セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA ファイアウォールにトラフィック ループによる高CPU が時 VPN クライアント 接続解除あります

2013 年 8 月 21 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2013 年 8 月 9 日) | フィードバック

概要

この資料はそのリモートアクセス VPN ヘッドエンドとして Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)からの VPN クライアント 接続解除が動作すると発生するよくある 問題を記述したものです。 この資料はまたトラフィック ループが ASA ファイアウォールからと VPN ユーザ 接続解除発生する状況を記述したものです。 この資料だけは VPN へのリモート アクセスを設定しか、または設定する方法をある特定のよくあるルーティングコンフィギュレーションから起こる特定の状況取り扱っていません。

マグナス Mortensen によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • 適応性があるセキュリティ アプライアンス モデルのリモートアクセス VPN 設定
  • 基本層 3 ルーティング概念

使用するコンポーネント

ASA コードバージョン 9.1(1) を実行するこの文書に記載されている情報は適応性があるセキュリティ アプライアンス モデル モデル 5520 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この資料はこれらのとハードウェア および ソフトウェア・バージョン使用することができます:

  • 適応性があるセキュリティ アプライアンス モデル モデル
  • ASA コードバージョン

背景説明

ユーザがリモートアクセス VPN コンセントレータとして ASA に接続するとき、ASA はその VPN クライアントに ASA のルーティング テーブルにホスト ルートをそのルーティング トラフィック outside インターフェイス インストールします(インターネットの方に)。 そのユーザ切断が表から、ルート取除かれ、内部ネットワークのパケットとき(その切断された VPN ユーザに向かう) ASA と内部 ルーティングデバイスの間でループするかもしれません。

もう一つの問題は誘導(ネットワーク)ブロードキャストパケットが(VPN クライアントの削除によって生成される)内部ネットワークの方のユニキャストフレームとして ASA によって転送されるかもしれませんことです。 これはパケットをループします ASA に戻って Time To Live (TTL)が切れるまでそれを転送するかもしれません。

この資料はこれらの問題を説明したり、また、どんな設定手法が問題を防ぐのに使用することができるか示したものです。

問題: 内部ネットワークの中の切断された VPN クライアント ループに宛てたパケット

内部ネットワークの ASA ファイアウォール、パケットそれでも現在(それらの切断されたユーザに向かう)および割り当てIP VPN アドレスからのリモートアクセス VPN ユーザ切断が内部ネットワークの内でループされるようになるかもしれません時。 これらのパケットループにより ASA の CPU は 0 が減少する IP パケット ヘッダの IP TTL 値に原因でループ ストップまで増加しますかもしれませんまたはユーザは再接続し、IP は VPN クライアントに割当て直されます。

このシナリオをよりよく理解するために、このトポロジーを考慮して下さい:

この例では、リモートアクセスクライアント 10.255.0.100 の IP アドレスは割り当てられました。 この例の ASA はルータと共に同じ内部ネットワーク セグメントに接続されます。 ルータに 2 追加層がそれに接続される 3 つのネットワークセグメントあります。 関連するインターフェイス(ルーティング)および ASA およびルータの VPN コンフィギュレーションは次のとおりです:

ASA 設定 強調表示するはこの例で示されています:

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0
!
same-security-traffic permit intra-interface
!
ip local pool VPNpool 10.255.0.1-10.255.0.255
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1
route inside 10.0.0.0 255.0.0.0 10.1.0.2

ルータコンフィギュレーション 強調表示するはこの例で示されています:

interface FastEthernet0
description connected to the inside interface of the ASA G0/1
ip address 10.1.0.2 255.255.255.0
!
interface FastEthernet1
 description connected to network segment
 ip address 10.2.0.1 255.255.255.0
!
interface FastEthernet2
 description connected to other network segment
 ip address 10.3.0.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.0.1

ASA の内部に接続されるルータのルーティング テーブルに ASA の 10.1.0.1 の内部インターフェイスを指されるデフォルト・ ルートが単にあります

ユーザが ASA に VPN によって接続される間、ASA ルーティング テーブルは次の通り示します:

ASA# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 198.51.100.1 to network 0.0.0.0
S 10.255.0.100 255.255.255.255 [1/0] via 198.51.100.1, outside
S 10.0.0.0 255.0.0.0 [1/0] via 10.1.0.2, inside
C 198.51.100.0 255.255.255.0 is directly connected, outside
C 10.1.0.0 255.255.255.0 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside

問題は VPN からとリモートアクセス VPN ユーザ切断発生します。 この時点でホスト ルートは ASA ルーティング テーブルから取除かれます。 ネットワークの中のホストが VPN クライアントにトラフィックを送信 するように試みる場合そのトラフィックはルータによって ASA の内部インターフェイスにルーティングされます。 この一連のステップは発生します:

  1. 10.255.0.100 に向かうパケットは ASA の内部インターフェイスに着きます。
  2. 標準 ACL チェックは実行された。
  3. ASA ルーティング テーブルはこのトラフィックのための出力 インターフェイスを判別するためにチェックされます。
  4. パケットの宛先はポイントが内部インターフェイス ルータの方にキャンセルする広い 10.0.0.0/8 ルートと一致します。
  5. ASA はヘアピニング トラフィックが許可されるかどうか確認します-同じセキュリティ割り当て内部インターフェイスを探し、許可されることが分ります。
  6. 接続は内部インターフェイスに出入して構築され、パケットはネクスト・ ホップとしてルータに送返されます。
  7. ルータは ASA に直面するインターフェイスの 10.255.0.100 に向かうパケットを受信します。 ルータは適したネクスト・ ホップをルーティング テーブルの中から探します。 ルータはネクスト・ ホップが ASA 内部インターフェイスであり、パケットが ASA に送信 されることが分ります。
  8. ステップ 1 に戻ります。

次に例を示します。

このループは 0 にこのの TTL までパケット デクリメント発生します。 パケットを処理する時 ASA ファイアウォールが TTL 値をデフォルトで減少しないことに注目して下さい。 ルータはそれとして TTL をルーティングしますパケットを減少します。 これはこのループの発生を不明確に防ぎますが、このループは ASA のトラフィック負荷を高め、CPU を打ちつけさせます。

問題: VPN クライアントによって生成される誘導(ネットワーク)ブロードキャストパケットは内部ネットワークでループします

この問題は最初の問題に類似したです。 VPN クライアントが割り当てIP サブネット(前例の 10.255.0.255)にダイレクト ブロードキャスト パケットを生成すればそのパケットは内部ルータへの ASA によってユニキャストフレームとして転送されるかもしれません。 内部ルータはパケットがループします ASA に戻って TTL が切れるまでそれからそれを転送するかもしれません。

この一連のイベントは発生します:

  1. VPN クライアント マシンはネットワークブロードキャスト アドレス 10.255.0.255 に向かうパケットを生成し、パケットは ASA で着きます。
  2. ASA はユニキャストフレームとしてこのパケットを(ルーティング テーブルによる)処理し、内部ルータにそれを転送します。
  3. またユニキャストフレームとしてパケットを処理する内部ルータはパケットの TTL を減少し、ASA に戻って転送します。
  4. パケットの TTL までのプロセス リピートは 0 に減ります。

問題へのソリューション

この問題へ複数の潜在的解決能力があります。 ネットワーク トポロジおよび特定の状況によっては、1 ソリューションは設定し別のものより易いかもしれません。

ソリューション 1 - VPN クライアントのために別の IPプールを使用して下さい 

このソリューションはリモート VPN ユーザに IP アドレスを割り当てることですあらゆる内部ネットワーク サブネットとオーバーラップしない。 これは内部ルータに戻ってその VPN サブネットに向かうフォワーディング パケットから VPN ユーザが接続されなかった場合防ぎます ASA を。

ソリューション 2 - ASA ルーティング テーブルを内部ルートのために特定にして下さい

このソリューションは持っていません VPN IPプールとオーバーラップする非常に広いルーティングを ASA のルーティング テーブルを確認することです。 この特定のネットワーク例に関しては、10.0.0.0/8 ルートを ASA から削除し、内部インターフェイスを離れて常駐するサブネットのための特定のスタティック・ルートを設定して下さい。 サブネットおよびネットワーク トポロジの数に依存は、これ多数のスタティック・ルートであり、それは可能性のあるではないかもしれません。 

ソリューション 3 - VPN サブネット Outside インターフェイスのためのより多くの特定のルートをキャンセルします追加して下さい

このソリューションは少しここにリストされている他より複雑で、このセクションの下部のの注に説明がある状況による他の上で推奨されません。 このソリューションは送信された IP パケットを転送することを outside インターフェイスことを ASA が VPN サブネットのためのより多くの特定のルートを追加することによって内部ルータに戻って VPN IPサブネットから防ぐことです。 この IPサブネットが外部 VPN ユーザ向けに予約済みであるので、この VPN IPサブネットからのソース IP アドレスのパケットは ASA の内部インターフェイスで受信決して着くべきではありません。 これを実現させる最も簡単な方法はアップストリーム ISP ルータのネクスト・ ホップ IP アドレスの outside インターフェイス リモートアクセス VPN IPプールのためのルートを追加することです。

このネットワーク トポロジ例では、そのルートはのように検知 します:

route outside 10.255.0.0 255.255.255.0 198.51.100.1

このルートに加えて、パケットを廃棄するために ASA を引き起こすリバースパスが内部コマンド outside インターフェイスでより多くの優先ルートによる VPN IPサブネットからその存在ソースをたどられた内部インターフェイスの受信を受け取ったことを IP を確認します追加して下さい:

ip verify reverse-path inside

これらのコマンドが implemeted 後、ASA のルーティング テーブルはユーザが接続されるとき次に類似したに検知 します:

ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is 198.51.100.1 to network 0.0.0.0

S 10.255.0.100 255.255.255.255 [1/0] via 198.51.100.1, outside
S 10.0.0.0 255.0.0.0 [1/0] via 10.1.0.2, inside
S 10.255.0.0 255.255.255.0 [1/0] via 198.51.100.1, outside
C 198.51.100.0 255.255.255.0 is directly connected, outside
C 10.1.0.0 255.255.255.0 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside

VPN クライアントが接続されるとき、その VPN IP アドレスへのホスト ルートは表にあり、好まれます。 VPN クライアント切断が IP がルーティング テーブルおよび廃棄された原因でに対して、そのクライアントIPアドレスから送信されるトラフィック 内部インターフェイスに着くチェックされるときリバースパス内部コマンドを確認して下さい

VPN クライアントが VPN IPサブネットに誘導 ネットワークブロードキャストを生成する場合、そのパケットは内部ルータに転送され、IP が廃棄された原因である ASA に戻ってルータによって転送されて、リバースパス内部コマンドを確認して下さい

: このソリューションが設定されていた後、同じセキュリティ割り当て内部インターフェイス コマンドが設定にあり、アクセスポリシー割り当てそれ場合、トラフィックはクリアテキストのキャンセルするかもしれないルーティングされる outside インターフェイス接続されないユーザ向けの VPN IPプールの IP アドレスに向かう VPN ユーザからソースをたどりました。 これは稀な状況で、VPN ポリシー内の VPN フィルターの使用と軽減することができます。 この状況は同じセキュリティ割り当て内部インターフェイス コマンドが ASA の設定にある場合その時だけ発生します。
同様に内部ホストが VPN プールの IP アドレスに向かうトラフィックを生成すればおよびそれ IP アドレスはリモート VPN ユーザに割り当てられません、トラフィックが出力クリアテキストの ASA の外部かもしれたこと。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116170