セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
VRF-Aware Cisco IOS XE ファイアウォール
VRF-Aware Cisco IOS XE ファイアウォール
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

VRF-Aware Cisco IOS XE ファイアウォール

VRF-Aware Cisco IOS XE ファイアウォールは、ファイアウォールがサービス プロバイダー(SP)または大企業のエッジ ルータに設定されている場合、VPN ルーティングおよび転送(VRF)インターフェイスに Cisco IOS XE ファイアウォール機能を適用します。 SP は中小企業の市場向けにマネージド サービスを提供します。

VRF-Aware Cisco IOS XE ファイアウォールは、VRF-lite(Multi-VRF CE とも呼ばれる)および各種プロトコルでのアプリケーション インスペクションと制御(AIC)をサポートします。

VRF 認識ファイアウォールは、VRF-lite(Multi-VRF CE とも呼ばれる)および各種プロトコルでのアプリケーション インスペクションと制御(AIC)をサポートします。


(注)  


Cisco IOS XE リリースは、コンテキストベース アクセス コントロール(CBAC)ファイアウォールをサポートしません。


機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

VRF-Aware Cisco IOS XE ファイアウォールの前提条件

  • Cisco IOS XE ファイアウォールについて理解します。
  • VRF を設定します。

VRF-Aware Cisco IOS XE ファイアウォールの制約事項

  • 2 つの VPN ネットワークに重複するアドレスがある場合、VRF 認識ファイアウォールをサポートするには、VRF 対応ネットワーク アドレス変換(NAT)が必要です。 NAT は、Inter-VRF ルーティングをサポートしません。 VRF-Aware Software インフラストラクチャ(VASI)を Inter-VRF ルーティング機能に使用できます。
  • クリプト トンネルが、単一のインターフェイスで終端する複数の VPN に属する場合、VRF 別のファイアウォール ポリシーを適用できません。
  • 同じゾーンを、異なる VRF に設定されたインターフェイスに適用することはできません。

VRF-Aware Cisco IOS XE ファイアウォールについて

VRF-Aware Cisco IOS XE ファイアウォール

VRF 認識ファイアウォールは、VRF で送信または受信された IP パケットを検査します。 VRF により、ルーティング テーブルの複数のインスタンスが単一ルータ内に共存できます。 これにより、VPN 分離が可能になり、独立した重複 IP アドレス空間を持つことができます。 VRF により、あるサービス プロバイダーの顧客からのトラフィックを別のトラフィックから隔離できます。 Cisco IOS XE VRF サポートは、ルータを複数のルーティング ドメインに分割し、各ルーティング ドメインは、インターフェイスおよびルーティング/転送テーブルの独自のセットで構成されます。 各ルーティング ドメインは、テーブル ID と呼ばれる固有識別子で参照されます。 グローバル ルーティング ドメインおよび(いずれの VRF にも関連付けられていない)デフォルト ルーティング ドメインは、テーブル ID、ゼロにアドレス指定されます。 VRF は、重複する IP アドレス空間をサポートするため、交差しない VRF のトラフィックが同じ IP アドレスを持つことができます。

VRF-Aware Cisco IOS XE ファイアウォールには、次の利点があります。

  • スケーラブルな展開:あらゆるネットワークの帯域幅およびパフォーマンスの要件に合わせて調整できます。
  • VPN のサポート:Cisco IOS XE IPsec や他のソフトウェアベースのテクノロジー(レイヤ 2 トンネリング プロトコル(L2TP)トンネリングや Quality of Service(QoS)など)に基づいて、統合的な VPN ソリューションを提供します。
  • AIC サポート:Internet Message Access Protocol(IMAP)、Post Office Protocol 3(POP3)、シンプル メール転送プロトコル(SMTP)、および Sun リモート プロシージャ コール(SUN RPC)のポリシー マップを提供します。
  • ユーザは VRF ファイアウォールごとに設定できます。 ファイアウォールは、VRF 内で送受信した IP パケットを検査します。 ファイアウォールは、2 つの異なる VRF(交差する VRF)間のトラフィックも検査します。
  • SP は、プロバイダー エッジ(PE)ルータにファイアウォールを展開できます。
  • 重複する IP アドレス空間をサポートするため、交差しない VRF のトラフィックが同じ IP アドレスを持つことができます。
  • (グローバルではない)VRF のファイアウォール コマンド パラメータおよびサービス拒否(DoS)パラメータをサポートして、VRF 認識ファイアウォールが多様な VPN カスタマーに割り当てられた(VRF インスタンスを含む)複数インスタンスとして実行できるようにします。
  • VRF ID を含む高速ロギング(HSL)を生成します。ただし、これらのメッセージは単一のコレクタによって収集されます。

VRF 認識ファイアウォールにより、ファイアウォール セッション数を制限できます。 ファイアウォール セッションが制限されていない場合、VRF はルータ リソースを共有することが困難になります。これは、1 つの VRF がリソースの最大量を消費し、他の VRF にリソースがほとんど残らず、このため他の VRF に対するサービス拒否が発生する可能性があるためです。

アドレス空間の重複

VRF は、デバイスを複数のルーティング ドメインに分割します。 これらの各ルーティング ドメインには、インターフェイスとルーティング テーブルの独自のセットが含まれます。 ルーティング テーブルは、VRF ごとに一意のテーブル ID を使用して参照されます。 ゼロは、VPN ルーティングおよび転送(VRF)に関連付けられていないデフォルトのグローバル ルーティング テーブル ID です。

交差しない VRF は、重複するアドレス空間を持つことができます(つまり、ある VRF の IP アドレスが他の VRF に含まれている場合があります)。

VRF

VPN ルーティングおよび転送(VRF)により、ルーティング テーブルの複数のインスタンスが単一デバイス内に共存できます。 VRF には、プロバイダー エッジ(PE)デバイス内の VRF テーブルのテンプレートが含まれます。

通常、アドレスの重複は、カスタマー ネットワークでプライベート IP アドレスを使用していることから発生します。アドレスの重複は、ピアツーピア(P2P)VPN の実装を展開するうえで主要な障害物の 1 つです。 マルチ プロトコル ラベル スイッチング(MPLS)VPN テクノロジーを使用して、重複するアドレスの問題を解決できます。

各 VPN は、デバイスに独自のルーティング/転送テーブルがあるため、VPN に属するすべてのカスタマーまたはサイトには、そのテーブルに含まれるルート セットに対してのみアクセス権があります。 そのため、MPLS VPN ネットワークの PE デバイスには、多数の VPN 別のルーティング テーブルと、サービス プロバイダー(SP)ネットワーク内の他のデバイスに到達するために使用される 1 つのグローバル ルーティング テーブルが含まれます。 事実上、数多くの仮想デバイスが単一の物理デバイスに作成されます。

VRF-Lite

MPLS 対応ファイアウォールなしの VRF とも呼ばれる VRF-Lite Aware ファイアウォール機能により、ファイアウォール ゾーンを MPLS 非対応の VPN ルーティングおよび転送(VRF)インターフェイスに適用できます。

VRF-Lite Aware ファイアウォール機能により、サービス プロバイダー(SP)は 2 つ以上の VPN をサポートでき、VPN 間での IP アドレスの重複が可能になります。 VRF-lite では、1 つまたは複数のレイヤ 3 インターフェイスを各 VRF に関連付けることで、入力インターフェイスを使用して異なる VPN のルートを区別し、仮想パケット転送テーブルを構成します。 VRF には、イーサネット ポートなどの物理インターフェイス、または VLAN スイッチ仮想インターフェイス(SVI)などの論理インターフェイスを使用できます。 ただし、1 つのレイヤ 3 インターフェイスは同時に複数の VRF に所属できません。


(注)  


すべての VRF-lite インターフェイスはレイヤ 3 インターフェイスにする必要があります。


VRF-lite には、次のデバイスが含まれています。

  • カスタマー エッジ(CE)デバイスは、データ リンク上の SP ネットワークへのアクセスをカスタマーに提供します。 CE デバイスは、サイトのローカル ルートをプロバイダー エッジ(PE)デバイスにアドバタイズし、PE デバイスからリモート VPN ルートについて学習します。
  • PE デバイスは、スタティック ルーティングまたはルーティング プロトコル(ボーダー ゲートウェイ プロトコル(BGP)、ルーティング情報プロトコル バージョン 1(RIPv1)や RIPv2 など)を使用して、ルーティング情報を CE デバイスと交換します。
  • PE デバイス(またはコア デバイス)は、CE デバイスに接続されていない、SP ネットワーク内の任意のデバイスです。
  • PE デバイスでは、直接接続された VPN の VPN ルートを維持することだけが必要とされます。すべての SP VPN ルートを PE デバイスが維持する必要はありません。 各 PE デバイスは、直接接続しているサイトごとに VRF を維持します。 すべてのサイトが同じ VPN に含まれている場合は、PE デバイスの複数のインターフェイスを 1 つの VRF に関連付けることができます。 各 VPN は、指定された VRF にマッピングされます。 PE デバイスは、ローカル VPN ルートを CE デバイスから学習した後で、内部 BGP(iBGP)を使用して別の PE デバイスと VPN ルーティング情報を交換します。

VRF-lite を使用すると、複数のカスタマーが 1 つの CE デバイスを共有できます。また、1 つの物理リンクのみが CE デバイスと PE デバイス間に使用されます。 共有の CE デバイスは、カスタマーごとに個別の VRF テーブルを保守し、その独自のルーティング テーブルに基づいてカスタマーごとにパケットのスイッチングとルーティングを行います。 VRF-lite は限定された PE デバイスの機能を CE デバイスに拡張して、個別の VRF テーブルを保守する機能を付与し、VPN のプライバシーおよびセキュリティをブランチ オフィスまで拡張します。

図 1. VRF 間シナリオでのファイアウォール

MPLS VPN

マルチ プロトコル ラベル スイッチング(MPLS)VPN 機能により、複数のサイトが、サービス プロバイダー(SP)ネットワークを通じて透過的に相互接続できます。 1 つの SP ネットワークで、複数の IP VPN をサポートできます。 VPN ユーザから見ると、各 VPN はその他すべてのネットワークとは隔離されたプライベート ネットワークです。 1 つの VPN 内では、各拠点は同一 VPN 内のいずれの拠点にも IP パケットを送信できます。

各 VPN は、1 つ以上の VPN ルーティングおよび転送(VRF)インスタンスに関連付けられています。 VRF は、1 つの IP ルーティング テーブル、派生した 1 つのシスコ エクスプレス フォワーディング テーブル、次のテーブルを使用する複数のインターフェイスで構成されます。

デバイスは、各 VRF に対し別々のルーティングおよびシスコ エクスプレス フォワーディング テーブルを保持します。 これにより、情報が VPN 外に送信されることが回避でき、重複 IP アドレスの問題を起こすことなく同一のサブネットが複数の VPN で使用可能になります。

マルチプロトコル BGP(MP-BGP)を使用しているデバイスは、BGP 拡張コミュニティを使用して VPN のルーティング情報を配布します。

VRF-Aware NAT

ネットワーク アドレス変換(NAT)を使用すると、デバイスなどの単一のデバイスが、インターネット(またはパブリック ネットワーク)とローカル(またはプライベート)ネットワーク間でエージェントとして動作できます。 NAT システムは多様なレベルのセキュリティ機能を提供できますが、主な目的は、アドレス空間を節約することです。

組織が NAT を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。 まだ Network Information Center(NIC)-registered IP アドレスを所有していないサイトは、取得する必要があります。 NAT は、何千もの非表示内部アドレスを、取得が容易なアドレス範囲に動的にマッピングすることで、NIC-registered IP アドレスの問題を排除します。

NAT システムがあると、攻撃者は次の情報を特定するのが困難になります。

  • ネットワーク上で実行されているシステム数。
  • ネットワーク上で実行されているマシンとオペレーティング システムのタイプ。
  • ネットワークのトポロジおよび配置。

NAT とマルチプロトコル ラベル スイッチング(MPLS)の統合によって、単一のデバイスに複数の MPLS VPN を設定して、連携させることができます。 NAT は、すべての MPLS VPN が同じ IP アドレッシング スキームを使用している場合でも、IP トラフィックを受信した MPLS VPN を区別できます。 そのため、複数の MPLS VPN ユーザでサービスを共有しながら、各 MPLS VPN を相互に隔離できます。

インターネット接続、ドメイン ネーム サーバ(DNS)、VoIP サービスなどの付加価値サービスをカスタマーに提供するには、MPLS サービス プロバイダーは NAT を使用する必要があります。 NAT により、MPLS VPN カスタマーは、それぞれのネットワーク内で重複した IP アドレスを使用できます。

NAT は、カスタマー エッジ(CE)デバイスまたはプロバイダー エッジ(PE)デバイスに実装できます。 NAT と MPLS VPN の統合機能によって、MPLS クラウド内の PE デバイス上に NAT を実装できます。

VRF-Aware ALG

アプリケーション層ゲートウェイ(ALG)は、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。 ALG は、NAT によって上書きが必要な、パケット ペイロード内のアドレス情報を識別し、このアドレス情報を NAT およびファイアウォールに提供して従属フローやドアを作成し、データが適切に流れるようにします(データ フローの例は、FTP データ フローです)。 ドアは、特定の基準に一致する着信トラフィックを許可する一時的な構造です。 ドアは、完全な NAT セッション エントリを作成するための十分な情報がないときに作成されます。 ドアには、送信元と宛先 IP アドレスおよび宛先ポートに関する情報が含まれます。 ただし、送信元ポートに関する情報は含まれません。 メディア データが到達すると、その送信元ポート情報は既知であり、ドアは実際の NAT セッションにプロモートされます。

VRF 認識 IPSec

VRF 認識 IPsec 機能を使用すれば、IPsec トンネルをマルチ プロトコル ラベル スイッチング(MPLS)VPN にマッピングできます。 VRF 認識 IPsec 機能を使用すれば、シングル パブリック方向 IP アドレスによって、IPsec トンネルを VPN ルーティングおよび転送(VRF)インスタンスにマッピングできます。

各 IPsec トンネルは、2 つの VRF ドメインに関連付けられます。 外部のカプセル化されたパケットは Front Door VRF(FVRF)という VRF ドメインに属します。 内部の保護された IP パケットは、Inside VRF(IVRF)というドメインに属します。 言い換えると、IPsec トンネルのローカル エンドポイントは FVRF に属し、内部パケットの送信元および宛先アドレスは IVRF に属します。

1 つ以上の IPsec トンネルを、単一のインターフェイス上で終了できます。 これらのトンネルのすべての FVRF は同じものであり、そのインターフェイス上で設定されている VRF に設定されます。 これらのトンネルの IVRF は異なる可能性があり、クリプト マップ エントリに付加された Security Association and Key Management Protocol(ISAKMP)プロファイル内で定義されている VRF に依存します。

次の図に、MPLS およびレイヤ 2 VPN に対する IPsec のシナリオを示します。

図 2. MPLS およびレイヤ 2 VPN に対する IPsec

VRF-Aware Software インフラストラクチャ

VRF-Aware Software インフラストラクチャ(VASI)を使用すると、アクセス コントロール リスト(ACL)、NAT、ポリシング、ゾーンベース ファイアウォールなどのサービスを、2 つの異なる VRF インスタンス上を流れるトラフィックに適用できます。 VASI インターフェイスは、ルート プロセッサ(RP)および転送プロセッサ(FP)の冗長性をサポートします。 この機能は、VASI インターフェイスでの IPv4 および IPv6 ユニキャスト トラフィックをサポートします。

VASI の主な用途は、より効率的に VRF を分離できるようにすることです。 VASI では、VRF ごとに固有の機能を、共通のインターフェイスを共有する(たとえば、すべての VRF がインターネットへの同じインターフェイスを共有している場合があります)他の VRF に影響を与えることなく VASI インターフェイスに適用できます。 ファイアウォールでは、この機能により、ゾーンを VASI に適用できます。

VASI は、仮想インターフェイスのペアを使用して実装され、ペアの各インターフェイスは異なる VRF に関連付けられます。 VASI 仮想インターフェイスは、これら 2 つの VRF 間で交換される必要があるパケットのネクスト ホップ インターフェイスです。 VASI インターフェイスは、2 つの VRF 間の NAT をサポートするために必要なフレームワークを提供します。

各インターフェイス ペアは、異なる 2 つの VRF インスタンスに関連付けられています。 2 つの仮想インターフェイスのペア(vasileft と vasiright)は、論理的にバックツーバックで接続されており、完全な対称性を有しています。 各インターフェイスにはインデックスがあります。 ペアリングの関連付けは、vasileft が自動的に vasiright へのペアを取得するという方法で、2 つのインターフェイスのインデックスに基づいて自動的に行われます。 BGP、Enhanced Interior Gateway Routing Protocol(EIGRP)、または Open Shortest Path First(OSPF)によるスタティック ルーティングまたはダイナミック ルーティングを設定できます。 BGP ダイナミック ルーティング プロトコルの制約事項とコンフィギュレーションは、VASI インターフェイス間の BGP ルーティング コンフィギュレーションに有効です。 VASI の詳細については、「VRF-Aware Software インフラストラクチャの設定」機能を参照してください。

セキュリティ ゾーン

セキュリティ ゾーンとは、ポリシーを適用できるインターフェイスのグループです。

インターフェイスをゾーンにグループ化するには、次の 2 つの手順を実行します。

  • インターフェイスを付加できるようにゾーンを作成します。
  • インターフェイスを特定のゾーンのメンバーとなるように設定します。

デフォルトでは、トラフィックは、同じゾーンのメンバーであるインターフェイス間を通ります。

インターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスと、別のゾーン内のインターフェイスとの間のすべてのトラフィック(デバイス宛またはデバイス発信のトラフィックを除く)はデフォルトでドロップされます。 ゾーンメンバー インターフェイスと別のインターフェイスとの間の両方向のトラフィックを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。

ゾーンを設定する際に検討する基本ルールは次のとおりです。

  • ゾーン インターフェイスからゾーン外のインターフェイスへのトラフィックまたはゾーン外のインターフェイスからゾーン インターフェイスへのトラフィックは常にドロップされます。ただし、デフォルト ゾーンがイネーブルになっている場合を除きます(デフォルト ゾーンはゾーン外のインターフェイスです)。
  • 2 つのゾーン インターフェイス間のトラフィックは、各ゾーンにゾーン ペアの関係があるかどうか、およびそのゾーン ペアにポリシーが設定されているかどうかが検査されます。
  • デフォルトでは、同じゾーン内の 2 つのインターフェイス間のすべてのトラフィックは、常に許可されます。
  • ゾーン ペアは、ゾーンを送信元ゾーンおよび宛先ゾーンの両方として設定できます。 このゾーン ペアで検査ポリシーを設定して、同じゾーン内の 2 つのインターフェイス間のトラフィックを検査またはドロップできます。
  • インターフェイスをゾーンとレガシー検査ポリシーの両方に同時に所属させることはできません。
  • インターフェイスがメンバーになれるのは、1 つのセキュリティ ゾーンだけです。
  • インターフェイスがセキュリティ ゾーンのメンバーの場合、そのゾーンを含むゾーン ペアで明示的なゾーン間ポリシーを設定しない限り、方向に関係なくそのインターフェイスを通過するすべてのトラフィックがブロックされます。
  • トラフィックは、セキュリティ ゾーンのメンバーであるインターフェイスとセキュリティ ゾーンのメンバーではないインターフェイスの間では通過できません。これは、ポリシーは 2 つのゾーンだけで適用できるからです。
  • トラフィックがデバイスのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスは 1 つのセキュリティ ゾーンまたは別のゾーンのメンバーでなければなりません。 インターフェイスをセキュリティ ゾーンのメンバーにした後、inspectpass などのポリシー アクションによってパケットを明示的に許可する必要があるため、このことは特に重要です。 それ以外の場合、パケットはドロップされます。
  • デバイスのインターフェイスをセキュリティ ゾーンまたはファイアウォール ポリシーに所属させることができない場合、そのインターフェイスをセキュリティ ゾーンに追加し、そのゾーンとトラフィック フローの対象となる他のゾーンとの間に、「すべて通過」ポリシー(つまり、「ダミー」ポリシー)を設定する必要がある場合があります。
  • セキュリティ ゾーン間またはゾーン ペアに対してアクセス コントロール リスト(ACL)を適用することはできません。
  • セキュリティ ゾーンとゾーン ペアの間で ACL は適用できません。 トラフィックをドロップするには、ACL 設定をクラス マップに含め、ポリシー マップを使用します。
  • ゾーン メンバーのインターフェイス上の ACL を制約的(厳密)にしないでください。
  • セキュリティ ゾーン内のすべてのインターフェイスは、同じ VPN ルーティングおよび転送(VRF)インスタンスに属している必要があります。
  • メンバ インターフェイスが個別の VRF にあるセキュリティ ゾーン間でポリシーを設定できます。 ただし、設定で許可されていない場合、これらの VRF 間をトラフィックは流れません。
  • トラフィックが VRF 間を流れない場合(VRF 間のルートリークが設定されていないため)、VRF 間のポリシーは実行されません。 これは、ポリシー側ではなく、ルーティング側の設定の誤りです。
  • 同じセキュリティ ゾーン内のインターフェイス間のトラフィックはポリシーには従わず、自由に通過します。
  • ゾーン ペアの送信元ゾーンおよび宛先ゾーンは、タイプ セキュリティのゾーンである必要があります。
  • 同じゾーンを送信元ゾーンと宛先ゾーンの両方として定義することはできません。

ポリシーは、トラフィック フローの最初のパケットに適用されます。 最初のパケットが分類および許可されると、トラフィックは、それ以上のパケット再分類なしでピア間を通過します(これは、最初の分類後に双方向トラフィック フローが許可されたことを意味します)。 ゾーン Z1 とゾーン Z2 間のゾーン ペアがあり、ゾーン Z2 とゾーン Z1 間のゾーン ペアはない場合、ゾーン Z2 から開始されたすべてのトラフィックはブロックされます。 ゾーン Z1 からゾーン Z2 へのトラフィックは、ゾーン ペアのポリシーに基づいて許可または拒否されます。

トラフィックがデバイスのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスはセキュリティ ゾーンまたはデフォルト ゾーンのメンバーでなければなりません。

すべてのデバイス インターフェイスがセキュリティ ゾーンのメンバーである必要はありません。

下の図は、次のことを示しています。

  • インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。
  • インターフェイス E2 は、セキュリティ ゾーン Z2 のメンバーです。
  • インターフェイス E3 は、どのセキュリティ ゾーンのメンバーでもありません。

図 3. セキュリティ ゾーンの制約

次の状況が存在します。

  • ゾーン ペアとポリシーは、同じゾーンで設定されます。 Z1 と Z2 用のポリシーが設定されていない場合、トラフィックは E0 と E1 間を自由に通過しますが、E0 または E1 と E2 間は通過しません。 このトラフィックを検査するためのゾーン ペアとポリシーを作成できます。
  • ポリシーが設定されていない場合、他のインターフェイス間(E0 と E2、E1 と E2、E3 と E1、および E3 と E2)でトラフィックは流れません。
  • トラフィックを許可する明示的なポリシーがゾーン Z1 とゾーン Z2 間で設定されている場合だけ、E0 または E1 と E2 間でトラフィックが流れます。
  • デフォルト ゾーンがイネーブルで、ゾーン ペアがデフォルト ゾーンと他のゾーンとの間に作成されている場合を除き、E3 と E0、E1、または E2 間をトラフィックが流れることはまったくありません。

VRF-Aware Cisco ファイアウォールの展開

ファイアウォールをネットワーク内の多数のポイントに展開することで、VPN サイトと共有サービス(またはインターネット)を双方向で保護できます。 ここでは、次のファイアウォール展開シナリオについて説明します。

VRF-Aware Cisco ファイアウォールを擁する分散型ネットワーク

次の図では、サービス プロバイダー(SP)がファイアウォール サービスを VPN カスタマーの VPN1 および VPN2 に提供し、VPN サイトと外部ネットワーク(共有サービスやインターネットなど)を双方向で保護するという一般的な状況について示します。

図 4. 分散型ネットワーク

この例では、VPN1 には、マルチ プロトコル ラベル スイッチング(MPLS)コア全体を対象とする Site A と Site B という 2 つのサイトがあります。 Site A は PE1 に接続され、Site B は PE2 に接続されています。 VPN2 には、PE2 に接続している 1 つのサイトのみがあります。 各 VPN には、PE3 上の対応する VLAN サブインターフェイスに接続されている共有サービス内の VLAN セグメントがあります。

各 VPN(VPN1 および VPN2)には 2 つのファイアウォール ルールがあります。1 つは、VPN サイトを共有サービスから保護するためのもので、もう 1 つは共有サービスを VPN サイトから保護するためのものです。 VPN サイトを共有サービスから保護するファイアウォールは VPN ファイアウォールと呼ばれ、共有サービスを VPN サイトから保護するファイアウォールは共有サービス ファイアウォールと呼ばれます。 両方のファイアウォール ルールが、VPN サイトに接続された各入力プロバイダー エッジ(PE)デバイスの VPN ルーティングおよび転送(VRF)インターフェイスに適用されます。 VPN ファイアウォール ルールは、VRF インターフェイスが VPN サイトへの入力であるため、入力方向に適用されます。共有サービス ファイアウォール ルールは、VRF インターフェイスが共有サービスへの出力であるため、出力方向に適用されます。

分散型ネットワークを使用する利点は次のとおりです。
  • ファイアウォールの展開はマルチ プロトコル ラベル スイッチング(MPLS)クラウドで分散されるため、ファイアウォールの処理負荷はすべての入力 PE デバイスに分散されます。
  • 共有サービスは、入力 PE デバイスの VPN サイトから保護されるため、VPN サイトから送信された悪意のあるパケットは、MPLS クラウドに入る前に、入力 PE デバイスでフィルタリングされます。
  • VPN ファイアウォール機能は入力方向に展開できます。

VRF-Aware Cisco ファイアウォールを擁するハブアンドスポーク ネットワーク

次の図に、すべての VPN サイトのファイアウォールが、共有サービスに接続されている出力 PE デバイス、PE3 に適用されるハブアンドスポーク ネットワークを示します。

図 5. ハブアンドスポーク ネットワーク

通常、各 VPN には、共有サービスに接続された VLAN および/または VPN ルーティングおよび転送(VRF)サブインターフェイスがあります。 パケットがマルチ プロトコル ラベル スイッチング(MPLS)インターフェイスに到達すると、MPLS は、共有サービスに接続されている対応するサブインターフェイスにパケットをルーティングします。 各 VPN のファイアウォール ポリシーは、上記の図に示すように対応するサブインターフェイス(VRF インターフェイス)に適用されます。 VPN ファイアウォール ルールは、サブインターフェイスが VPN サイトへの出力であるため、出力方向に適用されます。 共有サービス ファイアウォール ルールは、サブインターフェイスが共有サービスへの入力であるため、入力方向に適用されます。

ハブアンドスポーク ネットワークの利点は次のとおりです。
  • ファイアウォール展開はプロバイダー エッジ(PE)デバイス(PE3)に集中化されるため、ファイアウォールを簡単に展開および管理できます。
  • 共有サービス ファイアウォール機能は、入力方向に適用できます。
  • VPN サイトは出力 PE デバイスの共有サービスから保護されるため、共有サービスからの悪意のあるパケットは MPLS クラウドに入る前に PE デバイスでフィルタリングされます。

VRF-Aware Cisco IOS XE ファイアウォールの設定方法

VRF、クラス マップ、およびポリシー マップの定義

手順の概要

    1.    enable

    2.    configure terminal

    3.    ip vrf vrf-name

    4.    rd route-distinguisher

    5.    route-target export route-target-ext-community

    6.    route-target import route-target-ext-community

    7.    exit

    8.    class-map type inspect match-any class-map-name

    9.    match protocol tcp

    10.    match protocol h323

    11.    exit

    12.    policy-map type inspect policy-map-name

    13.    class type inspect class-map-name

    14.    inspect [parameter-map-name]

    15.    exit

    16.    class class-default

    17.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Router> enable
     
    特権 EXEC モードをイネーブルにします。
    • パスワードを入力します(要求された場合)。
     
    ステップ 2configure terminal


    例:
    Router# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3ip vrf vrf-name


    例:
    Router(config)# ip vrf vrf1
     

    VRF インスタンスを定義し、VRF コンフィギュレーション モードを開始します。

     
    ステップ 4rd route-distinguisher


    例:
    Router(config-vrf)# rd 10:1
     

    VRF インスタンスのルート識別子(RD)を指定します。

     
    ステップ 5route-target export route-target-ext-community


    例:
    Router(config-vrf)# route-target export 10:1
     

    VRF インスタンスのルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

     
    ステップ 6route-target import route-target-ext-community


    例:
    Router(config-vrf)# route-target import 10:1
     

    VRF インスタンスのルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにインポートします。

     
    ステップ 7exit


    例:
    Router(config-vrf)# exit
     

    VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 8class-map type inspect match-any class-map-name


    例:
    Router(config)# class-map type inspect match-any class-map1
     

    レイヤ 3 およびレイヤ 4(アプリケーション固有)検査タイプ クラス マップを作成し、クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 9match protocol tcp


    例:
    Router(config-cmap)# match protocol tcp 
     

    指定されたプロトコルに基づいて、クラス マップの一致基準を設定します。

     
    ステップ 10match protocol h323


    例:
    Router(config-cmap)# match protocol h323 
     

    指定されたプロトコルに基づいて、クラス マップの一致基準を設定します。

     
    ステップ 11exit


    例:
    Router(config-cmap)# exit
     

    クラス マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 12policy-map type inspect policy-map-name


    例:
    Router(config)# policy-map type inspect global-vpn1-pmap
     

    レイヤ 3 とレイヤ 4(プロトコル固有)検査タイプ ポリシー マップを作成し、ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 13 class type inspect class-map-name


    例:
    Router(config-pmap)# class type inspect class-map1
     

    アクションを実行する対象のトラフィック(クラス)を指定し、ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 14 inspect [parameter-map-name]


    例:
    Router(config-pmap-c)# inspect class-map1
     

    Cisco IOS XE ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 15exit


    例:
    Router(config-pmap-c)# exit
     

    ポリシーマップ クラス コンフィギュレーション モードを終了し、ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 16class class-default


    例:
    Router(config-pmap)# class class-default
     

    ポリシーを設定または変更できるようデフォルト クラスを指定します。

    • class-default クラスはデフォルトで定義されています。 class-default に関連付けられているデフォルトのドロップ属性を変更するように class class-default コマンドを設定します。
     
    ステップ 17end


    例:
    Router(config-pmap)# end
     

    ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     

    ゾーンとゾーン ペアの定義

    手順の概要

      1.    enable

      2.    configure terminal

      3.    zone security security-zone-name

      4.    exit

      5.    zone security security-zone-name

      6.    exit

      7.    zone-pair security zone-pair-name source source-zone destination destination-zone

      8.    service-policy type inspect policy-map-name

      9.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Router> enable
       
      特権 EXEC モードをイネーブルにします。
      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Router# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 zone security security-zone-name


      例:
      Router(config)# zone security vpn1-zone
       

      セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

       
      ステップ 4 exit


      例:
      Router(config-sec-zone)# exit
       

      セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 5 zone security security-zone-name


      例:
      Router(config)# zone security global-zone
       

      セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

       
      ステップ 6 exit


      例:
      Router(config-sec-zone)# exit
       

      セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 7 zone-pair security zone-pair-name source source-zone destination destination-zone


      例:
      Router(config)# zone-pair security vpn1-global-zone-pair source vpn1-zone destination global-zone 
       
      ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。
      • zone-pair-name:インターフェイスに付加されているゾーンの名前。
      • source source-zone:トラフィックが発信されるルータの名前を指定します。
      • destination destination-zone:トラフィックがバインドされているルータの名前を指定します。
       
      ステップ 8 service-policy type inspect policy-map-name


      例:
      Router(config-sec-zone-pair)# service-policy type inspect global-vpn1-pmap
       

      レイヤ 7 ポリシー マップをトップレベル ポリシー マップに付加します。

       
      ステップ 9 end


      例:
      Router(config-sec-zone-pair)# end
       

      ゾーンペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      インターフェイスへのゾーンの適用およびルートの定義

      手順の概要

        1.    enable

        2.    configure terminal

        3.    interface type number

        4.    ip vrf forwarding name

        5.    ip address ip-address mask

        6.    zone-member security zone-name

        7.    negotiation auto

        8.    exit

        9.    interface type number

        10.    ip address ip-address mask

        11.    zone-member security zone-name

        12.    negotiation auto

        13.    exit

        14.    ip route vrf vrf-name destination-ip-address destination-prefix interface-type number [global]

        15.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Router> enable
         
        特権 EXEC モードをイネーブルにします。
        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Router# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 interface type number


        例:
        Router(config)# interface gigabitethernet 0/0/0
         

        インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 4 ip vrf forwarding name


        例:
        Router(config-if)# ip vrf forwarding vrf1
         

        VRF をインターフェイスまたはサブインターフェイスと関連付けます。

         
        ステップ 5 ip address ip-address mask


        例:
        Router(config-if)# ip address 10.1.1.1 255.255.255.0
         

        インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

         
        ステップ 6 zone-member security zone-name


        例:
        Router(config-if)# zone-member security  vpn1-zone
         

        インターフェイスをセキュリティ ゾーンにアタッチします。

         
        ステップ 7 negotiation auto


        例:
        Router(config-if)# negotiation auto
         

        ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

         
        ステップ 8 exit


        例:
        Router(config-if)# exit
         

        インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

         
        ステップ 9 interface type number


        例:
        Router(config)# interface gigabitethernet 1/1/1
         

        インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 10 ip address ip-address mask


        例:
        Router(config-if)# ip address 10.111.111.111 255.255.255.0
         

        インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

         
        ステップ 11 zone-member security zone-name


        例:
        Router(config-if)# zone-member security global-zone
         

        インターフェイスをセキュリティ ゾーンにアタッチします。

         
        ステップ 12 negotiation auto


        例:
        Router(config-if)# negotiation auto
         

        ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

         
        ステップ 13 exit


        例:
        Router(config-if)# exit
         

        インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

         
        ステップ 14 ip route vrf vrf-name destination-ip-address destination-prefix interface-type number [global]


        例:
        Router(config)# ip route vrf vpn1 10.111.111.0 255.255.255.0 gigabitethernet 1/1/1 global
         

        VRF インスタンスのスタティック ルートを確立します。

         
        ステップ 15 end


        例:
        Router(config)# end
         

        グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         

        VRF-Aware Cisco IOS XE ファイアウォールの設定例

        例:VRF、クラス マップ、およびポリシー マップの定義

        Router# configure terminal
        Router(config)# ip vrf vrf1
        Router(config-vrf)# rd 10:1
        Router(config-vrf)# route-target export 10:1
        Router(config-vrf)# route-target import 10:1
        Router(config-vrf)# exit
        Router(config)# class-map type inspect match-any class-map1
        Router(config-cmap)# match protocol tcp
        Router(config-cmap)# match protocol h323
        Router(config-cmap)# exit
        Router(config)# policy-map type inspect global-vpn1-pmap
        Router(config-pmap)# class type inspect match-acl-111
        Router(config-pmap-c)# inspect match-acl-111
        Router(config-pmap-c)# exit
        Router(config-pmap)# class class-default
        Router(config-pmap)# end
              

        例:ポリシー マップ、ゾーン、およびゾーン ペアの定義

        Router# configure terminal
        Router(config)# zone security vpn1-zone
        Router(config-sec-zone)# exit
        Router(config)# zone security global-zone
        Router(config-sec-zone)# exit
        Router(config)# zone-pair security vpn1-global-zone-pair source vpn1-zone destination global-zone 
        Router(config-sec-zone-pair)# service-policy type inspect vpn1-global-pmap
        Router(config-sec-zone-pair)# end
        

        例:インターフェイスへのゾーンの適用およびルートの定義

        Router# configure terminal
        Router(config)# interface gigabitethernet 0/0/0
        Router(config-if)# ip vrf forwarding vrf1
        Router(config-if)# ip address 10.1.1.1 255.255.255.0 
        Router(config-if)# zone-member security vpn1-zone
        Router(config-if)# negotiation auto
        Router(config-if)# exit
        Router(config)# interface gigabitethernet 1/1/1
        Router(config-if)# ip address 10.111.111.111 255.255.255.0
        Router(config-if)# zone-member security global-zone
        Router(config-if)# negotiation auto
        Router(config-if)# exit 
        Router(config)# ip route vrf vpn1 10.111.111.0 255.255.255.0 gigabitethernet 1/1/1 global
        Router(config)# end

        VRF-Aware Cisco IOS XE ファイアウォールの追加情報

        関連資料

        関連項目

        マニュアル タイトル

        Cisco IOS コマンド

        『Cisco IOS Master Command List, All Releases』

        セキュリティ コマンド

        NAT

        『Configuring Network Address Translation: Getting Started』

        MPLS VPN

        『Configuring a Basic MPLS VPN』

        ゾーンベース ポリシー ファイアウォール

        『Zone-based Policy Firewall』

        シスコのテクニカル サポート

        説明

        リンク

        シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

        VRF-Aware Cisco IOS XE ファイアウォールの機能情報

        次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        表 1 VRF-Aware Cisco IOS XE ファイアウォールの機能情報

        機能名

        リリース

        機能情報

        VRF-Aware Cisco IOS XE ファイアウォール

        Cisco IOS XE Release 2.5

        SP または大企業のエッジ ルータに VRF-Aware Cisco IOS XE ファイアウォールが設定されている場合、Cisco IOS XE ファイアウォール機能が VRF インターフェイスに適用されます。

        Firewall--VRF-Aware ALG サポート

        Cisco IOS XE Release 2.5

        Firewall--VRF-Aware ALG のサポート機能によって、正しい IP アドレスの VRF ID ペアが必要な ALG トークンを作成するときに、ALG はキャッシュ済みの情報から適切な IP アドレスと VRF ID を抽出できます。

        用語集

        C3PL:Cisco Common Classification Policy Language。 イベント、条件、およびアクションに基づいてトラフィック ポリシーを作成するためにポリシー マップおよびクラス マップを使用する、構造化された機能固有のコンフィギュレーション コマンドです。

        EHLO:機能ネゴシエーションを開始するための Extended HELO 置換コマンド。 このコマンドは、ESMTP プロトコルを使用してリモート SMTP サーバに接続する送信元(クライアント)を識別します。

        ESMTP:拡張 SMTP。 シンプル メール転送プロトコル(SMTP)の拡張バージョン。配信通知やセッションの配信などの追加機能が含まれています。 ESMTP は、RFC 1869「SMTP Service Extensions」で定義されています。

        HELO:SMTP 機能ネゴシエーションを開始するコマンド。 このコマンドは、完全修飾 DNS ホスト名でリモート SMTP サーバに接続する送信元(クライアント)を識別します。

        MAIL FROM:メッセージの From: フィールドに表示される、送信者の電子メール アドレスおよび名前(使用する場合)を識別する電子メール メッセージの開始部分です。

        MIME:Multipurpose Internet Mail Extension。 電子メールで、テキスト以外のデータ(つまり、プレーン ASCII コードでは表現できないデータ)を転送するための規格。たとえば、バイナリ、外国語テキスト(ロシア語や中国語など)、オーディオ、ビデオなどのデータです。 MIME は RFC 2045 で定義されています。

        RCPT TO:単一のメッセージを複数の受信者に配信するために、類似のメッセージで複数回繰り返すことができる受信者の電子メール アドレスおよび名前(使用する場合)。

        SMTP:シンプル メール転送プロトコル。 電子メール サービスを提供するインターネット プロトコル。