この資料はゾーン ベースのファイアウォールのためのトラブルシューティング情報が含まれています。
次の項目に関する知識があることが推奨されます。
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
問題は VPN トラフィックがゾーン ベースのファイアウォールを渡って渡ることができないことです。
VPN クライアント トラフィックがゾーン ベースの Cisco IOS ® ファイアウォールによって点検されるようにして下さい。
たとえば、ルータの設定で追加するべき行はここにあります:
access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255 class-map type inspect match-all sdm-cls-VPNOutsideToInside-1 match access-group 103 policy-map type inspect sdm-inspect-all class type inspect sdm-cls-VPNOutsideToInside-1 inspect zone-pair security sdm-zp-out-in source out-zone destination in-zone service-policy type inspect sdm-inspect-all
問題は GRE/PPTP トラフィックがパススルーにないゾーン ベースのファイアウォールことです。
VPN クライアント トラフィックがゾーン ベースの Cisco IOS ファイアウォールによって点検されるようにして下さい。
たとえば、ルータの設定で追加するべき行はここにあります:
agw-7206>enablegw-7206#conf tgw-7206(config)#policy-map type inspect outside-to-insidegw-7206(config-pmap)#no class type inspect outside-to-insidegw-7206(config-pmap)#no class class-defaultgw-7206(config-pmap)#class type inspect outside-to-insidegw-7206(config-pmap-c)#inspect%No specific protocol configured in class outside-to-inside for inspection.All protocols will be inspectedgw-7206(config-pmap-c)#class class-defaultgw-7206(config-pmap-c)#dropgw-7206(config-pmap-c)#exitgw-7206(config-pmap)#exit
設定の確認:
gw-7206#show run policy-map outside-to-insidepolicy-map type inspect outside-to-inside class type inspect PPTP-Pass-Through-Traffic pass class type inspect outside-to-inside inspect class class-default drop
ゾーン ベースのファイアウォールのためのポリシーが Cisco IOS ルータで適用された後、ネットワークは到達可能ではないです。
この問題は非対称 ルーティングであるかもしれません。 Cisco IOS ファイアウォールは非対称 ルーティングを用いる環境ではたらきません。 パケットは同一ルータを通って戻るために保証されません。
Cisco IOS ファイアウォールは TCP/UDP セッションの状態をトラッキングします。 パケットはステート情報の正確なメンテナンスのための同一ルータから出発し、戻る必要があります。
ゾーン ベースのファイアウォールによって DHCP トラフィックを通過させることができません。
この問題を解決するために自己ゾーン トラフィック インスペクションをディセーブルにして下さい。