、増加中
- アプリケーションの対応リクエストが可能
アプリケーション例
ソーシャル趣味
Facebook YouTube
Twitter iCloud
LinkedIn iTunes
Webメールファイル共有
Gmail Google Drive
Yahoo Mail Dropbox
Outlook.com Yahoo Box
メッセンジャー P2P
Google Talk Chat BitTorrent
Yahoo Messenger Share
Skype Winny
TIPS) アプリケーション一覧と、対応リクエストは専用ポータルで
http://asacx-cisco.com/
YouTube
SalesForce
Twitter
DropBox
Wikipedia
Facebook

次世代ファイアウォール（NGFW）
URLフィルタリング
17
 HTTPとHTTPSの、柔軟なWebアクセス制御
- 指定URL毎、もしくは URLカテゴリ毎
- 数千万のURLをカテゴライズ済み
 対応URLは逐次更新、増加中
URLカテゴリ例
アダルトハッキング
アルコールユーモア
オークション不正薬物
ビジネスと産業 IT
出会い系サイト Jobサーチ
教育宝くじ
エンターテイメント自然
ファッションニュース
ファイル共有サービ
ス
不動産
金融宗教
ゲームショッピング
政府と法律 Streamingビデオ
トラベル Webメール
ビジネスと産業
政府と法律
ゲーム
ファイル共有
自社・協力会社URL
Webメール

次世代侵入防御システム（NGIPS）
18
 不正な挙動や攻撃を検知時、自動でアラートや遮断
- 脆弱性情報データベース（CVE）の脆弱性を狙った攻撃に多数対応
 最新の攻撃に対応
- 検知パターンの自動アップデート
 検知条件の自動チューニング
- 従来型に比べ、運用性をさらに改善
 攻撃の可視化
- 脅威の検知状況や、攻撃者とターゲットをグラフィカルに表示
TIPS) 最新の脅威情報と対応シグネチャの確認は以下サイト
http://tools.cisco.com/security/center/home.x
Code

NGFWとNGIPSの利用に必要なハードウェア
19
 ASA5512-X～ASA5555-X
- SSD増設が必要
- CPU・メモリはASA本体のを共用
 ASA5585-X
- 専用モジュール増設が必要
- モジュールに専用CPUと、メモリ、
HDD搭載済みのため、より高性能
SSD増設スロット専用モジュール
TIPS) ASA5512-X～ASA5555-Xは、SSD増設と簡単なセットアップで、NGFWとNGIPSを利用可

まとめ
20
”Cisco ASA 5500-X 次世代ファイアウォールは、
ワンボックスでレイヤー３からレイヤー７までを、
強力に保護する、オールインワンソリューション”

Agenda
 Cisco ASA 5500-X 次世代ファイアウォールラインアップ
 Cisco ASA 5500-X 次世代ファイアウォール主要セキュリティ機能
 最適なソフトウェアバージョンの選定方法
 パフォーマンスのボトルネック把握と最適化
 シスログのボトルネック把握と最適化
 シスコサポートコミュニティ（Japan）
21

最適なソフトウェアバージョンの選定方法

ASA ソフトウェア
23
 ASA ソフトウェアバージョンの見るべきポイントは？
 新規導入時は、どのバージョンが良いか？
 運用中機器の不具合対応を行う時は、どのバージョンが良いか？
TIPS) TACへの不具合問い合わせの多くが、既知不具合による問題

ASA ソフトウェアバージョンの見方
24
 トレインを更新毎に、多数の新機能追加と、機能変更、不具合修正を行う
 メンテナンスを更新毎に、多数の不具合修正と、少数の機能変更を行う事がある
 インタリムを更新毎に、主に不具合修正を行う
x.y.z.a
メジャー
マイナー
メンテナンス
インタリム
トレイン
バージョン
ASA# show version
Cisco Adaptive Security Appliance Software Version 9.0(1)5
バージョン 9.0(1)5
トレイン 9.0
メジャー 9
マイナー 0
メンテナンス 1
インタリム 5th
TIPS) トレインを更新後は、新機能追加による新規問題が内在している事が少なくない

ASA ソフトウェアトレイン
25
7.2
8.2
8.3
8.4
8.5
8.3.1
8.2.28.2.1
7.2.1 7.2.2 7.2.3 7.2.4 7.2.5
8.3.2
8.2.3
8.6
8.4.18.4.2
8.2.4 8.2.5
8.7
9.0
8.5.1
ASA-SM only
8.4.48.4.3
9.1
8.6.1
ASA 5500-X only
8.7.1
ASA 1000v only
9.0.1
9.1.1 9.1.2
9.0.2
8.4.5 8.4.6 8.4.7
9.1.4
9.0.4
9.1.3
9.0.3
9.1.5
マイグレート
不具合修正ウォーターフォールダウン
TIPS) 各トレインは枝分かれ後、ソフトウェアメンテナンス終了日まで、メンテナンスが続く

ASA ソフトウェアインタリムリリース
26
 インタリムリリースとは、不具合修正に特化した暫定リリース
- メンテナンスリリース後に、見つかった不具合の修正を多数含む
- 脆弱性対応は、インタリムリリースで行う事が多い
 インタリムが一定数進むと、メンテナンスリリースとして公開する事がある
 メンテナンスの進んだトレインは、以後インタリムのみの提供となる
 TAC正式サポート対象
9.1(1)
9.0(1)
9.0(2)
9.0(2)1 9.0(2)2 9.0(2)3 9.0(2)11 9.0(3)9.0(2)
9.1(2)
9.0(3)
インタリムリリース
メンテナンスリリース
不具合修正に特化
9.0(2)12
不具合修正に特化インタリムが進むと、メンテ
ナンスバージョンが1つ繰り
上がる事がある

ASA ソフトウェアのダウンロード
27
 Download Softwareから、公開ソフトウェアバージョンのダウンロード可能
- シスコ社内テストを合格したバージョンのみ公開
 インタリムリリースは、All Releases > Interim からダウンロード可能
- インタリムリリースノートも当ページからダウンロード可能
インタリム
リリース
メンテナンス
リリース
リリースノート
Download Software http://software.cisco.com/download/navigator.html

リリースノート
28
 リリース毎の新機能や、修正不具合一覧、その他重要な情報を網羅
Cisco ASA 5500-X Series Next-Generation Firewalls Release Notes
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-release-notes-list.html

ソフトウェアメンテナンス終了日と、サポート終了日
29
 End-of-Life and End-of-Sale Notices
にて公開、逐次更新
Cisco ASA 5500-X Series Next-Generation Firewalls End-of-Life and End-of-Sale Notices
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-listing.html
ソフトウェアメンテナンス終了日
開発や不具合修正が可能な最終日
TACサポートの最終日
サポート終了日

まとめ
30
 トレインを更新毎に、多数の新機能を追加
メンテナンスやインタリムを更新毎に、多数の不具合修正
- 変更点はリリースノートより確認可
 各トレインは、ソフトウェアメンテナンス終了日まで、メンテナンスを継続
 新規導入時は・・
- 新しいトレインの、最新バージョンの利用が向く
- サポート期間がより長く、最新機能に対応したバージョン
 運用中機器のアップグレード時は・・
- 利用中トレインの、最新バージョンの利用が向く
- 機能の大きな変更無しに、より安定・洗練されたバージョン
9.1(4)9.1(1) 9.1(5)
Interim
9.1(5)12
Interim
9.1(5)16
最新メンテナンス
バージョン
2014年10月26日現在
Interim
9.1(5)19
不具合修正＆機能強化
9.1(2) 9.1(3)
最新インタリム
バージョン
9.1トレイン変遷
不具合修正に特化

パフォーマンスのボトルネック把握と最適化

パフォーマンス問題
32
 データシート通りに、パフォーマンスが出ない
 繁忙期の通信量が多い時に、CPU負荷が高騰、通信が不安定になった
 パフォーマンスを最大化するには、どうすれば良いか
TIPS) ASAは CPU負荷が著しく高いと、パケットをドロップし、通信影響が発生

データシートの見方
33
ASA 5525-X ASA 5555-X
ASA 5585
SSP-20
Stateful Inspection
throughput (max)
2 Gbps 4 Gbps 10 Gbps
Stateful Inspection
throughput
(multiprotocol)
1 Gbps 2 Gbps 5 Gbps
Concurrent
sessions
500,000 1,000,000 2,000,000
Connections per
second
20,000 50,000 125,000
Packets per second
(64 byte)
700,000 1,100,000 3,000,000
最大スループット (max)
UDPパケットのサイズを最大化し、
ASA機能が最低限の状態で計測
マルチプロトコル
(multiprotocol)
HTTP、SMTP、FTP、DNSなどを
混在させ計測。実ネットワークに
より近いスループット

データシートと、実ネットワークの違い
34
 データシートの性能値は、テスト環境での計測結果がベース
- テスト用ASAの機能や設定は、必要最小限
 実ネットワークでは、殆どの場合、複数機能を追加利用する
- ACL、NAT、アプリケーションインスペクション、
認証（AAA)、ロギング、フェイルオーバーなど
- 利用機能が増える分、パフォーマンスに影響
 処理量が増加すると、パフォーマンスが少しずつ低下
- コネクション生成レート
- コネクションテーブルエントリ数
- ACL エントリ数
- Xlate エントリ数
- インスペクション処理数(FTPやSIPやSMTPなど)
- ARP解決処理数
- フラグメントパケットの再構築処理数など
TIPS) 各機能や各処理のパフォーマンス影響は小さいが、積み重なると大きなパフォーマンス低下原因に

マルチコア、マルチCPU処理
35
 ASAは、CPUによるソフトウェアベースの通信制御
- 柔軟で多様なセキュリティ制御に対応するため
 マルチコア、マルチCPUによる分散処理で、パフォーマンス向上を実現
- 上位モデルほど、コア数やCPU数が増加
 CPUの使用状況が、パフォーマンスに強く影響
RAM
Management
1 Gbps
RAM
Flash
Crypto Accelerator
I/O Bridge
M1
2
cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Crypto Accelerator
Co
n
Aux
1 Gbps10 Gbps
Internal-Data
Ports
ASA5585 SSP-60

ASA5585 パケットとコネクション処理例
36
RAM RAM
Flash
Crypto Accelerator
I/O Bridge
M1
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Crypto Accelerator
Con Aux
ASA5585 SSP-60
コネクション毎に１つのコアが
自動で割当てられ、その
パケットの通信制御を実施
Interface処理
Packet Ingress
Packet Egress
TIPS) 同一コネクションの後続パケットは、割り当てられた１つのコアが継続し処理する

ソフトウェア処理アーキテクチャ概要
37
 データパス（DP)にて、コネクション制御やACL・NAT処理など、基本処理を行う
- 処理が最適化されており、高速
 コントロールポイント（CP)にて、インスペクションやシスログなど、高度な処理を行う
- 複雑な処理のため、低速
コントロールポイント(CP)
- アプリケーションインスペクション
- シスログ、SNMP、AAA
- ARP解決、フェイルオーバ
データパス(DP)
- コネクションルックアップ
- 新規コネクションの生成と切断
- ACL・NAT処理
- L3ルーティング、L2スイッチングInterface cards
ASASoftware
Data Path
(DP)
Control Point (CP)

パケット処理フローとパフォーマンス
38
New
conn?
Application
Inspection
ARP
解決
Dynamic
Routing
yes
no
Packet
Ingress
Packet
Egress
TCP
Proxy
Control Point (CP)
Session ManagerFastpath
NAT
適用
Policy
checks
L2/L3
Lookup
Data Path (DP)
Create
Conn
NAT / Routing
Create
Xlate
Mgmt
Performance高い低い
Failover
Syslog,
Netflow
ACL checks
新規コネクション
かのチェック
TCP
Normalizer

機能別のパフォーマンス影響
39
TIPS) コントロールポイント（CP）で処理する機能は総じて負荷が高い
マルチコア処理に最適化済み機能は、コマンド show asp multiprocessor accelerated-featureで確認可
主要機能
パフォーマンス
影響
Static NAT 少さい
Dyanamic NAT 大きい
PAT 大きい
ACL 少さい
Application Inspection 大きい
Threat-detection(Basic) ほぼ無い
Threat-detection
(Advanced)
大きい
IPSec 少さい
SSL VPN 大きい
主要機能
影響
Syslog 大きい
TCP Syslog とても大きい
SNMP 大きい
NetFlow やや大きい
主要機能
影響
Active/Standby Failover 大きい
Active/Active Failover とても大きい

ACLと推奨最大ACE数
40
 各ACL毎に、１つまたは複数のアクセスコントロールエントリ（ACE）で構成
- ACE数は、 show access-list | include elements コマンドで確認可
 ACE設定可能数の上限は無し
- ACE設定数が多いほど、パフォーマンス低下とメモリ占有
- 推奨最大ACE数を超過時、１５％のパフォーマンス低下が目安
5512-X 5515-X 5525-X 5545-X 5555-X
5585
SSP-10
5585
SSP-20
5585
SSP-40
5585
SSP-60
推奨最大
ACE数
100k 100k 200k 300k 500k 500k 750k
1
million
2
million

アクセスコントロールエントリ(ACE)の数え方
41
ciscoasa# access-list INSIDE extended permit object-group HTTP-HTTPS-FTP object-group
OBJ-10.0.0.1-3 object-group OBJ-20.0.0.1-4
 1つのACL内に、送信元IP3個、宛先IP4個、サービス3個を設定した場合・・・
 コマンド確認例
object-group network OBJ-10.0.0.1-3
network-object host 10.0.0.1
object-group network OBJ-20.0.0.1-4
送信元IP 3個宛先IP ４個サービス 3個
object-group service HTTP-HTTPS-FTP
service-object tcp desti eq http
service-object tcp desti eq https
service-object tcp desti eq ftp
ciscoasa# show access-list | in element
access-list INSIDE; 36 elements; name hash: 0xdedb237a
TIPS)
オブジェクト定義に指定IPではなく、
サブネットを利用することで ACE数を
抑えることが可能
送信元IP（3個） x 宛先IP（4個） x サービス(3個) = 36個のACE数が生成
ACE合計数

各プロセスのCPU使用状況
42
 show processes cpu-usage コマンド
- 5秒、1分、5分の、各プロセス毎のCPU使用率を表示
- sorted non-zero キーワードで、ゼロ以外のプロセスをソート表示
TIPS) 負荷の高いプロセスを把握しチューニングに活用可
ciscoasa# show proc cpu-usage sorted non-zero
PC Thread 5Sec 1Min 5Min Process
0x00000000017e4e32 0x00007ffecf5752e0 15.2% 15.2% 15.0% Logger
- - 11.7% 11.7% 11.6% DATAPATH-2-1337
- - 11.7% 11.8% 11.7% DATAPATH-3-1338
- - 11.6% 11.7% 11.6% DATAPATH-0-1335
- - 11.6% 11.7% 11.6% DATAPATH-1-1336
0x00000000007a8978 0x00007ffecf565e80 4.4% 4.4% 4.4% CP Processing
コントロールポイント（CP) 負荷データパス（DP) 負荷

各コアのCPU使用率
43
 show cpu detail コマンド
- 各コアの、データパス（DP)とコントロールポイント（CP）のCPU使用率を表示
ciscoasa# show cpu detail
Break down of per-core data path versus control point cpu usage:
Core 5 sec 1 min 5 min
Core 0 68.4 (47.8 + 20.6) 66.9 (46.6 + 20.3) 65.4 (45.6 + 20.1)
Core 1 68.8 (47.8 + 21.0) 67.1 (46.8 + 20.3) 65.6 (45.8 + 20.0)
Core 2 68.2 (48.6 + 19.6) 66.9 (46.6 + 20.3) 65.4 (45.7 + 20.0)
Core 3 69.2 (49.0 + 20.2) 67.1 (47.0 + 20.1) 65.6 (45.9 + 19.9)
コントロールポイント（CP) 負荷データパス（DP) 負荷
TIPS) 一部コアのみ負荷が特出し高い時は、特定のシングルフローによる高負荷を疑う

NGFWとNGIPSの機能と、パフォーマンス
44
低い
ASA L3 / L4 ACL
NGFW - URL Filtering
NGFW – Broad AVC
NGFW –
Web AVC
NGIPS
Performance
高い
URL Filtering
NGFW - Broad AVC
メールやFTPなどのアプリケーション制御
NGFW - Web AVC
HTTPやHTTPSのWebアプリケーション制御
NGIPS
脅威の自動検出と、アラート・ブロック
TIPS) NGIPSは通信フローを監視し脅威検出を行うため、負荷が高い
URL別、もしくはURLカテゴリ別制御

NGFW 新規パケット処理フロー概要
45
ACL
checks
MPF
対象no
Packet
Ingress
Packet
Egress
NGFW
ASA Software
NAT
Drop Application
Inspection
NGFW
対象？
no
Drop
yes
no
yes
Broad
AVC
Web AVC
URL
no no
Drop Drop
http
packet
yes yes
TIPS) ACLで不要通信を破棄し、必要な通信のみNGFWとNGIPS処理を行うと良い
Performance高い低い
yes
各
種
処
理

ベストプラクティス
46
 ACLやNATエントリは、定期的な見直し・削除を実施し、エントリ数を抑える
 不要な機能や設定の削減
 高度処理が不要な通信は、ACLでの優先破棄を
 高度処理が必要な通信のみ、NGFWとNGIPS制御を行う
 運用中、通信量ピーク時のCPU使用率に余裕を持たせる
- バーストトラフィックや、攻撃発生時の、セキュリティ処理の余力を考慮
- ASAはCPUが高負荷になると、パケットドロップの原因に

まとめ
47
 ASAはソフトウェアベースの通信制御
- マルチコア、マルチCPUの分散処理により、パフォーマンス向上を実現
 データシートは、設定が最小限のテスト機での計測結果
- マルチプロトコルがより実ネットワークに近いスループット
 実ネットワークは、使用機能と設定量、通信処理量によりパフォーマンス変化
 これら機能・設定を最適化する事で、パフォーマンスの最適化が可能

シスログのボトルネック把握と最適化

¥
シスログの活用
49
 シスログは、優秀なトラブルシューティングツール
 ASAを通過するトラフィックの処理や、ASA動作状況を記録する
Local
Buffer
ログ保存・管理用トラブルシューティング用
Syslog Server
SNMP Server
ASDM
Monitor
(Telnet, SSH)
Console

トラブル事例
50
 障害発生後に show logを確認したが、障害時Syslogメッセージが
残っていなかった
 シスログサーバを確認したが、幾つかのSyslogメッセージが欠けていた
 Syslogメッセージの時間と、実際の時間がずれていた
TIPS) メッセージの欠損や時刻不一致は、トラブルシューティングの効率や結果に影響

Syslogメッセージ生成と送信の仕組み
51
 以下３つの処理を行う
1. データパス（DP)が対象通信を検知し、コントロールポイント(CP)にイベントキュー
2. コントロールポイント（CP)がSyslogメッセージを生成
3. データパス(DP)が Syslogメッセージを送信
Control Point (CP)
Data Path (DP)
Packet
Ingress
Logger
ログ生成
対象？
yes
1. DPからCP宛に
ログ生成要求の
イベントキュー
Syslog Server
3. Syslogメッセージ送信
2. CPはキューを確認し、
シスログフォームを生成
TIPS) 大量の生成・送信処理は、過負荷によるSyslogメッセージの破棄や、CPU負荷高騰、帯域圧迫の原因に

ciscoasa# show asp event dp-cp
DP-CP EVENT QUEUE QUEUE-LEN HIGH-WATER
Punt Event Queue 0 0
Identity-Traffic Event Queue 0 0
General Event Queue 0 1
Syslog Event Queue 5 310
Non-Blocking Event Queue 0 0
Midpath High Event Queue 0 2
Midpath Norm Event Queue 0 3
SRTP Event Queue 0 0
EVENT-TYPE ALLOC ALLOC-FAIL ENQUEUED ENQ-FAIL RETIRED 15SEC-RATE
midpath-norm 911 0 911 0 911 0
arp-in 253 0 253 0 253 0
syslog 2511111 1321 249790 212123 2511111 0
イベントキュー失敗数の確認
52
 show asp event dp-cp コマンド
- データパス（DP）からコントロールポイント（CP）へのキューの処理状況
- 過負荷が発生すると、ENQ-FAILが上昇
キューリミットを超過しFAILした数
TIPS) 通信量ピーク時に大量のFAILが発生していないか確認を
メモリ不足

Syslogメッセージ破棄数の確認
53
ciscoasa# show logging queue
Logging Queue length limit : 512 msg(s)
129052 msg(s) discarded due to queue overflow
0 msg(s) discarded due to memory allocation failure
Current 0 msg on queue, 512 msgs most on queue
 show logging queue コマンド
- Syslogメッセージの送信待ちキュー状態
- Syslogメッセージ生成数が、送信可能数より多い場合、メッセージ破棄が発生
Syslogメッセージの破棄数
TIPS) 通信量ピーク時に大量の破棄が発生していないか確認を

ログレベルと Syslogメッセージ例
54
Log
Level
Description
Ver. 9.1
メッセージ数
(合計)
説明主なSyslogメッセージ
0 Emergency 0 - 該当なし
1 Alert
117
(117)
すぐに措置が必要
フェイルオーバ関連、モジュール障害、内
部エラー、FAN、電源、CPU関連など
2 Critical
72
(189)
深刻な状況
CPU高負荷、メモリ高負荷、認証サーバ
関連、攻撃検知など
3 Error
521
(710)
エラー状態多数
4 Warning
420
(1130)
警告状態
ACL拒否、Threat Detection検知、
他多数
5 Notification
285
(1415)
正常だが、注意が必要コマンド操作、他多数
6 Informational
430
(1845)
情報メッセージ
コネクション生成・切断、ACL許可、PAT
他多数
7 Debugging
295
(2140)
デバッグメッセージ多数
TIPS) 運用で活用できるログレベルの選択と有効化を
膨大
LogMessages
少ない

logging enable
logging buffered informational
logging console informational
logging monitor informational
logging asdm informational
logging trap informational
logging host inside 192.168.1.10
logging host DMZ 192.168.2.121
負荷の高い設定例
55
%ASA-6-305011:Built dynamic TCP translation from inside:192.168.xx.xx/4675 to outside:172.16.xx.xx/34605
%ASA-6-302013:Built outbound TCP connection 3367 for outside:198.133.xx.xx/80 (198.133.xx.xx/80) to inside:192.168.xx.xx/4675 (172.16.xx.xx/34605)
%ASA-6-302014:Teardown TCP connection 3367 for outside:198.133.xx.xx/80 to inside:192.168.xx.xx/4675 duration 0:00:00 bytes 1027 TCP FINs
%ASA-6-305012:Teardown dynamic TCP translation from inside:192.168.xx.xx/4675 to outside:172.16.xx.xx/34605 duration 0:00:30
7つのシスログ送付先
buffer, console, monitor, asdmと、
Syslogサーバ 3つ
 コネクション１つ毎に生成された Syslogメッセージ
 ロギング設定
4つのSyslogメッセージが発生
コネクション１つ毎に
28個 Syslogメッセージ
TIPS) Syslogメッセージ生成数が多いと、ASA処理リソースを大きく消費する

logging enable
logging buffered critical
logging asdm error
logging trap information
no logging message 305011
no logging message 305012
logging enable
logging buffered informational
logging asdm informational
logging trap informational
改善例
 ロギング設定（変更前）
 ロギング設定（改善例）
ConsoleやMonitorは、運用時は無効化が推奨
トラブルシューティング時のみログレベルを変更
Syslogサーバ宛先は、必要最小限に
BufferやASDMは、重要性の高いSyslogメッセ
ージのみ格納するよう変更
BufferやASDMは、Syslogメッセージ格納可能
数が少ないため、古いメッセージは上書き消去さ
れやすい
不要なSyslogメッセージIDは、以下コマンドで出力停止
no logging message [Message ID]
ConsoleやMonitorは、運用時は利用しない
操作時のメッセージ出力は、操作性に悪影響

ネットフロー
57
 トラフィックの利用状況や帯域の確認が目的の場合、ネットフローの検討を
- ネットフローは、シスログより負荷が低い
- ネットフローは、効率の良いトラフィック状況の可視化ツール
 以下情報のエクスポート
- フローの生成・切断・拒否・アップデートイベント
- フローの、送信元・宛先の、IPアドレス・ポート・トラフィック量など
 ASAに対応したネットフローコレクタは以下
- Plixer Scrutinizer
- Solarwinds Orion
- Mangage Engine Netflow Analyzer
TIPS) ASAの独自テンプレートに対応したコレクタを利用する事

まとめ
58
 シスログは優秀なトラブルシューティングツール
 シスログ負荷が高いと、以下影響が発生
- Syslogメッセージの破棄
- CPU高負荷
- 帯域枯渇
 運用に合った、適切なログレベルの選択と、送付先のチューニングを
 トラフィック状況の確認は、ネットフローの併用を検討
 正確な時間把握のため、NTPサーバとの時刻同期を

シスコサポートコミュニティ

シスコサポートコミュニティ（Japan）
 オンラインセミナー (Live Expert Webcast)
 エキスパートに質問コーナー～シスコサポートエンジニアに質問して疑問を解決～
 テクニカルディスカッション
 テクニカルドキュメント、ビデオなど
60
https://supportforums.cisco.com/ja/community/5036/csc-japan

Cisco ASA 5512-X ～ 5555-X 前面
63
5512-X
5515-X
 ASA5512-X～ASA5555-Xは、全て１RUシャーシ
 ASA5545-Xと ASA5555-Xは、SSDと電源モジュールが冗長
冗長SSD

Cisco ASA 5512-X ～ 5555-X 背面
64
6 Gigabit Ethernet Ports
8 Gigabit Ethernet Ports
5512-X
5515-X
5525-X
5545-X
5555-X
冗長電源

Cisco ASA 5512-X ～ 5515-X 内部構造
65
Note: ASA 5515-X のみ Regex Accelerator あり
ASA 5512-X
ASA 5515-X
Flash
Controller Hub
PCIe Bus
Management
1 Gbps
M0
012345
Crypto Accelerator
Con
1 Gbps
2 USB
RAM RAM
Slot 0
External PCIe Slot
SSD Slot
CPU Complex
ASA & NGFW & NGIPS
1 core 1 core
SSD 0
Regex Accelerator

Cisco ASA 5525-X ～ 5555-X 内部構造
66
Note: ASA 5545-Xと5555-Xは CPU 8コア
ASA 5525-X
ASA 5545-X
ASA 5555-X
Flash
Controller Hub
PCIe Bus
Management
1 Gbps
M0
01234567
Crypto Accelerator
Con
1 Gbps
Regex Accelerator
2 USB
RAM
1 core
RAM
Slot 0
External PCIe Slot
SSD 1
SSD Slot
CPU Complex
ASA & NGFW & NGIPS
1 core
1 core
1 core
SSD 0

Cisco ASA 5585-X 前面
67
2 or 4
10GE Ports
2
1 GE Management Ports Console
Port
6 or 8
1 GE Ports
拡張モジュール
冗長HDD

Cisco ASA 5585-X 背面
68
ホットスワップ対応冗長電源

Cisco ASA 5585-X SSP-10 と SSP-20 内部構造
69
Note:
ASA5585-X SSP-10 は 1 CPU 4コア
ASA5585-X SSP-20 は 1 CPU 8コア
ASA5585-X SSP-10
ASA5585-X SSP-20
RAM
Management
1 Gbps
Flash
I/O Bridge
M1
CPU
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Con Aux
1 Gbps10 Gbps
Internal-Data
Ports

Cisco ASA 5585-X SSP-40 と SSP-60 内部構造
70
RAM
Management
1 Gbps
RAM
Flash
Crypto Accelerator
I/O Bridge
M1
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Crypto Accelerator
Con Aux
1 Gbps10 Gbps
Internal-Data
Ports
ASA5585-X SSP-40
ASA5585-X SSP-60
Note:
ASA5585-X SSP-40 は 2CPU 16コア
ASA5585-X SSP-60 は 2CPU 24コア

VPN パフォーマンス最適化（ASA5545-X以上）
71
 crypto engine accelerator-bias コマンド
-暗号処理エンジンの、IPSecと SSL VPNの、処理リソースの割当変更
- balanced, ipsec, ssl の３つのオプション。デフォルトはipsec （=IPSec優先）
- ASA5545-Xと、ASA5555-X、ASA5585-Xがチューニング可能
TIPS) ASDMの場合、以下メニューより変更可
Configuration > Remote Access VPN > Advanced > Crypto Engine
ASA5555 (config)# crypto engine accelerator-bias ?
configure mode commands/options:
balanced Equally distribute crypto hardware resources
ipsec Allocate crypto hardware resources to favor IPSec/Encrypted Voice (SRTP)
ssl Allocate crypto hardware resources to favor SSL
ASA5555(config)# crypto engine accelerator-bias ssl
Nov 11 2014 21:47:29: %ASA-4-402131: CRYPTO: Succeeded changing the first hardware accelerator's
configuration bias from ipsec to ssl.
SSL VPNに優先リソース割当
TIPS) VPN利用状況に応じてチューニングを

VPN パフォーマンス最適化の確認
72
 show crypto accelerator load-balance コマンド
- 暗号処理エンジンの、処理リソースの割当状況、などの確認
- detail, ipsec, ssl の３つのオプション
ASA5555# show crypto accelerator load-balance ssl
Crypto SSL Load Balancing Stats:
==================================
Engine Crypto Cores SSL Sessions Active Session
Distribution (%)
====== ============== =========================== ================
0 IPSEC 1, SSL 7 Total: 1 Active: 1 100.0%
Commands Completed 1 second 5 second 60 second
================== ======== ======== =========
Engine 0 (load) 0.0% 0.0% 0.0%
リソース割当状況
- crypto engine accelerator-bias sslを実行後の割合

Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法

More Related Content

What's hot

Similar to Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法

More from シスコシステムズ合同会社

Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法