Transcript PPT
PSU Week 2015 May [Sec-3] Cisco ASA 製品&機能アップデート ジャパンSEラボオペレーション シニア システムズ エンジニア 柴田 亮 アジェンダ 1. ASA プラットフォームアップデート 2. ASA ソフトウェア新機能ご紹介 3. ASA ソフトウェア新機能の検証結果のご紹介 3-1. ダイナミックルーティング新機能 3-2. Embedded Event Manager (EEM) 1. ASAプラットフォーム アップデート Cisco ASA 5500-X シリーズ ASA 5585-X SSP-60 (40 Gbps, 350K cps) Performance and Scalability ASA 5585-X SSP-40 (20 Gbps, 200K cps) ASA 5585-X SSP-20 (10 Gbps, 125K cps) ASA 5585-X SSP-10 (4 Gbps, 50K cps) ASA 5555-X (4 Gbps,50K cps) New! ASA 5516-X (1.8 Gbps) New! ASA 5508-X (1Gbps) ASASM for Catalyst6500,Cisco7600 (16-20 Gbps,300K conn/s) ASA 5545-X (3 Gbps,30K cps) ASA 5525-X (2 Gbps,20K cps) ASAv30 ASA 5515-X (1.2 Gbps,15K cps) (1-2Gbps, 60K conn/s) ASA 5512-X (1 Gbps, 10K cps) ASAv10 (500M-1Gbps, 20K conn/s) (50M-100Mbps, 8K conn/s) ASAv5 ASA 5506-X (750Mbps, 5K cps) ASA 5505 (150 Mbps, 4K cps) SOHO Branch Office Internet Edge Campus Data Center Cisco ASA5500-X シリーズ 新プラットフォーム ASA 5512/5515 の後継として 最適 アップセルや 新しいマー ケットへ ASA 5505 の後継とし て最適 5508-X 5516-X 5506-X 5506W-X デスクトップモデル 無線アクセスポイント 統合モデル 高耐久性モデル 高パフォーマンス モデル 無線機能はローカル及び WLC で管理可能 産業用次世代ファイア ウォール 1RU 新たな性能価格帯製品 次世代ファイアウォール 5506H-X ライセンス概要 上位のASA with Cisco ASA with FirePOWER Services と同様 Cisco ASA ライセンシング Cisco FirePOWER™ サービスライセンシング • ユーザ数ライセンスは廃止 URL • セキュリティプラス (デスクトップ型専用のオ プション) • VPN ライセンス: Cisco AnyConnect® 4.0 URL AMP AMP URL IPS IPS IPS IPS URL TA TAC TAM TAMC • セキュリティコンテキスト (Cisco® ASA 5508-X 、5516-X のみ) 1, 3-年, 5年 サブスクリプション, Cisco AVC は含まれる、 AVC アップデートはCisco SMARTnet™ サポートで利用可能 デスクトップ型 Cisco ASA 5506-X CPU マルチコア RAM 4 GB アクセラレータ Yes ポート 8x GE データポート, 1 管理ポート (10/100/1000 BASE-T) コンソールポート RJ-45, Mini USB USB ポート Type ‘A’ supports 2.0 記憶容量 64-GB mSATA 冷却 ファンレス 電源 外部AC、 DCなし 約20cm x 22.6cm x 4.4cm ワイヤレス内蔵型 Cisco ASA 5506W-X Wireless AP Cisco ASA 5506_AP702 (AP702i 相当), IEEE 802.11n, 2 x 2 MIMO ポート 8 x データポート, 1 アクセス ポイント用ポート (内部デー タポート g1/9) 管理ポート g1/1 - g1/9 の任意のポート, Mgmt 1/1 はファイアウォー ルのマネジメント専用 マネージメント ワイヤレスは別に管理 HTTP でAP のGUI にアクセ ス Cisco® ASA 5506-X と同サイズ (約20cm x 22.6cm x 4.4cm) 高耐久性モデル Cisco ASA 5506H-X データポート 4 x データポート 管理ポート 1 Port, 10/100/1000BASET, 100BASE-FX, 1000BASE-X, SFP 電圧 5V (5506 : 12V) 動作温度 –20 ~ 60°C マウント方法 壁掛け, 平置き, ラックマウン ト、 DIN レールマウント 約23cm x 23.4cm x 6.4cm ラックマウント型 Cisco ASA 5508-X 、 ASA 5516-X CPU マルチコア RAM 8 GB アクセラレータ Yes ポート 8x GE データポート, 1x 管 理ポート (10/100/1000 BASE-T) コンソールポート RJ-45, Mini USB USB ポート Type ‘A’ supports 2.0 記憶容量 120-GB SSD 冷却 ファン 電源 内部AC 、 DCなし 約43.7cm x 28.2cm x 4.4cm 製品特徴比較 ASA 5506-X ハードウェア ソフトウェア ASA 5506W-X ASA 5506H-X ASA 5508-X ASA 5516-X CPU 4Cx1.25GHz 4Cx1.25GHz 4Cx1.25GHz 7Cx2GHz 8Cx2.4GHz RAM 4GB 4GB 4GB 8GB 8GB SSD(空き容量) 50GB 50GB 50GB 80GB 100GB Fan No No No Yes Yes I/O 8xGE 8xGE; WiFi 4xGE 8 x GE 8 x GE ユーザ数 無制限 無制限 無制限 無制限 無制限 Yes Active/Standby only1 Yes Active/Standby only1 Yes Active/Standby only1 Yes (Active/Active) Yes (Active/Active) コンテキスト No No No Yes2 Yes2 クラスタリング No No No No 将来サポート予定 High-Availability 1. SecPlus ライセンスが必要; 2. セキュリティコンテキストライセンスが必要 パフォーマンス比較 ~1.5x to 2x ~1.5x to 2x ASA 5506-X ASA 5506W-X ASA 5508-X ASA 5516-X ステートフルファイアウォール 最大スループット 750 Mbps 750 Mbps 1 Gbps 1.8 Gbps VPN スループット 100 Mbps 100 Mbps 175 Mbps 250 Mbps AVC 最大スループット 250 Mbps 250 Mbps 450 Mbps 850 Mbps AVC + NGIPS 最大スループット 125 Mbps 125 Mbps 250 Mbps 450 Mbps AVC or IPS サイジングスループット[440B] 90 Mbps 90 Mbps 180 Mbps 300 Mbps 最大同時接続数 50,0001 50,0001 100,000 250,000 最大接続数 / 秒 5000 5000 10000 20000 1. セキュリティプラスライセンスが必要 ASA5506 、ASA5505 の主な相違点 Category ASA 5505 ASA 5506-X 1 Core @ 500MHz 512M/128M none 4 Core @ 1.7GHz 4G/8GB 64GB スイッチポート Yes No ユーザーライセンス Yes No (無制限) ハードウェア EzVPN クライアント Yes No* トラフィックシェーピング Yes No IPS No Yes アプリケーションコントロール No Yes URL フィルター No Yes AMP (Advanced Malware Protection) No Yes CPU RAM/Flash SSD Hardware Software NGFW (FirePOWER) Services ※ASA5506 で EzVPN Client 機能を将来サポート予定有り デフォルトコンフィグを使用した簡単な初回セットアップ デフォルトコンフィグにより簡単にインターネットに接続できます(9.4(1)-) • WAN ポート、インサイドポート、管 理ポートはすでに設定済み • WAN ポートはDHCP クライアントと 3. WAN 接続 DHCP想定 Internet /WAN 2. ASA の管理には データポートを使用 1. FirePOWER の管理には 管理ポートを使用 L2 スイッチ 管理端末 なるアウトサイドポート(G1/1) インサイドポート(G1/2)はASDM に よる管理が可能な設定 管理ポートはFirePOWER の管理の ためだけに使用 2. ASAソフトウェア 新機能ご紹介 ASAソフトウェア9.3(2)、9.3(3)での新機能一覧(一部省略) その1 対応機種(販売中): 5500-X, 5506-X, 5585-X,ASASM,ASAv 非対応機種(販売中): 5505, 5508-X, 5516-X • ASA5506-Xサポート • REST API • • ASA イメージへのデジタル署名と確認 機能の追加 • CUCM 10.5サポート (SIP,SCCP) • ASP (Accelerated Security Path) の 負荷分散の強化 • Citrix VDIでのHTML-5ブラウザ サポート • ACL, Object設定時にConfiguration Sessionを作成可能 • Clientless SSL-VPNでMac OSX10.9 サポート • ACLでのForward referencing • サードパーティのIKEv2リモート アクセスクライアントに対応 (存在していないオブジェクトの指定や参照が可能) SIPサポート強化 (Trust Verification Services, NAT66, CUCM 10.5...) ASAソフトウェア9.3(2)、9.3(3)での新機能一覧(一部省略) その2 対応機種(販売中): 5500-X, 5506-X, 5585-X,ASASM,ASAv 非対応機種(販売中): 5505, 5508-X, 5516-X • TLS 1.2対応 • ASAvでのSmart Licensing • IPv6 BGP • FailoverのStandbyユニット& コンテキストに対する直接の設定 変更を禁止可能に • SNMP MIB と Trap 強化 • CLIでのシステムバックアップと リストア • インターフェイスをグループ化した Traffic Security Zone機能 • • ASAv のKVM サポート(9.3(2)200) 認証失敗のログ中にユーザ名を表示/ 非表示を設定可能に (9.3(3)) ASAソフトウェア9.4(1)での新機能一覧(一部省略) その1 対応機種(販売中): 5500-X, 5506-X, 5508-X, 5516-X,5585-X,ASASM,ASAv 非対応機種(販売中): 5505 • SIP インスペクションのマルチコア対応 • SIP インスペクションでの Phone Proxy と UC-IME Proxy 機能の削除 • Standby Unit での特定の syslog の 無効化 • DCERPC インスペクションサポート拡張 • クラスタ利用時に以下をサポート • SNMP トラップを送るサーバ数の上限撤 廃 • VXLAN パケットのインスペクション • DHCP統計情報IPv6対応 インターフェイス毎のモニタリングの有効 / 無効設定 • DHCP リレー • SIP インスペクション • • Policy Based Routing • VXLAN サポート (VTEP: VXLAN Tunnel Endpoint サポート) ASAソフトウェア9.4(1)での新機能一覧(一部省略) その2 対応機種(販売中): 5500-X, 5506-X, 5508-X, 5516-X,5585-X,ASASM,ASAv 非対応機種(販売中): 5505 • EEMでメモリのトラッキングが可能に • クラッシュ時の情報取得機能が拡張 • • ECDHE, ECDSA (楕円曲線) サポー ト Clientless SSL-VPNでのOWA 2013 利用時の機能拡張 • • Clientless SSL-VPNでのセッション Cookieへのアクセス制限 Citrix XenDesktop 7.5とStoreFront 2.5をClientless SSL-VPNでサポート • 証明書認証での定期的な再認証を設 定可 • Clientless SSL-VPNにてVDI利用時 にSGTベースのポリシー制御が可能 に • 証明書の期限切れが近いときにア ラートを出力可能に ASAソフトウェア9.4(1)での新機能一覧(一部省略) その3 対応機種(販売中): 5500-X, 5506-X, 5508-X, 5516-X,5585-X,ASASM,ASAv 非対応機種(販売中): 5505 • CAフラグ無しの証明書はASAのCA 証明書としてデフォルトで利用不可に • IKEv2にてSAに合致しないTraffic Selectorを含むパケット受信時にPeer にnotificationを送ることが可能に • IKEv2でHEXによるPSKのサポート • ASDMで証明書からのユーザ名補完 による認証をサポート • CLIで?を利用したヘルプの無効化が 可能に • REST API機能拡張 • Tokenベースの認証 • Multi Contextサポート (system context のみ) • Application Inspection • ASAvにてvCenter無しでESXiに インストールが可能に (9.4(1)200) • ASAvにてAWSをサポート (9.4(1)200) 3. ASA新機能 検証結果ご紹介 3-1. ダイナミックルーティング新機能 検証内容 (青字は導入バージョン) Dynamic Routingエンハンスメント – OSPF IPv4 OSPF Fast Hello 9.2(1) (参考資料) IPv4 OSPF Multiple Context 9.0(1) IPv4 OSPF NSF 9.2(1) Dynamic Routingエンハンスメント – BGP 9.2(1) IPv4 BGP Graceful Restart 9.3(1) IPv6 BGP 9.3(2) 検証内容 Dynamic Routingエンハンスメント – OSPF IPv4 OSPF Fast Hello(参考資料) IPv4 OSPF Multiple Context IPv4 OSPF NSF Dynamic Routingエンハンスメント – BGP IPv4 BGP Graceful Restart IPv6 BGP IPv4 OSPF FastHello(1) 通常1秒が最小値のOSPF Hello 間隔をmsec のオーダーまで短縮する機能 《検証内容》 《構成》 active RT1 .11 SW OSPF .1 .12 192.168.111.0/24 Area 0 standby ・RT1~SW間のケーブルをリンク ダウンさせ、FastHelloあり、なし の違いを検証 ・ Active ASAにて 1. インターフェースリンクダウン 2. OSPFネイバーダウン のタイミングを確認 IPv4 OSPF FastHello(2) active 《設定内容》 ASA/pri/act(config)# interface gi0/0 ASA/pri/act(config-if)# ospf dead-interval minimal hello-multiplier 10 OSPF RT1 設定前 SW standby ASA/pri/act# sh ospf interface <snip> outside is up, line protocol is up Internet Address 192.168.111.11 mask 255.255.255.0, Area 0 Process ID 1, Router ID 11.11.11.116, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State WAITING, Priority 1 No designated router on this network No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 <snip> 設定後 ASA/pri/act# sh ospf interface <snip> outside is up, line protocol is up Internet Address 192.168.111.11 mask 255.255.255.0, Area 0 Process ID 1, Router ID 11.11.11.116, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) 1.1.1.1, Interface address 192.168.111.1 Backup Designated router (ID) 11.11.11.116, Interface address 192.168.111.11 Timer intervals configured, Hello 100 msec, Dead 1, Wait 1, Retransmit 5 <snip> Hello の間隔が100msec に短縮できている IPv4 OSPF FastHello(3) 《想定動作》 ★→FastHelloありの場合は(2)とほぼ同タイミングで発生、なしの場合は(2)-(3)まで時間が かかる想定 (1) RT1~SW間ケーブル抜線 (2) RT1にてインターフェースリンクダウン検知 (3) OSPFネイバーダウン ★ IPv4 OSPF FastHello(4) 《検証結果》 【FastHelloなし】 (1) RT1~SW間ケーブル抜線 (2) RT1にてインターフェースリンクダウン検知 RT1# Dec 5 04:26:40.013: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down active インターフェースリンクダウン ~ OSPFネイバー断まで →30秒程度 (3) OSPFネイバー断 RT1 SW OSPF 障害箇所 standby ASA/pri/act# ASA/pri/act# Dec 05 2014 04:27:10: %ASA-5-503001: Process 1, Nbr 1.1.1.1 on outside from FULL to DOWN, Neighbor Down: Dead timer expired IPv4 OSPF FastHello(5) 《検証結果》 【FastHelloあり】 (1) RT1~SW間ケーブル抜線 (2) RT1にてインターフェースリンクダウン検知 RT1# Dec 5 04:48:04.095: %OSPF-5-ADJCHG: Process 1, Nbr 11.11.11.116 on FastEthernet0/0 from FULL to DOWN, Neighbor Down: Dead timer expired Dec 5 04:48:10.515: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down active インターフェースリンクダウン ~ OSPFネイバー断 →同時 (3) OSPFネイバー断 RT1 SW OSPF 障害箇所 standby ASA/pri/act# Dec 05 2014 04:48:04: %ASA-5-503001: Process 1, Nbr 1.1.1.1 on outside from FULL to DOWN, Neighbor Down: Dead timer expired IPv4 OSPF FastHello(6) 《結果まとめ》 リンクダウン~ネイバーダウンまでの時間 FastHelloなし → 30秒程度 FastHelloあり → ほぼ同時(タイムラグなし) 通信断時間を短くする手段として、FastHelloが有効に機能することが確認できた 検証内容 Dynamic Routingエンハンスメント – OSPF IPv4 OSPF Fast Hello(参考資料) IPv4 OSPF Multiple Context IPv4 OSPF NSF Dynamic Routingエンハンスメント – BGP IPv4 BGP Graceful Restart IPv6 BGP IPv4 OSPF Multiple Context(1) 《構成》 10.255.111.1/32 10.255.211.1/32 RT1 VRF1 各コンテキストで別のOSPF プロセ スを動作させ、それぞれのルーティ ングテーブルを構成する機能 VRF2 .1 .1 VLAN 111 / 192.168.111.0/24 VLAN 211 / 192.168.211.0/24 .11 .11 VFW2 10.0.0.0/24 VFW1 .11 .11 VRF1 10.255.113.3/32 .12 《検証内容》 .12 ・Multiple Context環境 (VFW1、VFW2)を構築し、 各ContextでOSPFによる ルート学習が出来ていることを 確認する。 .12 .11 .12 VLAN 213 / 192.168.213.0/24 .3 .12 VLAN 113 / 192.168.113.0/24 .3 VRF2 10.255.113.3/32 RT2 Area 0 IPv4 OSPF Multiple Context(2) 《設定後のルーティングテーブル》 VFW1 VFW2 ASA/pri/act/VFW1# show route <snip> O 10.255.111.1 255.255.255.255 [110/11] via 192.168.111.1, 00:00:04, outside O 10.255.113.3 255.255.255.255 [110/11] via 192.168.113.3, 00:00:04, inside C 192.168.111.0 255.255.255.0 is directly connected, outside L 192.168.111.11 255.255.255.255 is directly connected, outside C 192.168.113.0 255.255.255.0 is directly connected, inside L 192.168.113.11 255.255.255.255 is directly connected, inside ASA/pri/act/VFW2# show ip route <snip> O 10.255.211.1 255.255.255.255 [110/11] via 192.168.211.1, 00:01:55, outside O 10.255.213.3 255.255.255.255 [110/11] via 192.168.213.3, 00:01:55, inside C 192.168.211.0 255.255.255.0 is directly connected, outside L 192.168.211.11 255.255.255.255 is directly connected, outside C 192.168.213.0 255.255.255.0 is directly connected, inside L 192.168.213.11 255.255.255.255 is directly connected, inside VFW1、VFW2それぞれのContextで、 OSPFによるルート学習ができている Multiple Context環境でもOSPFが動作することが確認できた 検証内容 Dynamic Routingエンハンスメント – OSPF IPv4 OSPF Fast Hello(参考資料) IPv4 OSPF Multiple Context IPv4 OSPF NSF Dynamic Routingエンハンスメント – BGP IPv4 BGP Graceful Restart IPv6 BGP Non Stop Forwarding (NSF)/ Graceful Restart (GR) • ASA 9.3(1) でNon Stop Forwarding (NSF) ・ Graceful Restart (GR) をサポート • • Cisco NSF、IETF NSFに対応(OSPFv2, OSPFv3); RFC 4724 GRに対応(BGPv4) Failover もしくは Spanned Etherchannel clustering では、 ASAはSwitchover後、互換性のあるピアルータ に転送を続けるよう通知 (NSF/GR なしの場合、Switchover 後、ネイバーの張り直し時に、ルーティングテーブルと、フォワーディング テーブルがクリアされるため、通信断が発生) OSPF/BGP 経路情報の同期は ASA8.4.4.1でサポート済み OSPF/BGP Forwarding Plane NSF/GR helper IPv4 OSPF NSF(1) 《設定内容》 ASA/pri/act(config-router)# router ospf 1 ASA/pri/act(config-router)# nsf ietf 行きトラフィック(1000PPS) 戻りトラフィック(1000PPS) active IXIA OSPF OSPF standby 設定前 ASA/pri/act# show ospf <snip> IETF NSF helper support enabled Cisco NSF helper support enabled <snip> 設定後 ASA/pri/act# show ospf <snip> IETF Non-Stop Forwarding enabled restart-interval limit: 120 sec Unit is operating in Failover mode IETF NSF helper support enabled <snip> IXIA IPv4 OSPF NSF(2) 《想定動作》 ★→NSFあり・なしに関わらず、通信断発生想定 ☆→NSFありの場合は通信断なし想定 1. Primary フェイルオーバー (1) Primaryにてフェイルオーバーコマンド発行 (2) ActiveがPrimary → Secondaryに遷移 ★(Active機変更に伴う通信断) (3) 通信復旧 (4) OSPFネイバー再構築 ☆(ネイバー再構築後、経路の再計算による通信断) 2. Primary 電源断 (1) Primary電源断 (2) ActiveがPrimary → Secondaryに遷移 ★ (電源断~Secondaryによる対向機器の断検知の間の通信断) (3) 通信復旧 (4) OSPFネイバー再構築 ☆ (ネイバー再構築後、経路の再計算による通信断) IPv4 OSPF NSF(3) 《検証結果》 1. 【NSFなし】Primary フェイルオーバー IXIA トラフィック ★ Active遷移時 →瞬断あり IXIA 統計情報 ※ASA がBDR の状態では通信断が生じない可能性あり ☆ネイバー再構築後 →10秒程度通信断発生※ IPv4 OSPF NSF(4) 《検証結果》 1. 【NSFあり】Primary フェイルオーバー IXIA トラフィック ★ Active遷移時 →瞬断あり IXIA 統計情報 ☆ネイバー再構築時 →通信断なし IPv4 OSPF NSF(5) 《検証結果》 2. 【NSFなし】Primary 電源断 IXIA トラフィック ★ Active遷移時 →15秒程度通信断発生 ※Unit Polling holdtime が15sec のため IXIA 統計情報 ※ASA がBDR の状態では通信断が生じない可能性あり ☆ネイバー再構築後 →10秒程度通信断発生※ IPv4 OSPF NSF(6) 《検証結果》 2. 【NSFあり】Primary 電源断 IXIA トラフィック ★ Active遷移時 →15秒程度通信断発生 ※Unit Polling holdtime が15sec のため IXIA 統計情報 ☆ネイバー再構築時 →通信断なし IPv4 OSPF NSF(7) 《結果まとめ》 (秒数は断時間) NSFなし NSFあり ★ Active遷移時 ☆ ネイバー 再構築時 ★ Active遷移時 ☆ ネイバー 再構築時 1 Primary フェイルオーバー 瞬断 10秒 瞬断 なし 2 Primary 電源断 15秒 10秒 15秒 なし 《考察》 NSF 有効時においては、ネイバー再構築後にフォワーディングテーブルをクリアする必要がない ため、全体のダウンタイムを短くすることが可能 検証内容 Dynamic Routingエンハンスメント – OSPF IPv4 OSPF Fast Hello(参考資料) IPv4 OSPF Multiple Context IPv4 OSPF NSF Dynamic Routingエンハンスメント – BGP IPv4 BGP Graceful Restart IPv6 BGP IPv4 BGP Graceful Restart(1) AS:1 active 《設定内容》 行きトラフィック(1000PPS) 戻りトラフィック(1000PPS) eBGP eBGP IXIA ASA/pri/act(config)# router bgp 1 ASA/pri/act(config-router)# bgp graceful-restart AS:2 tky1-j07-2801-01(config)#router bgp 2 tky1-j07-2801-01(config-router)#bgp graceful-restart 設定前 IXIA AS:3 standby tky1-j07-2801-03(config)#router bgp 3 tky1-j07-2801-03(config-router)#bgp graceful-restart 設定後 ASA/pri/act# sh bgp neighbors ASA/pri/act# show bgp neighbors BGP neighbor is 192.168.111.1, context <snip> Graceful-Restart is disabled BGP neighbor is 192.168.111.1, context Graceful-Restart is enabled, restart-time 120 seconds, stalepath-time 360 seconds BGP neighbor is 192.168.113.3, context <snip> Graceful-Restart is disabled BGP neighbor is 192.168.113.3, context Graceful-Restart is enabled, restart-time 120 seconds, stalepath-time 360 seconds IPv4 BGP Graceful Restart(2) 《想定動作》 ★→GRあり・なしに関わらず、通信断発生想定 ☆→GRありの場合は通信断なし想定 1. Primary フェイルオーバー (1) Primary にてフェイルオーバーコマンド発行 (2) ActiveがPrimary → Secondaryに遷移 ★(Active機変更に伴う通信断) (3) 通信復旧 (4) BGPネイバー再構築 ☆(ネイバー再構築後、経路の再計算による通信断) 2. Primary 電源断 (1) Primary電源断 (2) ActiveがPrimary → Secondaryに遷移 ★ (電源断~Secondaryによる対向機器の断検知の間の通信断) (3) 通信復旧 (4) BGPネイバー再構築 ☆ (ネイバー再構築後、経路の再計算による通信断) IPv4 BGP Graceful Restart(3) 《検証結果》 1. 【GRなし】Primary フェイルオーバー IXIA トラフィック ★Active遷移時~ ☆ネイバー再構築時 →計16秒程度 通信断発生 ※実際にはActive遷移時に瞬断発生→そのまま断 が続き、ネイバー再構築の流れになっている。 IXIA 統計情報 IPv4 BGP Graceful Restart(4) 《検証結果》 1. 【GRあり】Primary フェイルオーバー IXIA トラフィック ★ Active遷移時 →瞬断発生 IXIA 統計情報 ☆ネイバー再構築時 →通信断なし IPv4 BGP Graceful Restart(5) 《検証結果》 2. 【GRなし】Primary 電源断 IXIA トラフィック ※Unit Polling holdtime が15sec のため ★Active遷移時 →十数秒程度通信断発生 ☆ネイバー再構築時 →十数秒程度通信断発生 計33秒程度 通信断発生 IXIA 統計情報 IPv4 BGP Graceful Restart(6) 《検証結果》 2. 【GRあり】Primary 電源断 IXIA トラフィック ★ Active遷移時 →14秒程度通信断発生 ※Unit Polling holdtime が15sec のため IXIA 統計情報 ☆ネイバー再構築時 →通信断なし IPv4 BGP Graceful Restart(7) 《結果まとめ》 (秒数は断時間) GRなし GRあり ★ Active遷移時 ☆ ネイバー 再構築時 ★ Active遷移時 ☆ ネイバー 再構築時 1 Primary フェイルオーバー 16秒 ※Active遷移 +ネイバー再 構築合計 16秒 ※Active遷移 +ネイバー再 構築合計 瞬断 通信断なし 2 Primary 電源断 十数秒 十数秒 14秒 通信断なし GRを設定することで、BGPネイバー再構築時の通信断を防げることが確認できた 検証内容 Dynamic Routingエンハンスメント – OSPF IPv4 OSPF Fast Hello(参考資料) IPv4 OSPF Multiple Context IPv4 OSPF NSF Dynamic Routingエンハンスメント – BGP IPv4 BGP Graceful Restart IPv6 BGP IPv6 BGP (1) 《構成》 《検証内容》 Lo0 eBGP neighbor RT1 2001:db8::FFFF:1/128 ::1 AS 2 ・IPv6 BGP の設定を行い、ルータ とネイバーを確立することを確認 する 2001:db8:111::/64 ::11 ・経路情報を交換することを確認 する ::12 .11 10.0.0.0/24 .12 ASA(Primary) ASA(Primary) ::11 ::12 AS 1 2001:db8:113::/64 ::3 2001:db8::FFFF:3/128 Lo0 RT2 AS 3 IPv6 BGP (2) 《ASA 設定》 router bgp 1 bgp log-neighbor-changes bgp router-id 11.11.11.11 address-family ipv6 unicast neighbor 2001:db8:111::1 remote-as 2 neighbor 2001:db8:111::1 activate neighbor 2001:db8:113::3 remote-as 3 neighbor 2001:db8:113::3 activate no synchronization exit-address-family ! 《ネイバー確立の確認》 tky1-j08-asa5555-01/pri/act# sh bgp ipv6 unicast summary BGP router identifier 11.11.11.11, local AS number 1 BGP table version is 3, main routing table version 3 2 network entries using 472 bytes of memory 2 path entries using 208 bytes of memory 2/2 BGP path/bestpath attribute entries using 416 bytes of memory 2 BGP AS-PATH entries using 48 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1144 total bytes of memory BGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 2001:db8:111::1 4 25 4 3 0 0 00:00:42 1 2001:db8:113::3 4 35 4 3 0 0 00:00:48 1 tky1-j08-asa5555-01/pri/act# IPv6 BGP (3) 《経路の確認(BGP テーブル)》 tky1-j08-asa5555-01/pri/act# show bgp ipv6 unicast BGP table version is 3, local router ID is 11.11.11.11 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 2001:db8:ffff::1/128 2001:db8:111::1 0 0 2i *> 2001:db8:ffff::3/128 2001:db8:113::3 0 0 3i IPv6 BGP (4) 《経路の確認(ルーティングテーブル)》 tky1-j08-asa5555-01/pri/act# show ipv6 route bgp IPv6 Routing Table - 8 entries Codes: C - Connected, L - Local, S - Static O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2, B - BGP B 2001:db8:ffff::1/128 [20/0] via fe80::216:c7ff:fed6:2644, outside B 2001:db8:ffff::3/128 [20/0] via fe80::225:84ff:fead:73da, inside IOS ルータと同様の設定で、IPv6 BGP の基本的な動作が確認できた 3-2. Embedded Event Manager (EEM) 主なEEM機能 -9.3(2)時点- (1)イベントトリガーのコマンド発行 Syslog ID(発生頻度の条件指定可[●秒以内に●回]), crashinfo (2)時間トリガーのコマンド発行 absolute(時刻指定), countdown(●秒後), watchdog(●秒毎) (3)手動のコマンド発行 コマンドを予め登録しておき、任意のタイミングで手動実行 (4)外部ファイル出力 コマンド発行の結果を外部ファイルに出力 EEM機能比較 -ルータ、スイッチ⇔ASA- 主なトリガー ルータ、スイッチ ASA (9.3(2)) SNMP ○ × Syslog ○ ○※ crashinfo ○ ○ インターフェースカウンターの閾値超え(閾値設定時) ○ × CLIからの入力情報 ○ × タイマー(Countdown、watchdog、CRON) ○ ○ IP SLA ○ × 手動実行 ○ ○ ※正規表現は利用不可。特定のSyslog ID指定(Range指定含む)のみ可。 ⇒ルータ、スイッチのEEM機能と比較すると、ASAのEEMは限定的 検証シナリオ (1)30秒以内に2回、I/Fがdownした際に(2)show loggingを取得し、 (3)外部ファイルに出力する ASDM上設定 CLI設定 ciscoasa#show running-config ~中略~ event manager applet EEM-TEST1 description interface down event syslog id 411002 occurs 2 period 30 action 1 cli command "show logging" output file new ~中略~ (1) (2) (3) 構成と手順 手順 構成 Gi0/0 primary 1.ASA(primary)のGi0/0を、30秒以内に2回抜線 2.show loggingで、該当のログが出力されていることを確認 3.show flashで、外部ファイルが出力されていることを確認 4.外部ファイルをダウンロードし、2で確認したログと内容が 一致していることを確認 1 secondary copyコマンドでファイルをダウンロード 2,3 4 xxxx.log 動作確認 1.ASA(primary)のGi0/0を、30秒以内に2回抜線 2.show loggingで、該当のログが出力されていることを確認 ciscoasa/pri/act# show logging ~中略~ Mar 24 2015 10:57:58: %ASA-4-411002: Line protocol on Interface GigabitEthernet0/0, changed state to down Mar 24 2015 10:58:12: %ASA-4-411001: Line protocol on Interface GigabitEthernet0/0, changed state to up Mar 24 2015 10:58:25: %ASA-4-411002: Line protocol on Interface GigabitEthernet0/0, changed state to down 3.show flashで、外部ファイルが出力されていることを確認 ciscoasa/pri/act# show flash: --#-- --length-- -----date/time------ path ~中略~ 140 4736 Mar 24 2015 10:58:42 eem-EEM-TEST1-20150324-105825.log 動作確認 4.外部ファイルをダウンロードし、2で確認したログと内容が一致していることを ファイル名には自動的に 確認 《取得ファイルの内容》 EEM Applet名が入る 《CLIで確認したshow logging》 ファイル名:eem-EEM-TEST1-20150324-105825.log ciscoasa/pri/act# show logging ~中略~ Mar 24 2015 10:57:58: %ASA-4-411002: Line protocol on Interface GigabitEthernet0/0, changed state to down ~中略~ Mar 24 2015 10:58:25: %ASA-4-411002: Line protocol on Interface GigabitEthernet0/0, changed state to down ----------- show logging @ 2015/03/24 10:58:25----------~中 略~ Mar 24 2015 10:57:58: %ASA-4-411002: Line protocol on Interface GigabitEthernet0/0, changed state to down ~中略~ Mar 24 2015 10:58:25: %ASA-4-411002: Line protocol on Interface GigabitEthernet0/0, changed state to down 内容が一致⇒設定どおりに動作していることを確認 まとめ Cisco ASA の新しいプラットフォーム ASA5506-X(デスクトップ型) ASA5506W-X(無線AP 内蔵型) ASA5506H-X (高耐久性モデル) ASA5508-X, ASA5516-X (1RU モデル) Cisco ASA ソフトウェア新機能のご紹介 ソフトウェアバージョン9.3(2) 以降の新機能 Cisco ASA 新機能に関する社内検証結果のご紹介 OSPF (Fast Hello)、Multi-Context、NSF BGP Graceful Restart、IPv6 EEM (Embedded Event Manager)