セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco ASA 設定例の VPN フィルター

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 9 月 26 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は VPN フィルターを詳しく説明し、LAN-to-LAN (L2L)、Cisco VPN Client および Cisco AnyConnect セキュア モビリティ クライアントに適用したものです。

フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。 アクセス コントロール リスト(ACL)割り当てを設定するか、またはさまざまなトラフィック の 種類を拒否します。 フィルタはグループ ポリシー、ユーザ名属性、またはダイナミックアクセス ポリシー(DAP)で設定することができます。

DAP はユーザ名両方属性およびグループ ポリシーの下で設定される値を置き換えます。 ユーザ名 属性値は DAP がフィルタを割り当てなければグループ ポリシー値を置き換えます。 

グスタボ マディーナ、Yamil Gazel、および Oleg Tipisov によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • L2L VPN は設定をトンネル伝送します
  • VPN クライアント リモートアクセス(RA)設定
  • AnyConnect RA 設定

使用するコンポーネント

この文書に記載されている情報は Cisco 5500-X シリーズ適応性があるセキュリティ アプライアンス モデル(ASA)バージョン 9.1(2)に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

sysopt 接続許可 VPN コマンドはすべてのトラフィックを割り当てますインターフェイス アクセス リストをバイパスするために VPN トンネルによってセキュリティ アプライアンス モデルを入力する。 グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます。 

VPN フィルタは postdecrypted トラフィックにトンネルを入力する前に preencrypted トラフィックにトンネルを終了した後適用され。 VPN フィルタのために isused ACL はまたインターフェイス アクセスグループに使用するべきではありません。


VPN フィルタがリモートアクセスVPNクライアント接続を支配するグループ ポリシーに適用されるとき、ACL は ACL の src_ip 位置および ACL の dest_ip 位置のローカルネットワークの IP アドレスを割り当てられるクライアントで設定する必要があります。 VPN フィルタが L2L VPN 接続を支配するグループ ポリシーに適用されるとき、ACL は ACL の src_ip 位置のリモートネットワークおよび ACL の dest_ip 位置のローカルネットワークで設定する必要があります。 

設定

VPN フィルターは受信方向でルールがまだ双方向に適用されるが設定する必要があります。 機能拡張 CSCsf99428 は単方向ルールをサポートするために開きましたが実装のためにまだスケジュールされていません/託されています。

Example 1.: AnyConnect または VPN クライアントの VPN フィルタ

クライアント割り当て型 IP アドレスが 10.10.10.1/24 であるローカルネットワークです 192.168.1.0/24 と仮定すれば。

このアクセス制御エントリ (ACE)は AnyConnect クライアントがローカルネットワークに Telnet で接続することを可能にします:

access-list vpnfilt-ra permit tcp
10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

: 23 の送信元ポートを使用する場合 ACE access-list vpnfilt RA 割り当て TCP 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23 はまたローカルネットワークがあらゆる TCPポートの RA クライアントへの接続を開始するようにします。

この ACE はローカルネットワークが AnyConnect クライアントに Telnet で接続するようにします:

access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255
eq 23 192.168.1.0 255.255.255.0

: 23 の送信元ポートを使用する場合 ACE access-list vpnfilt RA 割り当て TCP 10.10.10.1 255.255.255.255 eq 23 192.168.1.0 255.255.255.0 はまた RA クライアントがあらゆる TCPポートのローカルネットワークへの接続を開始することを可能にします。

注意: 受信方向および送信ルールだけでフィルタリングされるべきトラフィックを VPN フィルタ 機能可能には自動的にコンパイルされます。 従ってインターネット制御メッセージ プロトコル (ICMP) access-list を作成するとき、方向フィルターがほしいと思う場合 ICMP を打ち込みますフォーマットする access-list を規定 しない で下さい。

Example 2.: L2L VPN 接続との VPN フィルタ

リモートネットワークが 10.0.0.0/24 であるローカルネットワークです 192.168.1.0/24 と仮定すれば。

この ACE はリモートネットワークがローカルネットワークに Telnet で接続するようにします:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0
255.255.255.0 eq 23

: 23 の送信元ポートを使用する場合 ACE access-list vpnfilt-l2l 割り当て TCP 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23 はまたローカルネットワークがあらゆる TCPポートのリモートネットワークへの接続を開始するようにします。 

この ACE はローカルネットワークがリモートネットワークに Telnet で接続するようにします:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23
192.168.1.0 255.255.255.0 

: 23 の送信元ポートを使用する場合 ACE access-list vpnfilt-l2l 割り当て TCP 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0 はまたリモートネットワークがあらゆる TCPポートのローカルネットワークへの接続を開始するようにします。 

注意: 受信方向および送信ルールだけでフィルタリングされるべきトラフィックを VPN フィルタ 機能可能には自動的にコンパイルされます。 従って ICMP access-list を作成するとき、方向フィルターがほしいと思う場合 ICMP を打ち込みますフォーマットする access-list を規定 しない で下さい。

VPN フィルターおよび毎ユーザ上書きする アクセスグループ

VPN トラフィックはインターフェイス ACL によってフィルタリングされません。 コマンドは sysopt 接続許可 VPN デフォルトの動作を変更するために使用することができません。 この場合、2 ACL はユーザトラフィックに適用することができます: 次にインターフェイス ACL は最初におよび VPN フィルタ チェックされます。

毎ユーザ上書きする キーワードは(受信 ACL だけのために)インターフェイスに割り当てられる ACL を無効にするためにユーザ許可のためにダウンロードされるダイナミック ユーザ ACL を可能にします。 たとえばインターフェイス ACL が 10.0.0.0 からのすべてのトラフィックを、ダイナミック ACL 割り当て 10.0.0.0、そしてダイナミック ACL からのすべてのトラフィックはそのユーザ向けのインターフェイス ACL を無効にし、拒否すればがトラフィックは許可されます。

sysopt 接続許可 VPN が設定されない場合の)例:

  • 毎ユーザ上書きする無し、VPN フィルタ無し-トラフィックはインターフェイス ACL と一致します

  • 毎ユーザ上書きする無し、VPN フィルタ-トラフィックは VPN フィルタに対するインターフェイス ACL と最初に、そして一致します

  • 毎ユーザ上書きする、VPN フィルタ-トラフィックは VPN フィルタだけと一致します

確認

このセクションでは、設定が正常に機能していることを確認します。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

  • 非対称多重処理システム表 フィルタ[access-list <acl 名前 >]示して下さい[見つかります]

    加速されたセキュリティ パス フィルター テーブルをデバッグするために、特権EXECモードで提示非対称多重処理システム表 フィルタ コマンドを使用して下さい。 フィルタが VPN トンネルに適用されたら、フィルタ規則はフィルター テーブルにインストールされています。 場合トンネルに規定 される フィルタがある内部パケットが許可されるか、または拒否する必要があるかどうか判別するためにフィルター テーブルは暗号化前におよび後復号化チェックされました。

     USAGE
    show asp table filter [access-list <acl-name>] [hits]


     SYNTAX <acl-name>      Show installed filter for access-list <acl-name>
    hits Show filter rules which have non-zero hits values


  • クリア非対称多重処理システム表 フィルタ[access-list <acl 名前 >]

    このコマンドは ASP フィルター テーブル エントリのためのヒット カウンタをクリアします。

     USAGE
    clear asp table filter [access-list <acl-name>]


     SYNTAX
    <acl-name> Clear hit counters only for specified access-list <acl-name>

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • ACL フィルタをデバッグして下さい

    このコマンドは VPN フィルタ デバッグを有効に します。 それが ASP フィルター テーブルへの VPN フィルターのインストール/削除を解決することを助けるのに使用することができます。 AnyConnect または VPN クライアントの Example 1.: VPN フィルタに関しては。

    user1 が接続する場合のデバッグ 出力:

     ACL FILTER INFO: first reference to inbound filter vpnfilt-ra(2): Installing
    rule into NP.
    ACL FILTER INFO: first reference to outbound filter vpnfilt-ra(2): Installing
    rule into NP.


    user2 が接続する場合のデバッグ 出力(user1 および同じの後でフィルタ):

     ACL FILTER INFO: adding another reference to outbound filter vpnfilt-ra(2): refCnt=2
    ACL FILTER INFO: adding another reference to inbound filter vpnfilt-ra(2): refCnt=2


    user2 が切る場合のデバッグ 出力:

     ACL FILTER INFO: removing a reference from inbound filter vpnfilt-ra(2): remaining
    refCnt=1
    ACL FILTER INFO: removing a reference from outbound filter vpnfilt-ra(2): remaining
    refCnt=1


    user1 が切る場合のデバッグ 出力:

     ACL FILTER INFO: releasing last reference from inbound filter vpnfilt-ra(2): Removing
    rule into NP.
    ACL FILTER INFO: releasing last reference from outbound filter vpnfilt-ra(2): Removing
    rule into NP.


  • 非対称多重処理システム表を示して下さい

    user1 が接続するとき出力はの示します非対称多重処理システム表 フィルタを前にここにあります。 暗黙の deny ルールだけ両方におよび方向に IPv4 および IPv6 のためにインストールされています。

     Global Filter Table:
    in id=0xd616ef20, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    in id=0xd616f420, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0
    out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 99103