スバル XVハイブリッド スペック,
身近 類語 熟語,
アップル コールセンター バイト,
中古車 流通量 時期,
Nhk スローな武士にしてくれ 再放送,
沖縄 レンタカー エクリプスクロス,
弁護士 法人響 新卒,
WOLF RPGエディター ダウンロード 方法,
ロジクール ゲーミングキーボード 英語配列,
川越市 ハザードマップ 地震,
女の子 アイコン 可愛い,
MSN ニュース アプリ 移動 しま した,
バイリンガール プリン 可愛くない,
Now I'm Ready For School 意味,
クロスゲーム 青葉 いつから,
蜷川実花展 2020 スケジュール,
ハイラックスサーフ 130 前期,
陽 書き方 コツ,
東京芸術大学 声楽科 難易度,
田中圭 出身 小学校,
ママ ワークス 男,
ハイゼットカーゴ Diy カスタム,
ひらがな フラッシュカード 無料,
飯豊 まりえ 年齢,
美しが丘 ワーキングスペース 求人,
おっさんずラブ コンサート グッズ,
栗 イラスト 白黒,
許 容量 類語,
高橋陽一 Acミラン 門前払い,
ちはや ふる 45巻 ネタバレ,
LCOS DLP 比較,
テレワーク バイト データ入力,
西条市 弁護士 事務所,
QVC 出品 費用,
ASA はクラスタメンバーとなる ASA の Public (outside) 側、および Private (inside) 側が、それぞれ同一サブネット内に配置される必要があります。 クライアントは AnyConnect 3.0 以降で、SSL-VPN フルトンネルでも IPsec でもどちらでも動作します。 (config-webvpn)# anyconnect image filename order ⇒ 複数のクライアントがある場合、order 引数を使用して、クライアントイメージに順序を割り当てる。 ⇒ ASAはリモートクライアントPCのOSと一致するまで、指定されている順で各クライアントの一部をダウンロードする。 AnyConnect 4.7と ASA 9.10 以降で DTLSv1.2が利用可能になりました。なお、ASA9.10は既にEoLがアナウンスされてるため、後継の安定バージョンである9.12やそれ以降の 2桁目が偶数トレインの利用が推奨されます。 The following message was received from the secure gateway: Administrator Reset」の切断理由のポップアップします。ASAvのVPNパフォーマンスは、利用するCPUコアのClockや DRAM処理速度などの影響を受けます。そのため、性能の高い and/or 新しい世代のIntel CPUや、パフォーマンスの良いメモリや NICを搭載した高性能サーバにASAvをデプロイすることで、ASAvの VPNパフォーマンスを高めることが可能です。AnyConnectライセンスを購入しているのに当制限がある場合は、以下ドキュメントを参考に対象機のアクティベーションキーの発行と有効化をしてください。 4週間のトライアルライセンスの申請も以下ドキュメントを参考に可能です。例えば以下は、ASA5555とAnyConnect端末間で DTLSセッションを1つ貼り、高負荷通信を発生時のログ例です。ASA5555は暗号処理エンジン (Engine 0)を1つ持ち、暗号コア (Crypto Cores) は 8個あり、そのうち 1個が IPsec用に、7個がSSL処理用に割り当てられていることがわかります。また、SSL処理用に割り当てられた中の Core 7が、そのDTLSセッションの暗号関連の処理を実施中である事を確認できます。AnyConnect 4.7と ASA 9.10 以降で DTLSv1.2が利用可能になりました。なお、ASA9.10は既にEoLがアナウンスされてるため、後継の安定バージョンである9.12やそれ以降の 2桁目が偶数トレインの利用が推奨されます。AnyConnectは最新バージョンの利用が推奨されます。DTLSv1.2は 暗号方式にデフォルトでAES-GCMを利用し、利用CPUによってはAES-GCMの高速処理に対応しており、パフォーマンス向上を期待できます。なお、ソフトウェアのダウンロードには、利用のアカウントが適切な契約に紐づいている必要があります。アカウントの作成や契約紐づけ方法については以下ドキュメントを参照してください。本ドキュメントでは、ASA のリモートアクセスVPNのパフォーマンスを向上/最適化するためのベストプラクティスや、構成変更例、パフォーマンス低下トラブル時に確認すべきログなどについて紹介します。リモートアクセスVPN用の端末側のソフトウェアは、AnyConnect の利用を前提としております。CPUやメモリ、NIC I/Oなどのパフォーマンスに優れる端末を利用、かつ その端末が利用する回線や通信経路の伝送速度や品質が良いこと、かつ DTLSを利用時に、良好なパフォーマンスを得やすくなります。なお、各AnyConnect端末の最大速度が低い方が、AnyConnect端末が同時接続したときの合計スループットが下がるため、ASA側の負荷は低くなります。なお、上記はデータ転送に、軽快な「DTLS」を利用時のデータとなります。 仮に経路でUDP443の通過が許可されておらずデータ転送に「TLS」(=TCP443)が利用された場合は、「TLS」はTCPベースのため確認応答やフロー制御などの処理と追加パケットがAnyConnect端末とASA間で増えます。つまり、「TLS」を利用した場合は、回線のオーバーヘッドや AnyConnect端末とASA間のパケット数とその処理負荷がさらに増え、回線や ASA/AnyConnect端末の各パフォーマンス低下の原因となります。「TLS」は低速なため、リモートアクセスVPNのパフォーマンスを最大化するには、「DTLS」をメイン利用し、「TLS」利用するAnyConnect端末は必要最小限にするのがお勧めです。ASAを増設し、地域や人数などで接続先を分けることで、簡易的なActive/Active構成として各ASAを運用可能です。上限を超える接続は拒否されます。そのため、同時接続可能数は余裕をもった機器の選定が推奨されます。リモートアクセスVPNを利用する端末に比べ同時接続可能数が足りない場合は、アップグレードや ASA増設といった構成変更を検討してください。緊急ライセンス発行時も同様に発行したActivation Keyの機器への適用手順は以下ガイドを参考ください。期待は可能ですが、物理アプライアンスは通常 独自の暗号エンジンを搭載しており ASAvとはアーキテクチャが異なります。そのため、ASAvほど大きなパフォーマンス向上は期待できない可能性もあります。また、ASA5506/5508/5516の場合、プラットフォームの制限により DTLSv1.2には対応してません (機能拡張要求: CSCvn63389)。また、パフォーマンスやご利用のモデルや利用設定/機能などによっても変動しますので、必要に応じて、ご利用環境に応じた事前の検証をお勧めします。AnyConnectクライアントのASA接続は以下段階で進みます。逆に、ASAを利用時の場合は、AnyConncetのフル機能をサポートし、本ドキュメントに記載の様々なチューニングやパフォーマンス最適化が可能です。ASDMの場合、以下メニューから AnyConnectの最大セッション数を設定可能です。以下例の場合、CPU使用率が88%で明らかに過負荷な状態です。CPU 使用率 88%の内訳は、DATAPATHが各 44%と、他に Loggerや ARP、CP Processingなどの処理で僅かにCPU負荷が発生している事を確認できます。DATAPATHは、VPN (SSLやIPsec) や Firewall (ACL/NAT/Routing/Session管理など) などの 比較的 単純な処理をマルチコアで分散し高速で行うプロセスです。つまり、以下例の場合、VPN/Firewallの基本処理で88%のCPU使用があり、過負荷である事を確認できます。AnyConnectソフトウェアのバージョンアップ方法は以下ドキュメントも参考にしてください。各モジュールの詳細や導入方法などについては、シスコ製品販売代理店様や シスコアカウントチームまでご相談ください。回線業者(ISP)や集合住宅設備によっては、UDP443(=DTLS)の通過を拒否していたり、TCPやUDPの速度制限をかけているケースがあり、その結果、パフォーマンスの良いDTLSの利用不可や、想定の速度が得れない結果につながる事があります。例えば、VPNスループットが 1Gbpsの製品を利用時、"ストレスなく業務ができる快適なスループットが 10 Mbps以上"、"何とか業務ができる最低限必要なスループットが1 Mbps以上"の場合、同時接続数は 前者が100名まで、後者は1000名までに抑えたほうがいいと考えることができます。(実際は、多数の接続を収容すると、その処理のオーバーヘッドがASAに追加発生するため、数割はASAのパフォーマンス余力を残しておくと良いです。)Ciscoのテレワークソリューションや、各機能について より詳しくは、以下ガイドなどを参照してください。当コマンドを利用してCPU高負荷問題のトラブルシューティング手法について詳しくは以下ドキュメントを参照してください。なお、高性能サーバを利用しても、ASAvは予め指定されたスループット以上のパフォーマンスは出ないことに注意してください。スループットの上限を超えた場合、若干の猶予をもって レートリミット (速度制限) が適用されます。例えば、Dynamic Access Policy (DAP) の利用している場合は、レコード数を多くとも20~30内などにするなど 少なくすること(=複雑にしすぎないこと)で、DAP設定によるパフォーマンス減や トラブル防止に役立ちます。在宅勤務者の自宅回線や通信経路がボトルネックになってるかの簡単な切り分けは、AnyConnectの接続を 自宅回線から、スマートフォンのテザリング経由や 公衆WLANなどの、別の回線・設備経由に切り替え、速度や品質が改善するか確認することです。VPNスループットや AnyConnect VPN ユーザセッション最大数はデータシートで確認できます。AnyConnect接続時の DTLSのスループットも、VPNスループットに近い処理性能を期待できます。なお、データシートの記載値は、テスト環境での最小限の設定でテスト時のデータがベースであることに注意してください。利用機能や設定、処理数、通信内容などにより最終的なパフォーマンスは変動します。以下の試験結果から、CPU世代が新しい場合 (v3は3世代目)、もしくは、CPUコアの周波数が高い場合は、高いパフォーマンスを得やすいことを確認できます。 なお、以下は簡易的な環境・設定での試験結果であり、スループットは設定や機能、環境などによっても変動するまで、あくまで参考レベルで利用ください。はい、FTDでも AnyConnectのリモートアクセスVPNの終端は可能であり、本ドキュメント情報の一部もパフォーマンス最適化に活用可能です。 しかし、FTDは利用可能なAnyConnect 機能は制限されています。例えば、FTDの場合 ローカルユーザデータベースによる認証に対応していないため、外部の認証サーバが必要です。また、FTDの場合、SplitTunnelやHostscan、DAP、VPNロードバランシング機能に対応してません。FTD利用時の制限について詳しくは以下ガイドも参照してください。制限が解除されると、show versionで確認できるリモートアクセスVPNの終端可能数が その利用ハードウェアの最大値まで解放されます。以下は AnyConnect Plus/Apex(ASA) Demo License and Emergency COVID-19 License を実際に適用後の出力例です。クラウド利用などインターネットアクセスの多い業務の場合、スプリットトンネルを効果的に活用することで、必要なトラフィックのみトンネル化し、端末とASAのパフォーマンスを大きく上げることができます。しかし、端末からのインターネットダイレクトアクセスは、端末が直接 脅威にさらされることになります。いえ、その終端しているASAの最大接続数までAnyConnect接続は可能です。ただし、契約ユーザ数以上の利用はライセンス違反となりますため、お持ちのAnyConnectライセンス ユーザ数以上の利用が見込まれる場合は、ライセンスの追加購入をお願いいたします。 社内宛の通信のみトンネリングする設定例は以下ドキュメントを参照してください。なお、最大接続可能数を越えた接続は、以下のシスログ出力を伴い拒否されます。 切断されたAnyConnect利用者は、手動で別のリモートアクセスVPNサーバに接続の切り替えが必要です。CP処理は、ASAの頭脳部にあたるため、ASAの安定性を高く保つには、CP負荷は低く抑えることが重要です。CP処理負荷は、高くとも 30~40%以下に抑えることをお勧めします。以下は FPR4100シリーズの FPR4150でのコマンド実行と確認例です。FPR4150は暗号処理用のエンジンが2つあり、デフォルトの Balancedの場合は IPSEC 28 : SSL 28、SSL優先処理に切り替えた場合は IPSEC 4 : SSL 52 となることがわかります。 モデルにより暗号処理用のエンジンやコア数が異なり、割り当てられるコア数も異なります。ACLや DAPなど通信制御機能や、Syslogなど管理機能の処理負荷 1つ1つは小さいです。しかし、特にテレワークによる利用者数の急増に伴い 接続量が急激に増えると、それに伴い 各接続毎にACLやDAPなど制御の膨大な実施や、膨大な通信量のロギングなどが発生すると、その負荷は乗算的に増え、無視できない負荷量になることがあります。 特に多数の接続を収容が必要で パフォーマンス余力があまりない場合は、機器や設定はシンプルに、他の機器でも代用できる機能や設定は 他の機器で実施するなどし、ASAはリモートアクセスVPN接続処理に集中できるよう最適化することで、パフォーマンス余力を上げることができます。テレワークの推進に伴い、リモートアクセスVPN (RA VPN) の需要は増す一方です。しかし、リモートアクセスVPNの利用者の急増に伴い、そのアクセスを終端するリモートアクセスVPNサーバである、Cisco Adaptive Security Appliance (ASA) や Firepower Threat Defense (FTD) にアクセスが集中し、ASA や FTD の パフォーマンス低下に悩まされるケースも少なくありません。通信量が多いほど、その通信の処理のため、ASAの負荷はあがります。 そのため、いかに通信量を下げるかが、パフォーマンスを保つうえで重要です。 通信効率の良いDTLSを利用することで スループット向上を期待できますASAvは仮想アプライアンスであり、ESXiや KVM、AWS、Hyper-vなど仮想基盤の上にデプロイし利用することができます。以下に ASAvのパフォーマンス最適化のためのベストプラクティスと 確認例を紹介します。回線や経路機器がボトルネックとなっている場合は、その改善には、速度や品質に優れる回線や設備に切り替えが必要です。VPNセッション数のより詳しい確認の仕方や、SNMPポーリングでの監視方法については、以下ドキュメントを参照してください。Compression機能はとても古い機能となり、低速なWAN回線での利用を想定した技術です。2020年 現在、主流な高速なインターネット回線の利用下では、当機能は利用しません。高速な回線でCompressionを利用すると、圧縮処理により遅延発生や速度低下など トラブルの原因となります。そのため、エンジニアからの指示やサポートなしに、Compression機能の有効化はしないでください。及び、当機能はデフォルト無効です。DTLSによるAnyConnect接続を行いたい場合、経路で SSL(TCP443)とDTLS(UDP443)の両方の通過が許可されている必要があります。例えば在宅勤務者がリモート接続する場合、その在宅者の家のルータで、TCP443のみでなく UDP443が許可されているか確認してください。基本的にパケットサイズが大きいほど、一度に送信できるデータ量が増えるため、良いパフォーマンを得やすくなります。また、通常 1度に送付できるデータ量が多きいほど 交換に必要なパケット数が減るため、各パケットの暗号や解読回数が減り ASAのパフォーマンスも良くなります。しかし、パケットサイズが経路のMTUを上回ると フラグメント(パケット分割)やリアセンブル(パケット再構築)の手間が発生し パフォーマンスが劣化しやすくなります。そのため、ギリギリ分割されないパケットサイズの利用が高パフォーマンスを得やすくなります。CP処理の過負荷、多くの場合、誤設定や、セッション数が膨大な状態で 過剰な機能や設定の利用が原因です。利用機能や設定見直しと、適宜機能や設定の削減や無効化で改善できるケースが多いです。端末のセキュリティ保護のため、AnyConnectは以下の追加モジュールを利用可能です。例えば、Syslog機能を多用している環境の場合、膨大なログを出力するSyslog設定が、Syslog生成処理によるパフォーマンス低下や、Syslogメッセージによる帯域圧迫につながるケースもあります。ロギングを適切なレベルに設定することで、ロギング負荷を下げることができます。 ロギングのチューニング例について詳しくは以下ドキュメントを参照してください。例えば以下の構成のように、関東地区のユーザーは TOKYO-ASA-01を、東海地区のユーザは TOKYO-ASA-02を、関西地区のユーザは OSAKA-ASA を 各プライマリサーバとして利用し、他ASAをバックアップサーバとして指定することで、各ASAで負荷分散と、万が一障害時の冗長性を確保できます。各ASAには パブリックIPアドレスが必要です。例えば、ASAを リモートアクセスVPN終端のみでなく、社内通信のインターネットアクセス用のPAT/Firewall装置として兼用している場合、そのNATやFirewall処理にもASAパフォーマンスが利用されるため、リモートアクセスVPN処理のためのパフォーマンス余力が減ります。逆に、ASAをリモートアクセスVPN終端専用機として利用すると、ASAのリモートアクセスVPN処理のパフォーマンスを最大化することができます。VPNパフォーマンスが出ない理由に、AnyConect端末と ASA終端装置間の通信経路上の機器や回線の、最大速度と品質がボトルネックとなっている事があります。例えば、VPN処理性能が 1GbpsのASAを利用しても、通信経路の回線の最大速度が500Mbps程度の場合、ASAも最大500Mbps程度までしか処理できません。また、回線や経路装置の処理混雑などの影響による遅延やドロップも、パケット再送や通信失敗の原因となり、大きなパフォーマンス低下の原因となることもあります。緊急ライセンスはタイムベースライセンスとなります。AnyConnectライセンスを購入し適用するライセンスは永続有効です。 2つ同時に適用した場合は、タイムベースライセンスの期限が消えた後に、永続ライセンス利用に自動で切り替わります。また、VPNセッション数が増えるほど、その新規VPNセッション処理負荷や 同時VPNセッション数の管理処理が必要となり、ASAのCPU負荷増加要因となります。バックアップサーバの指定は AnyConnect Client Profileを用いて可能です。詳しくは以下ドキュメントを参照してください。ASAを増設し、各ASAでVPNロードバランシングを組むことで、AnyConnect端末は 最も負荷の低いASAに自動接続が可能です。例えば以下はASA5555でのコマンド実行と確認例です。デフォルトの IPsec優先の場合は コア利用割合が"IPSEC 5, SSL 3"であること、Balancedに変更後は"IPSEC 4, SSL 4"であること、SSLに変更後は"IPSEC 1, SSL 7"である事を確認できます。 以下例の場合、WebVPN関係の細かな制御を行う Unicorn Proxy Thread で CP処理能力の 85% (=5.3% x 16)ほど使っている事が分かり、ボトルネックとなっている事が分かります。CPが過負荷になると、CP機能である AnyConnectの接続管理の他、Failoverや VPNロードバランシング管理、SSH/Telnet/Console操作、ロギングやSNMP処理など、広範な機能の遅延や処理失敗、不安定化といった深刻な問題の原因につながります。全通信をトンネリングしつつも、Office 365や Webex、Salesforce などクラウドアプリケーションや、指定ドメインや FQDN宛の通信のみ インターネットにダイレクトアクセスしたいケースもあるかと思います。当ケースの場合、かつ、AnyConnect 4.5以降を利用時は、Dynamic Split Tunneling 機能を用いて、指定のドメインのみ トンネリング対象から除外することも可能です。 Dynamic Split Tunnelingの設定例や動作確認例は以下ドキュメントを参照してください。Outside側 (インターネット側) は、DTLS暗号化のオーバーヘッドにより、トラフィックが約17Mbps増えており、平均パケットサイズも90バイト 増えていることがわかります。特にやり取りするパケット数が増え、かつ 各パケットサイズが小さくなるほど、回線帯域に占めるDTLSのオーバーヘッド分が増加し、回線帯域を圧迫することになります。残念ながら対応してません。Tunnel-groupのQoSを設定しようとした場合、以下のようにエラーとなり設定できません。AnyConnect端末側で、接続にDTLS/TLSどちらを利用しているかは、Advanced Window の Statisticsタブから確認できます。 端末が TLSで接続している場合、その端末とASA間の経路のどこかで UDP 443 がブロックされてる可能性があります。TCPベースのTLSによるデータ転送の場合、シーケンスや順番制御などTCP特有の処理が発生し、特に低品質や混雑したネットワークの場合 パケットドロップや順番変更などによる再送や遅延も発生し、これらがパフォーマンスを下げる要因となります。通信環境によっては、TLS利用時のパフォーマンスは、DTLS利用時の半分以下になることもあります。各ASAが独立して動作するため、ASA間の設定やステート同期は行われません。そのため、各ASAは個別管理が必要です。なお、切断しても、AnyConnectクライアントはASAに再接続が可能です。そのユーザからの接続を常に拒否したい場合は、そのユーザアカウントの削除や停止などの追加対応が必要となります。以下のコマンドで最大接続数を下げることで、接続と通信集中による全体のパフォーマンス低下リスクを抑えることができます。CPU使用状況と負荷を確認するのに特に有用なコマンドは以下3つです。なお、以下コマンドは show tech コマンドを取得した場合も含まれてます。ASA側で十分なVPN処理性能があるのに 端末側でスループットが出ないのは、多くの場合、端末性能や、通信経路の速度や品質、通信方式(TLSを利用してる、など)の影響です。端末のコアのCPU使用率が高くないか確認してください。トラフィック量の多いコネクションを確認したい場合は、以下のドキュメントを参考にしてください。もしくは、show interface コマンドでも確認可能です。以下例の場合、E1000を利用していることがわかります。AnyConnect接続は IKEv2にも対応してますが、IKEv2をAnyConnect接続で利用時の場合、MTUの自動チューニングに対応してないため、手動設定が必要となることに注意してください。また、基本的にDTLSを利用したAnyConnect接続を、シスコではお勧めしています。AnyConnectのMTUと、そのチューニング方法について詳しくは、以下ドキュメントを参照してください。インターネット宛の通信はクライアントから直接アクセスさせ、社内宛の通信のみトンネリングすることで、クライアントと ASA両方のパフォーマンス向上を期待できます。対象のIPアドレスやセグメントを予め明示指定するため、Static Split Tunneling とも呼ばれます。AnyConnectはデフォルトで全てのトラフィックをトンネリングします。インターネット宛通信もトンネリングされるため、社内のProxy経由でWebサイトにアクセスする場合、リモートアクセスVPNやWebサイトアクセス速度の両方のパフォーマンス低下の原因となります。本項では、特定宛先の通信を Split (分割) する技術である スプリットトンネルの活用例と、当機能を利用時の端末のセキュリティ対策について紹介します。UDP443が利用可能な場合にDTLS利用に切り替える理由ですが、UDPはオーバーヘッドの少ない高速なプロトコルのため、データ転送効率化を期待できるためです。AnyConnectクライアントは、UDP443が利用可能な場合は 積極的にDTLS Tunnelでデータ転送を試みます。パフォーマンスやセキュリティ上、不具合修正や新機能追加の進んだ 最新のAnyConnectバージョンの利用が推奨されます。なお、AnyConnect バージョン 4.6以降を利用することで、高速なAES-GCMに対応した DTLS v1.2や、Dynamic Split Tunneling によるダイレクトクラウドアクセスが可能のため、ASAや端末のパフォーマンス改善に寄与します。既存機器から上位モデルにリプレース・設定を移行することで、設定や構成を大きく変えずに パフォーマンスや最大接続可能数の向上が可能です。最もシンプルで確実な方法です。また、無線経由でインターネット接続よりも、有線LAN経由でのインターネット接続の方が、AnyConnect端末のVPN速度は良好の結果を得やすくなります。なお、Dynamic Split Tunnelingで設定可能なドメイン/FQDNの文字数は 最大5000文字までになり、標準的なドメインだと300個程度が目安となります。それ以上のドメイン/FQDNの設定/制御を行いたい場合は、Dynamic Split Tunnelingではなく、Static Split Tunneling と Umbrellaの併用を検討してください。また、QoSの利用は 機器の負荷につながります。 そのため、何等か理由でAnyConnect端末のトンネル経由でのダウンロード速度を制限したい場合は、接続先のファイルサーバでダウンロード速度や同時ダウンロード数の制限や、AnyConnect端末に割り当てられたIPアドレスやセグメントに対するQoSを経路の機器 (例えばASAを収容しているL3スイッチや経路の別機器) で行い、処理負荷を分散することが、システム全体のパフォーマンスを保つうえで有効です。また、同じVPNスループットを発生させても、利用する製品や機能、設定量、同時接続数、トラフィックパターン、利用バージョン、環境など様々な要素の影響を受けCPU使用率は変わります。各構成毎にメリット・デメリットが異なります。以下は その比較表です。
ASA はクラスタメンバーとなる ASA の Public (outside) 側、および Private (inside) 側が、それぞれ同一サブネット内に配置される必要があります。 クライアントは AnyConnect 3.0 以降で、SSL-VPN フルトンネルでも IPsec でもどちらでも動作します。 (config-webvpn)# anyconnect image filename order ⇒ 複数のクライアントがある場合、order 引数を使用して、クライアントイメージに順序を割り当てる。 ⇒ ASAはリモートクライアントPCのOSと一致するまで、指定されている順で各クライアントの一部をダウンロードする。 AnyConnect 4.7と ASA 9.10 以降で DTLSv1.2が利用可能になりました。なお、ASA9.10は既にEoLがアナウンスされてるため、後継の安定バージョンである9.12やそれ以降の 2桁目が偶数トレインの利用が推奨されます。 The following message was received from the secure gateway: Administrator Reset」の切断理由のポップアップします。ASAvのVPNパフォーマンスは、利用するCPUコアのClockや DRAM処理速度などの影響を受けます。そのため、性能の高い and/or 新しい世代のIntel CPUや、パフォーマンスの良いメモリや NICを搭載した高性能サーバにASAvをデプロイすることで、ASAvの VPNパフォーマンスを高めることが可能です。AnyConnectライセンスを購入しているのに当制限がある場合は、以下ドキュメントを参考に対象機のアクティベーションキーの発行と有効化をしてください。 4週間のトライアルライセンスの申請も以下ドキュメントを参考に可能です。例えば以下は、ASA5555とAnyConnect端末間で DTLSセッションを1つ貼り、高負荷通信を発生時のログ例です。ASA5555は暗号処理エンジン (Engine 0)を1つ持ち、暗号コア (Crypto Cores) は 8個あり、そのうち 1個が IPsec用に、7個がSSL処理用に割り当てられていることがわかります。また、SSL処理用に割り当てられた中の Core 7が、そのDTLSセッションの暗号関連の処理を実施中である事を確認できます。AnyConnect 4.7と ASA 9.10 以降で DTLSv1.2が利用可能になりました。なお、ASA9.10は既にEoLがアナウンスされてるため、後継の安定バージョンである9.12やそれ以降の 2桁目が偶数トレインの利用が推奨されます。AnyConnectは最新バージョンの利用が推奨されます。DTLSv1.2は 暗号方式にデフォルトでAES-GCMを利用し、利用CPUによってはAES-GCMの高速処理に対応しており、パフォーマンス向上を期待できます。なお、ソフトウェアのダウンロードには、利用のアカウントが適切な契約に紐づいている必要があります。アカウントの作成や契約紐づけ方法については以下ドキュメントを参照してください。本ドキュメントでは、ASA のリモートアクセスVPNのパフォーマンスを向上/最適化するためのベストプラクティスや、構成変更例、パフォーマンス低下トラブル時に確認すべきログなどについて紹介します。リモートアクセスVPN用の端末側のソフトウェアは、AnyConnect の利用を前提としております。CPUやメモリ、NIC I/Oなどのパフォーマンスに優れる端末を利用、かつ その端末が利用する回線や通信経路の伝送速度や品質が良いこと、かつ DTLSを利用時に、良好なパフォーマンスを得やすくなります。なお、各AnyConnect端末の最大速度が低い方が、AnyConnect端末が同時接続したときの合計スループットが下がるため、ASA側の負荷は低くなります。なお、上記はデータ転送に、軽快な「DTLS」を利用時のデータとなります。 仮に経路でUDP443の通過が許可されておらずデータ転送に「TLS」(=TCP443)が利用された場合は、「TLS」はTCPベースのため確認応答やフロー制御などの処理と追加パケットがAnyConnect端末とASA間で増えます。つまり、「TLS」を利用した場合は、回線のオーバーヘッドや AnyConnect端末とASA間のパケット数とその処理負荷がさらに増え、回線や ASA/AnyConnect端末の各パフォーマンス低下の原因となります。「TLS」は低速なため、リモートアクセスVPNのパフォーマンスを最大化するには、「DTLS」をメイン利用し、「TLS」利用するAnyConnect端末は必要最小限にするのがお勧めです。ASAを増設し、地域や人数などで接続先を分けることで、簡易的なActive/Active構成として各ASAを運用可能です。上限を超える接続は拒否されます。そのため、同時接続可能数は余裕をもった機器の選定が推奨されます。リモートアクセスVPNを利用する端末に比べ同時接続可能数が足りない場合は、アップグレードや ASA増設といった構成変更を検討してください。緊急ライセンス発行時も同様に発行したActivation Keyの機器への適用手順は以下ガイドを参考ください。期待は可能ですが、物理アプライアンスは通常 独自の暗号エンジンを搭載しており ASAvとはアーキテクチャが異なります。そのため、ASAvほど大きなパフォーマンス向上は期待できない可能性もあります。また、ASA5506/5508/5516の場合、プラットフォームの制限により DTLSv1.2には対応してません (機能拡張要求: CSCvn63389)。また、パフォーマンスやご利用のモデルや利用設定/機能などによっても変動しますので、必要に応じて、ご利用環境に応じた事前の検証をお勧めします。AnyConnectクライアントのASA接続は以下段階で進みます。逆に、ASAを利用時の場合は、AnyConncetのフル機能をサポートし、本ドキュメントに記載の様々なチューニングやパフォーマンス最適化が可能です。ASDMの場合、以下メニューから AnyConnectの最大セッション数を設定可能です。以下例の場合、CPU使用率が88%で明らかに過負荷な状態です。CPU 使用率 88%の内訳は、DATAPATHが各 44%と、他に Loggerや ARP、CP Processingなどの処理で僅かにCPU負荷が発生している事を確認できます。DATAPATHは、VPN (SSLやIPsec) や Firewall (ACL/NAT/Routing/Session管理など) などの 比較的 単純な処理をマルチコアで分散し高速で行うプロセスです。つまり、以下例の場合、VPN/Firewallの基本処理で88%のCPU使用があり、過負荷である事を確認できます。AnyConnectソフトウェアのバージョンアップ方法は以下ドキュメントも参考にしてください。各モジュールの詳細や導入方法などについては、シスコ製品販売代理店様や シスコアカウントチームまでご相談ください。回線業者(ISP)や集合住宅設備によっては、UDP443(=DTLS)の通過を拒否していたり、TCPやUDPの速度制限をかけているケースがあり、その結果、パフォーマンスの良いDTLSの利用不可や、想定の速度が得れない結果につながる事があります。例えば、VPNスループットが 1Gbpsの製品を利用時、"ストレスなく業務ができる快適なスループットが 10 Mbps以上"、"何とか業務ができる最低限必要なスループットが1 Mbps以上"の場合、同時接続数は 前者が100名まで、後者は1000名までに抑えたほうがいいと考えることができます。(実際は、多数の接続を収容すると、その処理のオーバーヘッドがASAに追加発生するため、数割はASAのパフォーマンス余力を残しておくと良いです。)Ciscoのテレワークソリューションや、各機能について より詳しくは、以下ガイドなどを参照してください。当コマンドを利用してCPU高負荷問題のトラブルシューティング手法について詳しくは以下ドキュメントを参照してください。なお、高性能サーバを利用しても、ASAvは予め指定されたスループット以上のパフォーマンスは出ないことに注意してください。スループットの上限を超えた場合、若干の猶予をもって レートリミット (速度制限) が適用されます。例えば、Dynamic Access Policy (DAP) の利用している場合は、レコード数を多くとも20~30内などにするなど 少なくすること(=複雑にしすぎないこと)で、DAP設定によるパフォーマンス減や トラブル防止に役立ちます。在宅勤務者の自宅回線や通信経路がボトルネックになってるかの簡単な切り分けは、AnyConnectの接続を 自宅回線から、スマートフォンのテザリング経由や 公衆WLANなどの、別の回線・設備経由に切り替え、速度や品質が改善するか確認することです。VPNスループットや AnyConnect VPN ユーザセッション最大数はデータシートで確認できます。AnyConnect接続時の DTLSのスループットも、VPNスループットに近い処理性能を期待できます。なお、データシートの記載値は、テスト環境での最小限の設定でテスト時のデータがベースであることに注意してください。利用機能や設定、処理数、通信内容などにより最終的なパフォーマンスは変動します。以下の試験結果から、CPU世代が新しい場合 (v3は3世代目)、もしくは、CPUコアの周波数が高い場合は、高いパフォーマンスを得やすいことを確認できます。 なお、以下は簡易的な環境・設定での試験結果であり、スループットは設定や機能、環境などによっても変動するまで、あくまで参考レベルで利用ください。はい、FTDでも AnyConnectのリモートアクセスVPNの終端は可能であり、本ドキュメント情報の一部もパフォーマンス最適化に活用可能です。 しかし、FTDは利用可能なAnyConnect 機能は制限されています。例えば、FTDの場合 ローカルユーザデータベースによる認証に対応していないため、外部の認証サーバが必要です。また、FTDの場合、SplitTunnelやHostscan、DAP、VPNロードバランシング機能に対応してません。FTD利用時の制限について詳しくは以下ガイドも参照してください。制限が解除されると、show versionで確認できるリモートアクセスVPNの終端可能数が その利用ハードウェアの最大値まで解放されます。以下は AnyConnect Plus/Apex(ASA) Demo License and Emergency COVID-19 License を実際に適用後の出力例です。クラウド利用などインターネットアクセスの多い業務の場合、スプリットトンネルを効果的に活用することで、必要なトラフィックのみトンネル化し、端末とASAのパフォーマンスを大きく上げることができます。しかし、端末からのインターネットダイレクトアクセスは、端末が直接 脅威にさらされることになります。いえ、その終端しているASAの最大接続数までAnyConnect接続は可能です。ただし、契約ユーザ数以上の利用はライセンス違反となりますため、お持ちのAnyConnectライセンス ユーザ数以上の利用が見込まれる場合は、ライセンスの追加購入をお願いいたします。 社内宛の通信のみトンネリングする設定例は以下ドキュメントを参照してください。なお、最大接続可能数を越えた接続は、以下のシスログ出力を伴い拒否されます。 切断されたAnyConnect利用者は、手動で別のリモートアクセスVPNサーバに接続の切り替えが必要です。CP処理は、ASAの頭脳部にあたるため、ASAの安定性を高く保つには、CP負荷は低く抑えることが重要です。CP処理負荷は、高くとも 30~40%以下に抑えることをお勧めします。以下は FPR4100シリーズの FPR4150でのコマンド実行と確認例です。FPR4150は暗号処理用のエンジンが2つあり、デフォルトの Balancedの場合は IPSEC 28 : SSL 28、SSL優先処理に切り替えた場合は IPSEC 4 : SSL 52 となることがわかります。 モデルにより暗号処理用のエンジンやコア数が異なり、割り当てられるコア数も異なります。ACLや DAPなど通信制御機能や、Syslogなど管理機能の処理負荷 1つ1つは小さいです。しかし、特にテレワークによる利用者数の急増に伴い 接続量が急激に増えると、それに伴い 各接続毎にACLやDAPなど制御の膨大な実施や、膨大な通信量のロギングなどが発生すると、その負荷は乗算的に増え、無視できない負荷量になることがあります。 特に多数の接続を収容が必要で パフォーマンス余力があまりない場合は、機器や設定はシンプルに、他の機器でも代用できる機能や設定は 他の機器で実施するなどし、ASAはリモートアクセスVPN接続処理に集中できるよう最適化することで、パフォーマンス余力を上げることができます。テレワークの推進に伴い、リモートアクセスVPN (RA VPN) の需要は増す一方です。しかし、リモートアクセスVPNの利用者の急増に伴い、そのアクセスを終端するリモートアクセスVPNサーバである、Cisco Adaptive Security Appliance (ASA) や Firepower Threat Defense (FTD) にアクセスが集中し、ASA や FTD の パフォーマンス低下に悩まされるケースも少なくありません。通信量が多いほど、その通信の処理のため、ASAの負荷はあがります。 そのため、いかに通信量を下げるかが、パフォーマンスを保つうえで重要です。 通信効率の良いDTLSを利用することで スループット向上を期待できますASAvは仮想アプライアンスであり、ESXiや KVM、AWS、Hyper-vなど仮想基盤の上にデプロイし利用することができます。以下に ASAvのパフォーマンス最適化のためのベストプラクティスと 確認例を紹介します。回線や経路機器がボトルネックとなっている場合は、その改善には、速度や品質に優れる回線や設備に切り替えが必要です。VPNセッション数のより詳しい確認の仕方や、SNMPポーリングでの監視方法については、以下ドキュメントを参照してください。Compression機能はとても古い機能となり、低速なWAN回線での利用を想定した技術です。2020年 現在、主流な高速なインターネット回線の利用下では、当機能は利用しません。高速な回線でCompressionを利用すると、圧縮処理により遅延発生や速度低下など トラブルの原因となります。そのため、エンジニアからの指示やサポートなしに、Compression機能の有効化はしないでください。及び、当機能はデフォルト無効です。DTLSによるAnyConnect接続を行いたい場合、経路で SSL(TCP443)とDTLS(UDP443)の両方の通過が許可されている必要があります。例えば在宅勤務者がリモート接続する場合、その在宅者の家のルータで、TCP443のみでなく UDP443が許可されているか確認してください。基本的にパケットサイズが大きいほど、一度に送信できるデータ量が増えるため、良いパフォーマンを得やすくなります。また、通常 1度に送付できるデータ量が多きいほど 交換に必要なパケット数が減るため、各パケットの暗号や解読回数が減り ASAのパフォーマンスも良くなります。しかし、パケットサイズが経路のMTUを上回ると フラグメント(パケット分割)やリアセンブル(パケット再構築)の手間が発生し パフォーマンスが劣化しやすくなります。そのため、ギリギリ分割されないパケットサイズの利用が高パフォーマンスを得やすくなります。CP処理の過負荷、多くの場合、誤設定や、セッション数が膨大な状態で 過剰な機能や設定の利用が原因です。利用機能や設定見直しと、適宜機能や設定の削減や無効化で改善できるケースが多いです。端末のセキュリティ保護のため、AnyConnectは以下の追加モジュールを利用可能です。例えば、Syslog機能を多用している環境の場合、膨大なログを出力するSyslog設定が、Syslog生成処理によるパフォーマンス低下や、Syslogメッセージによる帯域圧迫につながるケースもあります。ロギングを適切なレベルに設定することで、ロギング負荷を下げることができます。 ロギングのチューニング例について詳しくは以下ドキュメントを参照してください。例えば以下の構成のように、関東地区のユーザーは TOKYO-ASA-01を、東海地区のユーザは TOKYO-ASA-02を、関西地区のユーザは OSAKA-ASA を 各プライマリサーバとして利用し、他ASAをバックアップサーバとして指定することで、各ASAで負荷分散と、万が一障害時の冗長性を確保できます。各ASAには パブリックIPアドレスが必要です。例えば、ASAを リモートアクセスVPN終端のみでなく、社内通信のインターネットアクセス用のPAT/Firewall装置として兼用している場合、そのNATやFirewall処理にもASAパフォーマンスが利用されるため、リモートアクセスVPN処理のためのパフォーマンス余力が減ります。逆に、ASAをリモートアクセスVPN終端専用機として利用すると、ASAのリモートアクセスVPN処理のパフォーマンスを最大化することができます。VPNパフォーマンスが出ない理由に、AnyConect端末と ASA終端装置間の通信経路上の機器や回線の、最大速度と品質がボトルネックとなっている事があります。例えば、VPN処理性能が 1GbpsのASAを利用しても、通信経路の回線の最大速度が500Mbps程度の場合、ASAも最大500Mbps程度までしか処理できません。また、回線や経路装置の処理混雑などの影響による遅延やドロップも、パケット再送や通信失敗の原因となり、大きなパフォーマンス低下の原因となることもあります。緊急ライセンスはタイムベースライセンスとなります。AnyConnectライセンスを購入し適用するライセンスは永続有効です。 2つ同時に適用した場合は、タイムベースライセンスの期限が消えた後に、永続ライセンス利用に自動で切り替わります。また、VPNセッション数が増えるほど、その新規VPNセッション処理負荷や 同時VPNセッション数の管理処理が必要となり、ASAのCPU負荷増加要因となります。バックアップサーバの指定は AnyConnect Client Profileを用いて可能です。詳しくは以下ドキュメントを参照してください。ASAを増設し、各ASAでVPNロードバランシングを組むことで、AnyConnect端末は 最も負荷の低いASAに自動接続が可能です。例えば以下はASA5555でのコマンド実行と確認例です。デフォルトの IPsec優先の場合は コア利用割合が"IPSEC 5, SSL 3"であること、Balancedに変更後は"IPSEC 4, SSL 4"であること、SSLに変更後は"IPSEC 1, SSL 7"である事を確認できます。 以下例の場合、WebVPN関係の細かな制御を行う Unicorn Proxy Thread で CP処理能力の 85% (=5.3% x 16)ほど使っている事が分かり、ボトルネックとなっている事が分かります。CPが過負荷になると、CP機能である AnyConnectの接続管理の他、Failoverや VPNロードバランシング管理、SSH/Telnet/Console操作、ロギングやSNMP処理など、広範な機能の遅延や処理失敗、不安定化といった深刻な問題の原因につながります。全通信をトンネリングしつつも、Office 365や Webex、Salesforce などクラウドアプリケーションや、指定ドメインや FQDN宛の通信のみ インターネットにダイレクトアクセスしたいケースもあるかと思います。当ケースの場合、かつ、AnyConnect 4.5以降を利用時は、Dynamic Split Tunneling 機能を用いて、指定のドメインのみ トンネリング対象から除外することも可能です。 Dynamic Split Tunnelingの設定例や動作確認例は以下ドキュメントを参照してください。Outside側 (インターネット側) は、DTLS暗号化のオーバーヘッドにより、トラフィックが約17Mbps増えており、平均パケットサイズも90バイト 増えていることがわかります。特にやり取りするパケット数が増え、かつ 各パケットサイズが小さくなるほど、回線帯域に占めるDTLSのオーバーヘッド分が増加し、回線帯域を圧迫することになります。残念ながら対応してません。Tunnel-groupのQoSを設定しようとした場合、以下のようにエラーとなり設定できません。AnyConnect端末側で、接続にDTLS/TLSどちらを利用しているかは、Advanced Window の Statisticsタブから確認できます。 端末が TLSで接続している場合、その端末とASA間の経路のどこかで UDP 443 がブロックされてる可能性があります。TCPベースのTLSによるデータ転送の場合、シーケンスや順番制御などTCP特有の処理が発生し、特に低品質や混雑したネットワークの場合 パケットドロップや順番変更などによる再送や遅延も発生し、これらがパフォーマンスを下げる要因となります。通信環境によっては、TLS利用時のパフォーマンスは、DTLS利用時の半分以下になることもあります。各ASAが独立して動作するため、ASA間の設定やステート同期は行われません。そのため、各ASAは個別管理が必要です。なお、切断しても、AnyConnectクライアントはASAに再接続が可能です。そのユーザからの接続を常に拒否したい場合は、そのユーザアカウントの削除や停止などの追加対応が必要となります。以下のコマンドで最大接続数を下げることで、接続と通信集中による全体のパフォーマンス低下リスクを抑えることができます。CPU使用状況と負荷を確認するのに特に有用なコマンドは以下3つです。なお、以下コマンドは show tech コマンドを取得した場合も含まれてます。ASA側で十分なVPN処理性能があるのに 端末側でスループットが出ないのは、多くの場合、端末性能や、通信経路の速度や品質、通信方式(TLSを利用してる、など)の影響です。端末のコアのCPU使用率が高くないか確認してください。トラフィック量の多いコネクションを確認したい場合は、以下のドキュメントを参考にしてください。もしくは、show interface コマンドでも確認可能です。以下例の場合、E1000を利用していることがわかります。AnyConnect接続は IKEv2にも対応してますが、IKEv2をAnyConnect接続で利用時の場合、MTUの自動チューニングに対応してないため、手動設定が必要となることに注意してください。また、基本的にDTLSを利用したAnyConnect接続を、シスコではお勧めしています。AnyConnectのMTUと、そのチューニング方法について詳しくは、以下ドキュメントを参照してください。インターネット宛の通信はクライアントから直接アクセスさせ、社内宛の通信のみトンネリングすることで、クライアントと ASA両方のパフォーマンス向上を期待できます。対象のIPアドレスやセグメントを予め明示指定するため、Static Split Tunneling とも呼ばれます。AnyConnectはデフォルトで全てのトラフィックをトンネリングします。インターネット宛通信もトンネリングされるため、社内のProxy経由でWebサイトにアクセスする場合、リモートアクセスVPNやWebサイトアクセス速度の両方のパフォーマンス低下の原因となります。本項では、特定宛先の通信を Split (分割) する技術である スプリットトンネルの活用例と、当機能を利用時の端末のセキュリティ対策について紹介します。UDP443が利用可能な場合にDTLS利用に切り替える理由ですが、UDPはオーバーヘッドの少ない高速なプロトコルのため、データ転送効率化を期待できるためです。AnyConnectクライアントは、UDP443が利用可能な場合は 積極的にDTLS Tunnelでデータ転送を試みます。パフォーマンスやセキュリティ上、不具合修正や新機能追加の進んだ 最新のAnyConnectバージョンの利用が推奨されます。なお、AnyConnect バージョン 4.6以降を利用することで、高速なAES-GCMに対応した DTLS v1.2や、Dynamic Split Tunneling によるダイレクトクラウドアクセスが可能のため、ASAや端末のパフォーマンス改善に寄与します。既存機器から上位モデルにリプレース・設定を移行することで、設定や構成を大きく変えずに パフォーマンスや最大接続可能数の向上が可能です。最もシンプルで確実な方法です。また、無線経由でインターネット接続よりも、有線LAN経由でのインターネット接続の方が、AnyConnect端末のVPN速度は良好の結果を得やすくなります。なお、Dynamic Split Tunnelingで設定可能なドメイン/FQDNの文字数は 最大5000文字までになり、標準的なドメインだと300個程度が目安となります。それ以上のドメイン/FQDNの設定/制御を行いたい場合は、Dynamic Split Tunnelingではなく、Static Split Tunneling と Umbrellaの併用を検討してください。また、QoSの利用は 機器の負荷につながります。 そのため、何等か理由でAnyConnect端末のトンネル経由でのダウンロード速度を制限したい場合は、接続先のファイルサーバでダウンロード速度や同時ダウンロード数の制限や、AnyConnect端末に割り当てられたIPアドレスやセグメントに対するQoSを経路の機器 (例えばASAを収容しているL3スイッチや経路の別機器) で行い、処理負荷を分散することが、システム全体のパフォーマンスを保つうえで有効です。また、同じVPNスループットを発生させても、利用する製品や機能、設定量、同時接続数、トラフィックパターン、利用バージョン、環境など様々な要素の影響を受けCPU使用率は変わります。各構成毎にメリット・デメリットが異なります。以下は その比較表です。