Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
リモート管理の許可
リモート管理の許可
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

リモート管理の許可

Telnetの許可

SSHの許可

SSHアクセスの設定

SSHクライアントの使用

用のHTTPSの許可

VPN管理接続の許可

全トンネルの基本的な設定

VPNクライアント アクセスの設定

サイトツーサイト トンネルの設定

とのICMP送受信の許可

リモート管理の許可

この章では、Firewall Services Module(FWSM)のCLIへのリモート アクセスを許可し、FWSMとの間でICMPを実行する手順について説明します。


注意 Telnet、SSH、またはHTTPSを使用してFWSMに管理アクセスする場合、セッション中に実行するコマンドによっては、パフォーマンスが低下することがあります。たとえば、同時接続数が50,000の場合、 show conn コマンドを入力すると、コマンド入力前よりもCPU利用率が高くなります。高いネットワーク パフォーマンスを保持する必要がある場合には、FWSM上でコマンドを実行しないことを推奨します。

この章で説明する内容は、次のとおりです。

「Telnetの許可」

「SSHの許可」

「PDM用のHTTPSの許可」

「VPN管理接続の許可」

「FWSMとのICMP送受信の許可」


) スイッチからFWSMに「セッション」を確立する手順は、「Firewall Services Moduleとのセッションおよびログイン」を参照してください。


Telnetの許可

FWSMでは、管理を目的としたFWSMへのTelnet接続を設定できます。IPSecトンネル内でTelnetを使用する場合(VPN管理接続の許可を参照)を除き、セキュリティが最低のインターフェイスではTelnetを使用できません。

各コンテキストに許可するTelnet数を管理するには、リソース クラスを使用します( クラスの設定を参照)。FWSMでは、各コンテキストについて最大5の同時Telnet接続を実行でき、全コンテキスト間で最大100の接続が可能です。システム全体で許可されるTelnetルールの最大数は、「ルールの制限」を参照してください。

FWSMにTelnetアクセスを設定する手順は、次のとおりです。


ステップ 1 各アドレスまたはサブネットについて次のコマンドを入力して、FWSMで接続を許可するIPアドレスを指定します。

FWSM/contexta(config)# telnet source_IP_address mask source_interface
 

IPSecトンネル内でTelnetを使用する場合(VPN管理接続の許可を参照)を除き、
source_interface
にセキュリティが最低のインターフェイスを指定することはできません。

たとえば、FWSMでセキュリティが最低のインターフェイスを判別するには、最低2つのインターフェイスを設定する必要があります。(たとえば、管理コンテキスト用に)1つのインターフェイスだけを設定した場合、そのインターフェイスのセキュリティは最高および最低の両方に当てはまるので、使用できません。また、設定したインターフェイスがすべて同じセキュリティ レベルの場合には、Telnetを使用できません。

ステップ 2 (任意)FWSMによってセッションが切断されるまでの、Telnetセッションの休止時間の長さを設定するには、次のコマンドを入力します。

FWSM/contexta(config)# telnet timeout minutes
 

タイムアウトの設定範囲は、1~1440分です。デフォルトは5分です。デフォルトのタイムアウト値は一般的には短すぎるので、すべての事前テストおよびトラブルシューティングが完了するまでは、タイムアウト値を増やしてください。


 

次に、アドレス192.168.1.2の内部インターフェイス上のホストにFWSMへのアクセスを許可する例を示します。

FWSM/contexta(config)# telnet 192.168.1.2 255.255.255.255 inside
FWSM/contexta(config)# telnet timeout 30
 

次に、192.168.3.0ネットワーク上のすべてのユーザに、内部インターフェイス上のFWSMへのアクセスを許可する例を示します。

FWSM/contexta(config)# telnet 192.168.3.0 255.255.255.0 inside
 

SSHの許可

FWSMでは、管理を目的としたFWSMへのSSH(セキュア シェル)接続を設定できます。各コンテキストに許可するSSHセッション数を管理するには、リソース クラスを使用します( クラスの設定を参照)。FWSMでは、各コンテキストについて最大5の同時SSH接続を実行でき、全コンテキスト間で最大100の接続が可能です。システム全体で許可されるSSHルールの最大数は、「ルールの制限」を参照してください。

SSHは、信頼性の高いトランスポート レイヤの上層で実行されるアプリケーションで、TCP/IPのように、強力な認証および暗号化機能を提供します。FWSMは、SSHバージョン1で提供されているSSHリモート シェル機能、およびDESと3DES暗号化をサポートしています。


) SSH v1.xおよびv2はまったく異なるプロトコルで、互換性はありません。必ず、SSH v1.xをサポートしているクライアントをダウンロードしてください。


ここでは、次の内容について説明します。

「SSHアクセスの設定」

「SSHクライアントの使用」

SSHアクセスの設定

FWSMにSSHアクセスを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、SSHに必要なRSAキーのペアを生成します。

FWSM/contexta(config)# ca generate rsa key modulus
 

モジュール(ビット単位)は512、768、1,024、または2,048です。指定するキー モジュールのサイズが大きいほど、RSA生成に時間がかかります。推奨する値は768です。

キーを生成する前に、「ホスト名の設定」および「ドメイン名の設定」の手順に従って、ホスト名とドメイン名を設定しておく必要があります。これらの設定が、生成されるキーに使用されます。

ステップ 2 次のコマンドを入力して、RSAキーを永続的なフラッシュ メモリに保存します。

FWSM/contexta(config)# ca save all
 

ステップ 3 各アドレスまたはサブネットについて次のコマンドを入力して、FWSMで接続を許可するIPアドレスを指定します。

FWSM/contexta(config)# ssh source_IP_address mask source_interface
 

FWSMは、セキュリティが最低のものを含め、すべてのインターフェイスからのSSH接続を受け入れます。

ステップ 4 (任意)FWSMによってセッションが切断されるまでの、SSHセッションの休止時間の長さを設定するには、次のコマンドを入力します。

FWSM/contexta(config)# ssh timeout minutes
 

タイムアウトの設定範囲は、1~60分です。デフォルトは5分です。デフォルトのタイムアウト値は一般的には短すぎるので、すべての事前テストおよびトラブルシューティングが完了するまでは、タイムアウト値を増やしてください。


 

次に、RSAキーを生成し、アドレス192.168.1.2の内部インターフェイス上のホストにFWSMへのアクセスを許可する例を示します。

FWSM/contexta(config)# ca generate rsa key 1024
FWSM/contexta(config)# ca save all
FWSM/contexta(config)# ssh 192.168.1.2 255.255.255.255 inside
FWSM/contexta(config)# ssh 192.168.1.2 255.255.255.255 inside
FWSM/contexta(config)# ssh timeout 30
 

次に、192.168.3.0ネットワーク上のすべてのユーザに、内部インターフェイス上のFWSMへのアクセスを許可する例を示します。

FWSM/contexta(config)# ssh 192.168.3.0 255.255.255.0 inside
 

SSHクライアントの使用

SSHを使用してFWSMのコンソールにアクセスするには、SSHクライアントからユーザ名 pix を入力し、 password コマンドによって設定したログイン パスワードを入力します( ログイン パスワードの変更を参照)。個別のログインの詳細については、「CLIアクセスの認証の設定」を参照してください。

SSHセッションを開始すると、FWSMのコンソールにドット(.)が表示され、続いて次のようなSSHユーザ認証プロンプトが表示されます。

FWSM/contexta(config)# .
 

ドット表示は、SSHの機能には影響を与えません。コンソールのドット表示は、ユーザ認証を実行する前に、サーバ キーを生成しているか、またはSSHキー交換中にプライベート キーを使用してメッセージを復号化していることを示しています。これらの処理には2分以上かかることがあります。ドットは、FWSMが稼働していて、処理実行中であることを示す進行状況インジケータです。

PDM用のHTTPSの許可

PDMを使用するには、HTTPSサーバをイネーブルにして、FWSMへのHTTPS接続を許可する必要があります。 setup コマンドを使用すると、これらの設定はすべて完了します。ここでは、PDMアクセスを手作業で設定する場合の手順について説明します。

FWSMでは、モジュール全体で最大32のPDMセッションを許可します。また、コンテキストあたり最大5のHTTPS同時接続が可能です。これらの値は変更できます。システム全体で許可されるHTTPSルールの最大数は、「ルールの制限」を参照してください。

PDMアクセスを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、HTTPSに必要なRSAキーのペアを生成します。

FWSM/contexta(config)# ca generate rsa key modulus
 

モジュール(ビット単位)は512、768、1,024、または2,048です。指定するキー モジュールのサイズが大きいほど、RSA生成に時間がかかります。推奨する値は768です。

キーを生成する前に、「ホスト名の設定」および「ドメイン名の設定」の手順に従って、ホスト名とドメイン名を設定しておく必要があります。これらの設定が、生成されるキーに使用されます。

ステップ 2 次のコマンドを入力して、RSAキーを永続的なフラッシュ メモリに保存します。

FWSM/contexta(config)# ca save all
 

ステップ 3 各アドレスまたはサブネットについて次のコマンドを入力して、FWSMでHTTPS接続を許可するIPアドレスを指定します。

FWSM/contexta(config)# http source_IP_address mask source_interface
 

ステップ 4 次のコマンドを入力して、HTTPSサーバをイネーブルにします。

FWSM/contexta(config)# http server enable
 

ステップ 5 次のコマンドを入力して、PDMのメトリック履歴をイネーブルにします。

FWSM/contexta(config)# pdm history enable
 

PDMメトリック履歴がイネーブルでない場合、リアルタイム データがだけが表示され、履歴データは表示されません。このステップは、任意です。


 

次に、HTTPSサーバをイネーブルに設定し、アドレス192.168.1.2の内部インターフェイス上のホストにPDMへのアクセスを許可する例を示します。

FWSM/contexta(config)# ca generate rsa key 1024
FWSM/contexta(config)# ca save all
FWSM/contexta(config)# http server enable
FWSM/contexta(config)# pdm history enable
FWSM/contexta(config)# http 192.168.1.2 255.255.255.255 inside
 

次に、192.168.3.0ネットワーク上の全ユーザに、内部インターフェイス上のPDMへのアクセスを許可する例を示します。

FWSM/contexta(config)# http 192.168.3.0 255.255.255.0 inside
 
 

VPN管理接続の許可

FWSMは、IPSecを使用した管理アクセスをサポートしています。IPSec Virtual Private Network(VPN;仮想私設網)では、インターネットなどの安全性の低いネットワーク上で、IPパケットを確実にかつ安全に転送できます。2つのVPNピア間の通信はすべて、セキュア トンネルを通じて転送されます。つまり、パケットは暗号化され、各ピアに認証されます。

FWSMは、サイトツーサイト トンネルを使用して、Cisco PIXファイアウォールまたはCisco IOSルータなどの他のVPNコンセントレータに接続できます。このトンネルを通じて通信できるピア ネットワークを指定します。FWSMの場合、トンネルのFWSM側で使用できるアドレスは、対象インターフェイスのアドレスだけです。

FWSMはまた、VPNクライアントからの接続を受け入れます。VPNクライアントとは、Cisco VPNクライアントを実装しているホスト、またはEasy VPNクライアントを実装しているCisco PIXファイアオールまたはCisco IOSルータです。この場合、サイトツーサイト トンネルとは異なり、クライアントのIPアドレスを事前に取得することはできません。クライアント認証に依存することになります。

FWSMは、最大5の同時IPSec接続をサポートし、全コンテキスト間で最大10の同時接続が可能です。各コンテキストに許可するIPSecセッション数を管理するには、リソース クラスを使用します( クラスの設定を参照)。

ここでは、次の内容について説明します。

「全トンネルの基本的な設定」

「VPNクライアント アクセスの設定」

「サイトツーサイト トンネルの設定」

全トンネルの基本的な設定

次の手順は、Internet Key Exchange(IKE)ポリシー(IKEはInternet Security Association and Key Management Protocol[ISAKMP]の一部です)およびIPSecトランスフォームを含め、VPNクライアント アクセスおよびサイトツーサイト トンネルの両方で実行する必要があります。


ステップ 1 次のコマンドを入力して、IKE暗号化アルゴリズムを設定します。

FWSM/contexta(config)# isakmp policy priority encryption {des | 3des}
 

3des キーワードのほうが、 des キーワードよりも安全です。

複数のIKEポリシーを設定できます。FWSMは、ピアのポリシーと一致するまで、 priority の順序で各ポリシーを検証します。 priority の値は1~65,534です。プライオリティは1が最高で、65,534が最低です。次の isakmp コマンドにも、同じプライオリティ値を使用してください。

ステップ 2 次のコマンドを入力して、キー交換に使用するDiffie-Hellmanグループを設定します。

FWSM/contexta(config)# isakmp policy priority group {1 | 2}
 

グループ1は768ビット、グループ2は1,024ビット(より安全性が高い)です。

ステップ 3 次のコマンドを入力して、認証アルゴリズムを設定します。

FWSM/contexta(config)# isakmp policy priority hash {md5 | sha}
 

sha キーワードのほうが、 md5 キーワードよりも安全です。

ステップ 4 次のコマンドを入力して、IKE認証方式を共有キーとして設定します。

FWSM/contexta(config)# isakmp policy priority authentication pre-share
 

rsa-sig オプション を指定すると、共有キーの代わりに証明書を使用できます。 この方法の詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

ステップ 5 次のコマンドを入力して、トンネル インターフェイス上でIKEをイネーブルにします。

FWSM/contexta(config)# isakmp enable interface_name
 

ステップ 6 次のコマンドを入力して、トランスフォーム セットのIPSecトンネルに使用する認証方式および暗号化方式を設定します。

FWSM/contexta(config)# crypto ipsec transform-set transform_name {[ah-md5-hmac | ah-sha-hmac] | [esp-md5-hmac | esp-sha-hmac]} {esp-des | esp-3des}
 

このトランスフォーム セットは、VPNクライアント グループまたはサイトツーサイト トンネルの設定時に参照します。

トンネルでは最大6のトランスフォーム セットを参照できます。トランスフォームが一致するまで、各セットが検証されます。

このトランスフォームの認証および暗号化アルゴリズムは通常、IKEポリシー( isakmp policy コマンド)と一致します。サイトツーサイト トンネルの場合には、このトランスフォームがピアのトランスフォームと一致する必要があります。

一般的に、1つの認証オプションと1つの暗号化オプションを指定する必要があります。

認証オプションは、(安全性の高いほうから順に)次のとおりです。

ah-sha-hmac

ah-md5-hmac

esp-sha-hmac

esp-md5-hmac

暗号化オプションは、(安全性の高いほうから順に)次のとおりです。

esp-3des

esp-des


esp-null(暗号化なし)を使用するのは、テストを行う場合だけです。


認証だけ、または暗号化だけを指定することもできますが、これらの方法は安全ではありません。また、認証オプションを2つ指定することもできますが、これによりセキュリティが強化されるわけではなく、各パケットが2回認証されるので、FWSMの速度は低下します。


 

次に、複数のIKEポリシーおよびIPSecトランスフォーム セットを設定する例を示します。

FWSM/contexta(config)# isakmp policy 1 authentication pre-share
FWSM/contexta(config)# isakmp policy 1 encryption 3des
FWSM/contexta(config)# isakmp policy 1 group 2
FWSM/contexta(config)# isakmp policy 1 hash sha
FWSM/contexta(config)# isakmp enable outside
FWSM/contexta(config)# crypto ipsec transform-set vpn_client esp-3des esp-sha-hmac
FWSM/contexta(config)# crypto ipsec transform-set site_to_site esp-3des ah-sha-hmac

VPNクライアント アクセスの設定

Cisco VPNクライアントがインストールされているホストであれば、インターネットなどの公衆ネットワークを通じて、管理目的でFWSMに接続できます。

VPNの基本設定(「全トンネルの基本的な設定」を参照)を完了したあと、リモート クライアントからFWSMへの管理アクセスを許可する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、クライアント トンネルに許可するトランスフォーム セット(全トンネルの基本的な設定で定義したセット)を指定します。

FWSM/contexta(config)# crypto dynamic-map dynamic_map_name priority set transform-set transform_set1 [transform_set2] [...]
 

複数のトランスフォーム セットを使用する場合は、プライオリティの順序(最高のプライオリティが最初)で指定します。

ダイナミック クリプト マップでは、未知のIPアドレスからFWSMに接続できます。

dynamic-map の名前は、ステップ 2で使用します。

priority には、複数のコマンドを評価する場合の優先順位を指定します。1つのコマンドに1つのトランスフォーム セットを指定し、別のコマンドに別のセットを指定した場合、プライオリティの値に基づいて最初に評価されるコマンドが決まります。

ステップ 2 次のコマンドを入力して、スタティック トンネルに(ステップ 1で指定した)ダイナミック クリプト マップを割り当てます。

FWSM/contexta(config)# crypto map crypto_map_name priority ipsec-isakmp dynamic dynamic_map_name
 

ステップ 3 次のコマンドを入力して、クライアント トンネルを終端するインターフェイスを指定します。

FWSM/contexta(config)# crypto map crypto_map_name interface interface_name
 

1つのインターフェイスに割り当てることができる crypto map 名は1つだけです。したがって、サイトツーサイト トンネルとVPNクライアントの両方を同じインターフェイス上で終端する場合には、同じ crypto map 名を共有する必要があります。

ステップ 4 次のコマンドを入力して、クライアントからFWSMへの接続時にユーザ認証を実行するAAAサーバまたはローカル ユーザ データベースを指定します。

FWSM/contexta(config)# crypto map crypto_map_name client authentication {LOCAL | aaa_server_name [LOCAL]}
 

あらかじめ、サーバ名( AAAサーバの識別を参照)またはローカル データベース( ローカル データベースの設定を参照)を設定しておく必要があります。

ステップ 5 次のコマンドを入力して、VPNクライアントがFWSM上で使用するアドレス範囲を指定します。

FWSM/contexta(config)# ip local pool pool_name ip_address[-ip_address]
 

クライアントからのトンネル経由のパケットはすべて、送信元アドレスとして、これらのアドレスの1つを使用します。

ステップ 6 次のコマンドを入力して、FWSM宛てのトラフィックを指定します。ステップ 8 vpngroup split-tunnel コマンドで指定したトラフィックだけをトンネル化できます。

FWSM/contexta(config)# access-list acl_name [extended] permit {protocol} host fwsm_interface_address pool_addresses mask
 

このACLでは、ローカル プール(ステップ 5を参照)からFWSMのインターフェイスに送信するトラフィックを特定しています。ACLの詳細については、「拡張ACLの追加」を参照してください。

ステップ 7 次のコマンドを入力して、VPNグループにVPNアドレス プールを割り当てます。

FWSM/contexta(config)# vpngroup group_name address-pool pool_name
 

このグループは、クライアントの接続に必要となるVPN特性です。クライアントは、FWSMへの接続時に、このVPNグループ名と、ステップ 9で指定するVPNグループ パスワードを入力する必要があります。

ステップ 8 次のコマンドを入力して、FWSM宛てのトラフィックだけをトンネル化します。

FWSM/contexta(config)# vpngroup group_name split-tunnel acl_name
 

このコマンドは必須です。

ステップ 9 次のコマンドを入力して、VPNグループのパスワードを設定します。

FWSM/contexta(config)# vpngroup group_name password password
 

ステップ 10 「Telnetの許可」および「SSHの許可」を参照して、TelnetアクセスまたはSSHアクセスを許可します。

telnet コマンドおよび ssh コマンドに、VPNプール アドレスを指定してください。


 

次に、VPNクライアントに、外部インターフェイス(209.165.200.225)上でのTelnetの使用を許可する例を示します。ユーザ認証はローカル データベースです。この場合、指定のVPNグループ名とパスワード、およびユーザ名[admin]とパスワード[passw0rd]を持つユーザが、FWSMに接続できます。

FWSM/contexta(config)# isakmp policy 1 authentication pre-share
FWSM/contexta(config)# isakmp policy 1 encryption 3des
FWSM/contexta(config)# isakmp policy 1 group 2
FWSM/contexta(config)# isakmp policy 1 hash sha
FWSM/contexta(config)# isakmp enable outside
FWSM/contexta(config)# username admin password passw0rd
FWSM/contexta(config)# crypto ipsec transform-set vpn esp-3des esp-sha-hmac
FWSM/contexta(config)# crypto dynamic-map vpn_client 1 set transform-set vpn
FWSM/contexta(config)# crypto map telnet_tunnel 1 ipsec-isakmp dynamic vpn_client
FWSM/contexta(config)# crypto map telnet_tunnel interface outside
FWSM/contexta(config)# crypto map telnet_tunnel client authentication LOCAL
FWSM/contexta(config)# ip local pool client_pool 10.1.1.1-10.1.1.2
FWSM/contexta(config)# access-list VPN_SPLIT extended permit ip host 209.165.200.225 host 10.1.1.1
FWSM/contexta(config)# access-list VPN_SPLIT extended permit ip host 209.165.200.225 host 10.1.1.2
FWSM/contexta(config)# vpngroup admin address-pool client_pool
FWSM/contexta(config)# vpngroup admin split-tunnel VPN_SPLIT
FWSM/contexta(config)# vpngroup admin password $ecure23
FWSM/contexta(config)# telnet 10.1.1.1 255.255.255.255 outside
FWSM/contexta(config)# telnet 10.1.1.2 255.255.255.255 outside
FWSM/contexta(config)# telnet timeout 30
 

サイトツーサイト トンネルの設定

VPNの基本設定(「全トンネルの基本的な設定」を参照)を完了したあと、サイトツーサイト トンネルを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、両方のピアで使用する共有キーを設定します。

FWSM/contexta(config)# isakmp key keystring address peer-address
 

ステップ 2 次のコマンドを入力して、トンネルを通過させるトラフィックを特定します。

FWSM/contexta(config)# access-list acl_name [extended] {deny | permit} {protocol} host fwsm_interface_address dest_address mask
 

宛先アドレスには、FWSMへのアクセスを許可したアドレスを指定します。

ACLの詳細については、「拡張ACLの追加」を参照してください。

ステップ 3 次のコマンドを入力して、IPSecトンネルを作成します。

FWSM/contexta(config)# crypto map crypto_map_name priority ipsec-isakmp
 

トンネルのアトリビュートはすべて、同じ crypto map 名で識別します。

priority には、複数のコマンドを評価する場合の優先順位を指定します。1つのコマンドでこの crypto map 名と ipsec-isakmp を指定し、別のコマンドで ipsec-isakmp dynamic (VPNクライアント接続用)を指定した場合、プライオリティの値に基づいて最初に評価されるコマンドが決まります。

ステップ 4 次のコマンドを入力して、トンネルに(ステップ 2で指定した)ACLを割り当てます。

FWSM/contexta(config)# crypto map crypto_map_name priority match address acl_name
 

ステップ 5 次のコマンドを入力して、トンネルを終端するリモート ピアを指定します。

FWSM/contexta(config)# crypto map crypto_map_name priority set peer ip_address
 

ステップ 6 次のコマンドを入力して、トンネルに使用するトランスフォーム セット(全トンネルの基本的な設定で定義したもの)を指定します。

FWSM/contexta(config)# crypto map crypto_map_name priority set transform-set transform_set1 [transform_set2] [...]
 

複数のトランスフォーム セットを使用する場合は、プライオリティの順序(最高のプライオリティが最初)で指定します。最大6つのトランスフォーム セットを指定できます。

ステップ 7 次のコマンドを入力して、トンネルを終端するインターフェイスを指定します。

FWSM/contexta(config)# crypto map crypto_map_name interface interface_name
 

1つのインターフェイスに割り当てることができる crypto map 名は1つだけです。したがって、サイトツーサイト トンネルとVPNクライアントの両方を同じインターフェイス上で終端する場合には、同じ crypto map 名を共有する必要があります。

このコマンドは、必ず他のすべての crypto map コマンドを入力したあとで、最後に指定してください。いずれかの crypto map コマンドの設定を変更する場合には、このコマンドの no 形式を入力して一度削除してから、再度入力してください。

ステップ 8 「Telnetの許可」および「SSHの許可」を参照して、TelnetアクセスまたはSSHアクセスを許可します。


 

次に、ピア ルータ(209.165.202.129)に接続しているホストに、外部インターフェイス
(209.165.200.225)上でのTelnetの使用を許可する例を示します。

FWSM/contexta(config)# isakmp policy 1 authentication pre-share
FWSM/contexta(config)# isakmp policy 1 encryption 3des
FWSM/contexta(config)# isakmp policy 1 group 2
FWSM/contexta(config)# isakmp policy 1 hash sha
FWSM/contexta(config)# isakmp enable outside
FWSM/contexta(config)# crypto ipsec transform-set vpn esp-3des esp-sha-hmac
FWSM/contexta(config)# isakmp key 7mfi02lirotn address 209.165.200.223
FWSM/contexta(config)# access-list TUNNEL extended permit ip host 209.165.200.225 209.165.201.0 255.255.255.224
FWSM/contexta(config)# crypto map telnet_tunnel 2 ipsec-isakmp
FWSM/contexta(config)# crypto map telnet_tunnel 1 match address TUNNEL
FWSM/contexta(config)# crypto map telnet_tunnel 1 set peer 209.165.202.129
FWSM/contexta(config)# crypto map telnet_tunnel 1 set transform-set vpn
FWSM/contexta(config)# crypto map telnet_tunnel interface outside
FWSM/contexta(config)# telnet 209.165.201.0 255.255.255.224 outside
FWSM/contexta(config)# telnet timeout 30

FWSMとのICMP送受信の許可

デフォルトでは、FWSMのインターフェイスへの(またはFWSMを経由する)ICMP(pingを含む)は許可されていません(FWSMを 経由 するICMPの許可については、「ACLによるネットワーク アクセス制御」を参照)。ICMPはネットワーク接続をテストする重要なツールですが、同時にFWSMまたはネットワークを攻撃する手段にもなります。ICMPは初期テストの実行時に限って許可し、通常の運用中は許可しないことを推奨します。

システム全体で許可されるICMPルールの最大数は、「ルールの制限」を参照してください。


 

ICMP(ホストからFWSMへ、またはFWSMからホストへ送信し、ICMP応答の返信を許可する)を使用して、FWSMのインターフェイスに到達するアドレスを許可するかまたは拒否するには、次のコマンドを入力します。

FWSM/contexta(config)# icmp {permit | deny} {host ip_address | ip_address mask | any} [icmp_type] interface_name
 

icmp_type を指定しないと、すべてのタイプが対象になります。番号または名前を入力できます。pingを制御するには、 echo-reply 0 )(FWSMからホストへ)または echo 8 )(ホストからFWSMへ)を指定します。ICMPタイプのリストについては、「ICMPのタイプ」を参照してください。

ACLと同様に、FWSMはパケットを、各 icmp ステートメントに対して順番に照合します。特定のステートメントを最初に設定し、一般的なステートメントをあとに設定する必要があります。最後に暗黙の拒否が設定されます。たとえば、最初にすべてのアドレスを許可し、次に特定のアドレスを拒否した場合、そのアドレスは最初のステートメントにすでに一致しているので、許可される結果になります。


) FWSMからホストへのpingを許可(すなわち、インターフェイスへのエコー応答を許可)し、ホストからFWSMへのpingを許可したくない場合には、上記のコマンドを入力する代わりに、ICMPインスペクション エンジンをイネーブルにする方法もあります。「ICMPインスペクション エンジン」を参照してください。



 

次に、10.1.1.15を除くすべてのホストに対して、内部インターフェイスへのICMPの使用を許可する例を示します。

FWSM/contexta(config)# icmp deny host 10.1.1.15 inside
FWSM/contexta(config)# icmp permit any inside
 

次に、10.1.1.15のホストに、内部インターフェイスへのpingだけを許可する例を示します。

FWSM/contexta(config)# icmp permit host 10.1.1.15 inside