セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA 7.x:送信者が外部にいる場合の PIX/ASA プラットフォームでのマルチキャストの設定例

2013 年 10 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

概要

このドキュメントでは、バージョン 7.x を実行する Cisco Adaptive Security Appliance(ASA)や PIX セキュリティ アプライアンスにおけるマルチキャストの設定例を示します。この例では、マルチキャスト送信者がセキュリティ アプライアンスの外部におり、内部のホストがマルチキャスト トラフィックを受信しようとしています。ホストは IGMP レポートを送信してグループ メンバーシップをレポートし、ファイアウォールは Protocol Independent Multicast(PIM)の希薄モードをアップストリーム ルータに対するダイナミック マルチキャスト ルーティング プロトコルとして使用します。その背後にストリームのソースがあります。

注: FWSM/ASA では、232.x.x.x/8 サブネットがグループ番号としてサポートされません。これは ASA SSM 用に予約されています。FWSM/ASA では、このサブネットの使用や通過を許可せず、mroute は作成されません。しかし、GRE トンネルでカプセル化すると、このマルチキャスト トラフィックを ASA/FWSM で渡すことができます。

前提条件

要件

ソフトウェア バージョン 7.0、7.1、7.2 のいずれかが稼働する Cisco PIX または ASA セキュリティ アプライアンス

使用するコンポーネント

このドキュメントの情報は、バージョン 7.x が稼働する Cisco PIX または Cisco ASA ファイアウォールに基づきます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

PIX/ASA 7.x では、ファイアウォール経由のダイナミック マルチキャスト ルーティング用に、完全な PIM 希薄モードおよび双方向性がサポートされます。PIM 稠密モードはサポートされません。7.x ソフトウェアではレガシー マルチキャスト「stub-mode」がサポートされ、この場合はファイアウォールが、PIX バージョン 6.x でサポートされていたように、インターフェイス間の単なる IGMP プロキシになります。

ファイアウォール経由のマルチキャスト トラフィックには、次のことが当てはまります。

  • マルチキャスト トラフィックを受信するインターフェイスにアクセス リストを適用する場合は、アクセス コントロール リスト(ACL)でトラフィックを明示的に許可する必要があります。インターフェイスにアクセス リストを適用しない場合、マルチキャスト トラフィックを許可する明示的な ACL エントリは必要ありません。

  • マルチキャスト データ パケットは、reverse-path forward check コマンドがインターフェイスで設定されているかどうかに関係なく、常にファイアウォールのリバース パス転送検査を受けます。このため、パケットを受信したインターフェイスからマルチキャスト パケットの送信元へのルートがない場合、パケットは廃棄されます。

  • マルチキャスト パケットの送信元に戻るルートがインターフェイスにない場合は、mroute コマンドを使用して、パケットを廃棄しないようにファイアウォールに指示してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

マルチキャスト トラフィックの送信元は 192.168.1.2 であり、グループ 224.1.2.3 に宛てられたポート 1234 で UDP パケットが使用されています。

pix-asa-multicast-outside-1.gif

コンフィギュレーション

このドキュメントでは次の設定を使用しています。

バージョン 7.x が稼働する Cisco PIX または ASA ファイアウォール
maui-soho-01#show running-config 
 SA Version 7.1(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted


 
!--- multicast-routing コマンドにより、ファイアウォールのすべてのインターフェイスで
!--- IGMP と PIM を有効にします。

multicast-routing
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.255.255.0
!
interface Ethernet0/2
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted


!--- ランデブー ポイント アドレスを設定で定義し、
!--- PIM を正しく機能させます。

pim rp-address 172.16.1.2
boot system disk0:/asa712-k8.bin
ftp mode passive

!--- アクセス リスト エントリでマルチキャスト トラフィックを
!--- 許可する必要があります。

access-list outside_access_inbound extended permit ip any host 224.1.2.3
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
no failover

!--- マルチキャスト トラフィックを許可するアクセス リストを
!--- 外部インターフェイスの着信に適用します。

access-group outside_access_inbound in interface outside


!--- この mroute エントリにより、マルチキャスト送信者 
!--- 192.168.1.2 が外部インターフェイス外であることを指定します。この例の場合は
!--- mroute エントリが必要です。外部インターフェイスの 
!--- 192.168.1.2 ホストへのルートがファイアウォールにないからです。ルートがある場合、
!--- このエントリは必要ありません。

mroute 192.168.1.2 255.255.255.255 outside
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
!
end

確認

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show mroute—IPv4 マルチキャスト ルーティング テーブルが表示されます。

    ciscoasa#show mroute 
    
    Multicast Routing Table
    Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group,
           C - Connected, L - Local, I - Received Source Specific Host Report,
           P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set,
           J - Join SPT
    Timers: Uptime/Expires
    Interface state: Interface, State
    
    
    !--- 共有ツリーの mroute エントリがあります。着信インターフェイスが 
    !--- outside を指定し、発信インターフェイス リストが
    !--- inside を指定することに注意してください。
    
    (*, 224.1.2.3), 00:00:12/never, RP 172.16.1.2, flags: SCJ
      Incoming interface: outside
      RPF nbr: 172.16.1.2
      Outgoing interface list:
        inside, Forward, 00:00:12/never
    
    
    !--- mroute エントリの発信元固有のツリーです。
    
    (192.168.1.2, 224.1.2.3), 00:00:12/00:03:17, flags: SJ
      Incoming interface: outside
      RPF nbr: 0.0.0.0
      Immediate Outgoing interface list: Null
  • show conn—指定された接続タイプの接続状態を表示します。

    
    !--- 接続は、マルチキャスト ストリーム用にファイアウォール経由で構築されます。
    !--- この場合、ストリームは送信者 IP から送信され、
    !--- マルチキャスト グループに宛てられています。
    
    ciscoasa#show conn
    10 in use, 12 most used
    UDP out 192.168.1.2:51882 in 224.1.2.3:1234 idle 0:00:00 flags -
    ciscoasa#
  • show pim neighbor—PIM ネイバー テーブルのエントリが表示されます。

    
    !--- PIM を使用するときは、
    !--- show pim neighbor コマンドでネイバー デバイスを確認する必要があります。
    
    ciscoasa#show pim neighbor
    
    Neighbor Address  Interface          Uptime    Expires DR pri Bidir
    
    172.16.1.2        outside            04:06:37  00:01:27 1 (DR)

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

トラブルシューティング手順

設定のトラブルシューティングをするには、次の手順を実行します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  1. マルチキャスト受信側は、ファイアウォール内に直接接続している場合、IGMP レポートを送信してマルチキャスト ストリームを受信します。IGMP レポートを内部から受信したことを確認するには、show igmp traffic コマンドを使用します。

    ciscoasa#show igmp traffic
    
    IGMP Traffic Counters
    Elapsed time since counters cleared: 04:11:08
    
                                  Received     Sent
    Valid IGMP Packets            413          244
    Queries                       128          244
    Reports                       159          0
    Leaves                        0            0
    Mtrace packets                0            0
    DVMRP packets                 0            0
    PIM packets                   126          0
    
    Errors:
    Malformed Packets             0
    Martian source                0
    Bad Checksums                 0
    
    ciscoasa#
  2. debug igmp コマンドを使用すると、IGMP データに関する詳細情報をファイアウォールで表示できます。

    この場合はデバッグが有効であり、ホスト 10.0.0.2 がグループ 224.1.2.3 用に IGMP レポートを送信します。

    
    !--- IGMP デバッグを有効にします。
    
    ciscoasa#debug igmp
    IGMP debugging is on
    ciscoasa# IGMP: Received v2 Report on inside from 10.0.0.2 for 224.1.2.3
    IGMP: group_db: add new group 224.1.2.3 on inside
    IGMP: MRIB updated (*,224.1.2.3) : Success
    IGMP: Switching to EXCLUDE mode for 224.1.2.3 on inside
    IGMP: Updating EXCLUDE group timer for 224.1.2.3
    
    ciscoasa#
    
    !--- IGMP デバッグを無効にします。
    
    ciscoasa#un all
    
  3. ファイアウォールに有効な PIM ネイバーがあり、ファイアウォールが Join/Prune 情報を送受信することを確認します。

    ciscoasa#show pim neigh
    
    Neighbor Address  Interface          Uptime    Expires DR pri Bidir
    
    172.16.1.2        outside            04:26:58  00:01:20 1 (DR)
    
    ciscoasa#show pim traffic
    
    PIM Traffic Counters
    Elapsed time since counters cleared: 04:27:11
    
                                  Received     Sent
    Valid PIM Packets             543          1144
    Hello                         543          1079
    Join-Prune                    0            65
    Register                      0            0
    Register Stop                 0            0
    Assert                        0            0
    Bidir DF Election             0            0
    
    Errors:
    Malformed Packets                           0
    Bad Checksums                               0
    Send Errors                                 0
    Packet Sent on Loopback Errors              0
    Packets Received on PIM-disabled Interface  0
    Packets Received with Unknown PIM Version   0
    Packets Received with Incorrect Addressing  0
    ciscoasa#
  4. 外部インターフェイスがグループのマルチキャスト パケットを受信することを確認するには、capture コマンドを使用します。

    ciscoasa#configure terminal
    
    
    !--- キャプチャするパケットのフラグ設定専用の 
    !--- アクセス リストを作成します。
    
    ciscoasa(config)#access-list captureacl permit ip any host 224.1.2.3
    
    
    !--- capout という名前のキャプチャを定義して外部インターフェイスにバインドし、
    !--- アクセス リスト captureacl と一致するキャプチャ パケットのみに指定します。
    
    ciscoasa(config)#capture capout interface outside access-list captureacl
    
    
    !--- 内部インターフェイスにも繰り返します。
    
    ciscoasa(config)#capture capin interface inside access-list captureacl
    
    
    !--- 外部のキャプチャの内容を表示します。外部インターフェイスにパケットが
    !--- 現れることを確認します。
    
    ciscoasa(config)#show capture capout
    138 packets captured
       1: 02:38:07.639798 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       2: 02:38:07.696024 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       3: 02:38:07.752295 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       4: 02:38:07.808582 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       5: 02:38:07.864823 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       6: 02:38:07.921110 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       7: 02:38:07.977366 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       8: 02:38:08.033689 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       9: 02:38:08.089961 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      10: 02:38:08.146247 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      11: 02:38:08.202504 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      12: 02:38:08.258760 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      13: 02:38:08.315047 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      14: 02:38:08.371303 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      15: 02:38:08.427574 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      16: 02:38:08.483846 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      17: 02:38:08.540117 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      18: 02:38:08.596374 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      19: 02:38:08.652691 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      20: 02:38:08.708932 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      21: 02:38:08.765188 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      22: 02:38:08.821460 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      23: 02:38:08.877746 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      24: 02:38:08.934018 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
    
    
    !--- 内部インターフェイスからクライアントに転送された 
    !--- パケットを確認できます。
    
    ciscoasa(config)#show capture capin
    89 packets captured
       1: 02:38:12.873123 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       2: 02:38:12.929380 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       3: 02:38:12.985621 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       4: 02:38:13.041898 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       5: 02:38:13.098169 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       6: 02:38:13.154471 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       7: 02:38:13.210743 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       8: 02:38:13.266999 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
       9: 02:38:13.323255 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      10: 02:38:13.379542 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      11: 02:38:13.435768 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      12: 02:38:13.492070 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      13: 02:38:13.548342 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      14: 02:38:13.604598 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      15: 02:38:13.660900 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      16: 02:38:13.717141 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      17: 02:38:13.773489 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      18: 02:38:13.829699 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      19: 02:38:13.885986 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      20: 02:38:13.942227 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      21: 02:38:13.998483 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      22: 02:38:14.054852 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      23: 02:38:14.111108 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
      24: 02:38:14.167365 192.168.1.2.52292 > 224.1.2.3.1234:  udp 1316
    ciscoasa(config)#
    
    
    !--- ファイアウォールのメモリからキャプチャを削除します。
    
    ciscoasa(config)#no capture capout
    

既知のバグ

Cisco Bug ID CSCse81633登録ユーザ専用)—ASA 4GE-SSM Gig ポートは IGMP の加入を廃棄して通知しません。

  • 症状—4GE-SSM モジュールを ASA にインストールして、マルチキャスト ルーティングを IGMP とともにインターフェイスで設定すると、IGMP の加入は 4GE-SSM モジュールのインターフェイスで廃棄されます。

  • 条件—IGMP の加入は、ASA のオンボード Gig インターフェイスで廃棄されません。

  • 回避策—マルチキャスト ルーティングの場合は、オンボード ギガビット イーサネット インターフェイス ポートを使用します。

  • 修正済みバージョン—7.0(6)、7.1(2)18、7.2(1)11

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71779