Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
VRF Aware Cisco IOS XE ファイアウォール
VRF Aware Cisco IOS XE ファイアウォール
発行日;2012/01/30 | 英語版ドキュメント(2011/08/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

VRF Aware Cisco IOS XE ファイアウォール

機能情報の確認

目次

VRF Aware Cisco IOS XE ファイアウォールの前提条件

VRF Aware Cisco IOS XE ファイアウォールの制約事項

VRF Aware Cisco IOS XE ファイアウォールの概要

Cisco IOS XE ファイアウォール

VRF

VRF-lite

VRF 別の URL フィルタリング

アラートと監査証跡

MPLS VPN

VRF-aware NAT

VRF-aware ALG

VRF 認識 IPSec

VRF Aware Cisco IOS XE ファイアウォールの展開

VRF Aware Cisco IOS ファイアウォールを擁する分散型ネットワーク

VRF Aware Cisco IOS XE ファイアウォールを擁するハブアンドスポーク ネットワーク

VRF Aware Cisco XE IOS ファイアウォールを設定する方法

検査済みのトラフィックのみがファイアウォールを通過して非ファイアウォール トラフィックがブロックされるように ACL を設定および確認する方法

ファイアウォールの作成および命名とインターフェイスへのルールの適用

ファイアウォール アトリビュートの特定および設定

VRF Aware Cisco IOS XE ファイアウォールの設定と機能の確認

VRF Aware Cisco IOS XE ファイアウォールの設定例

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

VRF Aware Cisco IOS XE ファイアウォールに関する機能情報

用語集

VRF Aware Cisco IOS XE ファイアウォール

Service Provider(SP; サービス プロバイダー)または大企業のエッジ ルータに VRF Aware Cisco IOS XE ファイアウォールが設定されている場合、Cisco IOS XE ファイアウォール機能が Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インターフェイスに適用されます。SP は中小企業の市場向けにマネージド サービスを提供することができます。

VRF Aware Cisco IOS XE ファイアウォールは、VRF-aware URL フィルタリングおよび VRF-lite(Multi-VRF CE とも呼ばれます)をサポートします。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「VRF Aware Cisco IOS XE ファイアウォールに関する機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

VRF Aware Cisco IOS XE ファイアウォールの前提条件

Cisco IOS XE ファイアウォールについて理解します。

VRF を設定します。

VRF が動作していることを確認します。

VRF Aware Cisco IOS XE ファイアウォールの制約事項

2 つの VPN ネットワークに重複するアドレスがある場合、VRF-aware ファイアウォールをサポートするには、VRF 対応 Network Address Translation(NAT; ネットワーク アドレス変換)が必要です。

クリプト トンネルが、単一のインターフェイスで終端する複数の VPN に属する場合、VRF 別のファイアウォール ポリシーを適用できません。

VRF Aware Cisco IOS XE ファイアウォールの概要

VRF Aware Cisco IOS XE ファイアウォールを設定するには、次の概念を理解する必要があります。

「Cisco IOS XE ファイアウォール」

「VRF」

「VRF-lite」

「VRF 別の URL フィルタリング」

「アラートと監査証跡」

「MPLS VPN」

「VRF-aware NAT」

「VRF-aware ALG」

「VRF 認識 IPSec」

「VRF Aware Cisco IOS XE ファイアウォールの展開」

Cisco IOS XE ファイアウォール

Cisco IOS XE ファイアウォールには、ネットワークのあらゆる周辺機器に適した、堅牢で統合的なファイアウォールおよび侵入検知機能があります。Cisco IOS XE ファイアウォールは多様な Cisco IOS XE ソフトウェアベースのルータに使用できます。また、組織内(イントラネット)およびパートナー ネットワーク間(エクストラネット)の接続に高度なセキュリティとポリシーを課すだけでなく、リモート オフィスおよびブランチ オフィスのインターネット接続もセキュリティで保護できます。

Cisco IOS XE ファイアウォールは、ステートフルなアプリケーションベースのフィルタリング、ネットワーク攻撃に対する防御、ユーザ別の認証および認可、リアルタイム アラートなどの最新セキュリティ機能で、認証、暗号化、フェールオーバーなどの既存の Cisco IOS XE セキュリティ機能を強化しています。

Cisco IOS XE ファイアウォールは Cisco ConfigMaker ソフトウェアで設定できます。これは使いやすい Microsoft Windows 95、Windows 98、NT 4.0 ベースのソフトウェア ツールです。

Cisco IOS XE ファイアウォールには、次の利点をはじめ、大きな価値があります。

柔軟性:マルチプロトコル ルーティング、周辺機器のセキュリティ、侵入検知、VPN 機能、およびダイナミックなユーザ別の認証および認可機能を備えます。

スケーラブルな展開:あらゆるネットワークの帯域幅およびパフォーマンスの要件に合わせて調整できます。

投資の保護:既存のマルチプロトコル ルータに対する投資を活用します。

VPN のサポート:Cisco IOS XE IPSec や他の CISCO IOS XE ソフトウェアベースのテクノロジー(L2TP トンネリングや Quality of Service(QoS; サービス品質)など)に基づいて、統合的な VPN ソリューションを提供します。

VRF Aware Cisco IOS XE ファイアウォールは、次の点から、非 VRF Aware ファイアウォールとは異なります。

ユーザは VRF ファイアウォールごとに設定できます。ファイアウォールは、VRF 内で送受信した IP パケットを検査します。

SP は、Provider Edge(PE; プロバイダー エッジ)ルータにファイアウォールを展開できます。

重複する IP アドレス空間をサポートするため、交差しない VRF のトラフィックが同じ IP アドレスを持つことができます。

(グローバルではない)VRF 別のファイアウォール コマンド パラメータおよび Denial-of-Service(DoS; サービス拒否)パラメータをサポートするため、VRF-aware ファイアウォールは、多様な Virtual Private Network(VPN; バーチャル プライベート ネットワーク)カスタマーに割り当てられた(VRF インスタンスを含む)複数インスタンスとして実行できます。

VRF 別の URL フィルタリングを実行します。

特定の VPN からのみ確認できる VRF 固有の syslog メッセージを生成します。ネットワーク管理者はこれらのアラートと監査証跡メッセージを使用してファイアウォールを管理できます。つまり、ファイアウォール パラメータの調整、不正な送信元と攻撃の検出、セキュリティ ポリシーの追加などを実行できます。vrf 名は、syslog サーバにロギングされる syslog メッセージにタグ付けされます。

VFR Aware および非 VFR Aware ファイアウォールの両方を使用して、ファイアウォール セッション数を制限できます。そうしないと、複数の VRF がルータ リソースを共有するのは困難になります。これは、1 つの VRF が最大限のリソースを消費して、他の VRF にリソースがほとんど残らなくなる可能性があるためです。その結果、他の VRF にサービス拒否が発生します。セッション数を制限するには、 ip inspect name コマンドを入力します。

VRF

VPN Routing and Forwarding(VRF; VPN ルーティングおよび転送)は、複数のサイトを 1 つの VPN サービスに接続するための IOS XE ルート テーブル インスタンスです。PE ルータでは、VRF に VPN ルーティング/フォワーディング テーブルのテンプレートが含まれます。

通常、アドレスの重複は、カスタマー ネットワークでプライベート IP アドレスを使用していることから発生します。アドレスの重複は、ピアツーピア VPN の実装を展開するうえで主要な障害物の 1 つです。MPLS VPN テクノロジーには、このジレンマに対する解決策が用意されています。

各 VPN は、ルータに独自のルーティングおよびフォワーディング テーブルがあるため、VPN に属するすべてのカスタマーまたはサイトには、そのテーブルに含まれるルート セットに対してのみアクセス権があります。そのため、MPLS VPN ネットワークの PE ルータには、多数の VPN 別のルーティング テーブルと、サービス プロバイダー ネットワーク内の他のルータに到達するために使用される 1 つのグローバル ルーティング テーブルが含まれます。実際、1 つの物理ルータに多数の仮想ルータが作成されます。

VRF-lite

VRF-lite は、複数の VPN で IP アドレスが重複する可能性がある複数の VPN をサービス プロバイダーがサポートできるようになる機能です。VRF-lite では、1 つまたは複数のレイヤ 3 インターフェイスを各 VRF に関連付けることで、入力インターフェイスを使用して異なる VPN のルートを区別し、仮想パケット フォワーディング テーブルを構成します。VRF には、イーサネット ポートなどの物理インターフェイス、または VLAN Switched Virtual Interface(SVI; スイッチ仮想インターフェイス)などの論理インターフェイスを使用できます。ただし、1 つのレイヤ 3 インターフェイスは同時に複数の VRF に所属できません。


) VRF-lite インターフェイスはレイヤ 3 インターフェイスにする必要があります。


VRF-lite には次のデバイスが含まれます。

Customer Edge(CE; カスタマー エッジ)デバイスは、1 つまたは複数の Provider Edge(PE; プロバイダー エッジ)ルータに対するデータ リンク上で、サービス プロバイダー ネットワークに対する顧客のアクセスを提供しています。CE デバイスは、サイトのローカル ルートを PE ルータにアドバタイズし、そこからリモート VPN ルートを認識します。

Provider Edge(PE; プロバイダー エッジ)ルータは、スタティック ルーティングまたはルーティング プロトコル(BGP、RIPv1、RIPv2 など)を使用して、CE デバイスとルーティング情報を交換します。

プロバイダー ルータ(またはコア ルータ)とは、サービス プロバイダー ネットワーク内にあり、CE デバイスに接続していないすべてのルータです。

PE は、直接接続している VPN に対する VPN ルートのみを保守する必要があります。そのため、すべてのサービス プロバイダー VPN ルートを PE が保守する必要はありません。各 PE ルータは、直接接続されている各サイトについて、VRF を保守します。これらのサイトのすべてが同じ VPN に参加している場合、PE ルータ上の複数のインターフェイスを単一の VRF に関連付けることができます。各 VPN は指定した VRF にマッピングされます。PE ルータは CE からのローカル VPN ルートを認識した後、Internal BGP(IBPG)を使用して、VPN ルーティング情報を他の PE ルータと交換します。

VRF-lite を使用すると、複数の顧客が 1 つの CE を共有できます。また、1 つの物理リンクのみが CE と PE 間に使用されます。共有の CE は、顧客ごとに個別の VRF テーブルを保守し、そのルーティング テーブルに基づいて顧客ごとにパケットのスイッチングとルーティングを行います。VRF-lite は限定された PE の機能を CE デバイスに拡張して、個別の VRF テーブルを保守する機能を付与し、VPN のプライバシーおよびセキュリティをブランチ オフィスまで拡張します。

図 1 のように、VRF 間でファイアウォール ポリシーがインバウンドおよびアウトバウンド インターフェイスに適用される場合、インバウンド インターフェイス上のファイアウォールの方が、アウトバウンド インターフェイス上のファイアウォールよりも優先されます。着信パケットが、インバウンド インターフェイスに設定されているファイアウォール ルール(つまり、検査プロトコル)に適合しない場合、アウトバウンド インターフェイス上のファイアウォール ルールはパケットに適用されます。

図 1 VRF 間シナリオでのファイアウォール

 

VRF 別の URL フィルタリング

VRF Aware ファイアウォールは VRF 別 URL フィルタリングをサポートします。各 VPN は固有の URL フィルタ サーバを持つことができます。URL フィルタ サーバは、一般的に、対応する VPN の共有サービス セグメントに配置されます (各 VPN には、共有サービス ネットワーク内に VLAN セグメントがあります)。また、カスタマー サイトにも配置できます。

アラートと監査証跡

ファイアウォールで追跡されたイベントに基づいて、CBAC はリアルタイム アラートおよび監査証跡を生成します。監査証跡機能は強化され、SYSLOG を使用してすべてのネットワーク トランザクションを追跡し、タイム スタンプ、送信元ホスト、宛先ホスト、使用ポート、および送信済みバイトの合計数を記録します。これらの情報は、高度なセッションベースのレポートに使用されます。リアルタイム アラートは、疑わしいアクティビティを検出すると、中央の管理コンソールに SYSLOG エラー メッセージを送信します。CBAC 検査ルールを使用して、アプリケーション プロトコル別にアラートと監査証跡を設定できます。たとえば、HTTP トラフィックの監査証跡情報を生成する場合、HTTP 検査を対象とする CBAC ルールでその情報を指定できます。

MPLS VPN

VPN 機能を MPLS と併用すると、サービス プロバイダーのネットワーク全体で複数のサイトを透過的に相互接続できます。1 つのサービス プロバイダー ネットワークで、複数の IP VPN をサポートできます。VPN ユーザから見ると、各 VPN はその他すべてのネットワークとは隔離されたプライベート ネットワークです。1 つの VPN 内では、各拠点は同一 VPN 内のいずれの拠点にも IP パケットを送信できます。

各 VPN は 1 つまたは複数の VPN VRF インスタンスに関連付けられます。VRF は、1 つの IP ルーティング テーブル、派生した 1 つの Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)テーブル、次のテーブルを使用する複数のインターフェイスで構成されます。

ルータは、各 VRF に対し別々のルーティングおよび CEF テーブルを保持します。これにより、情報が VPN 外に送信されることが回避でき、重複 IP アドレスの問題を起こすことなく同一のサブネットが複数の VPN で使用可能になります。

Multiprotocol BGP(MP-BGP; マルチプロトコル BGP)を使用しているルータは、BGP 拡張コミュニティを使用して VPN のルーティング情報を配布します。

VRF-aware NAT

Network Address Translation(NAT; ネットワーク アドレス変換)を使用すると、ルータなどの単一のデバイスが、インターネット(またはパブリック ネットワーク)とローカル(またはプライベート)ネットワーク間でエージェントとして動作できます。NAT システムは多様なレベルのセキュリティ機能を提供できますが、主な目的は、アドレス空間を節約することです。

組織が NAT を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。まだ NIC-registered IP アドレスを所有していないサイトは、取得する必要があります。Cisco IOS XE NAT では、数千単位の非公開の内部アドレスを取得しやすい幅広いアドレスにダイナミックにマッピングすることで、懸案事項と官僚的な遅延をなくします。

一般的に、NAT システムがあると、攻撃者は次の情報を特定するのが困難になります。

ネットワーク上で実行されているシステム数

実行されているマシンとオペレーティング システムの種類

ネットワークのトポロジおよび配置

NAT と MPLS VPN の統合によって、単一のデバイスに複数の MPLS VPN を設定して、連携させることができます。MPLS VPNS がすべて同じ IP アドレッシング スキームを使用していても、NAT は、IP トラフィックを受信する MPLS VPN を区別できます。そのため、複数の MPLS VPN ユーザでサービスを共有しながら、各 MPLS VPN を相互に隔離できます。

MPLS サービス プロバイダーは、インターネット接続、Domain Name Server(DNS; ドメイン ネーム サーバ)、VoIP サービスなどの付加価値サービスを顧客に提供する可能性があります。この場合、サービスに到達するときに、顧客の IP アドレスを区別する必要があります。MPLS VPN では、ネットワーク内で重複する IP アドレスを使用できるため、サービスを使用できるように NAT を実装する必要があります。

MPLS VPN ネットワークで NAT を実装するには 2 つのアプローチがあります。NAT は CE ルータに実装できます。CE ルータは NAT ですでにサポートされています。または、PE ルータに実装できます。NAT と MPLS VPN の統合機能によって、MPLS クラウド内の PE ルータ上に NAT を実装できます。

VRF-aware ALG

Application Layer Gateway(ALG; アプリケーション層ゲートウェイ)は、アプリケーション層プロトコルを解釈し、NAT および FW アクションを実行します。VRF のために重複する IP アドレスをサポートするには、ALG は、NAT と FW に指定する IP アドレスを固有の VRF aware IP アドレスにする必要があります。IP アドレスが VRF に対応していない場合、不適切な FW ピンホールの作成や、アプリケーション データの不適切な NAT 変換が行われる可能性があります。VRF-id の一意性を確保するために、IP アドレスは VRF-id と対応付けられます。IP アドレスを VRF にバインドするために ALG に使用されるバインディング メカニズムは、ユーザには認識されません。設定は必要ありません。

VRF 認識 IPSec

VRF 認識 IPsec 機能では、IP Security(IPsec)トンネルが MPLS VPN にマッピングされます。VRF 認識 IPSec 機能を使用すると、単一のパブリック方向アドレスを使用して IPSec トンネルを VRF インスタンスにマッピングできます。

各 IPSec トンネルは、2 つの VRF ドメインに関連付けられます。外部のカプセル化されたパケットは Front Door VRF(FVRF)という VRF ドメインに属します。内部の保護された IP パケットは、Inside VRF(IVRF)というドメインに属します。言い換えると、IPSec トンネルのローカル エンドポイントは FVRF に属し、内部パケットの送信元および宛先アドレスは IVRF に属します。

1 つまたは複数の IPSec トンネルは、単一のインターフェイスで終端できます。これらのトンネルのすべての FVRF は同じものであり、そのインターフェイス上で設定されている VRF に設定されます。これらのトンネルの IVRF は異なる可能性があり、暗号マップエントリに付加された Security Association and Key Management Protocol(ISAKMP)プロファイル内で定義されている VRF に依存します。

図 2 に、MPLS およびレイヤ 2 VPN に対する IPSec のシナリオを示します。

図 2 MPLS およびレイヤ 2 VPN に対する IPsec

 

VRF Aware Cisco IOS XE ファイアウォールの展開

ファイアウォールをネットワーク内の多数のポイントに展開することで、VPN サイトと共有サービス(またはインターネット)を双方向で保護できます。次のファイアウォールについて説明します。

「VRF Aware Cisco IOS ファイアウォールを擁する分散型ネットワーク」

「VRF Aware Cisco IOS XE ファイアウォールを擁するハブアンドスポーク ネットワーク」

VRF Aware Cisco IOS ファイアウォールを擁する分散型ネットワーク

分散型ネットワークに VRF Aware Cisco IOS XE ファイアウォールが展開すると、次の利点があります。

ファイアウォールが MPLS コア全体に分散されるため、負荷を処理するファイアウォールはすべての入力 PE ルータに分散されます。

VPN ファイアウォール機能はインバウンド方向に展開できます。

共有サービスは、入力 PE ルータで VPN サイトから保護されます。そのため、VPN サイトから送信された悪意のあるパケットは入力 PE ルータでフィルタされた後に、MPLS コアに転送されます。

ただし、次の欠点があります。

集中管理のファイアウォール展開がないため、ファイアウォールの展開と管理が複雑になります。

共有サービス ファイアウォール機能はインバウンド方向に展開できません。

MPLS コアは共有サービスに対して開かれています。そのため、共有サービスから送信された悪意のあるパケットは、すべてのコア ルータを通過した後に、入力 PE でのみフィルタされます。

図 3 では、SP がファイアウォール サービスを VPN カスタマーの VPN1 および VPN2 に提供し、VPN サイトと外部ネットワーク(共有サービスやインターネットなど)を双方向で保護するという一般的な状況について示します。

図 3 分散型ネットワーク

 

この例では、VPN1 には、MPLS コア全体を対象とする Site A と Site B という 2 つのサイトがあります。Site A は PE1 に接続され、Site B は PE2 に接続されています。VPN2 には、PE2 に接続している 1 つのサイトのみがあります。

各 VPN(VPN1 および VPN2)には次の要素があります。

PE3 上の対応する VLAN サブインターフェイスに接続されている共有サービス内の VLAN セグメント。

インターネットに接続された PE3 ルータを介するインターネット アクセス

分散型ネットワークには、次のファイアウォール ポリシーが必要です。

VPN ファイアウォール(VPN1-FW および VPN2-FW):VPN で生成され、共有サービスまたはインターネット宛てに送信されたトラフィックを検査し、外部(共有サービスまたはインターネット)から送信された非ファイアウォール トラフィックをすべてブロックすることで、VPN サイトを外部トラフィックから保護します。一般的に、このファイアウォールは、保護されている VPN サイトに接続された入力 PE ルータの VRF インターフェイスに展開されます。インバウンド方向に展開されるのは、VRF インターフェイスが、保護対象の VPN サイトに対してインバウンドのためです。

共有サービス ファイアウォール(SS-FW):共有サービスから VPN サイト宛てに送信されたトラフィックを検査し、外部(VPN サイト)から送信された非ファイアウォール トラフィックをすべてブロックすることで、共有サービス ネットワークを VPN サイトから保護します。一般的に、このファイアウォールは、共有サービスが保護されている場所から VPN サイトに接続された入力 PE ルータの VRF インターフェイスに展開されます。アウトバウンド方向に展開されるのは、VRF インターフェイスが、保護対象の共有サービスに対してアウトバウンドのためです。

汎用 VPN ファイアウォール(GEN-VPN-FW):VPN で生成され、インターネット宛てに送信されたトラフィックを検査し、インターネットから送信された非ファイアウォール トラフィックをすべてブロックすることで、すべての VPN をインターネットから保護します。一般的に、このファイアウォールは、インターネットに接続されている PE ルータのインターネット方向のインターフェイスに展開されます。アウトバウンド方向に展開されるのは、インターネット方向のインターフェイスが、保護対象の VPN に対してアウトバウンドのためです。

インターネット ファイアウォール(INET-FW):インターネットで生成され、共有サービス宛てに送信されたトラフィックを検査し、VPN または共有サービスから送信された非ファイアウォール トラフィックをすべてブロックすることで、インターネットを VRF から保護します。一般的に、このファイアウォールは、インターネットに接続されている PE ルータのインターネット方向のインターフェイスに展開されます。インバウンド方向に展開されるのは、インターネット方向のインターフェイスが、保護対象のインターネットに対してインバウンドのためです。

VRF Aware Cisco IOS XE ファイアウォールを擁するハブアンドスポーク ネットワーク

図 4 に、すべての VPN サイトのファイアウォールが、共有サービスに接続されている入力 PE ルータ PE3 に適用されるハブアンドスポーク ネットワークを示します。

図 4 ハブアンドスポーク ネットワーク

 

一般的に、個々の VPN には、共有サービスに接続されている VLAN と VRF サブインターフェイスの両方または一方があります。MPLS インターフェイスからパケットが到達すると、内部タグは VPN-ID を示します。MPLS は、共有サービスに接続されている対応するサブインターフェイスにパケットをルーティングします。

ハブアンドスポーク ネットワークには、次のファイアウォール ポリシーが必要です。

VPN ファイアウォール(VPN1-FW および VPN2-FW):VPN で生成され、共有サービス宛てに送信されたトラフィックを検査し、共有サービスから送信された非ファイアウォール トラフィックをすべてブロックすることで、共有サービス トラフィックから VPN サイトを保護します。一般的に、このファイアウォールは、共有サービス ネットワークに接続されている入力 PE ルータの VLAN サブインターフェイスに展開されます。アウトバウンド方向に展開されるのは、VLAN インターフェイスが、保護対象の VPN サイトに対してアウトバウンドのためです。

共有サービス ファイアウォール(SS-FW):共有サービスから VPN/インターネット宛てに送信されたトラフィックを検査し、外部から送信された非ファイアウォール トラフィックをすべてブロックすることで、共有サービス ネットワークを VPN/インターネット トラフィックから保護します。一般的に、このファイアウォールは、保護対象の共有サービスに接続されている入力 PE ルータの VLAN インターフェイスに展開されます。インバウンド方向に展開されるのは、VLAN インターフェイスが、保護対象の共有サービスに対してインバウンドのためです。

汎用 VPN ファイアウォール(GEN-VPN-FW):VPN で生成され、インターネット宛てに送信されたトラフィックを検査し、インターネットから送信された非ファイアウォール トラフィックをすべてブロックすることで、すべての VPN をインターネットから保護します。一般的に、このファイアウォールは、インターネットに接続されている PE ルータのインターネット方向のインターフェイスに展開されます。アウトバウンド方向に展開されるのは、インターネット方向のインターフェイスが、保護対象の VPN に対してアウトバウンドのためです。

インターネット ファイアウォール(INET-FW):インターネットで生成され、共有サービス宛てに送信されたトラフィックを検査し、VPN または共有サービスから送信された非ファイアウォール トラフィックをすべてブロックすることで、インターネットを VRF から保護します。一般的に、このファイアウォールは、インターネットに接続されている PE ルータのインターネット方向のインターフェイスに展開されます。インバウンド方向に展開されるのは、インターネット方向のインターフェイスが、保護対象のインターネットに対してインバウンドのためです。

VRF Aware Cisco XE IOS ファイアウォールを設定する方法

ここでは、次の手順について説明します。

「検査済みのトラフィックのみがファイアウォールを通過して非ファイアウォール トラフィックがブロックされるように ACL を設定および確認する方法」(必須)

「ファイアウォールの作成および命名とインターフェイスへのルールの適用」(必須)

「ファイアウォール アトリビュートの特定および設定」(任意)

検査済みのトラフィックのみがファイアウォールを通過して非ファイアウォール トラフィックがブロックされるように ACL を設定および確認する方法

検査済みのトラフィックのみがファイアウォールを通過するように ACL を設定し、確認するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip access-list extended access-list-name

4. interface interface-type

5. ip access-group { access-list-number | access-list-name } { in | out }

6. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip access-list extended access-list-name

 

Router(config)# ip access-list extended vpn-ac1

インバウンド方向とアウトバウンド方向の両方で非ファイアウォール トラフィックをブロックするために、拡張の IP ACL を定義します。

ステップ 4

interface interface-type

 

Router(config)# interface ethernet0/1.10

インターフェイス コンフィギュレーション モードを開始し、VRF に関連付けられたインターフェイスを指定します。

ステップ 5

ip access-group { access-list-number | access-list-name } { in | out }

 

Router(config-if)# ip access-group vpn-acl in

インターフェイスへのアクセスを制御します。以前に定義した IP アドレス リストを、非ファイアウォール トラフィックをブロックする VRF インターフェイスに適用します。

ステップ 6

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。グローバル コンフィギュレーション モードに戻ります。

ファイアウォールの作成および命名とインターフェイスへのルールの適用

ファイアウォール ルールを作成して名前を付け、そのルールをインターフェイスに適用するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip inspect name inspection-name [ parameter max-sessions number ] protocol [ alert { on | off }] [ audit-trail { on | off }] [ timeout seconds ]

4. interface interface-id

5. ip inspect rule-name { in | out }

6. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip inspect name inspection-name [ parameter max-sessions number ] protocol [ alert { on | off }] [ audit-trail { on | off }] [ timeout seconds ]

 

Router(config)# ip inspect name vpn_fw ftp

検査ルール セットを定義します。

ステップ 4

interface interface-id

 

Router(config)# interface ethernet0/1.10

インターフェイス コンフィギュレーション モードを開始し、VRF に関連付けられたインターフェイスを指定します。

ステップ 5

ip inspect rule-name { in | out }

 

Router(config-if)# ip inspect vpn_fw in

以前に定義した検査ルールを、トラフィックを検査する必要がある VRF インターフェイスに適用します。

ステップ 6

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ファイアウォール アトリビュートの特定および設定

ファイアウォール アトリビュートを特定および設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip inspect tcp max-incomplete host number block-time minutes [ vrf vrf-name ]

4. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip inspect tcp max-incomplete host number block-time minutes [ vrf vrf-name ]

 

Router(config)# ip inspect tcp max-incomplete host 256 vrf bank-vrf

TCP ホスト固有のサービス拒否の検出および回避のために、しきい値とブロックする時間値を指定します。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

手順の概要

1. show ip inspect { name inspection-name | config | interfaces | session [ detail ] | statistics | all }[ vrf vrf-name ]

2. show ip urlfilter { config | cache | statistics } [ vrf vrf-name ]

手順の詳細


ステップ 1 show ip inspect { name inspection-name | config | interfaces | session [ detail ] | statistics | all }[ vrf vrf-name ]

このコマンドを使用して、指定した VRF に関するファイアウォールの設定、セッション、統計情報などを確認します。たとえば、VRF バンクに関するファイアウォール セッションを確認するには、次のコマンドを入力します。

Router# show ip inspect interfaces vrf bank
 

ステップ 2 show ip urlfilter { config | cache | statistics } [ vrf vrf-name ]

このコマンドを使用して、指定した VRF に関する設定、キャッシュ エントリ、統計情報などを確認します。たとえば、VRF バンクに関する URL フィルタリング統計情報を確認するには、次のコマンドを入力します。

Router# show ip urlfilter statistics vrf bank
 


 

VRF Aware Cisco IOS XE ファイアウォールの設定例

図 5 に示す例では、サービス プロバイダーが VPN カスタマーの Bank および Shop にファイアウォール サービスを提供しています。Bank VPN には、MPLS ネットワークに次の 2 つのサイトがあります。

PE1 に接続されたサイト。ネットワーク アドレスは 10.10.1.0/24 です。

PE2 に接続されたサイト。ネットワーク アドレスは 10.10.2.0/24 です。

また Bank VPN には、PE3 に接続されている共有サービスに VLAN ネットワーク セグメントもあります。

Shop VPN には 1 つのサイトのみがあり、PE4 に接続されています。ネットワーク アドレス 10.10.1.0/24 は、Bank VPN サイトが接続されている同じネットワーク アドレスです。

図 5 MPLS ネットワーク全体にわたる 2 つのサイトを擁する VPN

 

個々の VPN には、次の 2 つのファイアウォールが必要です。

VPN サイトを共有サービスから保護する VPN ファイアウォール

Shared Service(SS; 共有サービス)を VPN サイトから保護する SS ファイアウォール

さらに、次の 2 つのファイアウォールが必要です。

VPN をインターネットから保護するインターネット ファイアウォール

インターネットを VPN から保護する汎用 VPN ファイアウォール

この例では、Bank および Shop VPN のセキュリティ ポリシーは次のとおりです。

Bank VPN ファイアウォール:bank_vpn_fw(FTP、HTTP、および ESMTP プロトコルを検査します)

Bank SS ファイアウォール:bank_ss_fw(ESMTP プロトコルを検査します)

Shop VPN ファイアウォール:shop_vpn_fw(HTTP および RTSP プロトコルを検査します)

Shop SS ファイアウォール:shop_ss_fw(H323 プロトコルを検査します)

インターネット ファイアウォールおよび汎用 VPN ファイアウォールのセキュリティ ポリシーは次のとおりです。

インターネット ファイアウォール:inet_fw(HTTP および ESMTP プロトコルを検査します)

汎用 VPN ファイアウォール:gen_vpn_fw(FTP、HTTP、ESMTP、および RTSP プロトコルを検査します)

分散型ネットワーク

PE1:

! VRF instance for the Bank VPN
ip vrf bank
rd 100:10
route-target export 100:10
route-target import 100:10
!
! VPN Firewall for Bank VPN protects Bank VPN from Shared Service
ip inspect name bank_vpn_fw ftp
ip inspect name bank_vpn_fw http
ip inspect name bank_vpn_fw esmtp
!
! Shared Service firewall for Bank VPN protects Shared Service from Bank VPN
ip inspect name bank_ss_fw esmtp
!
! VRF interface for the Bank VPN
interface ethernet0/1.10
!
! description of VPN site Bank to PE1
encapsulation dot1Q 10
ip vrf forwarding bank
ip address 10.10.1.2 255.255.255.0
ip access-group bank_ss_acl in
ip access-group bank_vpn_acl out
ip inspect bank_vpn_fw in
ip inspect bank_ss_fw out
!
! MPLS interface
interface Serial3/0
ip unnumbered Loopback0
tag-switching ip
serial restart-delay 0
!
! ACL that protects the VPN site Bank from Shared Service
ip access-list extended bank_vpn_acl
permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
permit tcp any any eq smtp
deny ip any any log
!
! ACL that protects Shared Service from VPN site Bank
ip access-list extended bank_ss_acl
permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
permit tcp any any eq ftp
permit tcp any any eq http
permit tcp any any eq smtp
deny ip any any log

PE2:

! VRF instance for the Bank VPN
ip vrf bank
rd 100:10
route-target export 100:10
route-target import 100:10
!
! VRF instance for the Shop VPN
ip vrf shop
rd 200:20
route-target export 200:20
route-target import 200:20
!
! VPN firewall for Bank BPN protects Bank VPN from Shared Service
ip inspect name bank_vpn_fw ftp
ip inspect name bank_vpn_fw http
ip inspect name bank_vpn_fw esmtp
!
! Shared Service firewall for Bank VPN protects Shared Service from Bank VPN
ip inspect name bank_ss_fw esmtp
!
! VPN firewall for Shop VPN protects Shop VPN from Shared Service
ip inspect name shop_vpn_fw http
ip inspect name shop_vpn_fw rtsp
!
! Shared Service firewall for Shop VPN protects Shared Service from Shop VPN
ip inspect name shop_ss_fw h323
!
! VRF interface for the Bank VPN
interface Ethernet3/1.10
!
! description of VPN site Bank to PE2
encapsulation dot1Q 10
ip vrf forwarding bank
ip address 10.10.2.2 255.255.255.0
ip access-group bank_ss_acl in
ip access-group bank_vpn_acl out
ip inspect bank_vpn_fw in
ip inspect bank_ss_fw out
!
interface Ethernet3/1.20
!
! description of VPN site Shop to PE2
encapsulation dot1Q 20
ip vrf forwarding shop
ip address 10.10.1.2 255.255.255.0
ip access-group shop_ss_acl in
ip access-group shop_vpn_acl out
ip inspect shop_vpn_fw in
ip inspect shop_ss_fw out
!
interface Serial4/0
ip unnumbered Loopback0
tag-switching ip
serial restart-delay 0
!
! ACL that protects the VPN site Bank from Shared Service
ip access-list extended bank_vpn_acl
permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
permit tcp any any eq smtp
deny ip any any log
!
! ACL that protects Shared Service from VPN site Bank
ip access-list extended bank_ss_acl
permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
permit tcp any any eq ftp
permit tcp any any eq http
permit tcp any any eq smtp
deny ip any any log
!
! ACL that protects VPN site Shop from Shared Service
ip access-list extended shop_vpn_acl
permit tcp any any eq h323
deny ip any any log
!
ip access-list extended shop_ss_acl
permit tcp any any eq http
permit tcp any any eq rtsp
deny ip any any log

PE3:

! VRF instance for the Bank VPN
ip vrf bank
rd 100:10
route-target export 100:10
route-target import 100:10
!
! VRF instance for the Shop VPN
ip vrf shop
rd 200:20
route-target export 200:20
route-target import 200:20
!
! Generic VPN firewall to protect Shop and Bank VPNs from internet
ip inspect name gen_vpn_fw esmtp
ip inspect name gen_vpn_fw ftp
ip inspect name gen_vpn_fw http
ip inspect name gen_vpn_fw rtsp
!
! Internet firewall to prevent malicious traffic from being passed
! to internet from Bank and Shop VPNs
ip inspect name inet_fw esmtp
ip inspect name inet_fw http
!
! VRF interface for the Bank VPN
interface Ethernet1/1.10
!
! Description of Shared Service to PE3
encapsulation dot1Q 10
ip vrf forwarding bank
ip address 10.10.1.50 255.255.255.0
!
! VRF interface for the Shop VPN
interface Ethernet1/1.20
!
! Description of Shared Service to PE3
encapsulation dot1Q 20
ip vrf forwarding shop
ip address 10.10.1.50 255.255.255.0
!
interface Serial2/0
ip unnumbered Loopback0
tag-switching ip
serial restart-delay 0
!
! VRF interface for the Bank VPN
interface Serial3/0
!
! Description of Internet-facing interface
ip address 192.168.10.2 255.255.255.0
ip access-group inet_acl out
ip access-group gen_vpn_acl in
ip inspect gen_vpn_fw out
ip inspect inet_fw in
!
! ACL that protects the Bank and Shop VPNs from internet
ip access-list extended gen_vpn_acl
permit tcp any any eq smtp
permit tcp any any eq www
deny ip any any log
!
! ACL that protects internet from Bank and Shop VPNs
ip access-list extended inet_acl
permit tcp any any eq ftp
permit tcp any any eq http
permit tcp any any eq smtp
permit tcp any any eq rtsp
deny ip any any log

ハブアンドスポーク ネットワーク

PE3:

! VRF instance for the VPN Bank
ip vrf bank
rd 100:10
route-target export 100:10
route-target import 100:10
!
! VRF instance for the VPN Shop
ip vrf shop
rd 200:20
route-target export 200:20
route-target import 200:20
!
! VPN firewall for Bank BPN protects Bank VPN from Shared Service
ip inspect name bank_vpn_fw ftp
ip inspect name bank_vpn_fw http
ip inspect name bank_vpn_fw esmtp
!
! Shared Service firewall for Bank VPN protects Shared Service from Bank VPN
ip inspect name bank_ss_fw esmtp
!
! VPN firewall for Shop VPN protects Shop VPN from Shared Service
ip inspect name shop_vpn_fw http
ip inspect name shop_vpn_fw rtsp
!
! Shared Service firewall for Shop VPN protects Shared Service from Shop VPN
ip inspect name shop_ss_fw h323
!
! Generic VPN firewall protects Shop and Bank VPNs from internet
ip inspect name gen_vpn_fw esmtp
ip inspect name gen_vpn_fw ftp
ip inspect name gen_vpn_fw http
ip inspect name gen_vpn_fw rtsp
!
! Internet firewall prevents malicious traffic from being passed
! to internet from Bank and Shop VPNs
ip inspect name inet_fw esmtp
ip inspect name inet_fw http
!
! VRF interface for the Bank VPN
interface Ethernet1/1.10
!
! description of Shared Service to PE3
encapsulation dot1Q 10
ip vrf forwarding bank
ip address 10.10.1.50 255.255.255.0
ip access-group bank_ss_acl out
ip access-group bank_vpn_acl in
ip inspect bank_vpn_fw out
ip inspect bank_ss_fw in
!
! VRF interface for the Shop VPN
interface Ethernet1/1.20
!
! description of Shared Service to PE3
encapsulation dot1Q 20
ip vrf forwarding shop
ip address 10.10.1.50 255.255.255.0
ip access-group shop_ss_acl out
ip access-group shop_vpn_acl in
ip inspect shop_vpn_fw out
ip inspect shop_ss_fw in
!
interface Serial2/0
ip unnumbered Loopback0
tag-switching ip
serial restart-delay 0
!
! VRF interface for the Bank VPN
interface Serial3/0
!
! description of Internet-facing interface
ip address 192.168.10.2 255.255.255.0
ip access-group inet_acl out
ip access-group gen_vpn_acl in
ip inspect gen_vpn_fw out
ip inspect inet_fw in
!
! ACL that protects the VPN site Bank from Shared Service
ip access-list extended bank_vpn_acl
permit tcp any any eq smtp
deny ip any any log
!
! ACL that protects Shared Service from VPN site Bank
ip access-list extended bank_ss_acl
permit tcp any any eq ftp
permit tcp any any eq http
permit tcp any any eq smtp
deny ip any any log
!
! ACL that protects VPN site Shop from Shared Service
ip access-list extended shop_vpn_acl
permit tcp any any eq h323
deny ip any any log
!
ip access-list extended shop_ss_acl
permit tcp any any eq http
permit tcp any any eq rtsp
deny ip any any log
!
! ACL that protects the Bank and Shop VPNs from internet
ip access-list extended gen_vpn_acl
permit tcp any any eq smtp
permit tcp any any eq www
deny ip any any log
!
! ACL that protects internet from Bank and Shop VPNs
ip access-list extended inet_acl
permit tcp any any eq ftp
permit tcp any any eq http
permit tcp any any eq smtp
permit tcp any any eq rtsp
deny ip any any log
 

図 6 の例では、Cisco IOS XE ファイアウォールが VRF インターフェイス E3/1 の PE1 に設定されています。NET1 上のホストは、NET2 上のサーバに到達します。

図 6 VRF Aware Cisco IOS ファイアウォール ネットワークの例

 

この設定手順の後に、設定およびログ メッセージの例が続きます。

1. PE ルータで VRF を設定します。

2. 使用しているネットワークが MPLS トラフィック エンジニアリングをサポートしていることを確認します。

3. VRF インターフェイスが NET1 および NET2 に到達できることを確認します。

4. VRF Aware Cisco IOS XE ファイアウォールを設定します。

a. ACL を設定して適用します。

b. ファイアウォール ルールを作成し、それを VRF インターフェイスに適用します。

5. VRF ファイアウォール セッションを確認します。

PE1 上の VRF 設定

! configure VRF for host1
ip cef
ip vrf vrf1
rd 100:1
route-target export 100:1
route-target import 100:1
exit
end
!
! apply VRF to the interface facing CE
interface ethernet3/1
ip vrf forwarding vrf1
ip address 190.1.1.2 255.255.0.0
!
! make the interface facing the MPLS network an MPLS interface
interface serial2/0
mpls ip
ip address 191.171.151.1 255.255.0.0
!
! configure BGP protocol for MPLS network
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 191.171.151.2 remote-as 100
neighbor 191.171.151.2 update-source serial2/0
no auto-summary
address-family vpnv4
neighbor 191.171.151.2 activate
neighbor 191.171.151.2 send-community both
exit-address-family
address-family ipv4 vrf vrf1
redistribute connected
redistribute static
no auto-summary
no synchronization
exit-address-family
!
! configure VRF static route to reach CE network
ip route vrf vrf1 192.168.4.0 255.255.255.0 190.1.1.1

PE2 上の VRF 設定

! configure VRF for host2
ip cef
ip vrf vrf1
rd 100:1
route-target export 100:1
route-target import 100:1
!
! apply VRF on CE-facing interface
interface fastethernet0/0
ip vrf forwarding vrf1
ip address 193.1.1.2 255.255.255.0
!
! make MPLS network-facing interface an MPLS interface
interface serial1/0
mpls ip
ip address 191.171.151.2 255.255.0.0
!
! configure BGP protocol for MPLS network
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 191.171.151.1 remote-as 100
neighbor 191.171.151.1 update-source serial1/0
no auto-summary
address-family vpnv4
neighbor 191.171.151.1 activate
neighbor 191.171.151.1 send-community both
exit-address-family
address-family ipv4 vrf vrf1
redistribute connected
redistribute static
no auto-summary
no synchronization
exit-address-family
 
!configure VRF static route to reach CE network
ip route vrf vrf1 192.168.4.0 255.255.255.0 193.1.1.1

CE1 上の設定

interface e0/1
ip address 190.1.1.1 255.255.255.0
 
interface e0/0
ip address 192.168.4.2 255.255.255.0
 
ip route 192.168.104.0 255.255.255.0 190.1.1.2

CE2 上の設定

interface e0/1
ip address 190.1.1.1 255.255.255.0
 
interface e0/0
ip address 192.168.4.2 255.255.255.0
 
ip route 192.168.4.0 255.255.255.0 193.1.1.2

PE1 でのファイアウォールの設定と VRF インターフェイスへの適用

! configure ACL so that NET2 cannot access NET1
ip access-list extended 105
permit tcp any any fragment
permit udp any any fragment
deny tcp any any
deny udp any any
permit ip any any
!
! apply ACL to VRF interface on PE1
interface ethernet3/1
ip access-group 105 out
!
! configure firewall rule
ip inspect name test tcp
!
! apply firewall rule on VRF interface
interface ethernet3/1
ip inspect test in

NET1 上のホストが NET2 上のサーバに対して Telnet を試行したときの VRF ファイアウォール セッションの確認

show ip inspect session vrf vrf1
Established Sessions
Session 659CE534 (192.168.4.1:38772)=>(192.168.104.1:23) tcp SIS_OPEN
!
! checking for ACLs
show ip inspect session detail vrf vrf1 | include ACL 105
Out SID 192.168.104.1[23:23]=>192.168.4.1[38772:38772] on ACL 105
(34 matches)

その他の関連資料

ここでは、VRF Aware Cisco IOS XE ファイアウォールの関連資料を紹介します。

関連マニュアル

内容
参照先

MPLS VPN

Configuring a Basic MPLS VPN』( Document ID 13733

ゾーンベース ポリシー ファイアウォール

『Zone-based Policy Firewall』

NAT

NAT and Stateful Inspection of Cisco IOS Firewall 』(ホワイト ペーパー)

Configuring Network Address Translation: Getting Started 』(Document ID 13772)

標準

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

VRF Aware Cisco IOS XE ファイアウォールに関する機能情報

表 1 に、この機能のリリース履歴を示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 VRF Aware Cisco IOS ファイアウォールに関する機能情報

機能名
リリース
機能情報

VRF Aware Cisco IOS XE ファイアウォール

Cisco IOS XE Release 2.5

SP または大企業のエッジ ルータに VRF Aware Cisco IOS XE ファイアウォールが設定されている場合、Cisco IOS XE ファイアウォール機能が VRF インターフェイスに適用されます。SP は中小企業の市場向けにマネージド サービスを提供することができます。

Cisco IOS XE Release 2.5 では、この機能が ASR 1000 に導入されました。

この機能に関する詳細については、次の各項を参照してください。

「VRF Aware Cisco IOS XE ファイアウォールの展開」

「ファイアウォールの作成および命名とインターフェイスへのルールの適用」

「VRF Aware Cisco IOS XE ファイアウォールの設定と機能の確認」

次のコマンドが導入または変更されました。clear ip urlfilter cache、ip inspect alert-off、ip inspect audit trail、ip inspect dns-timeout、ip inspect max-incomplete high、ip inspect max-incomplete low、ip inspect name、ip inspect one-minute high、ip inspect one-minute low、ip inspect tcp finwait-time、ip inspect tcp idle-time、ip inspect tcp max-incomplete host、ip inspect tcp synwait-time、ip inspect udp idle-time、ip urlfilter alert、ip urlfilter allowmode、ip urlfilter audit-trail、ip urlfilter cache、ip urlfilter exclusive-domain、ip urlfilter exclusive-domain、ip urlfilter max-request、ip urlfilter max-resp-pak、ip urlfilter server vendor、ip urlfilter urlf-server-log、show ip inspect、show ip urlfilter cache、show ip urlfilter config、show ip urlfilter statistics

ファイアウォール:VRF-aware ALG のサポート

Cisco IOS XE Release 2.5

VRF-aware ALG のサポートによって、正しい IP アドレスの VRF-id ペアが必要な ALG トークンを作成するときに、ALG はキャッシュ済みの情報から適切な IP アドレスと VRF-id を抽出できます。

Cisco IOS XE Release 2.5 では、この機能が ASR 1000 に導入されました。

この機能に関する詳細については、次の各項を参照してください。

「VRF-aware ALG」

用語集

CBAC :Context-Based Access Control(コンテキストベース アクセス コントロール)。各アプリケーションおよびネットワーク周辺機器全体のすべてのトラフィックへの安全なアクセス制御を内部ユーザに提供するプロトコル。CBAC は、送信元アドレスと宛先アドレスの両方を精査し、各アプリケーションの接続ステータスを追跡することで、セキュリティを強化しています。

CE ルータ :カスタマー エッジ ルータ。カスタマー ネットワークに属し、プロバイダー エッジ(PE)ルータとのインターフェイスとなるルータ。

IPsec :IP Security Protocol(IP セキュリティ プロトコル)。Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって開発されたオープン規格のフレームワークです。IPSec により、インターネットなどの保護されていないネットワーク上で機密性の高いデータを送信する際にセキュリティを確保します。

NAT :Network Address Translation(NAT; ネットワーク アドレス変換)。企業内で使用されているプライベート IP アドレスを、インターネットなど企業外で使用される、ルーティング可能なパブリック アドレスに変換します。NAT は、アドレスのプライベートからパブリックへの 1 対 1 のマッピングと見なされます。

PE ルータ :プロバイダー エッジ ルータ。サービス プロバイダー ネットワーク内にあり、Customer Edge(CE; カスタマー エッジ)ルータに接続されたルータ。

Skinny :Skinny Client Control Protocol(SCCP)。Skinny クライアントと Call Manager(CM)間で交換される Skinny コントロール パケットを、CBAC が検査できるようにするプロトコル。検査後は、Skinny データ チャネルがルータを通過できるように、CBAC でルータ(Cisco IOS ファイアウォールとも呼ばれます)を設定します。

UDP :User Datagram Protocol(ユーザ データグラム プロトコル)。TCP/IP プロトコル スタックのコネクションレス型トランスポート層プロトコル。UDP は、確認応答や配信保証なしでデータグラムを交換する単純なプロトコルです。エラー処理と再送信は、他のプロトコルで処理する必要があります。

VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。ネットワーク間のトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN では、「トンネリング」が使用され、すべての情報が IP レベルで暗号化されます。

VRF :VPN Routing/Forwarding(VPN ルーティング/フォワーディング)インスタンス。VRF は、IP ルーティング テーブル、取得された転送テーブル、その転送テーブルを使用する一連のインターフェイス、転送テーブルに登録されるものを決定する一連のルールおよびルーティング プロトコルで構成されています。一般に、VRF には、provider edge(PE; プロバイダー エッジ)ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。

VRF テーブル :各 VPN のルーティング データを格納するテーブル。VRF テーブルでは、Network Access Server(NAS; ネットワーク アクセス サーバ)に接続されているカスタマー サイトの VPN メンバーシップを定義します。各 VRF テーブルは、IP ルーティング テーブル、派生した Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)テーブル、およびルーティング テーブルに含まれる情報を制御するガイドラインおよびルーティング プロトコル パラメータから構成されます。

エッジ ルータ :ラベルなしのパケットとラベル付きのパケットの間で変換するルータ。

検査ルール :インターフェイスの CBAC で検査される IP トラフィック(アプリケーション層プロトコル)を指定するルール。

データの機密保持 :保護されたデータを確認できないようにするセキュリティ サービス。

データの認証 :データ整合性とデータ送信元の認証のいずれかまたは両方を参照します。データ整合性は、データが変更されていないことを確認し、データ送信元の認証は、指定された送信元からデータが実際に送信されたことを確認します。

トラフィック フィルタリング :保護対象のネットワーク内から接続が開始されたときに、指定した TCP および UDP トラフィックがファイアウォールを通過できるように、CBAC を設定する機能。CBAC では、ファイアウォールのいずれかの側から送信されたセッションのトラフィックを検査できます。

トラフィック検査 :TCP および UDP セッションの状態情報を検出および管理するための、ファイアウォールを通過するトラフィックの CBAC 検査。この状態情報は、ファイアウォールのアクセス リストで一時的な開口部を作成して、リターン トラフィックと許容できるセッション(保護された内部ネットワーク内から送信されたセッション)に関する追加のデータ接続を許可するために使用されます。

ファイアウォール :接続されている任意のパブリック ネットワークおよびプライベート ネットワーク間でバッファとして設計された、1 つのルータまたはアクセス サーバ、または複数のルータまたはアクセス サーバ。ファイアウォール ルータは、アクセス リストや他の方法を使用して、プライベート ネットワークのセキュリティを確保します。

マネージド セキュリティ サービス :企業ユーザの高まるニーズに対応するために、サービス プロバイダーの機能を強化する包括的なプログラム セット。シスコ ソリューションに基づくサービスには、マネージド ファイアウォール、マネージド VPN(ネットワークベースおよび敷地ベース)、およびマネージド侵入検知が含まれます。