ゾーンベースのファイアウォールのトラブルシューティング

ダウンロード オプション

  • PDF     (314.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (80.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (64.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2009 年 1 月 23 日
Document ID:109479

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、ゾーンベースファイアウォールのトラブルシューティングについて説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

VPNトラフィックを通過させることができない

問題

問題は、VPNトラフィックがゾーンベースのファイアウォールを通過できないことです。

解決方法

VPNクライアントトラフィックがゾーンベースのCisco IOS®ファイアウォールによって検査されるようにする。

たとえば、ルータの設定に追加する行を次に示します。 

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

GRE/PPTPを渡すことができない

問題

問題は、GRE/PPTPトラフィックがゾーンベースファイアウォールを通過できないことです。

解決方法

VPNクライアントトラフィックがゾーンベースのCisco IOSファイアウォールによって検査されるようにします。

たとえば、ルータの設定に追加する行を次に示します。 

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

設定の確認:

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

ネットワーク到達可能性

問題

ゾーンベースファイアウォールのポリシーがCisco IOSルータに適用されると、ネットワークに到達できなくなります。

解決方法

この問題は非対称ルーティングである可能性があります。Cisco IOSファイアウォールは、非対称ルーティングが設定された環境では動作しません。パケットが同じルータを経由して戻ることは保証されていません。

Cisco IOSファイアウォールは、TCP/UDPセッションの状態を追跡します。ステート情報を正確に維持するために、パケットは同じルータから発信されて戻ってくる必要があります。

ゾーンベースファイアウォールを介してDHCPトラフィックを渡すことができない

問題

ゾーンベースのファイアウォールを介してDHCPトラフィックを渡すことはできません。

解決方法

この問題を解決するには、セルフゾーントラフィックインスペクションを無効にします。

関連情報

更新履歴

改定 発行日 コメント
1.0
20-Jan-2009
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています