Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
コンフィギュレーション例
コンフィギュレーション例
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

コンフィギュレーション例

ルーテッド モードの例

例1:外部アクセスを設定したセキュリティ コンテキスト

例1:システムのコンフィギュレーション

例1:adminコンテキストのコンフィギュレーション

例1:カスタマーAコンテキストのコンフィギュレーション

例1:カスタマーBコンテキストのコンフィギュレーション

例1:カスタマーCコンテキストのコンフィギュレーション

例1:スイッチのコンフィギュレーション

例2:同じセキュリティ レベルを使用するシングルモード

例2:のコンフィギュレーション

例2:スイッチのコンフィギュレーション

例3:マルチコンテキストの共有リソース

例3:システムのコンフィギュレーション

例3:adminコンテキストのコンフィギュレーション

例3:部門1コンテキストのコンフィギュレーション

例3:部門2コンテキストのコンフィギュレーション

例3:スイッチのコンフィギュレーション

例4:フェールオーバー

例4:プライマリのコンフィギュレーション

例4:セカンダリのシステム コンフィギュレーション

例4:スイッチのコンフィギュレーション

トランスペアレント モードの例

例5:外部アクセスを設定したセキュリティ コンテキスト

例5:システムのコンフィギュレーション

例5:adminコンテキストのコンフィギュレーション

例5:カスタマーAコンテキストのコンフィギュレーション

例5:カスタマーBコンテキストのコンフィギュレーション

例5:カスタマーCコンテキストのコンフィギュレーション

例5:スイッチのコンフィギュレーション

例6:フェールオーバー

例6:プライマリのコンフィギュレーション

例6:セカンダリのシステム コンフィギュレーション

例6:スイッチのコンフィギュレーション

コンフィギュレーション例

この付録では、Firewall Services Module(FWSM)の一般的な実装方法をいくつか紹介します。次の内容について説明します。

「ルーテッド モードの例」

「トランスペアレント モードの例」

ルーテッド モードの例

ここでは、次の内容について説明します。

「例1:外部アクセスを設定したセキュリティ コンテキスト」

「例2:同じセキュリティ レベルを使用するシングルモード」

「例3:マルチコンテキストの共有リソース」

「例4:フェールオーバー」

例1:外部アクセスを設定したセキュリティ コンテキスト

このコンフィギュレーションでは、それぞれ内部インターフェイスと外部インターフェイスを持つ3つのセキュリティ コンテキストと、adminコンテキストを作成します。カスタマーC(customerC)コンテキストには、サービス プロバイダー側にHTTPフィルタリング用のWebsenseサーバが設置されたDMZインターフェイスが含まれています(図 B-1を参照)。

内部ホストはダイナミックNATまたはPATを使用して外部のインターネットにアクセスできますが、外部ホストから内部へのアクセスはできません。

カスタマーA(customerA)コンテキストには、内部ルータの後ろに2つめのネットワークがあります。

adminコンテキストでは、1つのホストからFWSMへのSSHセッションを許可しています。

各カスタマー コンテキストは、リソースを制限するクラス(ゴールド、シルバー、またはブロンズ)に属しています。

VLANを固有にする場合、コンテキスト間で同じ内部IPアドレスを共有できますが、個別のIPアドレスを設定するほうが管理は簡単です。

図 B-1 例1

 

このコンフィギュレーションの詳細については、次の項目を参照してください。

「例1:システムのコンフィギュレーション」

「例1:adminコンテキストのコンフィギュレーション」

「例1:カスタマーAコンテキストのコンフィギュレーション」

「例1:カスタマーBコンテキストのコンフィギュレーション」

「例1:カスタマーCコンテキストのコンフィギュレーション」

「例1:スイッチのコンフィギュレーション」

例1:システムのコンフィギュレーション

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

hostname Farscape
password passw0rd
enable password chr1cht0n
admin-context admin
context admin
allocate-interface vlan3
allocate-interface vlan4
config-url disk://admin.cfg
class default
context customerA
description This is the context for customer A
allocate-interface vlan3
allocate-interface vlan5
config-url disk://contexta.cfg
class gold
context customerB
description This is the context for customer B
allocate-interface vlan3
allocate-interface vlan6
config-url disk://contextb.cfg
class silver
context customerC
description This is the context for customer C
allocate-interface vlan3
allocate-interface vlan7-vlan8
config-url disk://contextc.cfg
class bronze
class gold
limit-resource all 7%
limit-resource rate conns 2000
limit-resource conns 20000
class silver
limit-resource all 5%
limit-resource rate conns 1000
limit-resource conns 10000
class bronze
limit-resource all 3%
limit-resource rate conns 500
limit-resource conns 5000
 

例1:adminコンテキストのコンフィギュレーション

10.1.1.75のホストは、SSHを使用して、このコンテキストにアクセスできます。この場合、 ca
generate rsa key
modulus コマンドを使用して証明書を生成し、 ca save all コマンドを使用して保存する必要があります。証明書は、フラッシュ メモリに保存されます。

hostname Admin
domain isp
nameif vlan3 outside security0
nameif vlan4 inside security100
passwd secret1969
enable password h1andl0
ip address outside 209.165.201.2 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
route outside 0 0 209.165.201.1 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 209.165.201.10-209.165.201.29 [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックNATを使用 ]
static (inside,outside) 209.165.201.30 10.1.1.75 netmask 255.255.255.255 [10.1.1.75のホストからカスタマーCのWebsenseサーバへのアクセスを可能にするには、カスタマーCのACLでスタティック変換を設定する必要がある ]
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
 

例1:カスタマーAコンテキストのコンフィギュレーション

nameif vlan3 outside security0
nameif vlan5 inside security100
passwd hell0!
enable password enter55
ip address outside 209.165.201.3 255.255.255.224
ip address inside 10.1.2.1 255.255.255.0
route outside 0 0 209.165.201.1 1
route inside 192.168.1.0 255.255.255.0 10.1.2.2 1 [カスタマーAコンテキストには、内部ルータの後ろに2つめのネットワークがあり、スタティック ルートを必要とする。他のトラフィックはすべて、MSFCへのデフォルト ルートで処理される ]
nat (inside) 1 10.1.2.0 255.255.255.0
global (outside) 1 interface [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックPATを使用。外部インターフェイスアドレスはPATアドレスとして使用される ]
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
 

例1:カスタマーBコンテキストのコンフィギュレーション

nameif vlan3 outside security0
nameif vlan6 inside security100
passwd tenac10us
enable password defen$e
ip address outside 209.165.201.4 255.255.255.224
ip address inside 10.1.3.1 255.255.255.0
route outside 0 0 209.165.201.1 1
nat (inside) 1 10.1.3.0 255.255.255.0
global (outside) 1 209.165.201.9 netmask 255.255.255.255 [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックPATを使用 ]
access-list INTERNET extended permit tcp any any eq http
access-list INTERNET extended permit tcp any any eq https
access-group INTERNET in interface inside [内部ユーザは外部のHTTPサーバおよびHTTPSサーバにのみアクセス可能 ]
 

例1:カスタマーCコンテキストのコンフィギュレーション

nameif vlan3 outside security0
nameif vlan7 inside security100
nameif vlan8 dmz security50
passwd fl0wer
enable password treeh0u$e
ip address outside 209.165.201.5 255.255.255.224
ip address inside 10.1.4.1 255.255.255.0
ip address dmz 192.168.2.1 255.255.255.0
route outside 0 0 209.165.201.1 1
url-server (dmz) vendor websense host 192.168.2.2 url-block block 50
url-cache dst 128
filter url http 10.1.4.0 255.255.255.0 0 0 [内部ユーザがHTTPサーバにアクセスする場合、FWSMはWebsenseサーバとやり取りして、このトラフィックを許可するかどうかを決定 ]
nat (inside) 1 10.1.4.0 255.255.255.0
global (outside) 1 209.165.201.9 netmask 255.255.255.255 [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックNATを使用 ]
static (dmz,outside) 209.165.201.6 192.168.2.2 netmask 255.255.255.255 [adminコンテキスト上のホストは、pcAnywhereを使用して管理を行うためにWebsenseサーバへのアクセスを必要としている。そのため、Websenseサーバはスタティック変換を必要とする ]
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可。内部からDMZへはNATを使用していないため、DMZにアクセスするトラフィックを拒否する必要はない ]
access-list MANAGE extended permit tcp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-data
access-list MANAGE extended permit udp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-status
access-group MANAGE in interface outside [このACLによって、管理ホストがWebsenseサーバ上のpcAnywhereを使用することが許可される ]
access-list WEBSENSE extended permit tcp host 192.168.2.2 any eq http [Websenseサーバは外部のWebsenseアップデータ サーバにアクセスする必要がある ]
access-group WEBSENSE in interface dmz

例1:スイッチのコンフィギュレーション

次に、FWSMに関連するCisco IOSスイッチのコンフィギュレーションを示します。

...
firewall module 8 vlan-group 1
firewall vlan-group 1 3-8
interface vlan 3
ip address 209.165.201.1 255.255.255.224
no shut
...
 

例2:同じセキュリティ レベルを使用するシングルモード

このコンフィギュレーションでは、3つの内部インターフェイスを作成します。2つのインターフェイスは同じセキュリティ レベルの部門に接続するので、すべてのホストがNATを使用せずに通信できます。DMZインターフェイスはSyslogサーバをホスティングします。外部の管理ホストは、SyslogサーバとFWSMにアクセスする必要があります。FWSMに接続するには、管理ホストでVPN接続を使用します。FWSMは、内部インターフェイス上のRIPを使用して、ルートを学習します。FWSMはRIPで学習したルートをアドバタイズしないので、MSFCはFWSMトラフィックにスタティック ルートを使用する必要があります(図 B-2を参照)。

各部門のネットワークはインターネットにアクセスでき、PATを使用します。

図 B-2 例2

 

このコンフィギュレーションの詳細については、次の項目を参照してください。

「例2:FWSMのコンフィギュレーション」

「例2:スイッチのコンフィギュレーション」

例2:FWSMのコンフィギュレーション

nameif vlan3 outside security0
nameif vlan4 dept2 security100
nameif vlan5 dept1 security100
nameif vlan10 dmz security50
passwd g00fba11
enable password gen1u$
hostname Buster
same-security-traffic permit inter-interface
ip address outside 209.165.201.3 255.255.255.224
ip address dept2 10.1.2.1 255.255.255.0
ip address dept2 10.1.1.1 255.255.255.0
ip address dmz 192.168.2.1 255.255.255.0
route outside 0 0 209.165.201.1 1
nat (dept1) 1 10.1.1.0 255.255.255.0
nat (dept2) 1 10.1.2.0 255.255.255.0
global (outside) 1 209.165.201.9 netmask 255.255.255.255 [dept1およびdept2ネットワークは外部にアクセスする際にPATを使用 ]
static (dmz,outside) 209.165.201.5 192.168.2.2 netmask 255.255.255.255 [外部の管理ホストがSyslogサーバにアクセスするためには、スタティック変換を設定する必要がある ]
access-list DEPTS extended permit ip any any
access-group DEPTS in interface dept1
access-group DEPTS in interface dept2 [すべてのdept1およびdept2ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
access-list MANAGE extended permit tcp host 209.165.200.225 host 209.165.201.5 eq telnet
access-group MANAGE in interface outside [このACLによって、管理ホストからSyslogサーバへのアクセスが許可される ]
rip dept2 default version 2 authentication md5 scorpius 1 [ダウンストリーム ルータに対して、FWSMのIPアドレスをデフォルト ゲートウェイとしてアドバタイズする。FWSMはデフォルト ルートをMSFCにはアドバタイズしない ]
rip dept2 passive version 2 authentication md5 scorpius 1 [ダウンストリーム ルータからのRIPアップデートを待機。MSFCへのデフォルト ルートのみが必要なので、FWSMはMSFCからのRIPアップデートは待機しない ]
isakmp policy 1 authentication pre-share [クライアントは事前共有キーを使用し、IPSecを介してFWSMに接続する。以下に示すusernameコマンドのパスワードがキーとして使用される ]
isakmp policy 1 encryption 3des
isakmp policy 1 group 2
isakmp policy 1 hash sha
isakmp enable outside
crypto ipsec transform-set vpn_client esp-3des esp-sha-hmac
username admin password passw0rd
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
crypto dynamic-map vpn_client 1 set transform-set vpn
crypto map telnet_tunnel 1 ipsec-isakmp dynamic vpn_client
crypto map telnet_tunnel interface outside
crypto map telnet_tunnel client authentication LOCAL
ip local pool client_pool 10.1.1.2
access-list VPN_SPLIT extended permit ip host 209.165.201.3 host 10.1.1.2
vpngroup admin address-pool client_pool
vpngroup admin split-tunnel VPN_SPLIT
vpngroup admin password $ecure23
telnet 10.1.1.2 255.255.255.255 outside
telnet timeout 30
logging trap 5
logging host dmz 192.168.2.2 [DMZネットワーク上のSyslogサーバにシステム メッセージが送信される ]
logging on
 

例2:スイッチのコンフィギュレーション

次に、FWSMに関連するスイッチのコンフィギュレーションを示します。

スーパバイザ上のCatalyst OS:

set vlan 3-5,9,10 firewall-vlan 8
 

MSFC上のCisco IOSソフトウェア:

interface vlan 3
ip address 209.165.201.1 255.255.255.224
no shut
...

例3:マルチコンテキストの共有リソース

このコンフィギュレーションでは、1つの企業内の複数部門のためのマルチコンテキストを設定します。各部門が独自のセキュリティ ポリシーを使用できるように、各部門に独自のセキュリティ コンテキストを設定します。ただし、Syslogサーバ、メール サーバ、およびAAA(認証、許可、アカウンティング)サーバは、すべての部門で共有します。これらのサーバは、共有VLAN上に置かれます(図 B-3を参照)。

部門1には、AAAサーバによって認証された外部ユーザがアクセスできるWebサーバがあります。

図 B-3 例3

 

このコンフィギュレーションの詳細については、次の項目を参照してください。

「例3:システムのコンフィギュレーション」

「例3:adminコンテキストのコンフィギュレーション」

「例3:部門1コンテキストのコンフィギュレーション」

「例3:部門2コンテキストのコンフィギュレーション」

「例3:スイッチのコンフィギュレーション」

例3:システムのコンフィギュレーション

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

hostname Ubik
password pkd55
enable password deckard69
admin-context admin
context admin
allocate-interface vlan200
allocate-interface vlan201
allocate-interface vlan300
config-url disk://admin.cfg
context department1
allocate-interface vlan200
allocate-interface vlan202
allocate-interface vlan300
config-url ftp://admin:passw0rd@10.1.0.16/dept1.cfg
context department2
allocate-interface vlan200
allocate-interface vlan203
allocate-interface vlan300
config-url ftp://admin:passw0rd@10.1.0.16/dept2.cfg
 

例3:adminコンテキストのコンフィギュレーション

hostname Admin
nameif vlan200 outside security0
nameif vlan201 inside security100
nameif vlan300 shared security50
passwd v00d00
enable password d011
ip address outside 209.165.201.3 255.255.255.224
ip address inside 10.1.0.1 255.255.255.0
ip address shared 10.1.1.1 255.255.255.0
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.0.0 255.255.255.0
global (outside) 1 209.165.201.6 netmask 255.255.255.255 [このコンテキストでは、内部ユーザが外部にアクセスする際にPATを使用 ]
global (shared) 1 10.1.1.30 [このコンテキストでは、内部ユーザが共有ネットワークにアクセスする際にPATを使用 ]
static (inside,outside) 209.165.201.7 10.1.0.15 netmask 255.255.255.255 [このホストからdepartment1コンテキストのWebサーバへのアクセスを可能にするには、スタティック変換を設定する必要がある ]
static (inside,shared) 10.1.1.78 10.1.0.15 netmask 255.255.255.255 [このホストから共有インターフェイス上のサーバへの管理アクセスを可能にするには、ACLでスタティック変換を設定する必要がある ]
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部および共有ネットワークへ発信される、すべてのIPトラフィックを許可 ]
access-list SHARED extended permit ip host 10.1.1.78 any
access-list SHARED extended permit tcp host 10.1.1.30 host 10.1.1.7 eq smtp
access-group SHARED out interface shared[このACLによって、内部ネットワークから共有インターフェイスへのメール トラフィックのみが許可される。ただし、adminホストからすべてのサーバへのアクセスは許可される。変換されたアドレスが使用される点に注意 ]
telnet 10.1.0.15 255.255.255.255 inside [10.1.0.15のホストがTelnet経由でadminコンテキストにアクセスすることを許可。adminコンテキストから他のすべてのコンテキストにアクセス可能 ]
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6 TheUauthKey
aaa authentication telnet console AAA-SERVER [10.1.0.15のホストは、ログイン時にAAAサーバを使用して認証を行う必要がある ]
logging trap 6
logging host shared 10.1.1.8 [共有ネットワーク上のSyslogサーバにシステム メッセージが送信される ]
logging on
 

例3:部門1コンテキストのコンフィギュレーション

nameif vlan200 outside security0
nameif vlan202 inside security100
nameif vlan300 shared security50
passwd cugel
enable password rhialto
ip address outside 209.165.201.4 255.255.255.224
ip address inside 10.1.2.1 255.255.255.0
ip address shared 10.1.1.2 255.255.255.0
nat (inside) 1 10.1.2.0 255.255.255.0
global (outside) 1 209.165.201.8 netmask 255.255.255.255[内部ネットワークから外部にアクセスする際にPATを使用 ]
global (shared) 1 10.1.1.31-10.1.1.37 [内部ネットワークから共有ネットワークにアクセスする際にダイナミックNATを使用 ]
static (inside,outside) 209.165.201.9 10.1.2.3 netmask 255.255.255.255 [外部からWebサーバへのアクセスを可能にするには、スタティック変換を設定する必要がある ]
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside[すべての内部ホストから外部および共有ネットワークへ発信される、すべてのIPトラフィックを許可 ]
access-list WEBSERVER extended permit ip host 209.165.201.7 host 209.165.201.9[このACEによって、adminコンテキスト上の管理ホスト(変換されたアドレス)が管理目的でWebサーバにアクセスすることが許可される(任意のIPプロトコルを使用可能 )]
access-list WEBSERVER extended permit tcp any eq http host 209.165.201.9 eq http [このACEによって、すべての外部アドレスからHTTP経由でWebサーバにアクセスすることが許可される ]
access-group WEBSERVER in interface outside
access-list MAIL extended permit tcp host 10.1.1.31 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.32 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.33 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.34 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.35 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.36 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.37 eq smtp host 10.1.1.7 eq smtp
access-group MAIL out interface shared [このACLによって、内部ネットワークから共有インターフェイスへのメール トラフィックのみが許可される。変換されたアドレスが使用される点に注意 ]
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6 TheUauthKey
aaa authentication match WEBSERVER outside AAA-SERVER [WEBSERVER ACLに一致するすべてのトラフィックは、AAAサーバを使用して認証を行う必要がある ]
logging trap 4
logging host shared 10.1.1.8 [共有ネットワーク上のSyslogサーバにシステム メッセージが送信される ]
logging on
 

例3:部門2コンテキストのコンフィギュレーション

nameif vlan200 outside security0
nameif vlan203 inside security100
nameif vlan300 shared security50
passwd maz1r1an
enable password ly0ne$$e
ip address outside 209.165.201.5 255.255.255.224
ip address inside 10.1.3.1 255.255.255.0
ip address shared 10.1.1.3 255.255.255.0
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.3.0 255.255.255.0
global (outside) 1 209.165.201.10 netmask 255.255.255.255 [内部ネットワークから外部にアクセスする際にPATを使用 ]
global (shared) 1 10.1.1.38 [内部ネットワークから共有ネットワークにアクセスする際にPATを使用 ]
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部および共有ネットワークへ発信される、すべてのIPトラフィックを許可 ]
access-list MAIL extended permit tcp host 10.1.1.38 host 10.1.1.7 eq smtp
access-group MAIL out interface shared [このACLによって、内部ネットワークから共有インターフェイスへのメール トラフィックのみが許可される。変換されたPATアドレスが使用される点に注意 ]
logging trap 3
logging host shared 10.1.1.8 [共有ネットワーク上のSyslogサーバにシステム メッセージが送信される ]
logging on
 

例3:スイッチのコンフィギュレーション

次に、FWSMに関連するCisco IOSスイッチのコンフィギュレーションを示します。

...
firewall module 6 vlan-group 1
firewall vlan-group 1 200-203,300
interface vlan 200
ip address 209.165.201.2 255.255.255.224
no shut
...
 

例4:フェールオーバー

このコンフィギュレーションでは、1台のスイッチにマルチコンテキスト モードのルーテッドFWSMを設定し、2台めのスイッチにバックアップとして動作する別のFWSMを設定します(図 B-4を参照)。各コンテキスト(A、B、およびC)は内部インターフェイスをモニタします。adminコンテキストであるコンテキストAは、外部インターフェイスもモニタします。外部インターフェイスはすべてのコンテキストの共有インターフェイスなので、1つのコンテキストでモニタするだけで、すべてのコンテキストをモニタできます。

セカンダリFWSMもまた、ルーテッドのマルチコンテキスト モードで、同じソフトウェア バージョンです。

図 B-4 例4

 

このコンフィギュレーションの詳細については、次の項目を参照してください。

「例4:プライマリFWSMのコンフィギュレーション」

「例4:セカンダリFWSMのシステム コンフィギュレーション」

「例4:スイッチのコンフィギュレーション」

例4:システムのコンフィギュレーション(プライマリ)

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

hostname primary
enable password farscape
password crichton
failover lan interface faillink vlan 10
failover link statelink vlan 11
failover lan unit primary
failover interface ip faillink 192.168.253.1 255.255.255.252 standby 192.168.253.2
failover interface ip statelink 192.168.253.5 255.255.255.252 standby 192.168.253.6
failover interface-policy 50%
failover replication http
failover
admin-context contexta
context contexta
allocate-interface vlan200
allocate-interface vlan201
config-url disk://contexta.cfg
context contextb
allocate-interface vlan200
allocate-interface vlan202
config-url ftp://admin:passw0rd@10.0.3.16/contextb.cfg
context contextc
allocate-interface vlan200
allocate-interface vlan203
config-url ftp://admin:passw0rd@10.0.3.16/contextc.cfg
 

例4:コンテキストAのコンフィギュレーション(プライマリ)

nameif vlan200 outside security0
nameif vlan201 inside security100
passwd secret1969
enable password h1andl0
ip address outside 209.165.201.2 255.255.255.224 standby 209.165.201.6
ip address inside 10.0.3.1 255.255.255.0 standby 10.0.3.2
monitor-interface inside
monitor-interface outside
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 209.165.201.10 netmask 255.255.255.224 [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックPATを使用 ]
route outside 0 0 209.165.201.5 1
telnet 10.0.3.75 255.255.255.255 inside
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
 

例4:コンテキストBのコンフィギュレーション(プライマリ)

nameif vlan200 outside security0
nameif vlan202 inside security100
passwd secret1978
enable password 7samura1
ip address outside 209.165.201.4 255.255.255.224 standby 209.165.201.8
ip address inside 10.0.2.1 255.255.255.0 standby 10.0.2.2
monitor-interface inside
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 209.165.201.11 netmask 255.255.255.224 [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックPATを使用 ]
route outside 0 0 209.165.201.5 1
telnet 10.0.2.14 255.255.255.255 inside
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
 

例4:コンテキストCのコンフィギュレーション(プライマリ)

nameif vlan200 outside security0
nameif vlan203 inside security100
passwd secret0997
enable password strayd0g
ip address outside 209.165.201.3 255.255.255.224 standby 209.165.201.7
ip address inside 10.0.1.1 255.255.255.0 standby 10.0.1.2
monitor-interface inside
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 209.165.201.12 netmask 255.255.255.224 [このコンテキストでは、内部ユーザが外部にアクセスする際にダイナミックPATを使用 ]
route outside 0 0 209.165.201.5 1
telnet 10.0.1.65 255.255.255.255 inside
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
 

例4:セカンダリFWSMのシステム コンフィギュレーション

次の最小限のシステム コンフィギュレーションを行うだけで、コンテキストを設定する必要はありません。

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

failover lan interface faillink vlan 10
failover interface ip faillink 192.168.253.1 255.255.255.252 standby 192.168.253.2
failover lan unit secondary
failover

例4:スイッチのコンフィギュレーション

次に、FWSMに関連する両方のスイッチ上のCisco IOSスイッチ コンフィギュレーションを示します。スイッチの冗長設定の詳細については、スイッチのマニュアルを参照してください。

...
firewall module 1 vlan-group 1
firewall vlan-group 1 10,11,200-203
interface vlan 200
ip address 209.165.201.1 255.255.255.224
standby 200 ip 209.165.201.5
standby 200 priority 110
standby 200 preempt
standby 200 timers 5 15
standby 200 authentication Secret
no shut
interface range gigabitethernet 2/1-3
channel-group 2 mode on
switchport trunk encapsulation dot1q
no shut
...

トランスペアレント モードの例

ここでは、次の内容について説明します。

「例5:外部アクセスを設定したセキュリティ コンテキスト」

「例6:フェールオーバー」

例5:外部アクセスを設定したセキュリティ コンテキスト

このコンフィギュレーションでは、3つのセキュリティ コンテキストとadminコンテキストを作成します。各コンテキストで、内部ルータと外部ルータ間で転送されるOSPFトラフィックを許可します(図 B-5を参照)。

内部ホストからは外部のインターネットにアクセスできますが、外部ホストは内部にアクセスできません。

adminコンテキストでは、1つのホストからFWSMへのSSHセッションを許可しています。

各カスタマー コンテキストは、リソースが制限されたクラス(ゴールド、シルバー、またはブロンズ)に属しています。

コンテキスト間で同じ内部IPアドレスを共有できますが、個別のIPアドレスを設定するほうが管理は簡単です。

図 B-5 例5

 

このコンフィギュレーションの詳細については、次の項目を参照してください。

「例1:システムのコンフィギュレーション」

「例5:システムのコンフィギュレーション」

「例5:adminコンテキストのコンフィギュレーション」

「例5:カスタマーAコンテキストのコンフィギュレーション」

「例5:カスタマーBコンテキストのコンフィギュレーション」

「例5:カスタマーCコンテキストのコンフィギュレーション」

「例5:スイッチのコンフィギュレーション」

例5:システムのコンフィギュレーション

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
admin-context admin
context admin
allocate-interface vlan150
allocate-interface vlan4
config-url disk://admin.cfg
class default
context customerA
description This is the context for customer A
allocate-interface vlan151
allocate-interface vlan5
config-url disk://contexta.cfg
class gold
context customerB
description This is the context for customer B
allocate-interface vlan152
allocate-interface vlan6
config-url disk://contextb.cfg
class silver
context customerC
description This is the context for customer C
allocate-interface vlan153
allocate-interface vlan7-vlan8
config-url disk://contextc.cfg
class bronze
class gold
limit-resource all 7%
limit-resource rate conns 2000
limit-resource conns 20000
class silver
limit-resource all 5%
limit-resource rate conns 1000
limit-resource conns 10000
class bronze
limit-resource all 3%
limit-resource rate conns 500
limit-resource conns 5000

例5:adminコンテキストのコンフィギュレーション

10.1.1.75のホストは、SSHを使用して、このコンテキストにアクセスできます。この場合、 ca generate rsa key modulus コマンドを使用して証明書を生成し、 ca save all コマンドを使用して保存する必要があります。証明書は、フラッシュ メモリに保存されます。

hostname Admin
domain isp
nameif vlan150 outside security0
nameif vlan4 inside security100
passwd secret1969
enable password h1andl0
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
ssh 10.1.1.75 255.255.255.255 inside
access-list INTERNET extended permit 89 any any
access-list INTERNET extended permit ip any any
access-list OSPF extended permit 89 any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可。OSPFも許可 ]
access-group OSPF in interface outside [OSPFを許可 ]
 

例5:カスタマーAコンテキストのコンフィギュレーション

nameif vlan151 outside security0
nameif vlan5 inside security100
passwd hell0!
enable password enter55
ip address 10.1.2.1 255.255.255.0
route outside 0 0 10.1.2.2 1
access-list INTERNET extended permit 89 any any
access-list INTERNET extended permit ip any any
access-list OSPF extended permit 89 any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可。OSPFも許可 ]
access-group OSPF in interface outside [OSPFを許可 ]
 

例5:カスタマーBコンテキストのコンフィギュレーション

nameif vlan152 outside security0
nameif vlan6 inside security100
passwd tenac10us
enable password defen$e
ip address 10.1.3.1 255.255.255.0
route outside 0 0 10.1.3.2 1
access-list INTERNET extended permit 89 any any
access-list INTERNET extended permit ip any any
access-list OSPF extended permit 89 any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可。OSPFも許可 ]
access-group OSPF in interface outside [OSPFを許可 ]
 

例5:カスタマーCコンテキストのコンフィギュレーション

nameif vlan153 outside security0
nameif vlan7 inside security100
passwd fl0wer
enable password treeh0u$e
ip address 10.1.4.1 255.255.255.0
route outside 0 0 10.1.4.2 1
access-list INTERNET extended permit 89 any any
access-list INTERNET extended permit ip any any
access-list OSPF extended permit 89 any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可。OSPFも許可 ]
access-group OSPF in interface outside [OSPFを許可 ]
 

例5:スイッチのコンフィギュレーション

次に、FWSMに関連するCisco IOSスイッチのコンフィギュレーションを示します。

...
firewall multiple-vlan-interfaces
firewall module 8 vlan-group 1
firewall vlan-group 1 4-7,150-153
interface vlan 150
ip address 10.1.1.2 255.255.255.0
no shut
interface vlan 151
ip address 10.1.2.2 255.255.255.0
no shut
interface vlan 152
ip address 10.1.3.2 255.255.255.0
no shut
interface vlan 153
ip address 10.1.4.2 255.255.255.0
no shut
...
 

例6:フェールオーバー

このコンフィギュレーションでは、1台のスイッチにマルチコンテキスト モードのトランスペアレントFWSMを設定し、2台めのスイッチにバックアップとして動作する別のFWSMを設定します(図 B-4を参照)。各コンテキスト(A、B、およびC)は、内部インターフェイスと外部インターフェイスをモニタします。

セカンダリFWSMもまた、トランスペアレントのマルチコンテキスト モードで、同じソフトウェア バージョンです。

図 B-6 例6

 

このコンフィギュレーションの詳細については、次の項目を参照してください。

「例6:プライマリFWSMのコンフィギュレーション」

「例6:セカンダリFWSMのシステム コンフィギュレーション」

「例6:スイッチのコンフィギュレーション」

例6:システムのコンフィギュレーション(プライマリ)

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

firewall transparent
hostname primary
enable password farscape
password crichton
failover lan interface faillink vlan 10
failover link statelink vlan 11
failover lan unit primary
failover interface ip faillink 192.168.253.1 255.255.255.252 standby 192.168.253.2
failover interface ip statelink 192.168.253.5 255.255.255.252 standby 192.168.253.6
failover interface-policy 1
failover replication http
failover
admin-context contexta
context contexta
allocate-interface vlan200
allocate-interface vlan4
config-url disk://contexta.cfg
context contextb
allocate-interface vlan201
allocate-interface vlan5
config-url ftp://admin:passw0rd@10.0.3.16/contextb.cfg
context contextc
allocate-interface vlan202
allocate-interface vlan6
config-url ftp://admin:passw0rd@10.0.3.16/contextc.cfg
 

例6:コンテキストAのコンフィギュレーション(プライマリ)

nameif vlan200 outside security0
nameif vlan4 inside security100
passwd secret1969
enable password h1andl0
ip address 10.0.3.1 255.255.255.0 standby 10.0.3.2
monitor-interface inside
monitor-interface outside
route outside 0 0 10.0.3.4 1
telnet 10.0.3.75 255.255.255.255 inside
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
access-list BPDU ethertype permit bpdu
access-group BPDU in interface inside
access-group BPDU in interface outside
 

例6:コンテキストBのコンフィギュレーション(プライマリ)

nameif vlan201 outside security0
nameif vlan5 inside security100
passwd secret1978
enable password 7samura1
ip address inside 10.0.2.1 255.255.255.0 standby 10.0.2.2
monitor-interface inside
monitor-interface outside
route outside 0 0 10.0.2.4 1
telnet 10.0.2.14 255.255.255.255 inside
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
access-list BPDU ethertype permit bpdu
access-group BPDU in interface inside
access-group BPDU in interface outside
 

例6:コンテキストCのコンフィギュレーション(プライマリ)

nameif vlan202 outside security0
nameif vlan6 inside security100
passwd secret0997
enable password strayd0g
ip address inside 10.0.1.1 255.255.255.0 standby 10.0.1.2
monitor-interface inside
monitor-interface outside
route outside 0 0 10.0.1.4 1
telnet 10.0.1.65 255.255.255.255 inside
access-list INTERNET extended permit ip any any
access-group INTERNET in interface inside [すべての内部ホストから外部へ発信される、すべてのIPトラフィックを許可 ]
access-list BPDU ethertype permit bpdu
access-group BPDU in interface inside
access-group BPDU in interface outside
 

例6:セカンダリFWSMのシステム コンフィギュレーション

次の最小限のシステム コンフィギュレーションを行うだけで、コンテキストを設定する必要はありません。

最初に、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。次に、複数のコンテキストを使用できるように、 activation-key コマンドを使用してアクティベーション キーを入力します。モードおよびアクティベーション キーは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup 、または show running コマンドを使用してFWSM上でコンフィギュレーションを表示すると、FWSMのバージョンの次にモードが表示されます(ブランクはシングルモード、<system>はマルチモードのシステム コンフィギュレーション、<context>はマルチモードのコンテキストを意味します)。

firewall transparent
failover lan interface faillink vlan 10
failover interface ip faillink 192.168.253.1 255.255.255.252 standby 192.168.253.2
failover lan unit secondary
failover

例6:スイッチのコンフィギュレーション

次に、FWSMに関連する両方のスイッチ上のCisco IOSスイッチ コンフィギュレーションを示します。スイッチの冗長設定の詳細については、スイッチのマニュアルを参照してください。

...
firewall multiple-vlan-interfaces
firewall module 1 vlan-group 1
firewall vlan-group 1 4-6,10,11,200-202
interface vlan 200
ip address 10.0.1.3 255.255.255.0
standby 200 ip 10.0.1.4
standby 200 priority 110
standby 200 preempt
standby 200 timers 5 15
standby 200 authentication Secret
no shut
interface vlan 201
ip address 10.0.2.3 255.255.255.0
standby 200 ip 10.0.2.4
standby 200 priority 110
standby 200 preempt
standby 200 timers 5 15
standby 200 authentication Secret
no shut
interface vlan 202
ip address 10.0.3.3 255.255.255.0
standby 200 ip 10.0.3.4
standby 200 priority 110
standby 200 preempt
standby 200 timers 5 15
standby 200 authentication Secret
no shut
interface range gigabitethernet 2/1-3
channel-group 2 mode on
switchport trunk encapsulation dot1q
no shut
...