概要
この資料は見つけられる問題を ZBF がきちんと一般的 なルーティング Encapsulation(GRE)のポイントツーポイント トンネリング プロトコル(PPTP)をどこにからの点検しないかゾーン ベースのファイアウォール(ZBF)と、記述したものです。
前提条件
要件
Cisco は IOS ルータで Cisco ZBF 設定のナレッジがあることを推奨します。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- 統合サービス ルータ(ISR G1)
- IOS 15M&T
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
PPTP はバーチャル プライベート ネットワークの実装 方式です。 PPTP は PPP パケットをカプセル化するために動作する GRE トンネルおよび TCP 上の制御通信路を使用します。
PPTP トンネルは TCPポート 1723 のピアに開始します。 この TCP 接続がそれから同じピアに第 2 GRE トンネルを開始し、管理するのに使用されています。
GRE トンネルがカプセル化された PPP パケットを伝送するのに使用されています PPP の内で運ぶことができるあらゆるプロトコルのトンネルを可能にする。 IF、NetBEUI および IPX は含まれています。
問題: GRE で IOS PPTP プロトコルのためのゾーンによって基づくポリシー ファイアウォール インスペクション問題を解決して下さい
それは ZBF 点検しません GRE トラフィックの PPTP を確認され、パススルーにリターントラフィックを許可することを必要なピンホールを開かないこれはここに GRE トラフィックの PPTP プロトコルのインスペクション用の典型的な ZBF 設定の例という理由によります:
ip access-list extended 160
permit gre any any
class-map type inspect match-all PPTP-GRE
match access-group 160
policy-map type inspect WAN-LAN-pmap
class class-default
drop
policy-map type inspect LAN-WAN-pmap
class type inspect PPTP-GRE
inspect
class class-default
drop
zone security LAN
zone security WAN
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-pmap
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-pmap
注: 設定例で PPTP 接続が LAN から WAN ゾーンへの開始されることを考慮に入れて下さい。
注: PPTP の TCP 接続が ZBF の提示ポリシー ファイアウォール セッション出力で確立されるように表示されるのに、PPTP 接続はルータを通ってはたらきません。
解決策
GRE の PPTP VPN 接続を ZBF によって許可するために、含まれるゾーン ペアのトラフィックフローの両方向のパス操作のための ZBF ルールの Inspect 操作を変更する必要がありますちょうど次の通り:
ip access-list extended 160
permit gre any any
class-map type inspect match-all PPTP-GRE
match access-group 160
policy-map type inspect WAN-LAN-pmap
class type inspect PPTP-GRE
pass
class class-default
drop
policy-map type inspect LAN-WAN-pmap
class type inspect PPTP-GRE
pass
class class-default
drop
zone security LAN
zone security WAN
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-pmap
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-pmap
この ZBF コンフィギュレーション変更を加えた後、GRE の PPTP VPN 接続は ZBF によってうまく働きます。
関連情報
GRE および Encapsulating Security Payload(ESP) プロトコル トラフィックをゾーン ベースのポリシー ファイアウォールによって許可するために、パス操作を使用して下さい。 GRE および ESP プロトコルはステートフル 点検をサポートしないし、ZBF の Inspect 操作を使用すれば、これらのプロトコルのためのトラフィックは廃棄されます。
セキュリティの設定ガイド: ゾーンベース ポリシー ファイアウォール、Cisco IOS リリース 15M&T
関連不具合
CSCtn52424 ZBF ENH: ダイナミック GRE パススルーの PPTP の実装する インスペクション