- IPv4 アドレスの設定
- アドレス解決プロトコル オプションの設定
- ARP 情報のモニタリングおよびメンテナンス
- DHCP 機能ロードマップ
- DHCP の概要
- Cisco IOS DHCP サーバ設定
- DHCP サーバ MIB
- DHCP サーバ オンデマンド アドレス プール マネージャの設定
- DHCP サーバ RADIUS プロキシ
- Cisco IOS DHCP リレー エージェント設定
- Cisco IOS DHCP クライアント設定
- DHCP Option 82 設定可能な回線 ID および リモート ID
- アカウンティングおよびセキュリティ対応の DHCP サービスの設定
- Edge-Session 管理用の DHCP 拡張機能の 設定
- ISSU および SSO:DHCP ハイ アベイラビリ ティ機能
- DNS の設定
- NHRP の設定
- ネットワーク アドレス変換設定機能のロード マップ
- IP アドレス節約のための NAT 設定
- NAT でのアプリケーション レベル ゲート ウェイの使用
- NAT のモニタリングおよびメンテナンス
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド リリース 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
ファイアウォールおよび NAT 対応の Sun RPC ALG サポート機能により、ファイアウォールにおける Sun Microsystems(Sun)Remote Procedure Call(RPC; リモート プロシージャ コール)Application Layer Gateway(ALG; アプリケーション レイヤ ゲートウェイ)のサポート、および Network Address Translation(NAT; ネットワーク アドレス変換)のサポートが追加されます。Sun RPC は、リモート サーバ プログラム内の関数をクライアント プログラムが呼び出すことができるようにするアプリケーション レイヤ プロトコルです。
機能情報の検索
ご使用のソフトウェア リリースが、このモジュールで説明している機能の一部をサポートしていない場合があります。最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェア リリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「ファイアウォールおよび NAT 対応の Sun RPC ALG サポートの機能情報」を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、およびシスコのソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。 Cisco.com のアカウントは必要ありません。
目次
•
「ファイアウォールおよび NAT 対応の Sun RPC ALG サポートに関する制約事項」
• 「ファイアウォールおよび NAT 対応の Sun RPC ALG サポートについて」
• 「ファイアウォールおよび NAT 対応の Sun RPC ALG サポートの設定方法」
• 「ファイアウォールおよび NAT 対応の Sun RPC ALG サポートの設定例」
• 「参考資料」
ファイアウォールおよび NAT 対応の Sun RPC ALG サポートに関する制約事項
ファイアウォールおよび NAT 対応の Sun RPC ALG サポートについて
Sun RPC
Sun RPC ALG は、Sun RPC プロトコルのディープ パケット インスペクションを提供します。Sun RPC ALG は、管理者が一致フィルタを設定できるプロビジョニング システムと連動します。一致フィルタは、Sun RPC パケット内の検索で使用される一致基準を定義し、それにより、基準に一致するパケットのみ許可されます。
RPC では、クライアント プログラムは、サーバ プログラム内の関数を呼び出します。RPC ライブラリは、プロシージャ引数をネットワーク メッセージ内にパッケージ化し、それをサーバに送信します。次にサーバは、RPC ライブラリを使用して、ネットワーク メッセージから引数を取り出し、指定されたサーバ プロシージャを呼び出します。サーバ関数が戻り値を返すと、その戻り値がネットワーク メッセージ内にパッケージ化され、クライアントに送り返されます。
Sun RPC プロトコルの詳細については、RFC 1057、『 RPC: Remote Procedure Call Protocol Specification Version 2 』を参照してください。
ファイアウォールおよび NAT 対応の Sun RPC ALG サポートの設定方法
ファイアウォールおよび NAT がイネーブルの場合に Sun RPC を動作させるには、ALG で Sun RPC パケットを検査する必要があります。また ALG で、ダイナミック ファイアウォール セッションの確立、NAT 変換後のパケット コンテンツの修正など、Sun RPC 固有の問題を処理する必要もあります。
• 「Sun RPC ALG 対応のファイアウォールの設定」
Sun RPC ALG 対応のファイアウォールの設定
Sun RPC は、ポリシーおよびクラス マップを使用して作成するゾーンベースのファイアウォールを使用して設定します。レイヤ 7 クラス マップを使用することで、管理者は、一致フィルタを設定できます。このフィルタでは、Sun RPC パケット内で検索するプログラム番号を指定します。Sun RPC レイヤ 7 ポリシー マップは、 service-policy コマンドを使用するレイヤ 4 ポリシー マップの子ポリシーとして設定します。
Sun RPC レイヤ 4 クラス マップが設定され、一方でレイヤ 7 ファイアウォール ポリシーが設定されていない場合、Sun RPC により戻されるトラフィックはファイアウォールを通過できますが、レイヤ 7 レベルではセッションは検査されません。この結果、後続の RPC 呼び出しはファイアウォールによりブロックされます。Sun RPC レイヤ 4 クラス マップおよびレイヤ 7 ポリシーを設定すると、レイヤ 7 インスペクションが使用できるようになります。空のレイヤ 7 ファイアウォール ポリシー、つまり、一致フィルタが設定されていないレイヤ 7 ファイアウォール ポリシーを設定できます。
• 「レイヤ 7 ファイアウォール ポリシー対応のクラス マップの設定」
• 「レイヤ 3 およびレイヤ 4 ファイアウォール ポリシー対応のクラス マップの設定」
• 「Sun RPC ファイアウォール ポリシー マップの設定」
制約事項
• シスコは、同じインターフェイスに対してセキュリティ ゾーンと検査ルールの両方を設定することを推奨していません。
• Sun RPC プロトコルを検査する場合(つまり、レイヤ 4 クラス マップで match protocol sunrpc コマンドを指定した場合)、レイヤ 7 Sun RPC ポリシー マップが必要になります。
ゾーンベースのファイアウォール ポリシーの詳細については、『 Cisco IOS Security Configuration Guide: Securing the Data Plane』の「 Zone-Based Firewall Policy 」モジュールを参照してください。
レイヤ 7 ファイアウォール ポリシー対応のクラス マップの設定
ネットワーク トラフィックを分類するためのクラス マップを設定するには、この作業を実行します。この設定により、Sun RPC を使用する mount(100005)、Network File System(NFS; ネットワーク ファイル システム)(100003)などのプログラムが使用できるようになります。100005 および 100003 は Sun RPC プログラムの番号です。デフォルトでは、Sun RPC ALG はすべてのプログラムをブロックします。
Sun RPC プログラムおよびプログラム番号の詳細については、RFC 1057、『 RPC: Remote Procedure Call Protocol Specification Version 2 』を参照してください。
手順の概要
3. class-map type inspect protocol-name { match-any | match-all } class-map-name
手順の詳細
レイヤ 3 およびレイヤ 4 ファイアウォール ポリシー対応のクラス マップの設定
ネットワーク トラフィックを分類するためのクラス マップを設定するには、この作業を実行します。完全一致基準を指定すると、Sun RPC トラフィックは、クラスのすべての Sun RPC レイヤ 7 フィルタ(プログラム番号として指定)に従います。部分一致基準を指定すると、Sun RPC トラフィックは、クラスの Sun RPC レイヤ 7 フィルタ(プログラム番号として指定)の少なくとも 1 つに従います。
手順の概要
1. class-map type inspect { match-any | match-all } class-map-name
手順の詳細
Sun RPC ファイアウォール ポリシー マップの設定
Sun RPC ファイアウォール ポリシー マップを設定するには、この作業を実行します。ポリシー マップを使用して、レイヤ 7 ファイアウォール ポリシーのクラス マップで定義する Sun RPC レイヤ 7 クラスごとにパケット転送を許可します。
手順の概要
1. policy-map type inspect protocol-name policy-map-name
手順の詳細
レイヤ 4 クラスとレイヤ 7 ポリシー マップの関連付け
手順の概要
1. policy-map type inspect policy-map-name
2. class type inspect class-map-name
3. inspect [ parameter-map-name ]
手順の詳細
セキュリティ ゾーンとゾーン ペアの作成、およびポリシー マップのゾーン ペアへのアタッチ
ゾーン ペアを作成するには、2 つのセキュリティ ゾーンが必要です。ただし、1 つのセキュリティ ゾーンのみ作成でき、もう 1 つのセキュリティ ゾーンはシステム定義のセキュリティ ゾーンにすることができます。システム定義のセキュリティ ゾーンを作成するには、 self キーワードを指定した zone-pair security コマンドを設定します。
(注) セルフ ゾーンを選択する場合、検査ポリシングは設定できません。
セキュリティ ゾーンの制約事項
• インターフェイスをゾーンとレガシー検査ポリシーの両方に同時に所属させることはできません。
• インターフェイスは、1 つのセキュリティ ゾーンのみにメンバとして所属させることができます。
• インターフェイスがセキュリティ ゾーンのメンバである場合、そのインターフェイスへのトラフィックおよびそのインターフェイスからのトラフィックはすべてブロックされます。ただし、そのゾーンを含むゾーン ペアに対して明示的なゾーン間ポリシーを設定した場合は、この限りではありません。
• セキュリティ ゾーンのメンバであるインターフェイスと、セキュリティ ゾーンのメンバでないインターフェイスの間でトラフィックを流すことはできません。これは、2 つのゾーン間でしかポリシーを適用できないためです。
• ルータのすべてのインターフェイス間でトラフィックが流れるようにするには、インターフェイスを少なくとも 1 つのセキュリティ ゾーンのメンバにする必要があります。インターフェイスをセキュリティ ゾーンのメンバにした後、ポリシー アクション(検査、通過など)でパケット転送を明示的に許可する必要があるため、これは特に重要です。これを行わないと、パケットはドロップされます。
• ルータのインターフェイスをセキュリティ ゾーンまたはファイアウォール ポリシーに所属させることができない場合、そのインターフェイスをセキュリティ ゾーンに追加し、そのゾーンとトラフィック フローの対象となる他のゾーンとの間に、すべて通過ポリシー(つまり、ダミー ポリシー)を設定する必要があります。
• セキュリティ ゾーンとゾーン ペアの間で Access Control List(ACL; アクセス コントロール リスト)は適用できません。トラフィックをドロップするには、ACL 設定をクラス マップに含め、ポリシー マップを使用します。
• セキュリティ ゾーン内のすべてのインターフェイスは、同じ Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスに属している必要があります。
• メンバ インターフェイスが個別の VRF にあるセキュリティ ゾーン間でポリシーを設定できます。ただし、設定で許可されていない場合、これらの VRF 間をトラフィックは流れません。トラフィックが VRF 間を流れない場合(VRF 間のルートリークが設定されていないため)、VRF 間のポリシーは実行されません。これは、ポリシー側ではなく、ルーティング側の設定の問題です。
• 同じセキュリティ ゾーン内のインターフェイス間のトラフィックはポリシーには従わず、自由に通過します。
手順の概要
1. zone security { zone-name | default }
3. zone security { zone-name | default }
5. zone-pair security zone-pair-name source { source-zone-name | self | default } destination { destination-zone-name | self | default }
6. service-policy type inspect policy-map-name
9. ip address ip-address mask [ secondary [ vrf vrf-name ]]
10. zone-member security zone-name
13. ip address ip-address mask [ secondary [ vrf vrf-name ]]
手順の詳細
Sun RPC ALG 対応の NAT の設定
デフォルトでは、NAT をイネーブルにすると、Sun RPC ALG は自動的にイネーブルになります。NAT のみの設定では Sun RPC ALG を明示的にイネーブルにする必要はありません。NAT において Sun RPC ALG をディセーブルにするには、 no ip nat service alg コマンドを使用します。
ファイアウォールおよび NAT 対応の Sun RPC ALG サポートの設定例
• 「例:Sun RPC ALG 対応のファイアウォールの設定」
例:Sun RPC ALG 対応のファイアウォールの設定
以下は、Sun RPC ALG サポート対応のファイアウォールの設定例です。
参考資料
関連資料
|
|
|
|---|---|
『 Cisco IOS Security Configuration Guide: Securing the Data Plane 』の「 Zone-Based Firewall Policy 」モジュール |
|
『 Cisco IOS IP Addressing Configuration Guide 』の「 Configuring NAT 」モジュール |
規格
|
|
|
|---|---|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。 |
MIB
|
|
|
|---|---|
選択したプラットフォーム、シスコのソフトウェア リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
『RPC: Remote Procedure Call Protocol Specification Version 2』 |
シスコのテクニカル サポート
ファイアウォールおよび NAT 対応の Sun RPC ALG サポートの機能情報
表 1 に、この機能のリリース履歴を示します。
プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートするソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
|
|
|
|
|---|---|---|
ファイアウォールおよび NAT 対応の Sun RPC ALG サポート機能は、ファイアウォールおよび NAT における Sun RPC ALG のサポートを追加します。 |
フィードバック