Guest

ゾーンベースのファイアウォールのトラブルシューティング

ダウンロード オプション

  • PDF     (127.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (65.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (64.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2009 年 1 月 23 日
Document ID:109479
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

この資料はゾーン ベースのファイアウォールのためのトラブルシューティング情報が含まれています。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN トラフィックを通過させることが不可能

問題

問題は VPN トラフィックがゾーン ベースのファイアウォールを渡って渡ることができないことです。

解決策

VPN クライアント トラフィックがゾーン ベースの Cisco IOS ® ファイアウォールによって点検されるようにして下さい。

たとえば、ルータの設定で追加するべき行はここにあります: 

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255 class-map type inspect match-all sdm-cls-VPNOutsideToInside-1  match access-group 103 policy-map type inspect sdm-inspect-all  class type inspect sdm-cls-VPNOutsideToInside-1   inspect zone-pair security sdm-zp-out-in source out-zone destination in-zone  service-policy type inspect sdm-inspect-all

GRE/PPTP を渡すことが不可能

問題

問題は GRE/PPTP トラフィックがパススルーにないゾーン ベースのファイアウォールことです。

解決策

VPN クライアント トラフィックがゾーン ベースの Cisco IOS ファイアウォールによって点検されるようにして下さい。

たとえば、ルータの設定で追加するべき行はここにあります: 

agw-7206>enablegw-7206#conf tgw-7206(config)#policy-map type inspect outside-to-insidegw-7206(config-pmap)#no class type inspect outside-to-insidegw-7206(config-pmap)#no class class-defaultgw-7206(config-pmap)#class type inspect outside-to-insidegw-7206(config-pmap-c)#inspect%No specific protocol configured in class outside-to-inside for inspection.All protocols will be inspectedgw-7206(config-pmap-c)#class class-defaultgw-7206(config-pmap-c)#dropgw-7206(config-pmap-c)#exitgw-7206(config-pmap)#exit

設定の確認:

gw-7206#show run policy-map outside-to-insidepolicy-map type inspect outside-to-inside class type inspect PPTP-Pass-Through-Traffic  pass class type inspect outside-to-inside  inspect class class-default  drop

ネットワークの到達可能性

問題

ゾーン ベースのファイアウォールのためのポリシーが Cisco IOS ルータで適用された後、ネットワークは到達可能ではないです。

解決策

この問題は非対称 ルーティングであるかもしれません。 Cisco IOS ファイアウォールは非対称 ルーティングを用いる環境ではたらきません。 パケットは同一ルータを通って戻るために保証されません。

Cisco IOS ファイアウォールは TCP/UDP セッションの状態をトラッキングします。 パケットはステート情報の正確なメンテナンスのための同一ルータから出発し、戻る必要があります。

ゾーン ベースのファイアウォールによって DHCP トラフィックを通過させることが不可能

問題

ゾーン ベースのファイアウォールによって DHCP トラフィックを通過させることができません。

解決策

この問題を解決するために自己ゾーン トラフィック インスペクションをディセーブルにして下さい。

関連情報

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

フィードバック

お問い合わせ

このドキュメントは次の製品に対応しています