アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

GRE で IOS PPTP プロトコルのためのゾーンによって基づくポリシー ファイアウォール インスペクション問題を解決して下さい

ダウンロード オプション

  • PDF     (141.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (74.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (71.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 7 月 30 日
Document ID:213532
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要 

    この資料は見つけられる問題を ZBF がきちんと一般的 なルーティング Encapsulation(GRE)のポイントツーポイント トンネリング プロトコル(PPTP)をどこにからの点検しないかゾーン ベースのファイアウォール(ZBF)と、記述したものです。

    前提条件

    要件

    Cisco は IOS ルータで Cisco ZBF 設定のナレッジがあることを推奨します。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

    • 統合サービス ルータ(ISR G1)
    • IOS 15M&T

    本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

    背景説明

    PPTP はバーチャル プライベート ネットワークの実装 方式です。 PPTP は PPP パケットをカプセル化するために動作する GRE トンネルおよび TCP 上の制御通信路を使用します。

    PPTP トンネルは TCPポート 1723 のピアに開始します。 この TCP 接続がそれから同じピアに第 2 GRE トンネルを開始し、管理するのに使用されています。

    GRE トンネルがカプセル化された PPP パケットを伝送するのに使用されています PPP の内で運ぶことができるあらゆるプロトコルのトンネルを可能にする。  IF、NetBEUI および IPX は含まれています。

    問題: GRE で IOS PPTP プロトコルのためのゾーンによって基づくポリシー ファイアウォール インスペクション問題を解決して下さい

    それは ZBF 点検しません GRE トラフィックの PPTP を確認され、パススルーにリターントラフィックを許可することを必要なピンホールを開かないこれはここに GRE トラフィックの PPTP プロトコルのインスペクション用の典型的な ZBF 設定の例という理由によります:

    ip access-list extended 160
permit gre any any

class-map type inspect match-all PPTP-GRE
match access-group 160

policy-map type inspect WAN-LAN-pmap
 class class-default
  drop

policy-map type inspect LAN-WAN-pmap
class type inspect PPTP-GRE
  inspect
 class class-default
  drop

    zone security LAN
    zone security WAN

    zone-pair security LAN-WAN source LAN destination WAN
     service-policy type inspect LAN-WAN-pmap
    zone-pair security WAN-LAN source WAN destination LAN
     service-policy type inspect WAN-LAN-pmap

    : 設定例で PPTP 接続が LAN から WAN ゾーンへの開始されることを考慮に入れて下さい。

    : PPTP の TCP 接続が ZBF の提示ポリシー ファイアウォール セッション出力で確立されるように表示されるのに、PPTP 接続はルータを通ってはたらきません。

    解決策

    GRE の PPTP VPN 接続を ZBF によって許可するために、含まれるゾーン ペアのトラフィックフローの両方向のパス操作のための ZBF ルールの Inspect 操作を変更する必要がありますちょうど次の通り:

    ip access-list extended 160
    permit gre any any

    class-map type inspect match-all PPTP-GRE
    match access-group 160

    policy-map type inspect WAN-LAN-pmap
    class type inspect PPTP-GRE
      pass
     class class-default
      drop

    policy-map type inspect LAN-WAN-pmap
    class type inspect PPTP-GRE
      pass
     class class-default
      drop
      
    zone security LAN
    zone security WAN

    zone-pair security LAN-WAN source LAN destination WAN
     service-policy type inspect LAN-WAN-pmap
    zone-pair security WAN-LAN source WAN destination LAN
     service-policy type inspect WAN-LAN-pmap

    この ZBF コンフィギュレーション変更を加えた後、GRE の PPTP VPN 接続は ZBF によってうまく働きます。

    関連情報

    GRE および Encapsulating Security Payload(ESP) プロトコル トラフィックをゾーン ベースのポリシー ファイアウォールによって許可するために、パス操作を使用して下さい。 GRE および ESP プロトコルはステートフル 点検をサポートしないし、ZBF の Inspect 操作を使用すれば、これらのプロトコルのためのトラフィックは廃棄されます。

    セキュリティの設定ガイド: ゾーンベース ポリシー ファイアウォール、Cisco IOS リリース 15M&T

    関連不具合

    CSCtn52424 ZBF ENH: ダイナミック GRE パススルーの PPTP の実装する インスペクション

    TAC Authored

    シスコ エンジニア提供

    • Christian G Hernandez R
      Cisco TAC エンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    関連するシスコ コミュニティ ディスカッション

    このドキュメントは次の製品に対応しています

    シスコをフォロー
    News Roomイベントブログコミュニティ
    シスコについて
    お問い合わせ
    採用情報