セキュリティ : Cisco IOS ファイアウォール

2 つの ISP 接続のためのゾーン ベースのポリシー ファイアウォールとの IOS NAT 負荷バランシング

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この文書は Cisco IOS にサンプル コンフィギュレーションを提供したものですか。 2 つの ISP 接続を通してネットワーク・アドレス変換(NAT)とインターネットにネットワークを接続するルータ。 ある特定の宛先への等コスト ルートが利用できる場合 Cisco IOS ソフトウェア NAT は複数のネットワーク・コネクション上のそれに続く TCP 接続および UDP セッションを配ることができます。

/image/gif/paws/100657/IOS_NAT_FW-1.gif

この文書は NAT によって提供される基本的なネットワーク保護を増加するためにステートフル点検機能を加えるように Cisco IOS ゾーン ベースのポリシー ファイアウォール(ZFW)を加えるように付加的な設定を説明したものです。

前提条件

要件

この文書は LAN および WAN 接続を使用し、設定をまたは最初の接続を確立するためにトラブルシューティング バックグラウンド提供しないことを仮定します。 この文書はルートを区別する方法をそうそこにですより少なく好ましい接続上のより好ましい接続を好む方法記述しないものです。

使用するコンポーネント

この文書に記載されている情報は 12.4(15)T3 によって進められる IP サービス ソフトウェアが付いている Cisco シリーズ 1811 ルータに基づいています。 別のソフトウェア・バージョンが使用される場合、いくつかの機能は利用できません、または構成コマンドはこの文書で示されているそれらと異なることができます。 同じような設定はインターフェイス設定が異なるプラットフォームの間で多分変わるが、すべての Cisco IOS ルータ プラットフォームで利用できます。

この文書に記載されている情報は特定のラボ環境のデバイスから作成されました。 この文書で使用された削除された(デフォルト)設定でデバイスすべては起動しています。 あなたのネットワークがライブである場合、あらゆるコマンドの潜在的影響を理解することを確かめて下さい。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

設定例

このセクションではこの文書に説明がある機能を、設定するための情報を記載します。

注: このセクションで使用されるコマンドに関する詳細を得るのにコマンド ルックアップ ツール登録されていた顧客だけ)を使用して下さい。

1 つの ISP 接続を常に使用することを確かめるために特定のトラフィックのためのポリシ・ベースのルーティングを加える必要があります。 この動作を要求できるトラフィックの例は IPSec VPN クライアント、VoIP テレフォニー トラフィックをおよび同じ IP アドレスを、より高い速度好むか、または接続のレイテンシーを下げるのに ISP 接続オプションの 1 つだけを使用する他のどのトラフィックも含まれています。

ネットワーク図

この文書はこのネットワークを設定するのに使用します:

/image/gif/paws/100657/IOS_NAT_FW-2.gif

(FastEthernet 0 によって示されている)この設定例は 1 ISP への DHCP 設定された IP 接続を使用する、および他の ISP 接続上の PPPoE 接続を記述したものですアクセス ルータ。 結合方式に設定の特定の影響がありません、いくつかの結合方式は特定の障害シナリオのこの設定の有用性を妨げることができます。 これは付加的なデバイスが WAN 接続を終え、Cisco IOS ルータにイーサネット ハンドオフを提供するところに特にイーサネット接続された WAN サービス上の IP 接続が、たとえば、ケーブル モデムか DSL サービス使用されれば起こります。 静的 IP アドレッシングが DHCP 割り当てアドレスか PPPoE に対して適用すれば、および WAN 障害が発生すれば、イーサネット ポートがまだ WAN 接続デバイスへのイーサネット リンクを維持することそのような物は、ルータよく、悪い WAN 接続を渡る接続を負荷バランシングするように試み続けます。 非アクティブ ルートは負荷バランシングから取除かれるようにあなたの配置が要求したら、2 つのインターネット接続にルート妥当性を監視するためにルーティングする最適化されたエッジの付加を記述する最適化されたエッジ ルーティングを Cisco IOS NAT 負荷バランシングおよびゾーン ベースのポリシー ファイアウォールで提供される設定を参照して下さい。

ファイアウォール政策議論

この設定例は「内部」セキュリティ ゾーンからの「外部」セキュリティ ゾーンへの簡単な TCP、UDP および ICMP 接続を可能にする記述し、FTP アクティブな、受動転送のための FTP 送信接続および同等のデータ トラヒックに対応したものですファイアウォール ポリシーを。 どの複雑なアプリケーション トラフィックでも、たとえば、減少された機能でこの基本的なポリシーによって処理されない、VoIP シグナリングおよびメディア多分作動するか、または完全に失敗する場合があります。 このファイアウォール ポリシーは「公共」セキュリティ ゾーンからの NAT ポート転送によって収容されるすべての接続を含む「私用」ゾーンへのすべての接続をブロックします。 必要ならば、あなたのアプリケーション プロファイルおよびセキュリティ ポリシーを反映するためにファイアウォール点検ポリシーを調節する必要があります。

ゾーン ベースのポリシー ファイアウォール政策設計および設定の質問がある場合、ゾーン ベースのポリシー ファイアウォール設計および塗布ガイドを参照して下さい。

設定

この文書はこれらの設定を使用します:

設定
class-map type inspect match-any priv-pub-traffic
 match protocol ftp
 match protocol tcp
 match protocol udp
 match protocol icmp

!

policy-map type inspect priv-pub-policy
 class type inspect priv-pub-traffic
  inspect
 class class-default

!

zone security public
zone security private
zone-pair security priv-pub source private destination public
 service-policy type inspect priv-pub-policy


!

interface FastEthernet0
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 zone security public

!

interface FastEthernet1
 no ip address
 pppoe enable
 no cdp enable

!

interface FastEthernet2
 no cdp enable


!--- Output Suppressed





interface Vlan1
 description LAN Interface
 ip address 192.168.108.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 zone security private


!---Define LAN-facing interfaces with “ip nat inside”





Interface Dialer 0
 description PPPoX dialer
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 ip tcp adjust-mss
 zone security public


!---Define ISP-facing interfaces with “ip nat outside”



!

ip route 0.0.0.0 0.0.0.0 dialer 0



!

ip nat inside source route-map fixed-nat interface Dialer0 overload
ip nat inside source route-map dhcp-nat interface FastEthernet0 overload


!---Configure NAT overload (PAT) to use route-maps





!

access-list 110 permit ip 192.168.108.0 0.0.0.255 any


!---Define ACLs for traffic that will be NATed to the ISP connections





route-map fixed-nat permit 10
 match ip address 110
 match interface Dialer0

route-map dhcp-nat permit 10
 match ip address 110
 match interface FastEthernet0 


!---Route-maps associate NAT ACLs with NAT outside on the 
!--- ISP-facing interfaces

確認事項

あなたの設定がきちんと機能することを確認するのにこのセクションを使用して下さい。

出力インタプリタ ツール登録されていた顧客だけ) (OIT)サポートはコマンドを確認しているが。 分析をの表示するのに OIT を示しますコマンド出力を使用して下さい。

  • 示して下さい IP NAT 変換—ホストの中の NAT とホストの外部の NAT 間の NAT アクティビティを表示します。 このコマンドは内部ホストが両方の NAT 外部アドレスに翻訳される確認を提供したものです。

    Router# show ip nat translation
    Pro Inside global       Inside local        Outside local      Outside global
    tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22   172.16.104.10:22
    tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80   172.16.102.11:80
    tcp 172.16.108.44:1623  192.168.108.4:1623  172.16.102.11:445  172.16.102.11:445
    Router#
    
  • 示して下さい IP ルート—インターネットへの複数のルートが利用できることを確認します。

    Router# show ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is 172.16.108.1 to network 0.0.0.0
    
    C    192.168.108.0/24 is directly connected, Vlan1
         172.16.0.0/24 is subnetted, 2 subnets
    C       172.16.108.0 is directly connected, FastEthernet4
    C       172.16.106.0 is directly connected, Vlan106
    S*   0.0.0.0/0 [1/0] via 172.16.108.1
                   [1/0] via 172.16.106.1
    
  • 示して下さい policy-map タイプ Inspect ゾーン組セッションを— 「私用」-ゾーン ホストおよび「公衆」-ゾーン ホスト間のファイアウォール点検アクティビティを表示します。 このコマンドはホストが「外部」セキュリティ ゾーンのサービスと伝達し合うと同時に内部ホストのトラフィックが検査されること確認を提供したものです。

トラブルシューティング

このセクションはあなたの設定をトラブルシューティングするのに使用できる情報を提供します。

NAT で Cisco IOS ルータを設定した後、接続がはたらかない場合、これらの確実でであって下さい:

  • NAT は外部および内部インターフェイスで適切に適用されます。

  • NAT 設定は完了した、ACL はネットワークアドレス交換する必要があるトラフィックを反映します。

  • Internet/WAN への複数のルートは利用できます。

  • ファイアウォール ポリシーは正確にルータを通して許可したいトラフィックの性質を反映します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100657