ACL をバイパスするための IPsec の設定
IPsec トンネルから送信されるすべてのパケットに対して、ACL で発信元インターフェイスと宛先インターフェイスをチェックせずに許可するには、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを入力します。
IPsec トラフィックのインターフェイス ACL をバイパスする必要があるのは、ASA の背後で別の VPN コンセントレータを使用し、なおかつ ASA のパフォーマンスを最大限にする場合などです。通常、IPsec パケットを許可する ACL を access-list コマンドを使用して作成し、これを発信元インターフェイスに適用します。ACL を使用すると、ASA を通過できるトラフィックを正確に指定できます。
次の例では、ACL をチェックせずに ASA を通過する IPsec トラフィックをイネーブルにします。
hostname(config)# sysopt connection permit-vpn
![]() (注) |
no sysopt connection permit-vpn が設定されているときに、外部インターフェイスのアクセス グループが deny ip any any ACL を呼び出すように設定されていたとしても、クライアントからの復号化された通過トラフィックは許可されます。 保護されたネットワークへの、サイトツーサイトまたはリモート アクセス VPN 経由でのアクセスをコントロールするために、no sysopt permit-vpn コマンドを外部インターフェイス上のアクセス コントロール リスト(ACL)と組み合わせて使用しようとしても、うまくいきません。 sysopt connection permit-vpn は、その対象のトラフィックの暗号マップが有効になっているインターフェイスに対する ACL(インとアウトの両方)と、他のすべてのインターフェイスの出力(アウト)ACL(入力(イン)ACL ではない)をバイパスします。 このような状況では、内部の管理アクセスがイネーブルになっていると、ACL は適用されず、ユーザは SSH を使用して ASA に引き続き接続できます。内部ネットワーク上へのホストへのトラフィックは ACL によって正しくブロックされますが、内部インターフェイスへの復号化された通過トラフィックはブロックされません。 ssh および http コマンドは、ACL よりもプライオリティが高くなります。VPN セッションからボックスへの SSH、Telnet、または ICMP トラフィックを拒否するには、ssh、telnet、および icmp コマンドを使用します。 |