CiscoのASAのコネクション数の確認方法について、記載していきたいと思います。
1.コネクションとは
さて、コネクションについて定義を再度確認しておくと
●コネクションとは
“コネクションを用いる通信方式では、通信を始めたい側が相手方の所在位置や識別番号を指定して相手方に接触を試み、通信可否(や方式によっては設定や条件など)を問い合わせ、可能な場合は仮想的な専用の通信路を形成する。
この通信路をコネクションという。以降はこの通信路を用いて相互にメッセージを伝送し合い、通信が終わったら通信路を切断する。通信路を開くことを「接続する」(connect)「コネクションを確立する/開く」(open a connection)などと言い、通信が終わり通信路を閉鎖することを「切断する」(disconnect)「コネクションを解放する/閉じる」(close a connection)などという。
この一連のやり取りは電話をかける手順(番号を入力して相手を呼び出す→会話する→電話を切る)に似ており、実際、電話(音声通話)システムはコネクション型の通信システムの一つに分類される。
コネクションが必要な場合として、かつてのアナログ電話のように通信ネットワークが回線交換方式で途中の通信経路や通信線路を一時的に専有する必要がある場合や、通信主体の認証や通信経路の保護(暗号化など)が必要な場合、受信確認や再送制御、順序制御(受信データを送信順に整列)など通信の信頼性を高める必要がある場合などがある。
プロトコル(通信手順)の仕様としてコネクションを確立することを求めるものをコネクション型あるいはコネクション指向と呼び、不要なものをコネクションレス型という。インターネット上で用いられるプロトコルとしてはTCPがコネクション型、UDPがコネクションレス型なことが有名である。”
引用:IT用語辞典e-Words「コネクション 」
https://e-words.jp/w/%E3%82%B3%E3%83%8D%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3.html
コネクションはTCP通信で定義されています。
セッションと混同しがちです。
ASAはファイアウォール製品であるため、TCPコネクションとUDP/ICMPの通信を併せて「セッション」と定義されているため、かと思います。
2.ASAはコネクションを表示してくれるコマンドあるの?
下記コマンドで現在のコネクション数(in useの左側)、ピーク時のコネクション数(most usedの左側)で確認可能です。
コマンド:show conn count
ASA5555(config)# show conn count
209 in use, 9722 most used
また、下記コマンドでも確認可能で、こちらは製品の最大値も出力されるため、サイジングの調査についてはこちらのコマンドの方が一石二鳥です。
コマンド:show resource usage
ASA5555(config)# show resource usage
Resource Current Peak Limit Denied Context
SSH Server 1 2 5 0 System
ASDM 0 1 30 0 System
Syslogs 29 3725 N/A 0 System
Conns 204 9722 1000000 0 System <– THIS
Xlates 549 3214 N/A 0 System
Hosts 436 980 N/A 0 System
Conns 6 2385 N/A 0 System
Inspects 1 1873 N/A 0 System
Routes 13 15 unlimited 0 System
また下記コマンドで、コネクション数/秒の結果も出力されます。
コマンド:show perfmon
ASA5555(config)# show perfmon
PERFMON STATS: Current Average
Xlates 3/s 3/s
Connections 6021/s 21/s
TCP Conns 1/s 11/s
UDP Conns 6017/s 8/s <—
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 0/s 0/s
TCP Intercept Established Conns 0/s 0/s
TCP Intercept Attempts 0/s 0/s
TCP Embryonic Conns Timeout 0/s 7/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
HTTP Fixup 0/s 0/s
VALID CONNS RATE in TCP INTERCEPT: Current Average
N/A 66.89%
3.コネクション数の確認(SNMPポーリング)
下記oidで現在のコネクション数と、ピーク時のコネクション数を確認できます。
対応するMIBはCISCO-FIREWALL-MIB です。
oid:1.3.6.1.4.1.9.9.147.1.2.2.2.1
●参考:メーカドキュメント「ASA: コネクション数の確認と 膨大なコネクション発生時のIPアドレス確認方法」
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B3%E3%83%8D%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E6%95%B0%E3%81%AE%E7%A2%BA%E8%AA%8D%E3%81%A8-%E8%86%A8%E5%A4%A7%E3%81%AA%E3%82%B3%E3%83%8D%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E7%99%BA%E7%94%9F%E6%99%82%E3%81%AEip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/4082463#toc-hId–582587172