- ゾーンベース ポリシー ファイアウォール
- ゾーンベース ポリシー ファイアウォール IPv6 サポート
- VRF-Aware Cisco IOS XE ファイアウォール
- ゾーンベース ポリシー ファイアウォールのネストされたクラス マップ サポート
- ファイアウォール ステートフル シャーシ間冗長性の設定
- IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
- ゾーンベース ファイアウォールおよび NAT のシャーシ間非対称ルーティング サポート
- IPv6 ゾーンベース ファイアウォールのシャーシ間ハイ アベイラビリティ サポート
- ICMP のファイアウォール ステートフル インスペクション
- Skinny Client Control Protocol のファイアウォール サポート
- VRF-Aware Software インフラストラクチャの設定
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- 分散型サービス拒否攻撃に対する保護
- ファイアウォール リソース管理の設定
- 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート
- ファイアウォール TCP SYN Cookie の設定
- GPRS トンネリング プロトコル サポートの設定
- GPRS トンネリング プロトコル サポート
- ファイアウォールの GGSN プーリング サポート
- Cisco Firewall-SIP の機能拡張 ALG
- ファイアウォールおよび NAT 対応の MSRPC ALG サポート
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
- ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP
- IPv6 ファイアウォールの FTP66 ALG サポート
- NAT およびファイアウォールの SIP ALG の強化
- TCP リセット セグメント制御
- ファイアウォール高速ロギング
セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月28日
章のタイトル: VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
目次
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- 機能情報の確認
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの制約事項
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートについて
- VASI の概要
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの設定方法
- VRF およびアドレス ファミリ セッションの設定
- VASI サポートのクラス マップとポリシー マップの設定
- VASI のサポートのゾーンおよびゾーン ペアの設定
- VASI インターフェイスの設定
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの設定例
- 例:VRF およびアドレス ファミリ セッションの設定
- 例:VASI サポートのクラス マップとポリシー マップの設定
- 例:VASI のサポートのゾーンおよびゾーン ペアの設定
- 例:VASI インターフェイスの設定
- ファイアウォール ステートフル シャーシ間冗長性の追加情報
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの機能情報
この機能は、IPv6 ファイアウォールを介した VRF-Aware サービス インフラストラクチャ(VASI)のインターフェイスをサポートします。 この機能を使用すると、アクセス コントロール リスト(ACL)、ネットワーク アドレス変換(NAT)、ポリシング、ゾーンベース ファイアウォールなどのサービスを、2 つの異なる仮想ルーティングおよび転送(VRF)インスタンスを通過するトラフィックに適用できます。 VASI インターフェイスは、ルート プロセッサ(RP)と転送プロセッサ(FP)の冗長性をサポートします。 VASI インターフェイスは、IPv4 および IPv6 ユニキャスト トラフィックをサポートします。
このモジュールでは、VASI インターフェイスに関する情報を提供し、VASI インターフェイスを設定する方法について説明します。
- 機能情報の確認
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの制約事項
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートについて
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの設定方法
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの設定例
- ファイアウォール ステートフル シャーシ間冗長性の追加情報
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの機能情報
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの制約事項
VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートについて
VASI の概要
VRF-Aware Software インフラストラクチャ(VASI)を使用すると、ファイアウォール、IPsec、ネットワーク アドレス変換(NAT)などのサービスを、異なる仮想ルーティングおよび転送(VRF)インスタンスを通過するトラフィックに適用できます。 VASI は、仮想インターフェイスのペアを使用して実装され、ペアの各インターフェイスは異なる VRF インスタンスに関連付けられます。 VASI 仮想インターフェイスは、これら 2 つの VRF インスタンス間で交換される必要があるパケットのネクスト ホップ インターフェイスです。 VASI インターフェイスは、VRF インスタンス間のファイアウォールまたは NAT を設定するためのフレームワークを提供します。
各インターフェイス ペアは、異なる 2 つの VRF インスタンスに関連付けられています。 ペアリングの関連付けは、vasileft x が自動的に vasiright x へのペアを取得するという方法で、2 つのインターフェイスのインデックスに基づいて自動的に行われます。 たとえば、vasileft1 および vasiright1 は自動的にペアとなり、vasileft1 に入るパケットは、vasiright1 に内部的に渡されます。
VASI インターフェイス上で内部ボーダー ゲートウェイ プロトコル(iBGP)、Enhanced Interior Gateway Routing Protocol(EIGRP)、または Open Shortest Path First(OSPF)によるスタティック ルーティングまたはダイナミック ルーティングを設定できます。 iBGP ダイナミック ルーティング プロトコルの制約事項とコンフィギュレーションは、VASI インターフェイス間の iBGP ルーティング コンフィギュレーションに有効です。
次の図は、同じデバイス上の Inter-VRF VASI 設定を示します。
- パケットは、VRF1(ギガビット イーサネット 0/2/0.3)に属する物理インターフェイスに入ります。
- パケットを転送する前に、VRF1 ルーティング テーブルでのフォワーディング ルックアップが実行されます。 Vasileft1 は、ネクスト ホップとして選択され、存続可能時間(TTL)値がパケットから減らされます。 通常、転送アドレスは、VRF のデフォルト ルートに基づいて選択されます。 ただし、転送アドレスがスタティック ルートまたは学習されたルートになる場合もあります。 パケットは vasileft1 の出力パスに送信され、次に vasiright1 入力パスに自動的に送信されます。
- パケットが vasiright1 に入ると、フォワーディング ルックアップが VRF2 ルーティング テーブルで行われ、TTL が再び減らされます(このパケットでは 2 回目)。
- VRF2 は、パケットを物理インターフェイス、ギガビット イーサネット 0/3/0.5 に転送します。
次の図は、VASI がマルチ プロトコル ラベル スイッチング(MPLS)VPN 設定で動作する仕組みを示しています。
 (注) |
次の図で、MPLS はギガビット イーサネット インターフェイスでイネーブルですが、MPLS トラフィックは、VASI ペア間ではサポートされていません。 |
VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの設定方法
VRF およびアドレス ファミリ セッションの設定
1. enable
2. configure terminal
3. vrf definition vrf-name
4. address-family ipv6
5. exit-address-family
6. end
手順の詳細
VASI サポートのクラス マップとポリシー マップの設定
1. enable
2. configure terminal
3. ipv6 unicast-routing
4. class-map type inspect match-any class-map-name
5. match protocol name
6. match protocol name
7. exit
8. policy-map type inspect policy-map-name
9. class type inspect class-map-name
10. inspect
11. exit
12. class class-default
13. end
手順の詳細
VASI のサポートのゾーンおよびゾーン ペアの設定
1. enable
2. configure terminal
3. zone security zone-name
4. exit
5. zone-pair security zone-pair-name source source-zone destination destination-zone
6. service-policy type inspect policy-map-name
7. exit
8. interface type number
9. vrf forwarding vrf-name
10. no ip address
11. zone member security zone-name
12. ipv6 address ipv6-address/prefix-length
13. ipv6 enable
14. negotiation auto
15. exit
16. interface type number
17. no ip address
18. ipv6 address ipv6-address/prefix-length
19. ipv6 enable
20. negotiation auto
21. end
手順の詳細
VASI インターフェイスの設定
1. enable
2. configure terminal
3. interface type number
4. vrf forwarding vrf-name
5. ipv6 address ipv6-address/prefix-length link-local
6. ipv6 address ipv6-address/prefix-length
7. ipv6 enable
8. no keepalive
9. zone member security zone-name
10. exit
11. interface type number
12. ipv6 address ipv6-address/prefix-length link-local
13. ipv6 address ipv6-address/prefix-length
14. ipv6 enable
15. no keepalive
16. exit
17. ipv6 route ipv6-prefix/prefix-length interface-type interface-number ipv6-address
18. ipv6 route vrf vrf-name ipv6-prefix/prefix-length interface-type interface-number ipv6-address
19. end
手順の詳細
VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの設定例
例:VRF およびアドレス ファミリ セッションの設定
Device# configure terminal Device(config)# vrf definition VRF1 Device(config-vrf)# address-family ipv6 Device(config-vrf-af)# exit-address-family Device(config-vrf)# end
例:VASI サポートのクラス マップとポリシー マップの設定
Device# configure terminal Device(config)# ipv6-unicast routing Device(config)# class-map type inspect match-any c-map Device(config-cmap)# match protocol icmp Device(config-cmap)# match protocol tcp Device(config-cmap)# match protocol udp Device(config-cmap)# exit Device(config)# policy-map type inspect p-map Device(config-pmap)# class type inspect c-map Device(config-pmap-c)# inspect Device(config-pmap-c)# exit Device(config-pmap)# class class-default Device(config-pmap-c)# end
例:VASI のサポートのゾーンおよびゾーン ペアの設定
Device# configure terminal Device(config)# zone security in Device(config)# exit Device(config)# zone security out Device(config)# exit Device(config)# zone-pair security in-out source in destination out Device(config-sec-zone-pair)# service-policy type inspect p-map Device(config-sec-zone-pair)# exit Device(config)# interface gigabitethernet 0/0/0 Device(config-if)# vrf forwarding VRF1 Device(config-if)# no ip address Device(config-if)# zone member security in Device(config-if)# ipv6 address 2001:DB8:2:1234/64 Device(config-if)# ipv6 enable Device(config-if)# negotiation auto Device(config-if)# exit Device(config)# interface gigabitethernet 0/0/1 Device(config-if)# no ip address Device(config-if)# ipv6 address 2001:DB8:3:1234/64 Device(config-if)# ipv6 enable Device(config-if)# negotiation auto Device(config-if)# end
例:VASI インターフェイスの設定
Device# configure terminal Device(config)# interface vasileft 1 Device(config-if)# vrf forwarding VRF1 Device(config-if)# ipv6 address FE80::8EB6:4FFF:FE6C:E701 link-local Device(config-if)# ipv6 address 2001:DB8:4:1234/64 Device(config-if)# ipv6 enable Device(config-if)# no keepalive Device(config-if)# zone-member security out Device(config-if)# exit Device(config)# interface vasiright 1 Device(config-if)# ipv6 address FE80::260:3EFF:FE11:6770 link-local Device(config-if)# ipv6 address 2001:DB8:4:1234/64 Device(config-if)# ipv6 enable Device(config-if)# no keepalive Device(config-if)# exit Device(config)# ipv6 route 2001::/64 vasileft 1 2001::/64 Device(config)# ipv6 route vrf vrf1 2001::/64 vasiright 1 2001::/64 Device(config)# end
ファイアウォール ステートフル シャーシ間冗長性の追加情報
関連資料
| 関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| セキュリティ コマンド |
|
シスコのテクニカル サポート
| 説明 |
リンク |
|---|---|
| シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポートの機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
|---|---|---|
| VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート |
Cisco IOS XE Release 3.7S |
この機能は、IPv6 ファイアウォール経由の VASI インターフェイスをサポートします。 この機能を使用すると、アクセス コントロール リスト(ACL)、ネットワーク アドレス変換(NAT)、ポリシング、ゾーンベース ファイアウォールなどのサービスを、2 つの異なる仮想ルーティングおよび転送(VRF)インスタンスを通過するトラフィックに適用できます。 VASI インターフェイスは、ルート プロセッサ(RP)と転送プロセッサ(FP)の冗長性をサポートします。 VASI インターフェイスは、IPv4 および IPv6 ユニキャスト トラフィックをサポートします。 この機能について導入または変更されたコマンドはありません。 |