Cisco PIX Firewall/VPN コンフィギュレーション ガイド
接続の確立
接続の確立
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

接続の確立

初期コンフィギュレーション チェックリスト

デフォルト ルートの設定

ネットワーク ルータに対するデフォルト ルートの設定

ネットワーク ホストに対するデフォルト ルートの設定

PIXFirewall インターフェイスの設定

IP アドレスとサブネット マスクの割り当て

インターフェイスの種類の指定

インターフェイス名またはセキュリティ レベルの変更

NAT と PAT による発信接続の確立

概要

NAT と PAT の動作

NAT と PAT の設定

PIXFirewall のルーティングの設定

RIP の使用方法

PIX Firewall での RIP スタティック ルートの設定

OSPF の使用方法

概要

OSPF を使用する場合のセキュリティ問題

サポートされている OSPF 機能

制限事項

PIX Firewall 上での OSPF の設定

パブリック ネットワーク内での OSPF の使用方法

プライベート ネットワークおよびパブリック ネットワーク内での OSPF の使用方法

OSPF コンフィギュレーションの表示

OSPF コンフィギュレーションのクリア

コンフィギュレーションのテストと保存

接続性テスト

コンフィギュレーションの保存

基本コンフィギュレーションの例

NAT または PAT を使用しない 2 つのインターフェイス

NAT と PAT を使用する 2 つのインターフェイス

NAT または PAT を使用しない 3 つのインターフェイス

NAT および PAT を使用する 3 つのインターフェイス

VLAN を PIX Firewall と併用する方法

概要

論理インターフェイスの使用方法

VLAN のセキュリティ問題

VLAN を使用する場合の PIX Firewall の設定

VLAN の管理

外部 NAT の使用

概要

ルーティングの単純化

アドレスが重複するネットワークの設定

Stub Multicast Routing 機能の実装

概要

ホストにマルチキャスト伝送の受信を許可する

伝送発信元からのマルチキャストの転送

IGMP タイマーの設定

クエリー間隔の設定

クエリー応答時間の設定

IGMP コンフィギュレーションのクリア

SMR の表示とデバッグ

マルチキャスト ルーティングの参考資料

接続の確立

この章では、Cisco PIX Firewall のネットワーク ファイアウォール機能に必要となる基本的な準備とコンフィギュレーションについて説明します。この章を読み終えると、内部ネットワークからパブリック インターネット、または境界ネットワーク上のリソースへの基本接続を確立できるようになります。この章で説明する基本コンフィギュレーションによって、保護されているネットワークのユーザは接続を開始できますが、保護されていないネットワーク上のユーザは保護されたホストへのアクセス(または攻撃)ができないようになります。

ここでは、次の事項を取り上げます。

初期コンフィギュレーション チェックリスト(P.2-2)

「デフォルト ルートの設定」

「PIX Firewall インターフェイスの設定」

「NAT と PAT による発信接続の確立」

「PIX Firewall のルーティングの設定」

「コンフィギュレーションのテストと保存」

「基本コンフィギュレーションの例」

「VLAN を PIX Firewall と併用する方法」

「外部 NAT の使用」

「Stub Multicast Routing 機能の実装」

初期コンフィギュレーション チェックリスト

PIX Firewall を初めて設定し、ファイアウォールを介した無制限の発信接続を確立する場合は、 表 2-1 に要約する作業が必要です。発信接続を制御する手順または着信接続を確立する手順については、「ネットワーク アクセスとネットワーク使用の制御」を参照してください。

 

表 2-1 初期コンフィギュレーション チェックリスト

作業
説明
手順

新しいフィーチャ ライセンスを購入した場合は、フィーチャ ライセンスをアップグレードする。

PIX Firewall の新しいアクティベーション キーを購入した(または購入する必要がある)場合は、ファイアウォールを設定する前にライセンスをアップグレードします。

「フィーチャ ライセンスとシステム ソフトウェアの変更」「新しいアクティベーション キーによるライセンスのアップグレード」を参照してください。

外部インターフェイスで ICMP トラフィックを拒否する

PIX Firewall は、デフォルトで、外部インターフェイスを介したすべての着信トラフィックを拒否します。外部インターフェイスを介した着信接続をイネーブルにする前に、外部インターフェイスですべての ICMP トラフィックを拒否するよう
PIX Firewall を設定することを検討する必要があります。

ICMP コントロール リストが設定されていない場合、PIX Firewall は、外部インターフェイスを含め、任意のインターフェイスで終端するすべての ICMP トラフィックを受け入れます。

ping 要求を含む、外部インターフェイスを介したすべての ICMP トラフィックを拒否するには、次のコマンドを入力します。

icmp deny any outside
 

ICMP トラフィックを拒否する追加のインターフェイスごとに、このコマンドを入力します。


) 外部インターフェイスを介した接続性をテストする場合は、「コンフィギュレーションのテストと保存」の説明に従って、この設定を一時的に変更してください。


icmp コマンドの詳細については、『 Cisco
PIX Firewall Command Reference
』を参照してください。

断片化パケットを拒否する

PIX Firewall は、デフォルトで、最大 24 個のフラグメントを受け入れ、完全な IP パケットを再構築します。ネットワークのセキュリティ ポリシーに基づいて、断片化パケットがファイアウォールを通過しないよう PIX Firewall を設定することを検討する必要があります。

PIX Firewall FragGuard 機能により、断片化パケットを明示的に拒否しなくても、IP フラグメント化保護が提供されます。

外部インターフェイスおよび内部インターフェイス上で、断片化パケットを拒否するには、次のコマンドを入力します。

fragment chain 1 outside
fragment chain 1 inside
 

断片化パケットを拒否する追加のインターフェイスごとに、このコマンドを入力します。


) インターフェイスを介した Network File
System(NFS; ネットワーク ファイル システム)接続を許可するには、この設定を調整してください。


制限を 1 に設定すると、すべてのパケットが断片化されていない状態である必要があります。

fragment コマンドの詳細については、『Cisco
PIX Firewall Command Reference』を参照してください。

デフォルト ルートを設定する

PIX Firewall にトラフィックを転送するよう、ルータおよびホスト上にデフォルト ルートを設定します。

「デフォルト ルートの設定」を参照してください。

PIX Firewall インターフェイスを設定する。

別のネットワークに接続されている各
PIX Firewall のインターフェイスに、IP アドレスとサブネット マスクを割り当てます。

新しい PIX Firewall では、すべてのインターフェイスがデフォルトでシャットダウンされています。使用する各インターフェイスを明示的にイネーブルにする必要があります。

セキュリティ レベルにより、各種インターフェイス上のシステム間のアクセスを制御できます。デフォルトのインターフェイス名とセキュリティ レベルを使用することも、セキュリティ ポリシーに従ってインターフェイス名とセキュリティ レベルを変更することもできます。

「PIX Firewall インターフェイスの設定」を参照してください。

PIX Firewall のルーティングを設定する。

PIX Firewall の内部インターフェイスまたは境界インターフェイスにはそれぞれ、
Routing Information Protocol(RIP; ルーティング情報プロトコル)または Open Shortest Path First(OSPF)ルーティング プロトコルを設定できます。また、内部インターフェイスまたは境界インターフェイスを「デフォルト」のルートとしてブロードキャストするように設定することもできます。

「PIX Firewall のルーティングの設定」を参照してください。

発信接続を確立する。

NAT および PAT をイネーブルにして、高セキュリティ レベルのインターフェイスにあるホストから、低セキュリティ レベルのインターフェイスにあるホストへの発信接続を確立します。

「コンフィギュレーションのテストと保存」を参照してください。

接続性をテストする

ICMP メッセージを一時的にイネーブルにして、ホストが PIX Firewall 経由で到達可能であるかどうかをテストします。

「コンフィギュレーションのテストと保存」を参照してください。

コンフィギュレーションを保存する

コンフィギュレーションにコマンドをすべて入力したら、フラッシュ メモリにコンフィギュレーションを保存してから、
PIX Firewall を再度ブートします。

「コンフィギュレーションの保存」を参照してください。

デフォルト ルートの設定

この項では、PIX Firewall と通信するデバイスとホスト上にデフォルト ルートを設定する方法について説明します。次の項目について説明します。

「ネットワーク ルータに対するデフォルト ルートの設定」

「ネットワーク ホストに対するデフォルト ルートの設定」

ネットワーク ルータに対するデフォルト ルートの設定

ルートは、スタティックに定義されるかダイナミックに検出され、ルータまたはホストによって IP パケットの転送に使用されるパスを指定します。ルートが不明な場合は、パケットを転送するために、デフォルト ルートと呼ばれる特別なルートを定義する必要があります。不明なネットワーク宛てのパケットは、デフォルト ルータに転送されます。デフォルト ルータは、gateway of last resort と呼ばれることもあります。

Cisco IOS ルータ上にデフォルト ルートを設定して、トラフィックを PIX Firewall に転送するには、次の手順を実行します。


ステップ 1 PIX Firewall の内部インターフェイスに接続されているルータに Telnet 接続するか、そのルータのコンソール ポートに接続します。

Windows PC では、HyperTerminal プログラムを使用してコンソール ポートに接続できます。ルータのパスワードを調べておきます。

ステップ 2 Cisco IOS 設定モードにアクセスします。

ステップ 3 次の Cisco IOS CLI コマンドを使用して、PIX Firewall の内部インターフェイスへのデフォルト ルートを設定します。

ip route 0.0.0.0 0.0.0.0 if_address
 

ルータに接続されている PIX Firewall インターフェイスごとに、if_address に PIX Firewall インターフェイスの IP アドレスを指定します。

ステップ 4 show ip route コマンドを入力し、接続されている PIX Firewall インターフェイスが「gateway of last resort」と表示されていることを確認します。

ステップ 5 clear arp コマンドを使用して ARP キャッシュをクリアします。次に、Cntrl-Z を入力して、設定モードを終了します。

ステップ 6 デフォルト ルートを変更した場合は、ルータから write memory コマンドを使用して、コンフィギュレーションをフラッシュ メモリに保存します。

ステップ 7 PIX Firewall の内部インターフェイスおよび各境界インターフェイスの別のルータに接続し、各
PIX Firewall インターフェイスとルータに対してステップ 1 ~ 6 を繰り返します。

ステップ 8 PIX Firewall のインターフェイスに接続されているルータより下位のネットワーク上にルータがある場合は、下位ルータのデフォルト ルートが PIX Firewall に接続されているルータに向かうように下位ルータを設定し、次に下位ルータの ARP キャッシュもクリアします。


 

ネットワーク ホストに対するデフォルト ルートの設定

内部インターフェイスまたは境界インターフェイスと同じサブネット上のホストはそれぞれ、PIX Firewall に向かうデフォルト ルートを持っている必要があります。デフォルト ルートを設定する手順については、特定のホストのオペレーティング システムのマニュアルを参照してください。

PIX Firewall インターフェイスの設定

この項では、各 PIX Firewall インターフェイスに必要なコンフィギュレーションについて説明します。

「IP アドレスとサブネット マスクの割り当て」

「インターフェイスの種類の指定」

「インターフェイス名またはセキュリティ レベルの変更」

IP アドレスとサブネット マスクの割り当て

別のネットワークに接続されている PIX Firewall の各インターフェイスに、IP アドレスを割り当てます。PIX Firewall インターフェイスには、IP アドレスを割り当てられるまで、IP アドレスがありません。ip address コマンドの形式は、次のとおりです。

ip address interface_name ip_address netmask
 

interface_name には、PIX Firewall インターフェイスそれぞれに割り当てられている名前を指定します。デフォルトでは、セキュリティ レベルが最も低いインターフェイスの名前は outside であり、セキュリティ レベルが最も高いインターフェイスの名前は inside です。インターフェイスのデフォルト名を変更するには、nameif コマンドを使用します。

ip_address には、そのインターフェイスに指定する IP アドレスを指定します。

割り当てる IP アドレスは、各インターフェイスに固有であることが必要です。ルータやホストに前に使用したアドレス、またはほかの PIX Firewall コマンドで使用したアドレス、たとえば、グローバル プールの IP アドレスまたはスタティック変換用の IP アドレスは使用できません。

netmask には、IP サブネットワークの適切なネットワーク マスクを指定します。

たとえば、Class A アドレス(1 ~ 127 で始まるアドレス)には 255.0.0.0 を、Class B アドレス(128 ~ 191 で始まるアドレス)には 255.255.0.0 を、Class C アドレス(192 ~ 223 で始まるアドレス)には 255.255.255.0 を使用します。トラフィックが停止するため、ネットワークに接続されているインターフェイスには 255.255.255.255 を使用しないでください。サブネット化を行っている場合は、255.255.255.228 のように、マスク内でサブネットを使用します。

ネットワーク マスクは、必ず ip address コマンドで指定してください。PIX Firewall が IP アドレスに基づいてネットワーク マスクを割り当てるようにした場合、別のインターフェイスのアドレスが最初のアドレスと同じ範囲内にあると、それ以降の IP アドレスを入力できなくなります。

たとえば、ネットワーク マスクを指定しないで内部インターフェイス アドレス 10.1.1.1 を指定し、次に、境界インターフェイス アドレスに 10.1.2.2 を指定しようとすると、「Sorry, not allowed to enter IP address on same network as interface n .」というエラー メッセージが表示されます。この問題を解決するには、内部インターフェイス用の正しいネットワーク マスクを指定して最初のコマンドを再入力します。次に、境界インターフェイス用の IP address コマンド(ネットワーク マスクを含む)を入力します。

show ip コマンドを使用して、入力したコマンドを確認します。入力したコマンドに誤りがある場合は、新しい情報で同じコマンドを再入力します。

ip address コマンドの例を次に示します。

ip address inside 192.168.1.1 255.255.255.0

インターフェイスの種類の指定

新しい PIX Firewall では、すべてのインターフェイスがデフォルトでシャットダウンされています。interface コマンドを使用して、使用中のインターフェイスをそれぞれ明示的にイネーブルにする必要があります。

PIX Firewall にイーサネット インターフェイスがある場合は、デフォルト コンフィギュレーションによって、interface コマンドに必要なオプションが提供されています。PIX Firewall にギガビット イーサネットがある場合のコンフィギュレーション情報については、『 Cisco PIX Firewall Command Reference 』の interface コマンドのページを参照してください。

interface コマンドの形式は、次のとおりです。

interface hardware_id hardware_speed [shutdown]
 

hardware_id には、ethernet2、ethernet3 などのネットワーク インターフェイス カードのハードウェア名を指定します。特定の PIX Firewall モデルのインターフェイス番号付けについては、『Cisco PIX Firewall Hardware Installation Guide』を参照してください。

hardware_speed には、インターフェイスの速度を指定します。値は、 表 2-2 に示す値を使用します。

shutdown オプションは、インターフェイスを使用不能にします。PIX Firewall を初めてインストールする場合は、すべてのインターフェイスで shutdown オプションが有効になっています。

write terminal コマンドを使用してコンフィギュレーションを表示し、interface コマンド情報を検出します。 interface コマンドの入力に誤りがあった場合は、新しい情報で同じコマンドを再入力します。

 

表 2-2 hardware_speed パラメータの値

説明

10baset

半二重 10Mbps イーサネット通信を設定します。

100basetx

半二重 100Mbps イーサネット通信を設定します。

100full

全二重 100Mbps イーサネット通信を設定します。

1000full

1000Mbps ギガビット イーサネット通信を設定し、自動ネゴシエーションを行って、全二重だけをアドバタイズします。

1000full nonegotiate

1000 Mbps ギガビット イーサネット通信を設定し、速度を全二重 1000 Mbps に強制します。

1000auto

全二重/半二重を自動ネゴシエーションする 1000Mbps ギガビット イーサネット通信を設定します。

aui

AUI ケーブル インターフェイス用の半二重 10Mbps イーサネット通信を設定します。

auto

イーサネットの速度と二重操作を自動的に設定します。

bnc

BNC ケーブル インターフェイス用の半二重 10Mbps イーサネット通信を設定します。


) イーサネットの場合は、maximum transmission unit(MTU; 最大伝送ユニット)のサイズが 1500 バイトを超えないようにしてください。MTU を表示するには、show mtu コマンドを使用します。


インターフェイス名またはセキュリティ レベルの変更

各インターフェイスには固有の名前とセキュリティ レベルがあり、nameif コマンドを使用して変更できます。デフォルトでは、Ethernet0 の名前は outside で、security0 というレベルが割り当てられています。Ethernet1 の名前は inside で、security100 というレベルが割り当てられています。境界インターフェイスのデフォルト名は intf n です。 n は、PIX Firewall 内のインターフェイス カードの位置を表します。境界インターフェイスのデフォルト セキュリティ レベルは、ethernet2 (intf2)に対応する security10 から始まり、追加されるインターフェイスそれぞれに対して 5 ずつ増加します。


) デフォルトのインターフェイス名とセキュリティ レベルを使用する場合には、この項をスキップしてください。


show nameif コマンドを使用して、各インターフェイスの現在の名前とセキュリティ レベルを表示します。3 つのインターフェイスを持つ PIX Firewall に対してこのコマンドを適用すると、結果は次のようになります。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
 

セキュリティ レベルによって、各種インターフェイス上のシステム間のアクセスを制御できます。また、アクセスをイネーブルにする方法、または制限する方法は、次のようにインターフェイスの相対的なセキュリティ レベルに依存します。

セキュリティ レベルの低いインターフェイスから高いインターフェイスへのアクセスを
イネーブルにするには、static コマンドと access-list コマンドを使用します。

セキュリティ レベルの高いインターフェイスから低いインターフェイスへのアクセスを
イネーブルにするには、nat コマンドと global コマンドを使用します。

インターフェイスにアクセスする不正侵入者は、より低いセキュリティ レベルのインターフェイスを簡単に攻撃できます。このため、公開サーバはセキュリティ レベルが最も低い境界インターフェイスに配置します。しかし、そこから PIX Firewall コンフィギュレーションをダウンロードする TFTP サーバは、よりセキュアなインターフェイス上に配置して不正アクセスを防止する必要があります。

nameif コマンドの形式は、次のとおりです。

nameif hardware_id interface security_level
 

hardware_id には、ethernet0 など、interface コマンドで使用した値を指定します。

interface には、境界インターフェイスそれぞれに対して、dmz、perim など、内容がわかる名前を指定します。

この名前には最大で 48 文字を使用できますが、頻繁に入力する必要があるので、短い名前にすることを推奨します。デフォルト名は intf n です。 n は、PIX Firewall 内のインターフェイス カードの位置を表します。

security_level には、security40、security60 などの値を指定します。

境界インターフェイスのデフォルト セキュリティ レベルは、intf2(第 1 境界インターフェイスを表すデフォルト名)に対する security10 から始まり、インターフェイスそれぞれ対して 5 ずつ増加します。たとえば、intf3 = security15、intf4 = security20、intf5 = security25 となります。境界インターフェイスに対しては、1 ~ 99 の固有のセキュリティ レベルを任意に選択できます。

NAT と PAT による発信接続の確立

この項では、NAT および PAT を使用して、高セキュリティ レベルのインターフェイスにあるホストから、低セキュリティ レベルのインターフェイスにあるホストへの発信接続を確立する方法について説明します。次の項目について説明します。

「概要」

「NAT と PAT の動作」

「NAT と PAT の設定」

概要

NAT は、グローバル IP アドレスをローカル IP アドレスにマッピングします。スタティック NAT については、「ネットワーク アクセスとネットワーク使用の制御」「スタティック NAT によるサーバ アクセスのイネーブル化」の項を参照してください。スタティック NAT は、2 つのアドレス間に固定した 1 対 1 のマッピングを提供します。ダイナミック NAT は、グローバル アドレスのある範囲またはプールを使用して、限られた数のグローバル アドレスを持つ多数のユーザをサポートできるようにします。

PAT は、1 つのグローバル IP アドレスを多数のローカル アドレスにマッピングします。PAT は、接続要求時に外部アドレスに固有ポート番号をダイナミックに割り当てることによって、サイトで使用できる外部アドレスの範囲を拡大します。1 つの IP アドレスが、接続に利用できるポートを最大 65,535 持つことができます。PAT では、ポート番号によって、各接続が識別されます。

通常、NAT と PAT は、PIX Firewall 経由で発信接続を開始する内部ホストのアドレスに適用されます。この場合、グローバル アドレスは、通常、パブリック インターネット上で使用するための
Network Information Center(NIC)に登録されている IP アドレスです。ローカル アドレスは、パブリック インターネットで使用しない内部 IP アドレスです。内部アドレスは、ルーティングが不可能(プライベート)であるため、またはパブリック インターネットからの攻撃を阻止するために、内部アドレスを変換する場合があります。

PIX Firewall Version 6.2 以降では、高セキュリティ レベルのインターフェイス上のホストへの接続を開始する外部のネットワーク(低セキュリティ レベルのインターフェイス)で、アドレスの NAT と PAT がサポートされています。外部 NAT は、アドレスが重複しているネットワークに対するルーティング制御と接続に役立つことがあります。外部 NAT の詳細については、「外部 NAT の使用」を参照してください。

表 2-3 に、NAT と PAT のさまざまな機能を示します。

 

表 2-3 アドレス変換の種類

アドレス変換の種類
機能

内部ダイナミック NAT

高セキュリティ インターフェイス上の複数のホスト アドレスと、低セキュリティ インターフェイス上にある IP アドレスのある範囲またはプールとの間の変換を行います。内部アドレスと外部アドレス間の 1 対 1 マッピングが得られるため、内部ユーザが登録 IP アドレスを共有でき、内部アドレスがパブリック インターネットから隠蔽されます。

内部ダイナミック PAT

高セキュリティ インターフェイス上の複数のホスト アドレスと、低セキュリティ インターフェイス上の 1 つのアドレスとの間の変換を行います。内部アドレスと外部アドレス間の多対 1 マッピングが得られます。このマッピングによって、内部ユーザが 1 つの登録 IP アドレスを共有でき、内部アドレスがパブリック インターネットから隠蔽されます。PAT をサポートしているアプリケーションは、NAT をサポートしているアプリケーションより少数です。「アプリケーション検査(フィックスアップ)の設定」「アプリケーション検査の動作」を参照してください。

内部スタティック NAT

高セキュリティ インターフェイス上の 1 つの IP アドレスと、低セキュリティ インターフェイス上の 1 つの IP アドレスとの間の固定した 1 対 1 マッピングが得られます。これによって、ホストは、実際の IP アドレスを公開せずに、パブリック インターネットから内部のホストにアクセスできます。

外部ダイナミック NAT

低セキュリティ インターフェイス上のホスト アドレスと、高セキュリティ インターフェイス上の IP アドレスのある範囲またはプールとの間の変換を行います。外部アドレスと内部アドレス間の 1 対 1 マッピングが得られます。このマッピングは、PIX Firewall の内部インターフェイスに表示されるアドレスの制御、およびアドレスが重複しているプライベート ネットワークの接続に最も有用な機能です。

外部ダイナミック PAT

低セキュリティ インターフェイス上の複数のホスト アドレスと、高セキュリティ インターフェイス上の 1 つのアドレスとの間の変換を行います。外部アドレスと内部アドレス間の多対 1 マッピングが得られます。

外部スタティック NAT

低セキュリティ インターフェイス上の 1 つの IP アドレスと、高セキュリティ インターフェイス上の 1 つの IP アドレスとの間の固定した 1 対 1 マッピングが得られます。

NAT と PAT の動作

PIX Firewall は、NAT 識別番号(NAT ID)を使用して、内部アドレスとグローバル アドレスを関連付けます。たとえば、内部インターフェイスが NAT ID 5 の場合、内部インターフェイスからほかのインターフェイス(境界または外部)へ接続するホストは、NAT ID 5 に関連付けられているグローバル アドレス プールから代替(変換)アドレスを取得します。

内部アドレスが外部のネットワークに公開されないように NAT 機能を使用しない場合は、内部アドレスに NAT ID 0 を割り当てて、これらの内部アドレスに対しては、アドレス変換が行われないことを PIX Firewall に示します。設定情報については、『 Cisco PIX Firewall Command Reference 』を参照してください。

外部インターフェイスよりもセキュリティ レベルの高いインターフェイス、たとえば、内部インターフェイスまたは境界インターフェイスに対して、高セキュリティ レベルのインターフェイスのユーザが低セキュリティ レベルのインターフェイスにアクセスできるようにするには、nat コマンドおよび global コマンドを使用します。反対に、セキュリティ レベルの低い方から高い方へは、access-list コマンドを使用します。このコマンドは、『 Cisco PIX Firewall Command Reference 』で説明しています。

nat コマンドと global コマンドを入力してユーザが接続を開始できるようにするときに、show nat コマンドまたは show global コマンドを使用すると既存のコマンドのリストを表示できます。間違えた場合は、最初のコマンドのオプションをすべて指定し、no 形式のコマンドで前のコマンドを削除します。この場合、切り取り/貼り付け機能を備えた端末が便利です。show global コマンドを使用した後に、古いコマンドを切り取り、コマンド ラインに no およびスペースを 1 個入力し、古い行を貼り付け、Enter キーを押して削除します。

NAT と PAT の設定

高セキュリティ レベルのインターフェイスのユーザが接続を開始できるようにするには、次の手順を実行します。


ステップ 1 show nameif コマンドを使用して、各インターフェイスのセキュリティ レベルを表示します。

ステップ 2 図 2-1 に示すように、各インターフェイスとそのセキュリティ レベルを示す概略図を作成します。

図 2-1 インターフェイスとセキュリティ レベルの概略図

 

ステップ 3 nat コマンド文を高セキュリティ レベルのインターフェイスそれぞれに追加して、そのインターフェイスからユーザが低セキュリティ レベルのインターフェイスへの接続を開始できるようにします。

a. 内部のユーザが低セキュリティ レベルのインターフェイスで接続を開始できるようにするに
は、nat (inside) 1 0 0 コマンドを使用します。

b. dmz4 ユーザが低セキュリティ レベルのインターフェイス(たとえば、dmz3、dmz2、dmz1)、または外部インターフェイスで接続を開始できるようにするには、nat (dmz4) 1 0 0 コマンドを使用します。

c. dmz3 ユーザが低セキュリティ レベルのインターフェイス(たとえば、dmz2、dmz1)、または外部インターフェイスで接続を開始できるようにするには、nat (dmz3) 1 0 0 コマンドを使用します。

d. dmz2 ユーザが低セキュリティ レベルのインターフェイス(たとえば、dmz1)、または外部インターフェイスで接続を開始できるようにするには、nat (dmz2) 1 0 0 コマンドを使用します。

e. dmz1 ユーザが外部インターフェイスへの接続を開始できるようにするには、nat (dmz1) 1 0 0 コマンドを使用します。

「0 0」を指定すると、すべてのホストが接続を開始できるようにする代わりに、ホストまたはネットワーク アドレスおよびネットワーク マスクを指定できます。

たとえば、ホスト 192.168.2.42 だけが dmz2 インターフェイス上で接続を開始できるようにするには、次のように指定します。

nat (dmz2) 1 192.168.2.42 255.255.255.255
 

インターフェイス指定子の後の「1」は NAT ID です。1 つの ID をすべてのインターフェイスに使用すると、PIX Firewall は、どのインターフェイスでどの global コマンド文にどの nat コマンド文が関連しているかを整理したり、ある固有の NAT ID を指定して、アクセスをその特定のインターフェイスに制限したりできます。nat コマンドによって、低セキュリティ レベルのインターフェイスすべてにアクセスできるようになるため、内部のユーザが境界インターフェイスおよび外部インターフェイスにアクセスできるようにする場合は、1 つの NAT ID をすべてのインターフェイスに対して使用することを忘れないでください。内部のユーザに対して、dmz1 インターフェイスへのアクセスは認めるが、外部インターフェイスへのアクセスは認めないという場合は、インターフェイスそれぞれに対して固有の NAT ID を使用します。

nat コマンドで使用する NAT ID は、対応する global コマンドで使用する NAT ID と一致させる必要があります。

NAT ID 0 は、ネットワーク アドレス変換をディセーブルにすることを意味します。

ステップ 4 ユーザにアクセスを認める低セキュリティ レベルのインターフェイス、たとえば、外部、dmz1、dmz2 のそれぞれに対して、global コマンド文を追加します。この global コマンドによって、変換された接続が通過するアドレス プールが作成されます。

グローバル アドレスは、低セキュリティ インターフェイスに同時にアクセスする、各インターフェイス上のユーザ数の処理に十分な数を用意する必要があります。PAT のエントリを 1 つ指定することで、最大 64,000 のホストに 1 つの IP アドレスを使用できます。PAT には、H.323 やキャッシング ネームサーバの使用をサポートできないという一定の制約があるため、単独のグローバル アドレスとして使用するよりも、グローバル アドレスの範囲を拡大する目的で使用してください。

次に例を示します。

global (outside) 1 209.165.201.5 netmask 255.255.255.224
global (outside) 1 209.165.201.10-209.165.201.20 netmask 255.255.255.224
 

最初の global コマンド文で、1 つの IP アドレスを指定します。PIX Firewall はこの IP アドレスを PAT と解釈します。IP アドレスを使用する PAT を、 interface キーワードを使用するインターフェイスに指定できます。PAT を使用すると、最大 65,535 のホストが外部への接続を開始できます。


) PIX Firewall Version 5.2 以降は、各インターフェイスに複数の PAT グローバル コマンド文を許可します。


2 番目の global コマンド文は、外部インターフェイス上のグローバル アドレス プールを設定します。

同じインターフェイスの同じコンフィギュレーションで NAT 用と PAT 用の IP アドレス プールを定義すると、PIX Firewall は、コンフィギュレーション内の文の順序に関係なく、まず NAT アドレス プールを使用します。NAT 用の IP アドレス プールを割り当てる文が複数存在する場合、アドレスは文の順序に従って使用されます。PAT 用に割り当てられた IP アドレスは、NAT IP アドレス プールが使い果たされた後にだけ使用されます。その結果、ユーザが H.323 アプリケーションを使用しなければならない状況になっても、PAT が外部に公開される危険が最小になります。

global (dmz1) 1 192.168.1.10-192.168.1.100 netmask 255.255.255.0
global (dmz2) 1 192.168.2.10-192.168.2.100 netmask 255.255.255.0
 

dmz1 に対する global コマンド文では、内部、dmz2、dmz3、dmz4 のユーザに dmz1 インターフェイス上で接続を開始できるようにします。

dmz2 に対する global コマンド文では、内部、dmz3、dmz4 のユーザに dmz2 インターフェイス上で接続を開始できるようにします。

ネットワークをサブネット化している場合は、netmask オプションでサブネット マスクを指定します。

異なる内部サブネットを異なる PAT アドレスにマッピングすることによって、異なるサブネット間の使用状況をトラッキングできます。

次に例を示します。

nat (inside) 1 10.1.0.0 255.255.0.0
nat (inside) 2 10.1.1.1 255.255.0.0
global (outside) 1 192.168.1.1
global (outside) 2 209.165.200.225
 

この例では、グローバル設定モードで、内部ネットワーク 10.1.0.0/16 上のホストがグローバル アドレス 192.168.1.1 にマッピングされ、内部ネットワーク 10.1.1.1/16 上のホストはグローバル アドレス 209.165.200.225 にマッピングされています。

トラフィックを測定するもう 1 つの方法に、PAT アドレスのバックアップを作成する方法があります。

次に例を示します。

nat (inside) 1 10.1.0.0 255.255.0.0
global (outside) 1 209.165.200.225
global (outside) 1 192.168.1.1
 

この例では、グローバル設定モードで、2 つのポート アドレスが、内部ネットワーク 10.1.0.0/16 からホスト上の PAT をセットアップするように設定されています。


 

PIX Firewall のルーティングの設定

ルートは、PIX Firewall で受信された、特定の宛先ネットワークのパケットを転送する場合に使用するインターフェイスとルータ(ゲートウェイ)を特定します。この項では、隣接ネットワーク間でトラフィックが正しくルーティングされるように PIX Firewall を設定する方法について説明します。次の項目について説明します。

「RIP の使用方法」

「PIX Firewall での RIP スタティック ルートの設定」

「OSPF の使用方法」

「PIX Firewall 上での OSPF の設定」

「OSPF コンフィギュレーションの表示」

「OSPF コンフィギュレーションのクリア」

RIP の使用方法

PIX Firewall の内部インターフェイスまたは境界インターフェイスにはそれぞれ、ルートおよび RIP 情報を設定できます。必要なルート情報を決定するには、ネットワークで使用されているルータおよび PIX Firewall の設置を計画しているポイントに隣接するルータを考慮する必要があります。

ルートを指定することによって、PIX Firewall に、特定のインターフェイスに転送され特定のネットワーク アドレスに向かう情報の宛先を知らせます。インターフェイスあたり複数のルートを指定して、ネットワーク トラフィックの送信先を制御できます。詳細については、『 Cisco PIX Firewall Command Reference 』の route コマンドのページを参照してください。

PIX Firewall で RIP がイネーブルな場合、PIX Firewall は、RIP ネットワーク トラフィックを「受動的に」リスンすることによって、ネットワーク上で何がどこにあるかをすべて取得します。PIX Firewall は、RIP トラフィックを受信すると、自分のルーティング テーブルを更新します。また、内部インターフェイスまたは境界インターフェイスを「デフォルト」のルートとしてブロードキャストするように設定することもできます。 すべてのネットワーク トラフィックが PIX Firewall のあるインターフェイスを通過するよう設定するには、そのインターフェイスをデフォルト ルートとしてブロードキャストするのが便利です。設定情報については、『 Cisco PIX Firewall Command Reference 』の rip コマンドのページを参照してください。

ルートを定義するときは、宛先ネットワークの IP アドレスおよびネットワーク マスクを指定します。デフォルト ルートを定義する場合、IP アドレスおよびネットワーク マスクのデフォルト値には、いずれも 0.0.0.0 を使用してください。

ゲートウェイ IP アドレスには、宛先ネットワークの IP アドレスにトラフィックを転送するルータのアドレスを指定します。

RIP コンフィギュレーションは、PIX Firewall が RIP トラフィックの受動的リスンによって、自分のルーティング テーブルを更新するかどうか、およびインターフェイスが、そのインターフェイス上のネットワーク トラフィックのデフォルト ルートとして自分自身をブロードキャストするかどうかを指定します。


) コンフィギュレーションをテストする前に、PIX Firewall とトラフィックを送受信するすべての
ルータ、および PIX Firewall とインターネット間にあるすべてのルータの ARP キャッシュを消去してください。シスコ ルータに clear arp コマンドを発行して ARP キャッシュを消去します。


PIX Firewall での RIP スタティック ルートの設定

スタティック ルートを追加するには、次の手順を実行します。


ステップ 1 図 2-2 の例を参考に、ネットワークの概略図を作成してください。

図 2-2 ルートが示されたネットワークの概略図

 

ステップ 2 次のようにデフォルト ルートを入力します。

route outside 0 0 209.165.201.2 1
 

デフォルト ルートは 1 つだけ指定できます。このコマンド文によって、デフォルト ルートである IP アドレス 0.0.0.0(0、およびネットマスクに対して 0 と省略されている)宛てのパケットが、すべてルータ 209.165.201.2 に送信されます。このコマンド文の末尾にある 「1」は、このルータが PIX Firewall に最も近いルータ、つまり 1 ホップのところにあるルータであることを示します。

さらに、内部のルータに接続されているネットワークに対してスタティック ルートを追加します。次のように入力します。

route inside 192.168.5.0 255.255.255.0 192.168.0.2 1
route inside 192.168.6.0 255.255.255.0 192.168.0.2 1
 

これらのスタティック route コマンド文は、「ネットワーク 192.168.5.0 または 192.168.6.0 宛てのパケットは、192.168.0.2 にあるルータに送る」という意味です。このルータが、パケットとその宛先ネットワークを決定します。PIX Firewall はルータではないため、これらの決定を行うことができません。

コマンド文の末尾にある「1」は、PIX Firewall からルータまでのホップ(ルータ)数を指定します。これは最初のルータなので、1 を使用します。

ステップ 3 dmz4 インターフェイスに対してスタティック ルートを追加します。

route dmz4 192.168.7.0 255.255.255.0 192.168.4.2 1
route dmz4 192.168.8.0 255.255.255.0 192.168.4.2 1
 

これらのコマンド文によって、ネットワーク 192.168.6.0 および 192.168.7.0 宛てのパケットが 192.168.4.2 のルータを介して送り返されます。


 

OSPF の使用方法

この項では、OSPF ルーティング プロトコルが PIX Firewall Version 6.3 に実装される方法について説明します。次の項目について説明します。

「概要」

「OSPF を使用する場合のセキュリティ問題」

「サポートされている OSPF 機能」

「制限事項」

概要

PIX Firewall Version 6.3 では、OSPF ルーティング プロトコルを使用するダイナミック ルーティングのサポートが導入されています。OSPF は、ネットワーク帯域幅を効率的に使用し、かつトポロジ変更後のコンバージェンスが高速であるため、大規模なインターネットワークに広く展開されています。


) OSPF は、PIX Firewall 501 ではサポートされていません。


PIX Firewall Version 6.3 での OSPF 機能は、Cisco IOS Release12.2(3a) で提供される機能と同様です。OSPF の管理に使用する各コマンドおよびサブコマンドの構文の詳細については、
『Cisco PIX Firewall Command Reference』または Cisco IOS ソフトウェアのマニュアルを参照してください。

OSPF を使用する場合のセキュリティ問題

OSPF とほかのプロトコル(RIP など)の間の経路再配送は、ルーティング情報を破壊するために攻撃者によって使用される可能性があるため、可能な場合は、すべてのルーティング プロトコルで認証を使用する必要があります。すべてのセグメントで MD5 認証が使用される場合、OSPF でセキュリティは問題でなくなります。

ダイナミック ルーティングを使用する場合は、PIX Firewall の物理的なセキュリティの重要性が高くなります。物理デバイスおよび設定情報へのアクセスは、常に安全性を保つ必要があります。定期的に共有キーを変更する必要があります。

通常の動作の一部として、OSPF はルートをネットワークにアドバタイズしますが、これは多くの PIX Firewall 実装では不要になることがあります。プライベート アドレッシングを使用する場合、またはセキュリティ ポリシーによって要求された場合は、ネットワークが外部にアドバタイズされないようにすることが必要な場合があります。

NAT が使用され、OSPF がパブリック エリアとプライベート エリアで動作し、アドレス フィルタリングが必要な場合は、2 つの OSPF プロセスを実行する必要があります。1 つはパブリック エリア用のプロセスで、もう 1 つはプライベート エリア用のプロセスです。

複数のエリアのインターフェイスを持つルータは、Area Border Router(ABR; エリア境界ルータ)と呼ばれます。ルーティング ドメイン間でトラフィックの再配布または外部ルート(タイプ 1 またはタイプ 2)のインポートを行うルータは、Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)と呼ばれます。

ABR は、link-state advertisement(LSA; リンク状態アドバタイズメント)を使用して、使用可能なルートに関する情報をほかの OSPF ルータに送信します。ABR のタイプ 3 LSA のフィルタリングを使用すると、PIX Firewall を ABR として機能させ、プライベートとパブリックの別個のエリアを持つことができます。タイプ 3 LSA(エリア間ルート)は、あるエリアから別のエリアへのフィルタリングが可能です。これを行うことにより、プライベート ネットワークをアドバタイズせずに、NAT と OSPF を一緒に使用できます。


) タイプ 3 LSA に限り、フィルタリングができます。プライベート ネットワーク内で PIX Firewall を ASBR として設定すると、PIX Firewall はプライベート ネットワークを記述するタイプ 5 LSA を送信し、その LSA はパブリック エリアを含む AS 全体にフラッドされます。


NAT が使用されるが、OSPF がパブリック エリア内だけで動作する場合、パブリック ネットワークへのルートを、デフォルトまたはタイプ 5 AS 外部 LSA として、プライベート ネットワーク内で再配布できます。ただし、PIX Firewall によって保護されているプライベート ネットワーク用のスタティック ルートを設定する必要があります。また、同じ PIX Firewall インターフェイス上でパブリック ネットワークとプライベート ネットワークを混合することはできません。

サポートされている OSPF 機能

次に、PIX Firewall Version 6.3 によってサポートされている OSPF 機能のリストを示します。

エリア内ルート、エリア間ルート、および外部ルート(タイプ I とタイプ II)のサポート

仮想リンクのサポート

OSPF LSA フラッディング

OSPF パケットの認証(クリア テキスト認証と MD5 認証の両方)

PIX Firewall を designated router(DR; 代表ルータ)または ABR として設定するためのサポート

PIX Firewall を ASBR として設定するためのサポート(OSPF ルート、スタティック ルート、接続ルートなど、OSPF プロセス間での経路再配送が可能)

スタブ エリアと not so stubby エリア(NSSA)のサポート

ABR のタイプ 3 LSA のフィルタリング

Equal Cost Multipath Routes(ECMP; 等コスト マルチパス ルート)を使用した、1 つのインターフェイス上での最大 3 つのピア間のロード バランシング


) ECMP を使用している場合、PIX Firewall 上のファースト イーサネット リンクのデフォルト コストは Cisco Firewall Services Module(FWSM)と一致しますが、Cisco IOS ルータとは異なることに注意してください。


表 2-4 に、PIX Firewall Version 6.3 でサポートされている OSPF コマンドとサポートされていない OSPF コマンドの概要を示します。各コマンドの詳細な構文については、Cisco IOS Release 12.2(3a) のマニュアルまたは『Cisco PIX Firewall Command Reference』を参照してください。

 

表 2-4 PIX Firewall Version 6.3 でサポートされている Cisco IOS OSPF コマンド

OSPF コマンド1
サポートの
有無
OSPF コマンド
サポートの有無
OSPF コマンド
サポートの有無
area authentication

あり

ip ospf dead-interval

あり

show ip ospf flood-list

あり

area default-cost

あり

ip ospf flood-reduction

なし

show ip ospf interface

あり

area filter-list

あり

ip ospf hello-interval

あり

show ip ospf neighbor

あり

area nssa

あり

ip ospf message-digest-key

あり

show ip ospf request-list

あり

area range

あり

ip ospf mtu-ignore

あり

show ip ospf retransmission-list

あり

area stub

あり

ip ospf name-lookup

なし

show ip ospf summary-address

あり

area virtual-link

あり

ip ospf priority

あり

show ip ospf virtual-links

あり

auto-cost

なし(ospf コストを使用)

ip ospf retransmit-interval

あり

summary-address (OSPF)

あり

compatible rfc1583

あり

ip ospf transmit-delay

あり

timers lsa-group-pacing

あり

default-information originate (OSPF)

あり

log-adj-changes

あり

timers spf

あり

distance ospf

あり

network area

あり

clear ip ospf

変更

ignore lsa mospf

あり

router-id

あり

default-metric (OSPF)

なし

ip ospf authentication

あり

router ospf

あり

ip ospf demand-circuit

なし

ip ospf authentication-key

あり

show ip ospf [process-id]

あり

ip ospf network

なし

ip ospf cost

あり

show ip ospf border-routers

あり

neighbor (OSPF)

なし

ip ospf database-filter

あり

show ip ospf database

あり

1.PIX Firewall で使用される一部のコマンドの正確な構文は、Cisco IOS ソフトウェア実装とは少し異なります。特定のコマンドの正確な構文については、『Cisco PIX Firewall Command Reference』を参照してください。

制限事項

PIX Firewall Version 6.3 では、OSPF によって提供されるフィルタリング以外の OSPF フィルタリングは提供されません。

OSPF は、重複するアドレス スペースでのダイナミック ルーティングをサポートしていません。したがって、PIX Firewall は、重複するアドレスを取得できるインターフェイス上での OSPF の実行はサポートしていません。重複するアドレスのネットワークをサポートするには、スタティック ルートを設定するか、またはパッシブ RIP を使用します。


) 同じ PIX Firewall 上で OSPF と RIP の両方を同時に実行することはできません。


PIX Firewall Version 6.3 の OSPF 実装では、ブロードキャスト ネットワークだけがサポートされています。次に、PIX Firewall Version 6.3 でサポートされていない OSPF 機能の概要を示します。

ポイントツーポイント リンク/シリアル インターフェイス/非ブロードキャスト マルチアクセス(NBMA)

デマンド回線上の OSPF

フラッド リダクション

非 OSPF ルーティング プロトコル間の経路再配送

ポリシー ルーティング

最大 2 つの OSPF プロセスを実行でき、PIX Firewall はこれらの OSPF プロセス間の再配送だけを許可します。

同じルータが PIX Firewall の 2 つの異なるインターフェイスに接続されるトポロジは、サポートさていません。

PIX Firewall 上での OSPF の設定

この項では、OSPF を使用する場合に PIX Firewall を設定する方法について説明します。次の項目について説明します。

「パブリック ネットワーク内での OSPF の使用方法」

「プライベート ネットワークおよびパブリック ネットワーク内での OSPF の使用方法」

パブリック ネットワーク内での OSPF の使用方法

図 2-3 に、パブリック ネットワークとプライベート ネットワーク内で OSPF を使用する PIX Firewall 実装を示します。

図 2-3 PIX Firewall Version 6.3 での OSPF の使用

 

この例では、PIX Firewall が ABR として示され、タイプ 3 LSA をフィルタリングするよう設定されています。NAT は内部インターフェイス上でイネーブル、DMZ 上でディセーブルであり、すべてのインターフェイスが OSPF を実行しています。ルータ 1 は、ローカルで制御される ASBR であり、OSPF と Border Gateway Protocol(BGP)を実行しています。


) NAT がイネーブルであるが、OSPF がパブリック エリアだけで動作している場合、必要となる特別なコンフィギュレーションは、PIX Firewall によって保護されているプライベート ネットワーク用のスタティック ルートを設定することだけです。


このコンフィギュレーションでは、内部インターフェイスがすべてのエリアからダイナミックにルートを取得しますが、そのプライベート ルートはバックボーン エリアにもパブリック エリアにも伝播されません。DMZ は、バックボーンから見ることができます。

次の手順に従って、この PIX Firewall 実装を設定します。


ステップ 1 PIX Firewall インターフェイスを設定するには、次のコマンドを入力します。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
ip address outside 1.1.1.1 255.255.255.0
ip address inside 10.0.0.1 255.0.0.0
ip address dmz 1.1.2.1 255.255.255.0
 

ステップ 2 スタティック ルートを設定するには、次のコマンドを入力します。

static (inside,outside) 1.1.1.2 10.1.1.2 255.255.255.255
static (dmz,outside)1.1.2.2 1.1.2.2 255.255.255.255
 

ステップ 3 次のコマンドを入力して、NAT を設定します。

nat (inside) 1 0 0
nat (dmz)0 0 0
global (outside) 1 1.1.1.4-1.1.1.254
 

ステップ 4 次のコマンドを入力して、OSPF を設定します。

router ospf 1
area 0 filter-list prefix ten in
network 1.1.1.0 255.255.255.0 area 0
network 1.1.2.0 255.255.255.0 area 1.1.2.0
network 10.0.0.0 255.0.0.0 area 10.0.0.0
prefix-list ten deny 10.0.0.0/8
prefix-list ten permit 1.1.2.0/24
 


 

プライベート ネットワークおよびパブリック ネットワーク内での OSPF の使用方法

NAT が使用され、OSPF がパブリック エリアとプライベート エリアで動作する場合は、パブリック エリア内でプライベート ネットワークがアドバタイズされないように、2 つの OSPF プロセスを実行する必要があります。これを行うことにより、プライベート ネットワークをアドバタイズせずに、NAT と OSPF を使用できます。

この実装では、PIX Firewall は ASBR として使用されます。ASBR では、NAT が内部インターフェイスおよび DMZ(すべてのインターフェイスが OSPF を実行している)の両方でイネーブルになっています。このコンフィギュレーションでは、内部インターフェイスおよび DMZ インターフェイスの両方がすべてのエリアからダイナミックにルートを取得しますが、プライベート ルートはバックボーン エリアにもパブリック エリアにも伝播されません。

次の手順に従って、この PIX Firewall 実装を設定します。


ステップ 1 PIX Firewall インターフェイスを設定するには、次のコマンドを入力します。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
ip address outside 1.1.1.1 255.255.255.0
ip address inside 10.0.0.1 255.0.0.0
ip address dmz 192.168.1.1 255.255.255.0
 

ステップ 2 スタティック ルートを設定するには、次のコマンドを入力します。

static (inside,outside) 1.1.1.2 10.1.1.2 255.255.255.255
static (dmz,outside)1.1.1.3 192.168.1.3 255.255.255.255
 

ステップ 3 次のコマンドを入力して、NAT を設定します。

nat (inside) 1 0 0
nat (dmz)1 0 0
global (outside) 1 1.1.1.4-1.1.1.254
 

ステップ 4 次のコマンドを入力して、OSPF を設定します。

router ospf 1 //public AS
network 1.1.1.0 255.255.255.0 area 0
router ospf 2 //private AS
redistribute ospf 1 //import the public external routes
network 10.0.0.0 255.0.0.0 area 10.0.0.0
network 192.168.1.0 255.255.255.0 area 192.168.1.0
 


 

OSPF コンフィギュレーションの表示

表 2-5 に、PIX Firewall 上で OSPF に関する情報を表示するために特権モードまたは設定モードから入力できる show コマンドをいくつか示します。すべてのオプションおよび詳細な構文については、『Cisco PIX Firewall Command Reference』または Cisco IOS のマニュアルを参照してください。

表 2-5 OSPF show コマンド

コマンド
結果
show routing [interface interface-name]

非デフォルトのルーティング設定情報を表示します。特定のインターフェイスの情報を表示するには、 interface オプションを使用し、interface-name に、特定のインターフェイスの識別情報を指定します。

show ospf [process-id]

OSPF ルーティング プロセス ID に関する一般情報を表示します。特定のルーティング プロセスの情報を表示するには、 process-ID オプションを使用します。

show ospf border-routers

エリア境界ルータ(ABR)および自律システム境界ルータ(ASBR)に対する内部 OSPF ルーティング テーブル エントリを表示します。

show ospf database [router][network][external]

特定のルータの OSPF データベースに関連する情報のリストを表示します。その他のオプションでは、さまざまな OSPF リンク状態アドバタイズメント(LSA)に関する情報が表示されます。

show ospf flood-list interface-name

インターフェイスを介してフラッドされるために待機している OSPF リンク状態アドバタイズメント(LSA)のリストを表示します。interface-name には、特定のインターフェイスの識別情報を指定します。

show ospf interface interface-name

OSPF 関連のインターフェイス情報を表示します。特定のインターフェイスの情報を表示するには、 interface オプションを使用し、interface-name に、特定のインターフェイスの識別情報を指定します。

show ospf neighbor [interface-name] [neighbor-id] [detail]

インターフェイスごとの OSPF ネイバー情報を表示します。interface-name には、特定のインターフェイスの識別情報を指定します。特定の近隣ルータに関する情報を表示するには、 neighbor-id オプションを使用します。詳細情報を表示するには、 detail オプションを使用します。

show ospf request-list [ neighbor-addr ] [interface-name]

ルータによって要求されたすべてのリンク状態アドバタイズメント(LSA)のリストを表示します。neighbor-addr には、近隣ルータの IP アドレスを指定します。interface-name には、特定のインターフェイスの識別情報を指定します。

show ospf retransmission-list [neighbor-addr] [interface-name]

再送信されるために待機しているすべてのリンク状態アドバタイズメント(LSA)のリストを表示します。
neighbor-addr には、近隣ルータの IP アドレスを指定します。interface-name には、特定のインターフェイスの識別情報を指定します。

show ospf [process-id] summary-address

OSPF プロセスで設定されたすべてのサマリー アドレス再配送情報のリストを表示します。process-ID には、特定の OSPF エリア ID のプロセス識別情報を指定します。

show ospf virtual-links

OSPF 仮想リンクのパラメータと現在の状態を表示します。

OSPF コンフィギュレーションのクリア

この項では、OSPF コンフィギュレーションをクリアする方法について説明します。

OSPF ルーティング プロセス ID をクリアするには、次のコマンドを使用します。

clear ospf [pid] {process | counters neighbor [neighbor-intf] [neighbor-id]}
 

このコマンドでは、プロセス ID だけがクリアされ、コンフィギュレーションはクリアされません。pid には、OSPF ルーティング プロセス ID を指定します。neighbor-intf には、特定の近隣ルータのインターフェイスを指定します。neighbor-id には、特定の近隣ルータの IP アドレスを指定します。

OSPF コンフィギュレーションをクリアするには、次のいずれかのコマンドを使用します。

no routing interface interface-name>
no router ospf id
 

interface-name には、特定のインターフェイスの識別情報を指定します。id には、OSPF エリアの識別情報を指定します。

コンフィギュレーションのテストと保存

この項では、接続性テストによりコンフィギュレーションが機能することを確認する方法、およびコンフィギュレーションを保存する方法について説明します。次の項目について説明します。

「接続性テスト」

「コンフィギュレーションの保存」

接続性テスト

access-list コマンドを使用して、あるインターフェイス上のホストから別のインターフェイス上のホストに ping を実行できます。ping を行うことにより、特定のホストが PIX Firewall 経由で到達可能であるかどうかをテストできます。

ping プログラムは、ICMP エコー要求メッセージを IP アドレスに送信してから、ICMP エコー応答の受信を待ちます。ping プログラムは、応答を受信するまでに要する時間も測定します。この時間は、ホストがどのくらい離れた場所にあるかを相対的に検出するときに使用できます。


) ping はトラブルシューティング時に限りイネーブルにしてください。インターフェイスのテストが終了したら、ICMP access-list コマンド文を削除します。


接続性をテストするには、次の手順を実行してください。


ステップ 1 最初に、内部のネットワーク、外部のネットワーク、および境界ネットワークすべてに接続されている各インターフェイスを示す PIX Firewall の概略図を作成します。

図 2-4 に概略図の例を示します。

図 2-4 インターフェイスとルータが示されたネットワーク概略図

 

ステップ 2 ping をイネーブルにします。

access-list コマンドを入力して、次のように ICMP アクセスを許可します。

access-list acl_out permit icmp any any
 

「acl_out」は access-list コマンド ID です。これには任意の名前または番号を指定できます。 show access-list コマンドを使用して、コンフィギュレーション内のこのコマンドを表示します。

次に、ICMP パケットを通過させる各インターフェイス対して access-group コマンドを指定します。 show access-group コマンドを使用して、コンフィギュレーション内のこのコマンドを表示します。

1 つのインターフェイスから別のインターフェイスに ping を実行するには、低セキュリティ レベルのインターフェイスに対して access-list コマンド文と access-group コマンド文をバインドし、ICMP エコー応答が発信元ホストに戻るようにします。

たとえば、内部インターフェイスから外部インターフェイスに ping を実行するには、次のコマンド文を入力します。

access-group acl_out in interface outside
 

ステップ 3 デバッグをイネーブルにします。

設定モードを開始し、debug icmp trace コマンドを起動して、PIX Firewall 経由の ping の結果を監視します。さらに、logging buffered debugging コマンドで syslog ロギングを起動し、拒否された接続または ping 結果の有無についてチェックします。debug メッセージは、コンソール セッションに直接表示されます。syslog メッセージは、show logging コマンドで表示できます。

debug コマンドを使用する前に、who コマンドでコンソールへの Telnet セッションがないかどうかを確認します。debug コマンドが Telnet セッションを検出すると、コンソールではなく Telnet セッションに debug 出力が自動的に送信されます。その結果、実際には Telnet セッションに出力されているにもかかわらず、シリアル コンソール セッションでは出力されていないように見えます。

ステップ 4 PIX Firewall 周辺の ping

PIX Firewall から各インターフェイス上のホストまたはルータに ping を実行します。次に、各インターフェイス上のホストまたはルータから、PIX Firewall 装置のインターフェイスに対して ping を実行します。Version 5.3 以降では、PIX Firewall の ping コマンドが改良されたため、ホストの IP アドレスが PIX Firewall インターフェイスと同じサブネット上にある場合はインターフェイス名を指定する必要がなくなりました。たとえば、PIX Firewall コマンド ラインから次の ping コマンドを使用して、ホストまたはルータに ping を実行することになります。

ping 192.168.0.2
ping 192.168.1.2
ping 192.168.2.2
ping 192.168.3.2
ping 192.168.4.2
ping 209.165.201.2
 

次に、ホストまたはルータから PIX Firewall のインターフェイスに対して、次のようなコマンドを使用して ping を実行します。

PIX Firewall の外部インターフェイスに対して、ping 209.165.201.1 で ping を実行します。

PIX Firewall の内部インターフェイスに対して、ping 192.168.0.1 で ping を実行します。

PIX Firewall の dmz1 インターフェイスに対して、ping 192.168.1.1 で ping を実行します。

PIX Firewall の dmz2 インターフェイスに対して、ping 192.168.2.1 で ping を実行します。

PIX Firewall の dmz3 インターフェイスに対して、ping 192.168.3.1 で ping を実行します。

PIX Firewall の dmz4 インターフェイスに対して、 ping 192.168.4.1 で ping を実行します。

ホストまたはルータから PIX Firewall インターフェイスへの ping が失敗した場合は、コンソールに表示されるデバッグ メッセージをチェックしてください。ping が正常に動作した場合は、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

PIX Firewall とホストが応答したことを示す要求文と応答文の両方が表示されます。インターフェイスに ping を実行しても、このようなメッセージが表示されない場合は、ホストまたはルータと PIX Firewall 間のルーティングに問題があり、それが原因で ping(ICMP)パケットが PIX Firewall に到達していません。

ping が失敗した場合は、次の手順で問題を解決してください。

a. 影響を受けるインターフェイス(複数)の物理的な接続性を確認します。ホストと PIX Firewall の間にスイッチまたはハブが存在する場合は、すべてのリンクが機能していることを確認します。クロスオーバー ケーブルを使用して、ホストを PIX Firewall に直接接続を試みることができます。

b. 外部インターフェイスに対するデフォルト route コマンド文があることを確認します。次に例を示します。

route outside 0 0 209.165.201.2 1
 

c. show access-list コマンドを使用して、ICMP を許可する access-list コマンド文がコンフィギュレーションに設定されていることを確認します。このコマンド文が含まれていない場合は追加します。

d. 外部インターフェイスを除く、各インターフェイス上のホスト、またはルータにデフォルト ゲートウェイとして PIX Firewall が指定されていることを確認します。指定されている場合は、ホストのデフォルト ゲートウェイをルータに、ルータのデフォルト ルートを PIX Firewall に設定します。

ホストと PIX Firewall の間にルータが 1 つ存在する場合は、ルータのデフォルト ルートは不要です。ただし、ルータの ARP キャッシュのクリアを試みることができます。複数のルータが存在する場合は、PIX Firewall からホストへのパス上にあるどのルータにもデフォルト ルートを設定する必要があります。

e. ホストと PIX Firewall 間にルータがあるかどうかを調べます。ルータがある場合は、ルータのデフォルト ルートが PIX Firewall のインターフェイスに向かっていることを確認します。ホストと PIX Firewall の間にハブがある場合は、そのハブにルーティング モジュールがあるかどうかを確認します。ルーティング モジュールがある場合は、そのデフォルト ルートを PIX Firewall に向かうように設定します。


 

コンフィギュレーションの保存

コンフィギュレーションにコマンドをすべて入力したら、write memory コマンドでフラッシュ メモリにコンフィギュレーションを保存します。

次に reload コマンドを使用して、PIX Firewall を再度ブートします。再度ブートすると、PIX Firewall を通るトラフィックがすべて停止します。PIX Firewall 装置が再び使用可能になれば、接続を再開始できます。reload コマンドを入力すると、操作を続行するかどうか、PIX Firewall から確認を求められます。y を入力すると、再度ブートします。

これで、PIX Firewall のコンフィギュレーション作業は完了です。この基本コンフィギュレーションによって、保護されているネットワークのユーザは接続を開始できるようになりますが、保護されていないネットワーク上のユーザは保護されているホストへのアクセス(または攻撃)ができなくなります。

現在のコンフィギュレーションを表示するには、write terminal コマンドを使用します。

基本コンフィギュレーションの例

この項では、PIX Firewall を実装する一般的な方法を、図を使用して説明します。次の項目について説明します。

「NAT または PAT を使用しない 2 つのインターフェイス」

「NAT と PAT を使用する 2 つのインターフェイス」

「NAT または PAT を使用しない 3 つのインターフェイス」

「NAT および PAT を使用する 3 つのインターフェイス」

NAT または PAT を使用しない 2 つのインターフェイス

既存のネットワークに PIX Firewall を初めて追加するとき、内部および外部の IP アドレスを変更せずにそのまま使用できる場合は、最も簡単な作業で実装できます。この場合のコンフィギュレーション例を図 2-5 に示します。内部のホストはすべて接続を開始できます。外部のホストが開始した内部のホストへの接続またはセッションはすべてブロックされます。

図 2-5 NAT を使用しない 2 つのインターフェイスのコンフィギュレーション

 

示されている値は参考例です。この構成は、ネットワークに固有の情報と要件に合うように、変更する必要があります。

次にコンフィギュレーションの手順について説明します。この手順は、PIX Firewall を実装する方法に関係なく同じです。


ステップ 1 次のコマンドを入力して、各インターフェイスのセキュリティ レベルと名前を指定します。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
 

ステップ 2 次のコマンドを入力して、各インターフェイスの回線速度を指定します。

interface ethernet0 100basetx
interface ethernet1 100basetx
 

interface コマンドのデフォルトの auto オプションを、インターフェイス カード固有の回線速度に変更すると、パフォーマンスが向上します。

ステップ 3 各インターフェイスの IP アドレスを指定します。

ip address outside 209.165.201.3 255.255.255.224
ip address inside 209.165.202.129 255.255.255.0
 

ステップ 4 PIX Firewall のホスト名を指定します。

hostname pixfirewall
 

この名前がコマンド ライン プロンプトに表示されます。

ステップ 5 ARP タイムアウトを 14,400 秒(4 時間)に設定します。

arp timeout 14400
 

このコマンドによって、各エントリは、ARP テーブルに 4 時間保持された後、消去されます。4 時間は、ARP タイムアウトの標準デフォルト値です。

ステップ 6 フェールオーバー アクセスをディセーブルにします。

no failover
 

ステップ 7 IP アドレスの代わりにテキスト文字列を使用できるようにします。

names
 

コンフィギュレーション ファイルが読みやすくなります。

ステップ 8 次のようにページングをイネーブルにします。

pager lines 24
 

情報が 24 行表示されるごとにリストが一時停止し、継続プロンプトが表示されます。

ステップ 9 PIX Firewall の診断およびステータス情報を提供する syslog メッセージをイネーブルにします。

logging buffered debugging
 

show logging コマンドを使用すると、syslog メッセージを簡単に表示できます。

ステップ 10 内部の IP アドレスが外部のネットワーク上で認識できるようにして、内部のユーザが発信接続を開始できるようにします。

nat (inside) 0 209.165.201.3 255.255.255.0
 

ステップ 11 インターネットに接続されているルータに外部のデフォルト ルートを設定します。

route outside 0.0.0.0 0.0.0.0 209.165.201.1 1
 

ステップ 12 着信および発信の ping を許可します。

access-list acl_out permit icmp any any
access-group acl_out in interface outside
 

これらの文によって、PIX Firewall は外部インターフェイスで受信した ICMP 応答を転送できます。これらの応答は、内部のネットワークから発行された ping コマンドに対する応答として受信されたものです。


) トラブルシューティングの完了後、これらの文を削除してください。


ステップ 13 PIX Firewall のリソースが、解放されるまでアイドル状態のままでいる最大時間のデフォルト値を設定します。

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
 

ユーザが接続をドロップするか、xlate および conn タイマーのタイムアウトによって、コネクション リソースが解放されるまで、ほかのユーザは接続を確立できません。

ステップ 14 SNMP アクセスおよび SNMP トラップ生成をディセーブルにします。

no snmp-server location
no snmp-server contact
snmp-server community public
 

ステップ 15 イーサネット アクセスの最大伝送ユニット(MTU)値を設定します。

mtu outside 1500
mtu inside 1500
 


 

例2-1 に、NAT を使用しない 2 つのインターフェイスを持つ PIX Firewall を実装する基本コンフィギュレーションのリストを示します。

例2-1 NAT を使用しない 2 つのインターフェイスのコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 100basetx
interface ethernet1 100basetx
ip address outside 209.165.201.3 255.255.255.224
ip address inside 209.165.202.129 255.255.255.0
hostname pixfirewall
arp timeout 14400
no failover
names
pager lines 24
logging buffered debugging
nat (inside) 0 209.165.201.3 255.255.255.0
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1
access-list acl_out permit icmp any any
access-group acl_out in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
mtu outside 1500
mtu inside 1500

NAT と PAT を使用する 2 つのインターフェイス

NAT を使用するのは、内部ネットワークで使用しているネットワーク アドレスがパブリック インターネット上のユーザに対して無効な場合、またはネットワーク アドレスを潜在的な攻撃者に対して隠蔽する場合です。PAT は、パブリック インターネットに同時に接続を要求する内部ネットワーク上の全ユーザに対して、十分な大きさの登録 IP アドレスのプールがない場合に使用します。図 2-6 に、イントラネット上の未登録 IP アドレスを使用するネットワークを示します。このネットワークでは、パブリック インターネットへの接続に NAT が必要です。

図 2-6 NAT および PAT を使用する 2 つのインターフェイスのコンフィギュレーション

 

次に、「NAT または PAT を使用しない 2 つのインターフェイス」に示した例を変更して、NAT と PAT をイネーブルにする手順を示します。


ステップ 1 各インターフェイスの IP アドレスを指定します。

ip address outside 209.165.201.3 255.255.255.224
ip address inside 192.168.3.1 255.255.255.0
 

このステップは、この例の内部の IP アドレスが未登録であるため、「NAT または PAT を使用しない 2 つのインターフェイス」とは異なります。

ステップ 2 次のコマンドを入力して、NAT と PAT をイネーブルにします。

nat (inside) 1 0 0
 

この設定によって、すべての内部のユーザが、グローバル プールの変換 IP アドレスを使用して発信接続を開始することが許可されます。このコマンドは、「NAT または PAT を使用しない 2 つのインターフェイス」ステップ 10 にあるコマンドを置き換えます。

ステップ 3 グローバル アドレス プールを作成します。グローバル アドレスは、変換アドレスが PIX Firewall を出て、保護されているネットワークから保護されていないネットワークに入るときに使用します。

global (outside) 1 209.165.201.10-209.165.201.30
global (outside) 1 209.165.201.8
 

global コマンド文は、NAT ID によって nat コマンド文と関連付けられています。この例の NAT ID は 1 です。プールの IP アドレスは限られているので、オーバーフローに対応するため PAT 外部(グローバル)アドレスが追加されています。


 

例2-2 に、NAT を使用する 2 つのインターフェイスを設定するためのコンフィギュレーション全体を示します。

例2-2 NAT を使用する 2 つのインターフェイスのコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 100basetx
interface ethernet1 100basetx
ip address outside 209.165.201.3 255.255.255.224
ip address inside 192.168.3.1 255.255.255.0
hostname pixfirewall
arp timeout 14400
no failover
names
pager lines 24
logging buffered debugging
nat (inside) 1 0 0
global (outside) 1 209.165.201.10-209.165.201.30
global (outside) 1 209.165.201.8
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1
access-list acl_out permit icmp any any
access-group acl_out in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
mtu outside 1500
mtu inside 1500

NAT または PAT を使用しない 3 つのインターフェイス

図 2-7 の PIX Firewall には、アドレス変換を使用しないインターフェイスが 3 つあります。

図 2-7 NAT または PAT を使用しない 3 つのインターフェイスのコンフィギュレーション

 

このネットワークには、次の IP アドレスとネットワーク マスクがあります。

外部のネットワーク インターフェイス アドレス: 209.165.201.2、ネットワーク マスク: 255.255.255.248

内部のネットワーク インターフェイス アドレス: 209.165.201.9、ネットワーク マスク: 255.255.255.248

DMZ ネットワーク インターフェイス アドレス: 209.165.201.17、ネットワーク マスク: 255.255.255.248

さらに、外部インターフェイス上のホストから DMZ ホスト 209.165.201.19 にアクセスできる必要があります。

次の手順では、この例のコンフィギュレーションと「NAT または PAT を使用しない 2 つのインターフェイス」に示した例との相違点を示します。


ステップ 1 次のコマンドを入力して、各インターフェイスのセキュリティ レベルと名前を指定します。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
 

この例の 3 番目のインターフェイス用に、 nameif コマンドの追加が必要となります。

ステップ 2 次のコマンドを入力して、各インターフェイスの回線速度を指定します。

interface ethernet0 100basetx
interface ethernet1 100basetx
interface ethernet2 100basetx
 

この例の 3 番目のインターフェイス用に、 interface コマンドの追加が必要となります。

ステップ 3 各インターフェイスの IP アドレスを指定します。

ip address outside 209.165.201.2 255.255.255.248
ip address inside 209.165.201.9 255.255.255.248
ip address dmz 209.165.201.17 255.255.255.248
 

この例の 3 番目のインターフェイス用に、IP アドレスの追加が必要となります。

ステップ 4 dmz インターフェイス上のホスト 209.165.201.19 へのアクセスをマッピングします。

static (dmz,outside) 209.165.201.19 209.165.201.19 netmask 255.255.255.248
 

ステップ 5 access-list コマンドを使用して、外部のユーザすべてがあらゆるポートからこの DMZ ホストにアクセスできるようにします。

access-list acl_out permit tcp any host 209.165.201.19
access-group acl_out in interface outside
 

access-list コマンドによって、外部のユーザすべてがあらゆるポートからこのホストにアクセスできるようになります。


 

例2-3 に、NAT を使用しない 3 つのインターフェイスのコンフィギュレーション全体を示します。

例2-3 NAT も PAT も使用しない 3 つのインターフェイスのコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
hostname pixfirewall
names
access-list acl_out permit tcp any host 209.165.201.19
access-list acl_out permit icmp any any
access-list ping_acl permit icmp any any
pager lines 24
logging buffered debugging
interface ethernet0 100basetx
interface ethernet1 100basetx
interface ethernet2 100basetx
mtu outside 1500
mtu inside 1500
ip address outside 209.165.201.2 255.255.255.248
ip address inside 209.165.201.9 255.255.255.248
ip address dmz 209.165.201.17 255.255.255.248
no failover
arp timeout 14400
nat (inside) 0 172.31.2.0 255.255.255.0
static (dmz,outside) 209.165.201.19 209.165.201.19 netmask 255.255.255.248
access-group acl_out in interface outside
access-group ping_acl in interface inside
access-group ping_acl in interface dmz
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public

NAT および PAT を使用する 3 つのインターフェイス

図 2-8 の PIX Firewall には、3 つのインターフェイスと次のアトリビュートがあります。

インターフェイス間でアドレス変換が実行されます。

DMZ インターフェイス上の Web サーバは、だれでもアクセス可能です。name コマンドによって、そのホスト アドレスが「webserver」という名前にマッピングされます。

内部のネットワークにはプライベート アドレス(10.0.0.0)、DMZ インターフェイスには RFC 1597 アドレス(192.168.0.0)、外部のネットワークには正規の登録アドレス(209.165.201.0)を使用します。

内部のネットワークから DMZ ネットワークおよび外部のネットワークへの TCP 接続および UDP 接続は許可されます。

内部のホストは、PIX Firewall コンソールに Telnet 接続でアクセスできます。

図 2-8 NAT および PAT を使用する 3 つのインターフェイスのコンフィギュレーション

 

この例では、次の IP アドレスおよびネットワーク マスクがあります。

外部のネットワーク インターフェイス アドレス: 209.165.201.4、ネットワーク マスク: 255.255.255.224

外部のネットワークで使用可能なグローバル アドレス、およびスタティック アドレス: 209.165.201.5-209.165.201.30、ネットワーク マスク: 255.255.255.224

内部のネットワーク インターフェイス アドレス: 10.0.0.3、ネットワーク マスク: 255.0.0.0

DMZ ネットワーク インターフェイス アドレス: 192.168.0.1、ネットワーク マスク: 255.255.255.0

次の手順は、「NAT または PAT を使用しない 3 つのインターフェイス」に示した例とコマンドが異なる部分を示しています。


ステップ 1 次のコマンドを入力し、PIX Firewall の内部インターフェイス上のホストに対して Telnet アクセスをイネーブルにします。

telnet 10.0.0.100 255.255.255.255
telnet timeout 15
 

ステップ 2 外部のインターフェイスおよび DMZ インターフェイス用のグローバル アドレスのプールを作成します。外部の IP アドレスには制限があるため、PAT グローバルを追加して、オーバーフローを処理します。 global (dmz) コマンドによって、内部のユーザが DMZ インターフェイス上の Web サーバにアクセスできるようにします。

global (outside) 1 209.165.201.10-209.165.201.30
global (outside) 1 209.165.201.5
global (dmz) 1 192.168.0.10-192.168.0.20
 

ステップ 3 内部のユーザが DMZ インターフェイスおよび外部のインターフェイス上で接続を開始できるようにします。また、DMZ ユーザが外部のインターフェイス上で接続を開始できるようにします。

nat (inside) 1 10.0.0.0 255.0.0.0
nat (dmz) 1 192.168.0.0 255.255.255.0
 

ステップ 4 Web サーバの IP アドレスにラベルを与えます。

name 192.168.0.2 webserver
 

ステップ 5 外部のインターフェイス上のユーザすべてが DMZ インターフェイス上の Web サーバにアクセスできるようにします。

static (dmz,outside) 209.165.201.6 webserver netmask 255.255.255.255
access-list acl_out permit tcp any host 209.165.201.6 eq 80
access-group acl_out in interface outside
 

access-list コマンド文は、 access-group コマンド文によって外部インターフェイスにバインドされます。


 

例2-4 に、NAT を使用する 3 つのインターフェイスのコンフィギュレーション全体を示します。

例2-4 NAT と PAT を使用する 3 つのインターフェイスのコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
hostname pixfirewall
names
name 192.168.0.2 webserver
access-list acl_out permit icmp any any
access-list acl_out permit tcp any host 209.165.201.6 eq 80
access-list ping_acl permit icmp any any
pager lines 24
logging buffered debugging
interface ethernet0 100basetx
interface ethernet1 100basetx
interface ethernet2 100basetx
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 209.165.201.4 255.255.255.224
ip address inside 10.0.0.3 255.0.0.0
ip address dmz 192.168.0.1 255.255.255.0
no failover
arp timeout 14400
global (outside) 1 209.165.201.10-209.165.201.30
global (outside) 1 209.165.201.5
global (dmz) 1 192.168.0.10-192.168.0.20
nat (inside) 1 10.0.0.0 255.0.0.0
nat (dmz) 1 192.168.0.0 255.255.255.0
static (dmz,outside) 209.165.201.6 webserver netmask 255.255.255.255
access-group acl_out in interface outside
access-group ping_acl in interface inside
access-group ping_acl in interface dmz
no rip inside passive
no rip outside passive
no rip inside default
no rip outside default
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
telnet 10.0.0.100 255.255.255.255
telnet timeout 15
 

VLAN を PIX Firewall と併用する方法

PIX Firewall Version 6.3 では、VLAN のサポートが導入されています。この項では、VLAN を
PIX Firewall と併用および実装する方法について説明します。次の項目について説明します。

「概要」

「論理インターフェイスの使用方法」

「VLAN のセキュリティ問題」

「VLAN を使用する場合の PIX Firewall の設定」

「VLAN の管理」

概要

VLAN は、1 つのスイッチド ネットワーク内に別個のブロードキャスト ドメインを作成するために使用されます。VLAN の利点のいくつかを次に示します。

ブロードキャスト制御

セキュリティの向上

柔軟性

スケーラビリティ

物理ネットワーク内またはデータ リンク ネットワーク内は実際の区切りが不要なため、VLAN は、必要なときにいつでもソフトウェア コンフィギュレーションを利用して作成できます。VLAN を作成するには、各スイッチ上のポートを新しい VLAN に割り当てるだけです。ただし、その後で VLAN に割り当てたポート間でパケットを転送できるルータまたはほかのデバイスを介して、VLAN とネットワークのその他の部分を相互接続する必要があります。

論理インターフェイスの使用方法

Version 6.3 では、VLAN を PIX Firewall 上の物理インターフェイスに割り当てることができます。また、1 つの物理インターフェイス上に複数の論理インターフェイスを設定し、各論理インターフェイスを特定の VLAN に割り当てることもできます。

論理インターフェイスは、多くの点で、いわゆる物理インターフェイスと似ています。論理インターフェイスおよび物理インターフェイスは、どちらもソフトウェア オブジェクトです(実際の物理オブジェクトは、PIX Firewall 装置上のネットワーク インターフェイス カードです)。コンフィギュレーションの目的で物理インターフェイスと呼ばれるものは、レイヤ 2(データ リンク)アトリビュートとレイヤ 3(ネットワーク)アトリビュートの両方を持つソフトウェア オブジェクトです。レイヤ 2 アトリビュートには最大伝送ユニット(MTU)サイズとフェールオーバー ステータスが含まれ、レイヤ 3 アトリビュートには IP アドレスとセキュリティ レベルが含まれます。

論理インターフェイスには、レイヤ 3 アトリビュートだけがあります。したがって、failover link
if_name や failover lan interface if_name など、論理インターフェイスで使用できない特定のコマンドを、物理インターフェイスに対して発行できます。物理インターフェイスをディセーブルにすると、関連付けられているすべての論理インターフェイスもディセーブルになります。論理インターフェイスをディセーブルにすると、その論理インターフェイスだけが影響を受けます。

設定できる論理インターフェイスの数は、モデルによって異なります。すべての PIX Firewall のインターフェイスの最小数は 2 です。 表 2-6 に、特定の PIX Firewall モデルでサポートされている論理インターフェイスの最大数を示します。

表 2-6 PIX Firewall モデルでサポートされているインターフェイスの最大数

モデル
制限付きライセンス2
制限なしライセンス
インター
フェイスの合計
物理
インター
フェイス
論理
インター
フェイス
インター
フェイスの合計
物理
インター
フェイス
論理
インター
フェイス

PIX 5013

NA

NA

NA

2

2

サポートされていない

PIX 506/506E

NA

NA

NA

2

2

サポートされていない

PIX 515/515E

5

3

3

10

6

8

PIX 5204

NA

NA

NA

12

12

10

PIX 525

8

6

6

12

8

10

PIX 535

10

8

8

24

10

22

2.PIX 501 および PIX 506/506E では、制限付き/制限なしライセンスをサポートしていません。

3.PIX 501 の 1 つのインターフェイスは、統合 4 ポート スイッチに接続します。

4.PIX 520 では、接続ライセンスがサポートされています。インターフェイスの数は、接続ライセンスによって変わることはありません。

VLAN のセキュリティ問題

デフォルトでは、VLAN が設定されていない場合、PIX Firewall は、直接接続されている任意のスイッチにタグのないパケットを送信します。スイッチは、トランク ポート上でタグのないパケットを受け取ると、そのトランク ポートに割り当てられているネイティブ VLAN にパケットを転送します。デフォルトでは、スイッチは VLAN 1 をネイティブ VLAN に割り当てます。

「jumping VLAN」と呼ばれる攻撃では、攻撃者がネイティブ VLAN からほかの VLAN にパケットを投入します。この攻撃を防ぐために、信頼できないネットワークからネイティブ VLAN へのアクセスを許可しないでください。最大限のセキュリティを確保するために、セキュアな環境で VLAN を展開する場合は、ネイティブ VLAN を使用しないことをお勧めします。ネイティブ VLAN を PIX Firewall と併用することは許可されていますが、そのセキュリティ上の影響を明確に理解する必要があります。

トラフィックを PIX Firewall からスイッチのネイティブ VLAN に転送しないようにするには、
interface physical コマンドを使用して、VLAN ID(VLAN 1 以外)を PIX Firewall の物理インターフェイスに割り当てます。スイッチのネイティブ VLAN にどのような VLAN ID が割り当てられていても、その VLAN ID とは異なる VLAN ID を割り当てるように注意してください。

VLAN を使用する場合の PIX Firewall の設定

PIX Firewall Version 6.3 では、図 2-9 に示すように、VLAN を相互接続する機能が導入されています。

図 2-9 PIX Firewall(Version 6.3)を使用した VLAN の相互接続

 

図 2-9 では、2 つのスイッチ上に 2 つの VLAN が設定されています。ワークステーションはアクセス レイヤ スイッチに接続され、サーバは分散レイヤ スイッチに接続されています。802.1q プロトコルを使用するリンクが、2 つのスイッチと PIX Firewall を相互接続します。802.1q プロトコルを使用すると、デバイス間で VLAN トラフィックをトランクできます。つまり、複数の VLAN へのトラフィックおよび複数の VLAN からのトラフィックを 1 つの物理リンクを介して伝送できます。各パケットには、発信元 VLAN と宛先 VLAN を特定するタグが含まれています。

PIX Firewall は 802.1q をサポートするため、1 つのインターフェイス上で複数の VLAN のトラフィックを送受信できます。

図 2-9 では、VLAN 2 および VLAN 3 に割り当てられている、1 つの物理インターフェイスと 1 つの論理インターフェイスで PIX Firewall が設定されています。PIX Firewall は 2 つの VLAN を相互接続し、アクセス リストなどのファイアウォール サービスを提供して、ネットワーク セキュリティを高めています。

この例の設定を行うには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、インターフェイス速度を物理インターフェイスに割り当てます。

interface ethernet0 auto
 

ステップ 2 次のコマンドを入力して、VLAN2 をインターフェイスに割り当てます。

interface ethernet0 vlan2 physical
 

VLAN を物理インターフェイスに割り当てることによって、そのインターフェイス上で転送されるすべてのフレームに必ずタグが付けられるようにします。VLAN 1 は、シスコ スイッチのデフォルトのネイティブ VLAN であるため、使用しません。

physical パラメータを指定しない場合、interface コマンドのデフォルトで、論理インターフェイスが作成されます。

ステップ 3 次のコマンドを入力して、VLAN3 をインターフェイスに割り当てます。

interface ethernet0 vlan3 logical
 

ステップ 4 次のコマンドを入力して、論理インターフェイスと物理インターフェイスを設定します。

nameif ethernet0 inside security100
nameif vlan2 intf2 security50
nameif vlan3 intf3 security51
ipaddress inside 192.168.101.1 255.255.255.0
ipaddress intf2 192.168.102.1 255.255.255.0
ipaddress intf3 192.168.103.1 255.255.255.0
 


 

VLAN の管理

VLAN コンフィギュレーションに関する情報を表示するには、次のコマンドを入力します。

show interface
 

論理インターフェイスを一時的にディセーブルにするには、次のコマンドを入力します。

interface ethernet0 vlan_id shutdown
 

vlan_id には、一時的にシャットダウンする論理インターフェイスに関連付けられている VLAN ID を指定します。

論理インターフェイスの VLAN ID を変更するには、次のコマンドを入力します。

interface change-vlan old_vlan_id new_vlan_id
 

old_vlan_id には既存の VLAN ID を指定し、new_vlan_id には使用する新しい VLAN ID を指定します。

このコマンドを使用すると、論理インターフェイスを削除せずに VLAN ID を変更できます。これは、インターフェイスにいくつかのアクセス リストまたはファイアウォール ルールを追加している場合、その作業を最初から行う必要がないため便利です。

インターフェイス上の VLAN タギングをディセーブルにするには、次のコマンドを入力します。

no interface ethernet0 vlan_id physical
 

vlan_id には、VLAN タギングをディセーブルにする VLAN ID を指定します。

論理インターフェイスを削除して、すべてのコンフィギュレーションを削除するには、次のコマンドを入力します。

no interface ethernet0 vlan_id logical
 

vlan_id には、削除する論理インターフェイスに関連付けられている VLAN ID を指定します。


注意 このコマンドを使用すると、インターフェイスが削除され、そのインターフェイスに適用されているすべてのコンフィギュレーション ルールが削除されます。

外部 NAT の使用

PIX Firewall Version 6.2 から、NAT および PAT を、外部つまり低セキュリティ インターフェイスから内部(高セキュリティ)インターフェイスに向かうトラフィックに適用できるようになりました。この機能は外部 NAT と呼ばれ、次の利点があります。

Domain Name System(DNS; ドメイン ネーム システム)に対して透過的なサポートを提供します。

PIX Firewall の高セキュリティ インターフェイスに表示される IP アドレスを指定することによって、ルーティングを単純化します。

IP アドレスが重複しているネットワーク間を接続できるようにします。

外部 NAT による DNS に対するサポートの拡張については、「アプリケーション検査(フィックスアップ)の設定」 基本的なインターネット プロトコルの項を参照してください。


) 外部 NAT は、Internet Locator Service(ILS)用のアプリケーション検査(「fixup」)では動作しません。


この項では、最後の 2 つのシナリオについて説明します。次の事項を取り上げます。

「概要」

「ルーティングの単純化」

「アドレスが重複するネットワークの設定」

概要

外部 NAT/PAT は、内部 NAT/PAT と似ています。アドレス変換が適用されるのは、PIX Firewall の外部(低セキュリティ)インターフェイスに常駐するホストのアドレスに対してだけです。ダイナミック外部 NAT を指定するには、低セキュリティ インターフェイス上にある変換対象のアドレスを指定してから、グローバル アドレスまたは内部(高セキュリティ)インターフェイス上のアドレスを指定します。外部スタティック NAT を設定するには、 static コマンドを使用して、1 対 1 マッピングを指定します。

外部 NAT を設定した後、パケットが PIX Firewall の外部(低セキュリティ)インターフェイスに到着すると、PIX Firewall は、接続データベース内で既存の xlate(アドレス変換エントリ)の検索を試みます。xlate が存在しなければ、実行コンフィギュレーションで NAT ポリシーの検索が行われます。NAT ポリシーが見つかると、xlate が作成され、データベースに挿入されます。次に、PIX Firewall は、発信元アドレスをマッピングされているアドレスまたはグローバル アドレスに書き換えて、内部インターフェイス上にパケットを送信します。いったん xlate が設定されれば、後続のパケットのアドレス変換は、接続データベースのエントリを調べることで迅速に行えます。

ルーティングの単純化

外部 NAT を使用すると、内部のネットワークまたは境界ネットワークに表示されるアドレスを制御することで、これらのネットワーク上のルータ設定を単純化できます。たとえば、図 2-10 では、セキュリティ ポリシーによって、ネットワーク 209.165.201.0 にあるクライアントは、内部のネットワーク 192.168.101.0(Web サーバ 192.168.101.2 を含む)上のサーバだけにアクセスできます。

図 2-10 外部 NAT を使用するルーティングの単純化

 

このポリシーは、次のコマンド文を使用するとサポートできます。

nat (outside) 1 209.165.201.0 255.255.255.0 outside
global (inside) 1 192.168.100.3-192.168.100.128
 

これらのコマンドは、リモート ネットワーク上の発信元アドレスをすべて一定の範囲の内部 IP アドレス(192.168.100.3 ~ 128)に変換します。その後、ルータは、PIX Firewall の内部インターフェイスからのトラフィックを 192.168.100.0 サブネットワークから発信されたトラフィックとともに、自動的に分配します。

アドレスが重複するネットワークの設定

図 2-11 の PIX Firewall には、アドレス範囲が重複する 2 つのプライベート ネットワークが接続されています。

図 2-11 アドレスが重複するネットワークでの外部 NAT の使用

 

図 2-11 では、2 つのネットワークが重複するアドレス スペースを使用しており、同じ IP アドレス
(192.168.100.2)を持つ 2 つのホストが通信する必要があります。ルータ(209.165.200.225)は、PIX Firewall(209.165.200.226)の外部インターフェイスを右側のネットワークに接続しています。次の標準 NAT 文と外部 NAT 文は、プライベート ネットワーク 192.168.100.0 内の各アドレスを、パブリック ネットワーク 209.165.201.0 内の対応するアドレスにマッピングします。

static (inside,outside) 209.165.201.0 192.168.100.0 netmask 255.255.255.0
static (outside, inside) 209.165.201.0 192.168.100.0 netmask 255.255.255.0
 

この例では、右側のネットワーク上のホスト 192.168.100.2 は、左側のネットワーク上のホスト 192.168.100.2 への接続を開始する場合、IP アドレス 209.165.201.2 を使用します。PIX Firewall がこのメッセージを受け取ると、宛先アドレスは 209.165.201.2 から 192.168.100.2 に変換されます。その後、外部 NAT をイネーブルにするスタティックが適用され、発信元アドレスは 192.168.100.2 から 209.165.201.2 に変更されてから転送されます。

応答は宛先アドレス 209.165.201.2 で PIX Firewall に転送されるため、外部 NAT スタティックが適用され、宛先アドレスは 192.168.100.2 に変更されます。その後、標準 NAT スタティックが適用され、発信元アドレスは 192.168.100.2 から 209.165.201.2 に変更されます。


) アドレスが重複する 2 つのネットワーク間を接続できるようにするには、前の PIX Firewall のバージョンで alias コマンドを使用するか、PIX Firewall Version 6.2 以降で外部スタティック NAT を使用します。alias コマンドではなく、外部スタティック NAT の使用を推奨します。スタティック外部 NAT は、2 つのインターフェイス間のアドレス変換の分離を可能にし、オプションで DNS アドレス リソース レコードの書き換えをサポートしているためです。


内部のホストを 192.168.100.0/24 から外部のネットワーク上の 209.165.201.0/24 に変換する標準 NAT の NAT コマンドは、次のようになります。

static (inside,outside) 209.165.201.0 192.168.100.0 netmask 255.255.255.0
 

外部のホストを 192.168.100.0/24 から内部のネットワーク上の 209.165.201.0/24 に変換する外部 NAT の NAT コマンドは、次のようになります。

static (outside, inside) 209.165.201.0 192.168.100.0 netmask 255.255.255.0
 

さらに、次のルートを PIX Firewall に追加する必要があります。

route outside 192.168.100.128 255.255.255.128 209.165.200.225 2
route outside 192.168.100.0 255.255.255.128 209.165.200.225 2
 

) アドレスが重複するルートは接続されたルートと共存できないため、ネットマスクを分離する必要があります。


Stub Multicast Routing 機能の実装

この項では、PIX Firewall Version 6.2 で導入されている Stub Multicast Routing(SMR)機能について説明します。次の項目について説明します。

「概要」

「ホストにマルチキャスト伝送の受信を許可する」

「伝送発信元からのマルチキャストの転送」

「IGMP タイマーの設定」

「IGMP コンフィギュレーションのクリア」

「SMR の表示とデバッグ」

「マルチキャスト ルーティングの参考資料」

概要

SMR によって、PIX Firewall は、「スタブ ルータ」として機能します。スタブ ルータは、Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)プロキシ エージェントとして動作するデバイスです。IGMP は、マルチキャスト(MC)ルータを持つ特定の LAN 上のマルチキャスト グループに、ホストをダイナミックに登録するために使用されます。MC ルータは、マルチキャスト データ伝送を、インターネットワーク内の各 LAN 上のホストにルーティングします。これらのホストは、特定のマルチメディアやその他のブロードキャストの受信するように登録されています。スタブ ルータは、ホストと MC ルータとの間の IGMP メッセージを転送します。

Protocol Independent Multicast(PIM)プロトコルは、IGMP を使用して伝送を受信するように登録されたホストにマルチキャスト伝送を分配するために、ネットワーク内で最適なパスを決定するスケーラブルな方式です。PIM 希薄モード(PIM/SM)は、シスコ ルータのデフォルトであり、マルチキャスト伝送の発信元がブロードキャストを開始すると、パケットが登録されたホストすべてに到達するまで、トラフィックは MC ルータ間を順次転送されていきます。トラフィックの発信元へのより直接的なパスが存在する場合、最終ホップのルータは、発信元に対して結合メッセージを送信して、トラフィックがより適したパスに沿って再ルーティングされるようにします。

ホストにマルチキャスト伝送の受信を許可する

マルチキャスト伝送を受信する必要があるホストが、PIX Firewall によって MC ルータと切り離されている場合は、PIX Firewall が IGMP レポートをダウンストリーム ホストから転送し、マルチキャスト伝送をアップストリーム ルータから転送するように PIX Firewall を設定します。アップストリーム ルータは、PIX Firewall の外部インターフェイスからマルチキャスト伝送の発信元に向かってネクスト ホップにあるインターフェイスです。

ホストが PIX Firewall を通してマルチキャスト伝送を受信できるようにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、各インターフェイス上でマルチキャスト転送をイネーブルにします。

multicast interface interface-name
 

このコマンドは、指定されたインターフェイス上でマルチキャスト サポートをイネーブルにし、そのインターフェイスをマルチキャスト混在モードにします。このコマンドを入力すると、CLI はマルチキャスト サブコマンド モードになり、設定中のインターフェイスを確認できるプロンプトに変更されます。

interface-name には、マルチキャスト転送をイネーブルにする PIX Firewall のインターフェイス名を指定します。

ステップ 2 マルチキャスト サブコマンド モードから次のコマンドを入力して、IGMP グループの最大数を設定します。

igmp max-groups n
 

このコマンドを使用するには、 n に、指定されたインターフェイス上で許可する IGMP グループの最大数を指定します。サポートされるグループの範囲(max-groups)は 1 ~ 2000 です。値を 0 にすると、IGMP グループは許可されなくなります。

ステップ 3 マルチキャスト伝送を受信するホストに接続されている PIX Firewall の各インターフェイス上で、IGMP 転送をイネーブルにします。

各マルチキャスト インターフェイス(通常は、内部つまり高セキュリティ インターフェイス)に対して次のサブコマンドを入力します。

igmp forward interface mc-source-if-name
 

mc-source-if-name に、MC ルータに接続されている PIX Firewall のインターフェイス名を指定します。通常は外部インターフェイスです。たとえば、MC ルータが「outside」という名前のインターフェイスに接続されている場合、次のコマンドにより、現在選択されている PIX Firewall インターフェイス上で IGMP レポートの転送がイネーブルになります。

igmp forward interface outside
 

ステップ 4 (オプション)次のコマンドを使用して、スタティック IGMP エントリを定義します。

igmp join-group group-address
 

このコマンドは、マルチキャスト グループ内に受信ホストを保有するダウンストリーム インターフェイス上で入力します。

このコマンドは、そのインターフェイスを、指定したグループのスタティックに接続されるメンバーになるように設定します。これで、PIX Firewall は、IGMP 経由で応答はできないが、受信は必要なクライアントの代行をできます。このコマンドは、受信ホストに向かうダウンストリーム インターフェイスに適用されます。

ステップ 5 (オプション)ホストが加入できるマルチキャスト グループを設定します。

access-list acl_ID permit igmp any destination_addr destination_mask
 

このコマンドは、許容可能な Class D 宛先アドレスへの IGMP トラフィックを許可するアクセス コントロール リストを設定します。

acl_ID には、アクセス コントロール リストの名前を指定します。

destination_addr には、ホストがそこからマルチキャスト伝送を受信するようにするマルチキャスト グループの Class D アドレスを指定します。1 つのコマンドで多くのマルチキャスト グループを定義するには、オブジェクト グループ化機能を使用します。この機能については、「ネットワーク アクセスとネットワーク使用の制御」「オブジェクト グループ化機能によるアクセス制御の簡略化」を参照してください。

ステップ 6 マルチキャスト サブコマンド モードから次のコマンドを入力して、アクセス リストを適用します。

igmp access-group acl_ID
 

このコマンドは、アクセス リストを、現在設定しているマルチキャスト インターフェイスに適用します。

例2-5 内部の受信ホスト

次の例では、内部のクライアントは、Class D アドレス 224.1.1.1 のマルチキャスト グループに登録する必要があります。

multicast interface outside
igmp join-group 224.1.1.1

 

これらのコマンドを入力すると、PIX Firewall は、224.1.1.1 に対して関心を持つホストとして動作することとなり、コマンドが適用されたインターフェイス上でそのとおりに動作します。リストには、それ以外のダウンストリーム インターフェイスも IGMP 経由でダイナミックに追加されます。

例2-6 アクセス コントロールを使用する内部の受信ホスト

次の例では、内部の受信者と DMZ の受信者を設定します。

multicast interface inside
igmp forward interface outside
igmp access-group 1
multicast interface dmz
igmp forward interface outside
igmp access-group 1
multicast interface outside
igmp access-group 1
 
access-list 1 permit ip any 224.2.2.0 255.255.255.248
access-list 1 permit ip any 239.2.2.0 255.255.255.248
access-list 1 deny ip any any
 


 

伝送発信元からのマルチキャストの転送

マルチキャスト伝送の発信元が PIX Firewall の内部(つまり、高セキュリティ)インターフェイスにある場合、PIX Firewall を設定して、発信元からのマルチキャスト転送をイネーブルにする必要があります。マルチキャスト転送は、PIX Firewall インターフェイス上で、発信元からのマルチキャスト伝送を受信するように登録されたホストを含む各ネットワークに向かうように設定します。

発信元からのマルチキャスト伝送を転送するように PIX Firewall を設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、各 PIX Firewall インターフェイス上でマルチキャスト転送をイネーブルにします。

multicast interface interface-name
 

このコマンドは、指定されたインターフェイス上でマルチキャスト サポートをイネーブルにし、そのインターフェイスをマルチキャスト混在モードにします。このコマンドを入力すると、CLI はマルチキャスト サブコマンド モードになり、設定中のインターフェイスを確認できるプロンプトに変更されます。

このコマンドの使用方法は、次のとおりです。

interface-name に、マルチキャスト転送をイネーブルにする PIX Firewall のインターフェイス名を指定します。

ステップ 2 伝送の発信元から次のホップのルータ インターフェイスに向かうスタティック ルートを作成します。

[no] mroute src smask in-if-name dst dmask out-if-name
 

src smask に、それぞれマルチキャストの発信元の IP アドレスとサブネット マスクを指定します。

in-if-name に、マルチキャストの発信元に接続されている PIX Firewall のインターフェイス名を指定します。通常は内部(つまり、高セキュリティ)インターフェイスです。

dst dmask に、それぞれ発信元からのマルチキャスト伝送に対する Class D アドレスとサブネット マスクを指定します。

out-if-name に、伝送を受信するように登録されているホストに向かう次のホップにあるルータ インターフェイスに接続されている PIX Firewall のインターフェイス名を指定します。通常は外部(つまり、低セキュリティ)インターフェイスです。


 

例2-7 内部の伝送発信元

次の例では、内部受信者を持たない内部の発信元と DMZ の発信元を設定します。

multicast interface outside
multicast interface inside
multicast interface dmz
mroute 1.1.1.1 255.255.255.255 inside 230.1.1.2 255.255.255.255 outside
mroute 2.2.2.2 255.255.255.255 dmz 230.1.1.2 255.255.255.255 outside
 

IGMP タイマーの設定

この項では、IGMP タイマーのデフォルト値を変更する方法について説明します。次の事項を取り上げます。

「クエリー間隔の設定」

「クエリー応答時間の設定」

クエリー間隔の設定

次のコマンドを使用して、インターフェイスから IGMP クエリー メッセージを送信する頻度を設定します。

[no] igmp query-interval seconds
 

デフォルトの設定値は 60 秒です。クエリー間隔をデフォルトに戻すには、 no igmp query-interval コマンドを使用します。

クエリー応答時間の設定

次のコマンドを使用して、最大クエリー応答時間を変更します(IGMP Version 2 のみ)。

[no] igmp query-max-response-time seconds
 

デフォルトの設定値は 10 秒です。クエリー応答時間をデフォルトに戻すには、 no igmp query-max-response-time コマンドを使用します。

IGMP コンフィギュレーションのクリア

この項では、IGMP エントリをクリアする方法について説明します。

次のコマンドを使用して、IGMP キャッシュからエントリを削除します。

clear igmp group [group-addr | interface interface-name]
 

group-addr に、マルチキャスト グループの IP アドレスを指定します。 interface-name に、IGMP がイネーブルになっている PIX Firewall のインターフェイス名を指定します。

次のコマンドを使用して、スタティック マルチキャスト ルートをクリアします。

clear mroute [src-addr | group-addr | interface interface_name]
 

src-addr に、マルチキャスト発信元の IP アドレスを指定します。 group-addr に、受信マルチキャスト グループのアドレスを指定します。 interface-name に、マルチキャストがイネーブルになっている PIX Firewall のインターフェイス名を指定します。

SMR の表示とデバッグ

この項では、現在のマルチキャストと IGMP のコンフィギュレーションを表示し、デバッグ機能を使用するためのコマンドについて説明します。

マルチキャスト設定を、すべて、またはインターフェイスごとに表示するには、次のコマンドを入力します。

show multicast [interface interface-name]
 

このコマンドは、インターフェイスの IGMP コンフィギュレーションも表示します。このコマンドを使用するには、 interface-name に、コンフィギュレーション設定を表示するインターフェイス名を指定します。

1 つまたは複数のグループのマルチキャスト関連情報を表示するには、次のコマンドを入力します。

show igmp groups [group-address|interface interface-name]
 

group-address に、グループの Class D IP アドレスを指定します。 interface-name に、グループが登録されているネットワークに接続されているインターフェイス名を指定します。スタティック マルチキャスト ルートをすべて表示するには、次のコマンドを入力します。

show mroute [src-address | group-address | interface interface_name]
 

src-address にマルチキャスト伝送の発信元 IP アドレスを指定するか、 group-address にグループの Class D IP アドレスを指定します。 interface-name に、グループが登録されているネットワークに接続されているインターフェイス名を指定します。

IGMP イベントのデバッグをイネーブル(またはディセーブル)にするには、次のコマンドを入力します。

[no] debug igmp
 

マルチキャスト転送イベントのデバッグをイネーブル(またはディセーブル)にするには、次のコマンドを入力します。

[no] debug mfwd
 

マルチキャスト ルーティングの参考資料

マルチキャスト ルーティングの背景情報は、シスコの次の公開 Web サイトで提供されています。

http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/ipimt_ov.htm
http://www.cisco.com/warp/public/732/Tech/multicast/

 

SMR 機能の実装に使用される IGMP およびマルチキャスト ルーティングの規格の技術詳細については、IETF 発行の次の RFC を参照してください。

RFC 2236 IGMPv2

RFC 2362 PIM-SM

RFC 2588 IP Multicast and Firewalls

RFC 2113 IP Router Alert Option

IETF draft-ietf-idmr-igmp-proxy-01.txt