セキュリティ : Cisco IOS ファイアウォール

ZBF ルータコンフィギュレーションを用いる DHCP クライアントかサーバ

2015 年 8 月 24 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 4 月 23 日) | フィードバック

概要

この資料にゾーン ベースのファイアウォール(ZBF)機能との動的ホスト制御プロトコル(DHCP)サーバか DHCP クライアントとして機能しているルータを設定する方法を記述されています。 DHCP および ZBF を同時に有効に してもらうようにそれがかなり一般的であるのでこれらの設定 助言は正しく相互に作用していますこれらの機能の確認を助けます。

Puneet Seth および Phillip Strelau によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は Cisco IOS ® ソフトウェア ゾーン ベースのファイアウォールのナレッジがあることを推奨します。 詳細についてはゾーン ベースのポリシー ファイアウォール 設計およびアプリケーション ガイドを参照して下さい。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

機能情報

ZBF が IOSルータで有効に なるとき、自己 ゾーン(すなわち、ルータの管理プレーンに向かうトラフィック)へのどのトラフィックでもコードの IOS 15.x トレインでデフォルトで許可されます。

自己 ゾーン(に自己 ポリシー)または反転にあらゆるゾーンのためのポリシーを(「内部」か「外部のような」) (ポリシー自己に)作成したら、明示的にこれらのゾーンに接続されるポリシーの許されたトラフィックを定義して下さい。 Inspect を使用するか、または許されたトラフィックを定義するために操作を渡して下さい。

データ分析

DHCP 使用は DHCPプロセスを完了するためにユーザ データグラム プロトコル(UDP)パケットをブロードキャストしました。 これらのブロードキャスト UDP パケットのための Inspect 操作を規定 するゾーン ベースのファイアウォール構成はルータおよび DHCPプロセスによって失敗するかもしれません廃棄されるかもしれません。 またこのログメッセージが表示されるかもしれません:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

参照して下さい Cisco バグ ID CSCso53376 に説明がある問題を「ZBF Inspect はたらきませんブロードキャストトラフィックのために」。

Inspect 操作の代りのパス操作が DHCP トラフィックに適用されるようにこの問題を回避するために、ゾーン ベースのファイアウォール構成を修正して下さい。

: ポリシーがルータの自己 ゾーンに適用されるときだけこれが必要となります。

UDP トラフィックのためのパス処理の DHCP クライアントとしてゾーン ベースのファイアウォール

設定

この設定例はすべての UDP トラフィックのためにルータに/から policy-map の Inspect 操作の代りに設定 されるパス操作を利用します。

zone security outside
zone security inside

interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside

class-map type inspect match-all dhcp
match protocol udp

policy-map type inspect out-to-self
class type inspect dhcp
pass
class class-default
drop
policy-map type inspect self-to-out
class type inspect dhcp
pass
class class-default
drop

zone-pair security out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out

確認

ルータが正常に DHCPアドレスを得たことを確認するために Syslog を検討して下さい。

ポリシー自己にに自己がおよび UDP トラフィックを通過させるために設定されるときルータはこの Syslog に示すように DHCP からの IP アドレスを得ることができます:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.5,
mask 255.255.255.0

UDP トラフィックを通過させるためにに自己 ゾーン ポリシーだけ設定されるときルータはまた DHCP からの IP アドレスを得ることができこの Syslog は作成されます:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.6,
mask 255.255.255.0

ただゾーン ポリシー自己に UDP トラフィックを通過させるために設定される時ルータは DHCP からの IP アドレスを得ることができこの Syslog は作成されます:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.7,
mask 255.255.25

DHCP トラフィックのためのパス処理のゾーン ベースのファイアウォール

設定

この設定例は DHCP パケットを除いてルータの自己 ゾーンにゾーンからすべての UDP トラフィックを防ぐ方法を示します。 ちょうど DHCP トラフィックを許可するために特定のポートと access-list を使用して下さい; この例では、UDP ポート 67 および UDP ポート 68 は一致するために規定 されます。 class-map に access-list を参照する適用されるパス操作があります。

access-list extended 111
10 permit udp any any eq 67

access-list extended 112
10 permit udp any any eq 68

class-map type inspect match-any self-to-out
match access-group 111
class-map type inspect match-any out-to-self
match access-group 112

zone security outside
zone security inside

interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside

policy-map type inspect out-to-self
class type inspect out-to-self
pass
class class-default
drop
policy-map type inspect self-to-out
class type inspect self-to-out
pass
class class-default
drop

zone-pair security out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out

確認

ルータがゾーン ファイアウォールによって DHCP トラフィックを可能にしていることを確認するために show policy-map タイプ Inspect ゾーン ペア sessions コマンドからの出力を調べて下さい。 この出力例では、強調表示されたカウンターはパケットがゾーン ファイアウォールによって渡されていることを示します。 これらのカウンターがゼロである場合、設定に問題があります、またはパケットは処理のためのルータに着いていません。

router#show policy-map type inspect zone-pair sessions

policy exists on zp out-to-self
Zone-pair: out-to-self
Service-policy inspect : out-to-self
Class-map: out-to-self (match-any)
Match: access-group 112
3 packets, 924 bytes
30 second rate 0 bps
Pass
6 packets, 1848 bytes

Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

policy exists on zp self-to-out
Zone-pair: self-to-out
Service-policy inspect : self-to-out
Class-map: self-to-out (match-any)
Match: access-group 111
6 packets, 3504 bytes
30 second rate 0 bps
Pass
6 packets, 3504 bytes

Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

誤ったコンフィギュレーションのためのシナリオ

このサンプルシナリオはルータが DHCP トラフィックのための Inspect 操作を規定 するために間違って設定されているとき何が起こるか示します。 このシナリオでは、ルータは DHCP クライアントで設定されます。 ルータは IP アドレスを試み、得るために DHCP DISCOVER メッセージを送信します。 ゾーン ベースのファイアウォールはこの DHCP トラフィックを検査するために設定されます。 これは ZBF 設定の例です:

zone security outside
zone security inside

interface Ethernet0/1
zone-member security outside

interface Ethernet0/2
zone-member security inside

class-map type inspect match-all dhcp
match protocol udp

policy-map type inspect out-to-self
class type inspect dhcp
inspect
class class-default
drop
policy-map type inspect self-to-out
class type inspect dhcp
inspect
class class-default
drop

zone-pair securiy out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out

ポリシー自己に UDP トラフィックのための Inspect 操作で設定される時、DHCP ディスカバリ パケットは廃棄され、この Syslog は作成されます:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

自己に両方およびに自己 ポリシーが UDP トラフィックのための Inspect 操作で設定されるとき、DHCP ディスカバリ パケットは廃棄され、この Syslog は作成されます:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

に自己 ポリシーに有効に なる Inspect 操作があるおよびポリシー自己に UDP トラフィックのために有効に なるパス操作を持っているとき DHCP オファー パケットは DHCP ディスカバリ パケットが送信 された、この Syslog は作成されます後廃棄され:

%FW-6-DROP_PKT: Dropping udp session 192.168.1.1:67 255.255.255.255:68 on zone-pair
out-self class dhcp with ip ident 0

DHCPサーバとしてルータ

ルータの内部インターフェイスが DHCPサーバとして機能すれば、そして内部インターフェイスに接続するクライアントが DHCP クライアントなら、この DHCP トラフィックはゾーン ポリシー自己にの中のの中に自己がまたはない場合デフォルトで許可されます。

ただし、それらのポリシーの存在 すれば、対象(UDP ポート 67 かゾーン ペア サービス ポリシーのトラフィックのためのパス操作をの 68) UDP ポート設定する必要があります。

トラブルシューティング

現在のところ、ここでの設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116117