セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ファイアウォール古典的な、ゾーン ベースのバーチャル ファイアウォール アプリケーション設定例

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 5 月 26 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この文書はさまざまなアプリケーション シナリオのための VRF わかっているバーチャル ファイアウォール機能、構成手順および使用ケースの技術的背景を記述したものです。

Cisco IOSか。 ソフトウェア リリース 12.3(14)T ある VPN 拡張する、バーチャル(VRF わかっている)ファイアウォールを NAT、QoS および他の VRF わかっている機能に加えてステートフル パケット点検を、透過的なファイアウォール、アプリケーション点検および URL フィルタリングを、提供するためにバーチャル ルーティング転送(VRF)機能ファミリー導入しました。 ほとんどの予知可能なアプリケーション シナリオは他の機能との NAT を適用します。 NAT が要求されない場合相互 VRF 接続を提供するために、ルーティングは VRFs 間で適用します。 Cisco 両方 IOS 古典的なファイアウォールおよび Cisco IOS の Cisco IOS ソフトウェア提供 VRF わかっている機能この文書で提供される両方の設定モデルの例のゾーン ベースのポリシー ファイアウォール。 すばらしい焦点はゾーン ベースのポリシー ファイアウォール設定に置かれます。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

基礎的な情報

機能サポート

VRF わかっているファイアウォールは拡張セキュリティで利用できます、高度 IP サービスおよび高度企業イメージ、また Cisco IOS ファイアウォール機能セットの統合を示す、o3 指定を運ぶレガシー専門語イメージ。 Cisco IOS ソフトウェア メインラインに併合する VRF わかっているファイアウォール機能は 12.4 にリリースします。 Cisco IOS ソフトウェア リリース 12.4(6)T またはそれ以降で VRF わかっているゾーン ベースのポリシー ファイアウォールを加えるように要求されます。 Cisco IOS ゾーン ベースのポリシー ファイアウォールはステートフル フェールオーバーを使用しません。

VRF 設定

Cisco IOS ソフトウェアは同じコンフィギュレーション・ファイルのグローバルな VRF およびすべての私用 VRFs のための設定を維持します。 ルータ設定がコマンドライン インターフェースを通してアクセスされる場合、CLI 意見機能で提供される役割ベース アクセス管理が操作上ルータおよび管理作業者の機能を制限するのに使用することができます。 Cisco Security Manager (CSM)のような管理アプリケーションはまた操作上人員が機能の適切なレベルに制限されること保証するために役割ベース アクセス管理を提供します。

VRF わかっている IOS ファイアウォールのための公有地使用の概要

VRF わかっているファイアウォールは Cisco IOS バーチャル ルーティング/転送(VRF)機能にステートフル パケット点検を加えます。 IPsec VPN、ネットワーク・アドレス変換(NAT) /Port アドレス変換(PAT)、不正侵入防止システム(IPS)および他の Cisco IOS セキュリティ・サービスは VRF わかっているファイアウォールと VRFs のセキュリティ・サービスの大ぞろいを提供するために結合することができます。 VRFs はオーバーラップ IP アドレス番号付けを用いる、従ってルータはトラフィック分離のための複数の分離したルーティング例に分けることができます複数のルート スペースにサポートを提供します。 VRF わかっているファイアウォールはすべての点検アクティビティのためのセッション情報でルータがトラッキングしていることその他すべての点で同一である場合もある接続状態情報間の分離を維持するために VRF ラベルが、含まれています。 VRF わかっているファイアウォールは最大ファイアウォール点検柔軟性が内部 VRF および相互 VRF 両方のためにトラフィック実現されるようにたとえばトラフィックが VRF 境界を超えれば、1 VRF 内のインターフェイス間の、また異なる VRFs のインターフェイス間の Inspect を点検できます。

VRF わかっている Cisco IOS ファイアウォール塗布は 2 つの基本的なカテゴリにグループ化することができます:

  • マルチテナント、シングル・サイト—単一前提のオーバーラップ アドレス空間または分離されたルート スペースを持つ複数の借用者のためのインターネット・アクセス。 ステートフル ファイアウォールは各 VRF のインターネット接続に更に開いた NAT 接続を通して妥協の可能性を下げるために加えられます。 ポート転送は VRFs のサーバへの接続を許可するために適用することができます。

    classic-zone-firewall-config-guide01.gif

    VRF わかっている古典的なファイアウォール設定モデルおよび VRF わかっているゾーン ベースのファイアウォール設定モデル両方のためのマルチテナント シングル・サイト アプリケーションの例はこの文書で提供されます。

  • マルチテナント、マルチサイト— VPN または WAN 接続を通して異なるサイトの借用者の VRFs の接続によって複数のサイト間の大規模なネットワーク必要性接続の機器を共有する複数の借用者。 1つ以上のサイトの各借用者にインターネット・アクセスが要求することができます。 管理を簡単にするために、複数の部門は各サイトのための 1 つのアクセス ルータに倒れることができますがネットワークさまざまな部門はアドレス スペース分離を要求します。

    classic-zone-firewall-config-guide02.gif

    VRF わかっている古典的なファイアウォール設定モデルおよび VRF わかっているゾーン ベースのファイアウォール設定モデル両方のマルチテナント マルチサイト アプリケーションのための設定例はこの文書に迫ったアップデートで提供されます。

支えられていない設定

VRF わかっているファイアウォールは複数の VRF CE (VRF ライト)および MPLS VPN をサポートする Cisco IOS イメージで利用できます。 ファイアウォール機能は非 MPLS インターフェイスに制限されます。 すなわち、インターフェイスが MPLS 分類されたトラフィックに加われば、ファイアウォール点検はそのインターフェイスで適用することができません。

ルータはトラフィックがインターフェイスを通して別の VRF に交差するために VRF を書き入れるか、または残す必要がある場合だけ相互 VRF トラフィックを検査できます。 トラフィックが別の VRF に直接ルーティングされる場合、ファイアウォール ポリシーがトラフィックを検査できる従ってルータは点検を適用することができません物理インターフェイスがありません。

VRF ライト設定は内部または IP NAT 外部 IP NAT がネットワーク アクティビティのためのソースまたは宛先アドレスかポート番号を修正するために NAT/PAT が適用されるインターフェイスで設定されるときだけ NAT/PAT と相互運用可能です。 NAT か PAT を適用するインターフェイスに IP NAT イネーブル設定の付加によって識別される NAT バーチャル インターフェイス(NVI)機能は相互 VRF NAT/PAT アプリケーションのために、サポートされません。 VRF ライトおよび NAT バーチャル インターフェイス間のインターオペラビリティのこの欠乏は機能拡張要求 CSCek35625 によってトラッキングされます。

設定例

このセクションでは、VRF わかっている Cisco IOS 古典的なファイアウォールおよび VRF わかっているゾーン ベースのポリシー ファイアウォール設定は説明されます。

注: このセクションで使用されるコマンドに関する詳細を得るためにコマンド ルックアップ ツール登録されていた顧客だけ)を使用して下さい。

VRF わかっている Cisco IOS 古典ファイアウォール

このセクションではこの文書に説明がある機能を、設定するための情報を記載します。

Cisco IOS VRF わかっている古典的なファイアウォールは(以前 CBAC と呼ばれる)、IP Inspect の使用によって識別される、Cisco IOS ソフトウェア リリース 12.3(14)T の VRF わかっている点検をサポートするために古典的なファイアウォールが伸びてから Cisco ずっと IOS ソフトウェアで利用できます。

Cisco IOS VRF わかっている古典的なファイアウォールを設定して下さい

VRF わかっている古典的なファイアウォールは点検ポリシーの設定用に非 VRF ファイアウォールと同じ設定構文を使用します:

router(config)#ip inspect name name service

点検パラメータは VRF 特定のコンフィギュレーション オプションの各 VRF のために修正することができます:

router(config)#ip inspect [parameter value] vrf vrf-name

点検ポリシー リストはグローバルに設定され、点検ポリシーは多数 VRFs のインターフェイスに適用することができます。

各 VRF はサービスの拒絶(DoS)保護、TCP/UDP/ICMP セッション タイマー、監査トレール設定、等のような値のための点検パラメータの自身のセットを運びます。 1 つの点検ポリシーが多数 VRFs で使用される場合、VRF 特定のパラメータ設定は点検ポリシーによって運ばれるグローバルな設定を置き換えます。 DoS 保護パラメータを調整する方法に関する詳細については Cisco IOS 古典的なファイアウォールおよび不正侵入防止システム サービスの拒絶保護を参照して下さい。

Cisco IOS VRF わかっている古典的なファイアウォール アクティビティの表示

VRF わかっているファイアウォールは「で VRF を「示すように」コマンドを指定するように VRF わかっているコマンドが要求するので」コマンドが非 VRF わかっているコマンドと異なることを示します、:

router#show ip inspect [ all | config | interfaces | name | 
sessions | statistics ] vrf vrf-name

複数の VRF シングル・サイト古典ファイアウォール

すべての借用者のためのオーバーラップ アドレス空間およびボイラープレート ファイアウォール ポリシーを割り当てるために借用者サービスが VRF わかっているファイアウォールを使用できると同時にインターネット・アクセスを提供するマルチテナント サイト。 ルーティング可能なスペース、NAT および VRF の提供の利点を持つ各借用者のための各顧客カスタマイズされたサービスの提供に向けのリモート アクセスおよびサイト間の VPN サービスのための要件は、同様に収容することができます。

このアプリケーションはアドレス空間管理を簡単にするためにオーバーラップ アドレス スペースを使用します。 しかし、これはさまざまな VRFs 間の接続を提供する問題を引き起こす場合があります。 接続が VRFs の間で要求されない場合、従来の内部-外部間 NAT は適用します。 NAT ポート転送が設計者(アーチ)、会計士(acct)、および atty) VRFs 代理人(のサーバを露出するのに使用されています。 ファイアウォール ACL およびポリシーは NAT アクティビティを収容する必要があります。

classic-zone-firewall-config-guide03.gif

複数の VRF シングル・サイト古典ネットワークのための古典的なファイアウォールおよび NAT を設定して下さい

すべての借用者のためのオーバーラップ アドレス空間およびボイラープレート ファイアウォール ポリシーを割り当てるのに借用者サービスが VRF わかっているファイアウォールを使用できると同時にインターネット・アクセスを提供するマルチテナント サイト。 ルーティング可能なスペース、NAT および VRF の提供の利点を持つ各借用者のための各顧客カスタマイズされたサービスの提供に向けのリモート アクセスおよびサイト間の VPN サービスのための要件は、同様に収容することができます。

さまざまな LAN および WAN 接続に出入してアクセスを定義する古典的なファイアウォール ポリシーはきちんと整っています、:

接続ソース
インターネット アーチ Acct Atty
接続宛先 インターネット N/A HTTP、HTTPS FTP、DNS、SMTP HTTP、HTTPS FTP、DNS、SMTP HTTP、HTTPS FTP、DNS、SMTP
アーチ FTP N/A 否定して下さい 否定して下さい
Acct SMTP 否定して下さい N/A 否定して下さい
Atty HTTP SMTP 否定して下さい 否定して下さい N/A

3 VRFs のそれぞれのホストは公衆インターネットの HTTP、HTTPS、FTP および DNS サービスにアクセスできます。 1 Access-control-list (ACL 111)がすべての 3 VRFs のためのアクセス(各 VRF がインターネットの同一のサービスへのアクセスを許可するので)、異なる点検ポリシーを制限するのに適用します、毎 VRF 点検統計情報を提供するために使用されます。 別々の ACL が VRF ごとの ACL カウンターを提供するのに使用することができます。 逆に、インターネットのホストは ACL 121 によって定義されるように前のポリシー表に記述されているようにサービスに、接続できます。 トラフィックは両方の方向で反対方向の接続を保護する ACL によってリターンを収容するために検査する必要があります。 NAT 設定は VRFs でサービスへのポート転送されたアクセスを記述するためにコメントされます。

シングル・サイト マルチテナント古典的なファイアウォールおよび NAT 設定:
version 12.4
!
ip cef
!
ip vrf acct
!
ip vrf arch
!
ip vrf atty
!
ip inspect name acct-fw ftp
ip inspect name acct-fw tcp
ip inspect name acct-fw udp
ip inspect name acct-fw icmp
ip inspect name arch-fw ftp
ip inspect name arch-fw tcp
ip inspect name arch-fw udp
ip inspect name arch-fw icmp
ip inspect name atty-fw ftp
ip inspect name atty-fw tcp
ip inspect name atty-fw udp
ip inspect name atty-fw icmp
ip inspect name fw-global tcp
ip inspect name fw-global udp
ip inspect name fw-global icmp
!
!
interface FastEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
 ip address 172.16.100.10 255.255.255.0
 ip access-group 121 in
 ip nat outside
 ip inspect fw-global in
 ip virtual-reassembly
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/1.171
 encapsulation dot1Q 171
 ip vrf forwarding acct
 ip address 10.1.2.1 255.255.255.0
 ip access-group 111 in
 ip nat inside
 ip inspect acct-fw in
 ip virtual-reassembly
 no cdp enable
!
interface FastEthernet0/1.172
 encapsulation dot1Q 172
 ip vrf forwarding arch
 ip address 10.1.2.1 255.255.255.0
 ip access-group 111 in
 ip nat inside
 ip inspect arch-fw in
 ip virtual-reassembly
 no cdp enable
!
interface FastEthernet0/1.173
 encapsulation dot1Q 173
 ip vrf forwarding atty
 ip address 10.1.2.1 255.255.255.0
 ip access-group 111 in
 ip nat inside
 ip inspect atty-fw in
 ip virtual-reassembly
 no cdp enable
!
ip route 0.0.0.0 0.0.0.0 172.16.100.1
ip route vrf acct 0.0.0.0 0.0.0.0 172.16.100.1 global
ip route vrf arch 0.0.0.0 0.0.0.0 172.16.100.1 global
ip route vrf atty 0.0.0.0 0.0.0.0 172.16.100.1 global
!
ip nat pool pool-1 172.16.100.100 172.16.100.199 netmask 255.255.255.0 add-route
ip nat inside source list 101 pool pool-1 vrf acct overload
ip nat inside source list 101 pool pool-1 vrf arch overload
ip nat inside source list 101 pool pool-1 vrf atty overload
!
! The following static NAT translations allow access from the internet to 
! servers in each VRF.  Be sure the static translations correlate to “permit” 
! statements in ACL 121, the internet-facing list.
!
ip nat inside source static tcp 10.1.2.2 21 172.16.100.11 21 vrf arch extendable
ip nat inside source static tcp 10.1.2.3 25 172.16.100.12 25 vrf acct extendable
ip nat inside source static tcp 10.1.2.4 25 172.16.100.13 25 vrf atty extendable
ip nat inside source static tcp 10.1.2.5 80 172.16.100.13 80 vrf atty extendable
!
access-list 101 permit ip 10.1.2.0 0.0.0.255 any
access-list 111 permit tcp 10.1.2.0 0.0.0.255 any eq www
access-list 111 permit tcp 10.1.2.0 0.0.0.255 any eq 443
access-list 111 permit tcp 10.1.2.0 0.0.0.255 any eq smtp
access-list 111 permit tcp 10.1.2.0 0.0.0.255 any eq ftp
access-list 111 permit tcp 10.1.2.0 0.0.0.255 any eq domain
access-list 111 permit udp 10.1.2.0 0.0.0.255 any eq domain
access-list 111 permit icmp 10.1.2.0 0.0.0.255 any
access-list 121 permit tcp any host 172.16.100.11 eq ftp
access-list 121 permit tcp any host 172.16.100.12 eq smtp
access-list 121 permit tcp any host 172.16.100.13 eq smtp
access-list 121 permit tcp any host 172.16.100.13 eq www
end

複数の VRF シングル・サイト古典ネットワークのための古典的なファイアウォールおよび NAT を確認して下さい

ネットワーク・アドレス変換およびファイアウォール点検はこれらのコマンドで各 VRF のために確認されます:

提示 IP ルート VRF [vrf-name]コマンドで各 VRF のルートを検査して下さい:

stg-2801-L#show ip route vrf acct

Routing Table: acct
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.16.100.1 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 1 subnets
S       172.16.100.0 [0/0] via 0.0.0.0, NVI0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.2.0 is directly connected, FastEthernet0/1.171
S*   0.0.0.0/0 [1/0] via 172.16.100.1
stg-2801-L#

各 VRF の NAT アクティビティをと示します IP NAT tra VRF [vrf-name]コマンドをチェックして下さい:

stg-2801-L#show ip nat tra vrf acct
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.100.12:25   10.1.2.3:25        ---                ---
tcp 172.16.100.100:1078 10.1.2.3:1078     172.17.111.3:80    172.17.111.3:80

提示 IP Inspect VRF 名前コマンドで各 VRF のファイアウォール点検統計情報を監視して下さい:

stg-2801-L#show ip insp se vrf acct
Established Sessions
 Session 66484034 (10.1.2.3:1078)=>(172.17.111.3:80) tcp SIS_OPEN

VRF わかっている Cisco IOS ゾーン ベースのポリシー IOS ファイアウォール

このセクションではこの文書に説明がある機能を、設定するための情報を記載します。

複数の VRF ルータ設定に Cisco IOS ゾーン ベースのポリシー ファイアウォールを加える場合、これは非 VRF アプリケーションのゾーン ファイアウォールからの少し相違点に耐えます。 すなわち、ポリシー決定は少数の複数の VRF 特定の規定の付加を除けば非 VRF ゾーン ベースのポリシー ファイアウォールが観察する全く同じルールを観察します:

  • ゾーン ベースのポリシー ファイアウォール セキュリティ ゾーンは 1 つのゾーンだけからのインターフェイスが含まれている場合があります。

  • VRF は複数のセキュリティ ゾーンが含まれている場合があります。

  • ゾーン ベースのポリシー ファイアウォールはルーティングか NAT に依存していますトラフィックが VRFs の間で移動するように。 点検するまたは相互 VRF ゾーン組間のパス トラフィックは十分トラフィックが VRFs の間で移動するようにではないですファイアウォール ポリシー。

VRF わかっている Cisco IOS ゾーン ベースのポリシー ファイアウォールを設定して下さい

VRF わかっているゾーン ベースのポリシー ファイアウォールは非 VRF わかっているゾーン ベースのポリシー ファイアウォールと同じ設定構文を使用し、セキュリティ ゾーンにインターフェイスを、定義しゾーンの間で移動する、適切なゾーン組アソシエーションに割り当てますセキュリティ ポリシーを割り当てますトラフィックのためのセキュリティ ポリシーを。

VRF 特定の設定は不必要です。 グローバルな設定パラメータは特定のパラメータ マップが policy-map の点検に加えられなければ、適用します。 特定の設定を適用するのにパラメータ マップが使用されているケースでパラメータ マップは VRF 特定ではないです。

VRF わかっている Cisco IOS ゾーン ベースのポリシー ファイアウォール アクティビティの表示

VRF わかっているゾーン ベースのポリシー ファイアウォールはコマンドが非 VRF わかっているコマンドと異なっていないことを示します; ゾーン ベースのポリシー ファイアウォールはさまざまなインターフェイスの VRF 割り当てにもかかわらず 1 つのセキュリティ ゾーンのインターフェイスから別のセキュリティ ゾーンのインターフェイスに移るトラフィックを適用します。 従って、VRF わかっているゾーン ベースのポリシー ファイアウォールは非 VRF アプリケーションでゾーン ベースのポリシー ファイアウォールによって使用されるように同じを示しますファイアウォール アクティビティを表示するためにコマンドを用います:

router#show policy-map type inspect zone-pair sessions

VRF わかっている Cisco IOS ゾーン ベースのポリシー ファイアウォール使用ケース

VRF わかっているファイアウォール使用ケースは非常に異なります。 アドレスこれらの例:

  • 普通マルチテナント ファシリティかリテール ネットワークに使用するシングル・サイト VRF わかっている配置、

  • 私用ネットワーク トラフィックが公衆インターネット トラフィックからの別途の VRF で保存される営業所/リテール/在宅勤務者アプリケーション。 インターネット アクセス ユーザにビジネス ネットワーク ユーザから接続されていなく、すべてのビジネス ネットワーク トラフィックはインターネット ポリシー アプリケーションのための HQ サイトへの VPN 接続に送信されます。

複数の VRF シングル・サイト ゾーン ベースのポリシー ファイアウォール

すべての借用者のためのオーバーラップ アドレス空間およびボイラープレート ファイアウォール ポリシーを割り当てるのに借用者サービスが VRF わかっているファイアウォールを使用できると同時にインターネット・アクセスを提供するマルチテナント サイト。 このアプリケーションは複数の LAN のために典型的インターネット・アクセスのための 1 つの Cisco IOS ルータを共有する、またはで photofinisher または他のサービスのような共同経営者が付加的なネットワーク ハードウェアまたはインターネット接続の要件なしで前提所有者のネットワークのインターネットおよび特定の部分への接続の隔離されたデータ網を、提供されるある特定のサイトです。 ルーティング可能なスペース、NAT および VRF の提供の利点を持つ各借用者のための各顧客カスタマイズされたサービスの提供に向けのリモート アクセスおよびサイト間の VPN サービスのための要件は、同様に収容することができます。

このアプリケーションはアドレス空間管理を簡単にするためにオーバーラップ アドレス スペースを使用します。 しかし、これはさまざまな VRFs 間の接続を提供する問題を引き起こす場合があります。 接続が VRFs の間で要求されない場合、従来の内部-外部間 NAT は適用します。 さらに、NAT ポート転送が設計者(アーチ)、会計士(acct)、および atty) VRFs 代理人(のサーバを露出するのに使用されています。 ファイアウォール ACL およびポリシーは NAT アクティビティを収容する必要があります。

classic-zone-firewall-config-guide04.gif

複数の VRF シングル・サイト ゾーン ベースのポリシー ファイアウォールおよび NAT を設定して下さい

借用者サービスとしてインターネット・アクセスを提供するマルチテナント サイトはすべての借用者のためのオーバーラップ アドレス空間およびボイラープレート ファイアウォール ポリシーを割り当てるのに VRF わかっているファイアウォールを使用できます。 ルーティング可能なスペース、NAT および VRF の提供の利点を持つ各借用者のための各顧客カスタマイズされたサービスの提供に向けのリモート アクセスおよびサイト間の VPN サービスのための要件は、同様に収容することができます。

さまざまな LAN および WAN 接続に出入してアクセスを定義する古典的なファイアウォール ポリシーはきちんと整っています、:

接続ソース
インターネット アーチ Acct Atty
接続宛先 インターネット N/A HTTP、HTTPS FTP、DNS、SMTP HTTP、HTTPS FTP、DNS、SMTP HTTP、HTTPS FTP、DNS、SMTP
アーチ FTP N/A 否定して下さい 否定して下さい
Acct SMTP 否定して下さい N/A 否定して下さい
Atty HTTP SMTP 否定して下さい 否定して下さい N/A

3 VRFs のそれぞれのホストは公衆インターネットの HTTP、HTTPS、FTP および DNS サービスにアクセスできます。 各 VRF がインターネットの同一のサービスへのアクセスを許可するが、異なる polic マップ制限するのにです適用する、毎 VRF 点検統計情報を提供するため使用されていますので 1 つの class-map (私用公衆cmap)がすべての 3 VRFs のためのアクセスを。 逆に、インターネットのホストはインターネットに VRF ゾーン組のための個々のクラスマップおよびポリシーマップによって定義されるように前のポリシー表に記述されているようにサービスに、接続できます。 別途の policy-map が公衆インターネットから自己ゾーンのルータのマネジメント・サービスへのアクセスを防ぐのに使用されています。 同じポリシーは私用 VRFs からルータの自己ゾーンへのアクセスを同様に防ぐために適用することができます。

NAT 設定は VRFs でサービスへのポート転送されたアクセスを記述するためにコメントされます。

シングル・サイト マルチテナント ゾーン ベースのポリシー ファイアウォールおよび NAT 設定:
version 12.4
!
ip cef
!
ip vrf acct
!
ip vrf arch
!
ip vrf atty
!
class-map type inspect match-any out-cmap
 match protocol http
 match protocol https
 match protocol ftp
 match protocol smtp
 match protocol ftp
!
class-map type inspect match-all pub-arch-cmap
 match access-group 121
 match protocol ftp
!
class-map type inspect match-all pub-acct-cmap
 match access-group 122
 match protocol http
!
class-map type inspect pub-atty-mail-cmap
match access-group 123
 match protocol smtp
!
class-map type inspect pub-atty-web-cmap
 match access-group 124
 match protocol http 
!
policy-map type inspect arch-pub-pmap
 class type inspect out-cmap
  inspect
!
policy-map type inspect acct-pub-pmap
 class type inspect out-cmap
  inspect
!
policy-map type inspect atty-pub-pmap
 class type inspect out-cmap
  inspect
!
policy-map type inspect pub-arch-pmap
 class type inspect pub-arch-cmap
  inspect
!
policy-map type inspect pub-acct-pmap
 class type inspect pub-acct-cmap
  inspect
!
policy-map type inspect pub-atty-pmap
 class type inspect pub-atty-mail-cmap
  inspect
 class type inspect pub-atty-web-cmap
  inspect
!
policy-map type inspect pub-self-pmap
 class class-default
  drop log
!
zone security arch
zone security acct
zone security atty
zone security public
zone-pair security arch-pub source arch destination public
 service-policy type inspect arch-pub-pmap
zone-pair security acct-pub source acct destination public
 service-policy type inspect acct-pub-pmap
zone-pair security atty-pub source atty destination public
 service-policy type inspect atty-pub-pmap
zone-pair security pub-arch source public destination arch
 service-policy type inspect pub-arch-pmap
zone-pair security pub-acct source public destination acct
 service-policy type inspect pub-acct-pmap 
zone-pair security pub-atty source public destination atty
 service-policy type inspect pub-atty-pmap 
zone-pair security pub-self source public destination self
 service-policy type inspect pub-self-pmap
!
!
interface FastEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
 ip address 172.16.100.10 255.255.255.0
 ip nat outside
 zone-member security public
 ip virtual-reassembly
 speed auto
 no cdp enable
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/1.171
 encapsulation dot1Q 171
 ip vrf forwarding acct
 ip address 10.1.2.1 255.255.255.0
 ip nat inside
 zone-member security acct
 ip virtual-reassembly
 no cdp enable
!
interface FastEthernet0/1.172
 encapsulation dot1Q 172
 ip vrf forwarding arch
 ip address 10.1.2.1 255.255.255.0
 ip nat inside
 zone-member security arch
 ip virtual-reassembly
 no cdp enable
!
interface FastEthernet0/1.173
 encapsulation dot1Q 173
 ip vrf forwarding atty
 ip address 10.1.2.1 255.255.255.0
 ip nat inside
 zone-member security atty
 ip virtual-reassembly
 no cdp enable
!
ip route 0.0.0.0 0.0.0.0 172.16.100.1
ip route vrf acct 0.0.0.0 0.0.0.0 172.16.100.1 global
ip route vrf arch 0.0.0.0 0.0.0.0 172.16.100.1 global
ip route vrf atty 0.0.0.0 0.0.0.0 172.16.100.1 global
!
ip nat pool pool-1 172.16.100.100 172.16.100.199 netmask 255.255.255.0 add-route
ip nat inside source list 101 pool pool-1 vrf acct overload
ip nat inside source list 101 pool pool-1 vrf arch overload
ip nat inside source list 101 pool pool-1 vrf atty overload
!
! The following static NAT translations allow access from the internet to 
! servers in each VRF.  Be sure the static translations correlate to “inspect” 
! statements in in the Zone Firewall configuration, the internet-facing list.
! Note that the ACLs used in the firewall correspond to the end-host address, not 
! the NAT Outside address
!
ip nat inside source static tcp 10.1.2.2 21 172.16.100.11 21 vrf arch extendable
ip nat inside source static tcp 10.1.2.3 25 172.16.100.12 25 vrf acct extendable
ip nat inside source static tcp 10.1.2.4 25 172.16.100.13 25 vrf atty extendable
ip nat inside source static tcp 10.1.2.5 80 172.16.100.13 80 vrf atty extendable
!
access-list 101 permit ip 10.1.2.0 0.0.0.255 any
access-list 121 permit ip any host 10.1.2.2
access-list 122 permit ip any host 10.1.2.3
access-list 123 permit ip any host 10.1.2.4
access-list 124 permit ip any host 10.1.2.5
!
! Disable CDP
!
no cdp run
!
end

複数の VRF シングル・サイト古典ネットワークのための古典的なファイアウォールおよび NAT を確認して下さい

ネットワーク・アドレス変換およびファイアウォール点検はこれらのコマンドで各 VRF のために確認されます:

提示 IP ルート VRF [vrf-name]コマンドで各 VRF のルートを検査して下さい:

stg-2801-L#show ip route vrf acct

Routing Table: acct
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.16.100.1 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 1 subnets
S       172.16.100.0 [0/0] via 0.0.0.0, NVI0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.2.0 is directly connected, FastEthernet0/1.171
S*   0.0.0.0/0 [1/0] via 172.16.100.1
stg-2801-L#

提示 IP NAT tra VRF [vrf-name]コマンドで各 VRF の NAT アクティビティをチェックして下さい:

stg-2801-L#show ip nat translations         
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.100.12:25   10.1.2.3:25        ---                ---
tcp 172.16.100.100:1033 10.1.2.3:1033     172.17.111.3:80    172.17.111.3:80
tcp 172.16.100.11:21   10.1.2.2:23        ---                ---
tcp 172.16.100.13:25   10.1.2.4:25        ---                ---
tcp 172.16.100.13:80   10.1.2.5:80        ---                ---

提示 policy-map タイプとのモニタ ファイアウォール点検統計情報はゾーンコマンドを点検します:

stg-2801-L#show policy-map type inspect zone-pair
 Zone-pair: arch-pub

  Service-policy inspect : arch-pub-pmap

    Class-map: out-cmap (match-any)
      Match: protocol http
        1 packets, 28 bytes
        30 second rate 0 bps
      Match: protocol https
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ftp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol smtp
        0 packets, 0 bytes
        30 second rate 0 bps
      Inspect
        Packet inspection statistics [process switch:fast switch]
        tcp packets: [1:15]

        Session creations since subsystem startup or last reset 1
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [1:1:0]
        Last session created 00:09:50
        Last statistic reset never
        Last session creation rate 0
        Maxever session creation rate 1
        Last half-open session total 0

    Class-map: class-default (match-any)
      Match: any 
      Drop (default action)
        8 packets, 224 bytes

複数の VRF シングル・サイト ゾーン ベースのポリシー ファイアウォールに、「インターネット」ゾーンのバックアップが付いているインターネット接続、グローバルな VRF HQ への接続があります

このアプリケーションは在宅勤務者配置、小さいリテール位置および公衆ネットワーク アクセスからの私用ネットワーク リソースの分離を要求する他のどのリモート サイト ネットワーク配置にうってつけです。 従って公衆 VRF へのインターネット接続ホームか公共ホットスポット ユーザを隔離し、VPN トンネルを通してすべての私用ネットワーク トラフィックを、私用、グローバルな VRF およびインターネット到達可能公衆 VRF のリソース ルーティングするグローバルな VRF のデフォルト・ルートを適用することによって到達可能性を互いに、完全に公衆インターネット アクティビティによって私用ネット ホスト妥協の脅威を取除きました。 宝くじターミナル、ATM ターミナルを処理するマシン、充満カードまたは他のアプリケーションのような隔離されたネットワーク スペースを、必要としている他の消費者用の保護されたルート スペースを提供するためになお、付加的な VRF は提供することができます。 多数 Wi-Fi SSIDs は両方へのアクセス私用ネットワークを、また公共ホットスポットに提供するために提供することができます。

classic-zone-firewall-config-guide05.gif

この例は公衆インターネットへのアクセスのための公衆およびパートナー VRFs でホストのための PAT (NAT 過負荷)を適用する 2 つの接続の SLA モニタリングによって保証されるインターネット接続との 2 つの広帯域インターネット接続のための設定を、説明したものです。 私用ネットワークは(グローバルな VRF で) GRE-over-IPsec 接続を 2 つの広帯域リンク上の HQ (VPN ヘッドエンド ルータのために含まれている設定)への接続を維持するのに使用します。 広帯域接続の 1 つまたは他が失敗した、トンネルのローカル エンド ポイントがインターネット接続のにとりわけ結ばれないので、HQ ネットワークへの途切れないアクセスを許可する VPN ヘッドエンドへの接続は維持されます。

ゾーン ベースのポリシー ファイアウォールはきちんと整い、VPN に出入してインターネットからのローカル ネットワークへの送信インターネット・アクセス、接続を割り当てないために私用ネットワークへの、および公衆およびパートナー LAN とインターネット間のアクセスを制御します:

インターネット 公衆 パートナー VPN 私用
インターネット N/A 否定して下さい 否定して下さい 否定して下さい 否定して下さい
公衆 HTTP、HTTPS、FTP、DNS N/A 否定して下さい 否定して下さい 否定して下さい
パートナー 否定して下さい N/A
VPN 否定して下さい 否定して下さい 否定して下さい N/A
私用 否定して下さい 否定して下さい 否定して下さい N/A

ホットスポットおよびパートナー ネット トラフィックのための NAT アプリケーションは公衆インターネットから妥協を大いに多分しますが、悪意のあるユーザかソフトウェアがアクティブな NAT セッションを不正利用できること可能性はまだあります。 ステートフル点検のアプリケーションはローカル ホストが公開 NAT 審議のことを攻撃によって危殆化することができるというチャンスを最小限に抑えます。 この例は 871W を用います、設定は他の ISR プラットフォームによって容易に複製することができます。

複数の VRF シングル・サイト ゾーン ベースのポリシー ファイアウォールを、バックアップが付いているプライマリ インターネット接続、グローバルな VRF 持っています HQ シナリオに VPN を設定して下さい

すべての借用者のためのオーバーラップ アドレス空間およびボイラープレート ファイアウォール ポリシーを割り当てるのに借用者サービスが VRF わかっているファイアウォールを使用できると同時にインターネット・アクセスを提供するマルチテナント サイト。 ルーティング可能なスペース、NAT および VRF の提供の利点を持つ各借用者のための各顧客カスタマイズされたサービスの提供に向けのリモート アクセスおよびサイト間の VPN サービスのための要件は、同様に収容することができます。

version 12.4
!
hostname stg-871
!
aaa new-model
!
aaa authentication login default local
aaa authorization console
aaa authorization exec default local 
!         
aaa session-id common
ip cef
!
no ip dhcp use vrf connected
!
ip dhcp pool priv-108-net
   import all
   network 192.168.108.0 255.255.255.0
   default-router 192.168.108.1 
!
ip vrf partner
 description Partner VRF
 rd 100:101
!
ip vrf public
 description Internet VRF
 rd 100:100
!
no ip domain lookup
ip domain name yourdomain.com
!
track timer interface 5
!
track 123 rtr 1 reachability
 delay down 15 up 10
!
class-map type inspect match-any hotspot-cmap
 match protocol dns
 match protocol http
 match protocol https
 match protocol ftp
class-map type inspect match-any partner-cmap
 match protocol dns
 match protocol http
 match protocol https
 match protocol ftp
!
policy-map type inspect hotspot-pmap
 class type inspect hotspot-cmap
  inspect
 class class-default
!
zone security internet
zone security hotspot
zone security partner
zone security hq
zone security office
zone-pair security priv-pub source private destination public
 service-policy type inspect priv-pub-pmap
! 
crypto keyring hub-ring vrf public
  pre-shared-key address 172.16.111.5 key cisco123
!
crypto isakmp policy 1
 authentication pre-share
 group 2
!
crypto ipsec transform-set md5-des-ts esp-des esp-md5-hmac 
!
crypto ipsec profile md5-des-prof
 set transform-set md5-des-ts 
!
bridge irb
!
interface Tunnel0
 ip unnumbered Vlan1
 zone-member security public
 tunnel source BVI1
 tunnel destination 172.16.111.5
 tunnel mode ipsec ipv4
 tunnel vrf public
 tunnel protection ipsec profile md5-des-prof
!
interface FastEthernet0
 no cdp enable
!
interface FastEthernet1
 no cdp enable
!
interface FastEthernet2
 switchport access vlan 111
 no cdp enable
!
interface FastEthernet3
 switchport access vlan 104
 no cdp enable
!
interface FastEthernet4
 description Internet Intf
 ip dhcp client route track 123
 ip vrf forwarding public
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 speed 100
 full-duplex
 no cdp enable
!
interface Dot11Radio0
 no ip address
 !
 ssid test
    vlan 11
    authentication open 
    guest-mode
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
 no cdp enable
!
interface Dot11Radio0.1
 encapsulation dot1Q 11 native
 no cdp enable
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Vlan1
 description LAN Interface
 ip address 192.168.108.1 255.255.255.0
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface Vlan104
 ip vrf forwarding public
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
!         
interface Vlan11
 no ip address
 ip nat inside
 ip virtual-reassembly
 bridge-group 1
!
interface BVI1
 ip vrf forwarding public
 ip address 192.168.108.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
router eigrp 1
 network 192.168.108.0
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route vrf public 0.0.0.0 0.0.0.0 Vlan104 dhcp 10
ip route vrf public 0.0.0.0 0.0.0.0 FastEthernet4 dhcp
!
ip nat inside source route-map dhcp-nat interface Vlan104 vrf public overload
ip nat inside source route-map fixed-nat interface FastEthernet4 vrf public overload
!
ip sla 1
 icmp-echo 172.16.108.1 source-interface FastEthernet4
 timeout 1000
 threshold 40
 vrf public
 frequency 3
ip sla schedule 1 life forever start-time now
access-list 110 permit ip 192.168.108.0 0.0.0.255 any
access-list 111 permit ip 192.168.108.0 0.0.0.255 any
no cdp run
!
route-map fixed-nat permit 10
 match ip address 110
 match interface FastEthernet4
!         
route-map dhcp-nat permit 10
 match ip address 111
 match interface Vlan104
!
bridge 1 protocol ieee
bridge 1 route ip
!
end

このハブ設定は VPN 接続設定の例を提供します:

version 12.4
!
hostname 3845-bottom
!
ip cef
!
crypto keyring any-peer 
  pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp profile profile-name
   keyring any-peer
   match identity address 0.0.0.0 
   virtual-template 1
!
crypto ipsec transform-set md5-des-ts esp-des esp-md5-hmac 
!
crypto ipsec profile md5-des-prof
 set transform-set md5-des-ts 
!
interface Loopback111
 ip address 192.168.111.1 255.255.255.0
 ip nat enable
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.111
 encapsulation dot1Q 111
 ip address 172.16.111.5 255.255.255.0
 ip nat enable
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback111
 ip nat enable
 tunnel source GigabitEthernet0/0.111
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile md5-des-prof
!
router eigrp 1
 network 192.168.111.0
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 172.16.111.1
!
ip nat source list 111 interface GigabitEthernet0/0.111
!
access-list 1 permit any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
!
!
End

複数の VRF シングル・サイト ゾーン ベースのポリシー ファイアウォールを、バックアップが付いているプライマリ インターネット接続、グローバルな VRF 持っています HQ シナリオに VPN を確認して下さい

ネットワーク・アドレス変換およびファイアウォール点検はこれらのコマンドで各 VRF のために確認されます:

提示 IP ルート VRF [vrf-name]コマンドで各 VRF のルートを検査して下さい:

stg-2801-L#show ip route vrf acct

提示 IP NAT tra VRF [vrf-name]コマンドで各 VRF の NAT アクティビティをチェックして下さい:

stg-2801-L#show ip nat translations

提示 policy-map タイプとのモニタ ファイアウォール点検統計情報はゾーンコマンドを点検します:

stg-2801-L#show policy-map type inspect zone-pair

最後に

Cisco IOS VRF わかっている古典的な、ゾーン ベースの最低ハードウェアが付いている複数のネットワークに統合されたセキュリティをネットワーク接続に与えるためのポリシー ファイアウォール提供によって削減されるコストおよび管理上重荷。 パフォーマンスおよびスケーラビリティは複数のネットワークのために維持され、ネットワーク インフラストラクチャに有効なプラットフォームおよび資本コストの増加なしでサービスを提供します。

確認事項

現在この設定用の利用可能な確認手順がありません。

トラブルシューティング

問題

Exchange サーバはルータの外部インターフェイスからアクセスが不可能です。

ソリューション

この問題を解決することをルータの SMTP 点検が可能にして下さい

サンプル コンフィギュレーション

ip nat inside source static tcp 192.168.1.10 25 10.15.22.2 25 extendable
ip nat inside source static tcp 192.168.1.10 80 10.15.22.2 80 extendable
ip nat inside source static tcp 192.168.1.10 443 10.15.22.2 443 extendable

access-list 101 permit ip any host 192.168.1.10
access-list 103 permit ip any host 192.168.1.10
access-list 105 permit ip any host 192.168.1.10

class-map type inspect match-all sdm-nat-http-1
 match access-group 101
 match protocol http

class-map type inspect match-all sdm-nat-http-2
 match access-group 103
 match protocol http

class-map type inspect match-all sdm-nat-http-3 **
 match access-group 105
 match protocol http

policy-map type inspect sdm-pol-NATOutsideToInside-1
 class type inspect sdm-nat-http-1
  inspect
 class type inspect sdm-nat-user-protocol--1-1
  inspect
 class type inspect sdm-nat-http-2
  inspect
 class class-default
policy-map type inspect sdm-pol-NATOutsideToInside-2 **
 class type inspect sdm-nat-user-protocol--1-2
  inspect
 class type inspect sdm-nat-http-3
  inspect
 class class-default

zone-pair security sdm-zp-NATOutsideToInside-1 source out-zone destination in-zone
 service-policy type inspect sdm-pol-NATOutsideToInside-2

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100595