セキュリティ : Cisco IOS ファイアウォール

ゾーンベースのファイアウォールのトラブルシューティング

2015 年 8 月 24 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 4 月 22 日) | フィードバック


目次


概要

この資料はゾーン ベースのファイアウォールのためのトラブルシューティング情報が含まれています。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN トラフィックを通過させることが不可能

問題

問題は VPN トラフィックがゾーン ベースのファイアウォールを渡って渡ることができないことです。

解決策

VPN クライアント トラフィックがゾーン ベースの Cisco IOS によって点検されるようにして下さいか。 ファイアウォール。

たとえば、ルータの設定で追加するべき行はここにあります:

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

GRE/PPTP を渡すことが不可能

問題

問題は GRE/PPTP トラフィックがパススルーにないゾーン ベースのファイアウォールことです。

解決策

VPN クライアント トラフィックがゾーン ベースの Cisco IOS ファイアウォールによって点検されるようにして下さい。

たとえば、ルータの設定で追加するべき行はここにあります:

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

設定の確認:

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

ネットワークの到達可能性

問題

ゾーン ベースのファイアウォールのためのポリシーが Cisco IOS ルータで適用された後、ネットワークは到達可能ではないです。

解決策

この問題は非対称 ルーティングであるかもしれません。 Cisco IOS ファイアウォールは非対称 ルーティングを用いる環境ではたらきません。 パケットは同一ルータを通って戻るために保証されません。

Cisco IOS ファイアウォールは TCP/UDP セッションの状態をトラッキングします。 パケットはステート情報の正確なメンテナンスのための同一ルータから出発し、戻る必要があります。

ゾーン ベースのファイアウォールによって DHCP トラフィックを通過させることが不可能

問題

ゾーン ベースのファイアウォールによって DHCP トラフィックを通過させることができません。

解決策

この問題を解決するために自己ゾーン トラフィック インスペクションをディセーブルにして下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 109479