セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)

Chapter Title

IPv6 ファイアウォールの FTP66 ALG サポート

検索結果

Updated:
2017年6月28日

章のタイトル: IPv6 ファイアウォールの FTP66 ALG サポート

目次

IPv6 ファイアウォールの FTP66 ALG サポート機能を使用すると、FTP は IPv6 ファイアウォールとともに機能することができます。 このモジュールでは、ファイアウォール、ネットワーク アドレス変換(NAT)、およびステートフル NAT64 が、FTP66 アプリケーション レベル ゲートウェイ(ALG)とともに機能するように設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

IPv6 ファイアウォールの FTP66 ALG サポートの制約事項

FTP66 ALG は次をサポートしていません。
  • ボックスツーボックス ハイ アベイラビリティ。
  • 加入者単位のファイアウォール。
  • ステートレス ネットワーク アドレス変換 64(NAT64)。
  • ステートフル NAT64 が設定されている場合の仮想ルーティングおよび転送(VRF)。
  • 仮想 TCP(vTCP)、または変換後の小さいパケットへのパケット分割。

IPv6 ファイアウォールの FTP66 ALG サポートについて

アプリケーション レベル ゲートウェイ

アプリケーション レベル ゲートウェイ(ALG)は、アプリケーション層ゲートウェイとも呼ばれ、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。 ALG は、アプリケーション層プロトコルを解釈し、ファイアウォールおよびネットワーク アドレス変換(NAT)アクションを実行するために使用されます。 これらのアクションは、ファイアウォールおよび NAT の設定に応じて次の 1 つまたは複数のアクションになります。
  • クライアント アプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバ アプリケーションと通信できるようにします。
  • アプリケーション固有のコマンドを認識し、それらに対するきめ細かいセキュリティ制御を提供します。
  • データ交換を行う 2 台のホスト間のデータの複数のストリームまたはセッションを同期します。
  • アプリケーション ペイロードで使用できるネットワーク層アドレス情報を変換します。

ファイアウォールはピンホールを開き、NAT は、アプリケーション層データ ストリームの送信元および宛先 IP アドレスを伝送しない TCP または UDP トラフィックに対する変換サービスを実行します。 IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには ALG のサポートが必要です。

FTP66 ALG サポートの概要

ファイアウォールは、IPv6 パケットおよびステートフル ネットワーク アドレス変換 64(NAT64)のインスペクションをサポートします。 IPv6 パケット インスペクションにおいて FTP が機能するには、アプリケーション層ゲートウェイ(ALG)(アプリケーション レベル ゲートウェイ(ALG)とも呼ばれます)、FTP66 が必要となります。 FTP66 ALG は、オールインワン FTP ALG および 1 つの FTP ALG とも呼ばれます。

FTP66 ALG は次のことをサポートします。
  • ファイアウォール IPv4 パケット インスペクション
  • ファイアウォール IPv6 パケット インスペクション
  • NAT 設定
  • NAT64 設定(FTP64 サポートとともに)
  • NAT およびファイアウォール設定
  • NAT64 およびファイアウォール設定
FTP66 ALG には次のセキュリティ脆弱性があります。
  • パケット セグメンテーション攻撃:FTP ALG ステート マシンは、セグメント化されたパケットを検出でき、ステート マシンの処理は、完全なパケットを受信するまで停止します。
  • バウンス攻撃:FTP ALG は、1024 より少ないデータ ポート番号を使用して(NAT 用の)ドアまたは(ファイアウォール用の)ピンホールを作成しません。 バウンス攻撃の防止は、ファイアウォールがイネーブルな場合にのみアクティブです。

FTP66 ALG でサポートされる FTP コマンド

FTP66 アプリケーション レベル ゲートウェイ(ALG)は、RFC 959 に基づいています。 ここでは、FTP66 ALG が処理する主要な RFC 959 と RFC 2428 の FTP コマンドおよび応答について説明します。

PORT コマンド

PORT コマンドは、アクティブ FTP モードで使用されます。 PORT コマンドでは、サーバが接続するアドレスとポート番号を指定します。 このコマンドを使用する場合、引数は、32 ビットのインターネット ホスト アドレスと 16 ビットの TCP ポートのアドレスを連結したものになります。 アドレス情報は 8 ビットのフィールドに分割され、各フィールドの値は 10 進数(文字列表記)として送信されます。 フィールドは、カンマで区切られます。

次に、 h1 がインターネット ホスト アドレスの最上位の 8 ビットである PORT コマンドの例を示します。 
PORT h1,h2,h3,h4,p1,p2

PASV コマンド

PASV コマンドは、TRANSFER コマンドを受信した場合、サーバのデフォルト データ ポートではないデータ ポートをリッスンし、別の接続を開始するのではなく、接続を待機するようサーバに要求します。 PASV コマンドに対する応答には、サーバがリッスンするホストとポート アドレスが含まれます。

拡張 FTP コマンド

拡張 FTP コマンドは、FTP が IPv4 以外のネットワーク プロトコルのデータ接続エンドポイント情報をやり取りできる方法を提供します。 拡張 FTP コマンドは、RFC 2428 で規定されています。 RFC 2428 では、拡張 FTP コマンドの EPRT および EPSV は、FTP コマンドの PORT および PASV をそれぞれ置き換えます。

EPRT コマンド

EPRT コマンドを使用すると、データ接続に拡張アドレスを指定できます。 拡張アドレスは、ネットワーク プロトコル、ネットワーク アドレス、および転送アドレスで構成されている必要があります。 EPRT のコマンドの形式は次のとおりです。 

EPRT<space><d><net-prt><d><net-addr><d><tcp-port><d>
  • <net-prt> 引数は、アドレス ファミリ番号である必要があり、次の表で説明するように定義される必要があります。
    表 1 <net-prt> 引数の定義

    アドレス ファミリ番号

    プロトコル

    1

    IPv4(Pos81a)

    2

    IPv6(DH96)

  • <net-addr> 引数は、ネットワーク アドレスのプロトコル固有文字列表記です。 上記の表で指定された 2 つのアドレス ファミリ番号(アドレス ファミリ番号 1 と 2)の場合、次の表に示すアドレス形式である必要があります。

    アドレス ファミリ番号

    アドレス フォーマット

    1

    ドット付き 10 進数

    10.135.1.2

    2

    DH96 で定義された IPv6 文字列表記

    2001:DB8:1::1

  • <tcp-port> 引数は、ホストがデータ接続をリッスンする TCP ポートの番号の文字列表記である必要があります。
  • 次のコマンドは、TCP ポート 6275 でホスト 10.235.1.2 へのデータ接続を開くために IPv4 アドレスを使用するようにサーバに指定する方法を示します。 
    EPRT |1|10.235.1.2|6275|
  • 次のコマンドは、ポート 5282 で TCP データ接続を開くために IPv6 ネットワーク プロトコルおよびネットワーク アドレスを使用するようにサーバに指定する方法を示します。 
    EPRT |2|2001:DB8:2::2:417A|5282|
  • <d> 引数は、デリミタ文字であり、33 ~ 126 の範囲の ASCII 形式である必要があります。

EPSV コマンド

EPSV コマンドは、サーバがデータ ポートでリッスンし、接続を待機するよう要求します。 このコマンドへの応答には、接続をリッスンする TCP ポート番号のみが含まれます。 拡張アドレスを使用してパッシブ モードを開始するための応答コードは、229 である必要があります。

EPSV コマンドへの応答で返されるテキストは、次の形式である必要があります。 
(<d><d><d><tcp-port><d>)
  • カッコで囲まれた文字列の一部は、データ接続を開くために EPRT コマンドで必要とされる正確な文字列である必要があります。 カッコ内の最初の 2 つのフィールドは空白である必要があります。 3 番目のフィールドは、サーバがデータ接続のためにリッスンする TCP ポート番号の文字列表記である必要があります。 データ接続で使用されるネットワーク プロトコルは、制御接続で使用されるのと同じネットワーク プロトコルです。 データ接続を確立するために使用されるネットワーク アドレスは、制御接続で使用されるのと同じネットワーク アドレスです。
  • 次に、応答文字列の例を示します。 
    Entering Extended Passive Mode (|||6446|)

次の FTP 応答とコマンドも FTP66 ALG によって処理されます。 これらのコマンドの処理結果は、ステート マシンの状態遷移を駆動するために使用されます。

  • 230 応答
  • AUTH
  • USER
  • PASS

IPv6 ファイアウォールの FTP66 ALG サポートの設定方法

FTP66 ALG サポート用ファイアウォールの設定

match protocol ftp コマンドを使用して、FTP66 ALG を明示的にイネーブルにする必要があります。

手順の概要

    1.    enable

    2.    configure terminal

    3.    class-map type inspect match-any class-map-name

    4.    match protocol protocol-name

    5.    exit

    6.    policy-map type inspect policy-map-name

    7.    class type inspect class-map-name

    8.    inspect

    9.    exit

    10.    class class-default

    11.    exit

    12.    exit

    13.    zone security zone-name

    14.    exit

    15.    zone-pair security zone-pair source source-zone destination destination-zone

    16.    service-policy type inspect policy-map-name

    17.    exit

    18.    interface type number

    19.    no ip address

    20.    ip virtual-reassembly

    21.    zone-member security zone-name

    22.    negotiation auto

    23.    ipv6 address ipv6-address/prefix-length

    24.    cdp enable

    25.    exit

    26.    ipv6 route ipv6-prefix/prefix-length interface-type interface-number

    27.    ipv6 neighbor ipv6-address interface-type interface-number hardware-address

    28.    end


手順の詳細
      コマンドまたはアクション 目的
    ステップ 1 enable


    例: 
    Device> enable
     
    特権 EXEC モードをイネーブルにします。
    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例: 
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 class-map type inspect match-any class-map-name


    例: 
    Device(config)# class-map type inspect match-any in2out-class
     

    検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 4 match protocol protocol-name


    例: 
    Device(config-cmap)# match protocol ftp
     

    指定されたプロトコルに基づくクラス マップの一致基準を設定します。

     
    ステップ 5 exit


    例: 
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 6 policy-map type inspect policy-map-name


    例: 
    Device(config)# policy-map type inspect in-to-out
     

    検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 7 class type inspect class-map-name


    例: 
    Device(config-pmap)# class type inspect in2out-class
     

    アクションを実行するクラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 8 inspect


    例: 
    Device(config-pmap-c)# inspect
     

    ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 9 exit


    例: 
    Device(config-pmap-c)# exit
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 10 class class-default


    例: 
    Device(config-pmap)# class class-default
     
    ポリシー マップ設定を定義済みのデフォルト クラスに適用して、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。
    • 設定済みクラス マップの一致基準のいずれともトラフィックが一致しない場合、事前に定義されたデフォルト クラスに誘導されます。
     
    ステップ 11 exit


    例: 
    Device(config-pmap-c)# exit
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 12 exit


    例: 
    Device(config-pmap)# exit
     

    QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 13 zone security zone-name


    例: 
    Device(config)# zone security inside
     
    インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • 設定には、ゾーン ペアを作成するために、2 つのセキュリティ ゾーン(送信元ゾーンと宛先ゾーン)が含まれている必要があります。
    • ゾーン ペアでは、送信元ゾーンまたは宛先ゾーンとしてデフォルト ゾーンを使用できます。
     
    ステップ 14 exit


    例: 
    Device(config-sec-zone)# exit
     

    セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 15 zone-pair security zone-pair source source-zone destination destination-zone


    例: 
    Device(config)# zone-pair security in2out source inside destination outside
     
    セキュリティ ゾーンのペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。
    • ポリシーを適用するには、ゾーン ペアを設定する必要があります。
     
    ステップ 16 service-policy type inspect policy-map-name


    例: 
    Device(config-sec-zone-pair)# service-policy type inspect in-to-out
     

    ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。
    • ゾーンのペア間でポリシーが設定されない場合、トラフィックはデフォルトでドロップされます。
     
    ステップ 17 exit


    例: 
    Device(config-sec-zone-pair)# exit
     

    セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 18 interface type number


    例: 
    Device(config)# interface gigabitethernet 0/0/1
     

    インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 19 no ip address


    例: 
    Device(config-if)# no ip address
     

    IP アドレスを削除するか、IP 処理をディセーブルにします。

     
    ステップ 20 ip virtual-reassembly


    例: 
    Device(config-if)# ip virtual-reassembly
     

    インターフェイスでの仮想フラグメンテーション再構成(VFR)をイネーブルにします。

     
    ステップ 21 zone-member security zone-name


    例: 
    Device(config-if)# zone-member security inside
     
    インターフェイスを指定したセキュリティ ゾーンに割り当てます。
    • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
     
    ステップ 22 negotiation auto


    例: 
    Device(config-if)# negotiation auto
     

    ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

     
    ステップ 23 ipv6 address ipv6-address/prefix-length


    例: 
    Device(config-if)# ipv6 address 2001:DB8:1::1/96
     

    IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

     
    ステップ 24 cdp enable


    例: 
    Device(config-if)# cdp enable
     

    インターフェイス上で Cisco Discovery Protocol をイネーブルにします。

     
    ステップ 25 exit


    例: 
    Device(config-if)# exit
     

    インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

     
    ステップ 26 ipv6 route ipv6-prefix/prefix-length interface-type interface-number


    例: 
    Device(config)# ipv6 route 2001::/96 gigabitethernet 0/0/1
     

    スタティック IPv6 ルートを確立します。

     
    ステップ 27 ipv6 neighbor ipv6-address interface-type interface-number hardware-address


    例: 
    Device(config)# ipv6 neighbor 2001:DB8:1::1 gigabitethernet 0/0/1 0000.29f1.4841
     

    IPv6 ネイバー探索キャッシュのスタティック エントリを設定します。

     
    ステップ 28 end


    例: 
    Device(config)# end
     

    グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    FTP66 ALG サポート用 NAT の設定

    手順の概要

      1.    enable

      2.    configure terminal

      3.    interface type number

      4.    ip address ip-address mask

      5.    ip nat inside

      6.    zone-member security zone-name

      7.    exit

      8.    interface type number

      9.    ip address ip-address mask

      10.    ip nat outside

      11.    zone-member security zone-name

      12.    exit

      13.    ip nat inside source static local-ip global-ip

      14.    end


    手順の詳細
        コマンドまたはアクション 目的
      ステップ 1 enable


      例: 
      Device> enable
       
      特権 EXEC モードをイネーブルにします。
      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例: 
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 interface type number


      例: 
      Device(config)# interface gigabitethernet 0/1/2
       

      インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 4 ip address ip-address mask


      例: 
      Device(config-if)# ip address 10.1.1.1 255.255.255.0
       

      インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

       
      ステップ 5 ip nat inside


      例: 
      Device(config-if)# ip nat inside
       

      インターフェイスが内部ネットワーク(NAT 変換の対象になるネットワーク)に接続されていることを示します。

       
      ステップ 6 zone-member security zone-name


      例: 
      Device(config-if)# zone-member security inside
       
      インターフェイスを指定したセキュリティ ゾーンに割り当てます。
      • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
       
      ステップ 7 exit


      例: 
      Device(config-if)# exit
       

      インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

       
      ステップ 8 interface type number


      例: 
      Device(config)# interface gigabitethernet 0/1/1
       

      インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 9 ip address ip-address mask


      例: 
      Device(config-if)# ip address 10.2.1.1 255.255.255.0
       

      インターフェイスが内部ネットワーク(NAT 変換の対象になるネットワーク)に接続されていることを示します。

       
      ステップ 10 ip nat outside


      例: 
      Device(config-if)# ip nat outside
       

      インターフェイスが外部ネットワークに接続されていることを示します。

       
      ステップ 11 zone-member security zone-name


      例: 
      Device(config-if)# zone-member security outside
       
      インターフェイスを指定したセキュリティ ゾーンに割り当てます。
      • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
       
      ステップ 12 exit


      例: 
      Device(config-if)# exit
       

      インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

       
      ステップ 13 ip nat inside source static local-ip global-ip


      例: 
      Device(config)# ip nat inside source static 10.1.1.10 10.1.1.80
       

      内部送信元アドレスの NAT をイネーブルにします。

       
      ステップ 14 end


      例: 
      Device(config)# end
       

      グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      FTP66 ALG サポート用 NAT64 の設定

      手順の概要

        1.    enable

        2.    configure terminal

        3.    ipv6 unicast-routing

        4.    interface type number

        5.    no ip address

        6.    ipv6 virtual-reassembly

        7.    zone-member security zone-name

        8.    negotiation auto

        9.    ipv6 address ipv6-address

        10.    ipv6 enable

        11.    nat64 enable

        12.    cdp enable

        13.    exit

        14.    interface type number

        15.    ip address type number

        16.    ip virtual-reassembly

        17.    zone member security zone-name

        18.    negotiation auto

        19.    nat64 enable

        20.    exit

        21.    ipv6 route ipv6-address interface-type interface-number

        22.    ipv6 neighbor ipv6-address interface-type interface-number hardware-address

        23.    nat64 v6v4 static ipv6-address ipv4-address

        24.    end


      手順の詳細
          コマンドまたはアクション 目的
        ステップ 1 enable


        例: 
        Device> enable
         
        特権 EXEC モードをイネーブルにします。
        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例: 
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 ipv6 unicast-routing


        例: 
        Device(config)# ipv6 unicast-routing
         

        IPv6 ユニキャスト データグラムの転送をイネーブルにします。

         
        ステップ 4 interface type number


        例: 
        Device(config)# interface gigabitethernet 0/0/0
         

        インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 5 no ip address


        例: 
        Device(config-if)# no ip address
         

        IP アドレスを削除するか、IP 処理をディセーブルにします。

         
        ステップ 6 ipv6 virtual-reassembly


        例: 
        Device(config-if)# ipv6 virtual-reassembly
         

        インターフェイスでの仮想フラグメンテーション再構成(VFR)をイネーブルにします。

         
        ステップ 7 zone-member security zone-name


        例: 
        Device(config-if)# zone-member security inside
         
        インターフェイスを指定したセキュリティ ゾーンに割り当てます。
        • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
         
        ステップ 8 negotiation auto


        例: 
        Device(config-if)# negotiation auto
         

        ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

         
        ステップ 9 ipv6 address ipv6-address


        例: 
        Device(config-if)# ipv6 address 2001:DB8:1::2/96
         

        IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

         
        ステップ 10 ipv6 enable


        例: 
        Device(config-if)# ipv6 enable
         

        明示的な IPv6 アドレスが設定されていないインターフェイスにおける IPv6 処理をイネーブルにします。

         
        ステップ 11 nat64 enable


        例: 
        Device(config-if)# nat64 enable
         

        インターフェイスで NAT64 をイネーブルにします。

         
        ステップ 12 cdp enable


        例: 
        Device(config-if)# cdp enable
         

        インターフェイス上で Cisco Discovery Protocol をイネーブルにします。

         
        ステップ 13 exit


        例: 
        Device(config-if)# exit
         

        インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

         
        ステップ 14 interface type number


        例: 
        Device(config)# interface gigabitethernet 0/1/1
         

        インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 15 ip address type number


        例: 
        Device(config-if)# ip address 209.165.201.25 255.255.255.0
         

        インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

         
        ステップ 16 ip virtual-reassembly


        例: 
        Device(config-if)# ip virtual-reassembly
         

        インターフェイス上で VFR をイネーブルにします。

         
        ステップ 17 zone member security zone-name


        例: 
        Device(config-if)# zone member security outside
         
        インターフェイスを指定したセキュリティ ゾーンに割り当てます。
        • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(ルータ宛のトラフィックまたはルータ発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
         
        ステップ 18 negotiation auto


        例: 
        Device(config-if)# negotiation auto
         

        ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

         
        ステップ 19 nat64 enable


        例: 
        Device(config-if)# nat64 enable
         

        インターフェイスで NAT64 をイネーブルにします。

         
        ステップ 20 exit


        例: 
        Device(config-if)# exit
         

        インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

         
        ステップ 21 ipv6 route ipv6-address interface-type interface-number


        例: 
        Device(config)# ipv6 route 2001:DB8:1::2/96 gigabitethernet 0/0/0
         

        スタティック IPv6 ルートを確立し、指定したネットワークに到達するために使用可能なネクスト ホップの IPv6 アドレスを指定します。

         
        ステップ 22 ipv6 neighbor ipv6-address interface-type interface-number hardware-address


        例: 
        Device(config)# ipv6 neighbor 2001:DB8:1::103 gigabitethernet 0/0/0 0000.29f1.4841
         

        IPv6 ネイバー探索キャッシュのスタティック エントリを設定します。

         
        ステップ 23 nat64 v6v4 static ipv6-address ipv4-address


        例: 
        Device(config)# nat64 v6v4 static 2001:DB8:1::103 209.165.201.32
         

        NAT64 の IPv6 送信元アドレスを IPv4 送信元アドレスに、および IPv4 宛先アドレスを IPv6 宛先アドレスに変換します。

         
        ステップ 24 end


        例: 
        Device(config)# end
         

        グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         

        IPv6 ファイアウォールの FTP66 ALG サポートの設定例

        例:FTP66 ALG サポート用 IPv6 ファイアウォールの設定

        Device# configure terminal 
Device(config)# class-map type inspect match-any in2out-class 
Device(config-cmap)# match protocol ftp
Device(config-cmap)# exit 
Device(config)# policy-map type inspect in-to-out
Device(config-pmap)# class type inspect in2out-class
Device(config-pmap-c)# inspect
Device(config-pmap-c)# exit 
Device(config-pmap)# class class-default 
Device(config-pmap-c)# exit 
Device(config-pmap)# exit 
Device(config)# zone security inside
Device(config-sec-zone)# exit
Device(config)# zone security outside
Device(config-sec-zone)# exit
Device(config)# zone-pair security in2out source inside destination outside
Device(config-sec-zone-pair)# service-policy type inspect in-to-out  
Device(config-sec-zone-pair)# exit
Device(config)# interface gigabitethernet 0/0/1
Device(config-if)# no ip address 
Device(config-if)# ip virtual-reassembly
Device(config-if)# zone-member security inside 
Device(config-if)# negotiation auto
Device(config-if)# ipv6 address 2001:DB8:1::1/96 
Device(config-if)# cdp enable 
Device(config-if)# exit 
Device(config)# interface gigabitethernet 0/1/1
Device(config-if)# no ip address 
Device(config-if)# ip virtual-reassembly
Device(config-if)# zone-member security outside 
Device(config-if)# negotiation auto
Device(config-if)# ipv6 address 2001:DB8:2::2/96 
Device(config-if)# exit 
Device(config)# ipv6 route 2001::/96 gigabitethernet 0/0/1  
Device(config)# ipv6 route 2001::/96 gigabitethernet 0/1/1  
Device(config)# ipv6 neighbor 2001:DB8:1::1 gigabitethernet 0/0/1 0000.29f1.4841
Device(config)# ipv6 neighbor 2001:DB8:2::2 gigabitethernet 0/1/1 0000.29f1.4842
Device(config)# end

        例:FTP66 ALG サポート用 NAT の設定

        Device# configure terminal
Device(config)# interface gigabitethernet 0/1/2
Device(config-if)# ip address 10.1.1.1 255.255.255.0
Device(config-if)# ip nat inside
Device(config-if)# zone-member security inside
Device(config-if)# exit
Device(config)# interface gigabitethernet 0/1/1
Device(config-if)# ip address 10.2.1.1 255.255.255.0
Device(config-if)# ip nat outside
Device(config-if)# zone-member security outside
Device(config-if)# exit
Device(config-if)# ip nat inside source static 10.1.1.10 10.1.1.80

        例:FTP66 ALG サポート用 NAT64 の設定

        Device# configure terminal
Device(config)# ipv6 unicast-routing
Device(config)# interface gigabitethernet 0/0/0
Device(config-if)# no ip address
Device(config-if)# ipv6 virtual-reassembly
Device(config-if)# zone-member security inside
Device(config-if)# negotiation auto
Device(config-if)# ipv6 address 2001:DB8:1::2/96
Device(config-if)# ipv6 enable
Device(config-if)# nat64 enable
Device(config-if)# cdp enable
Device(config-if)# exit
Device(config)# interface gigabitethernet 0/1/1
Device(config-if)# ip address 209.165.201.25 255.255.255.0
Device(config-if)# ip virtual-reassembly
Device(config-if)# zone member security outside
Device(config-if)# negotiation auto
Device(config-if)# nat64 enable
Device(config-if)# exit
Device(config)# ipv6 route 2001:DB8:1::2/96 gigabitethernet 0/0/0
Device(config)# 2001:DB8:1::103 gigabitethernet 0/0/0 0000.29f1.4841
Device(config)# nat64 v6v4 static 2001:DB8:1::103 209.165.201.32

        IPv6 ファイアウォールの FTP66 ALG サポートの追加情報

        関連資料

        関連項目

        マニュアル タイトル

        Cisco IOS コマンド

        『Master Command List, All Releases』

        セキュリティ コマンド

        NAT コマンド

        『IP Addressing Command Reference』

        標準および RFC

        標準/RFC

        タイトル

        RFC 959

        『File Transfer Protocol』

        RFC 2428

        『FTP Extensions for IPv6 and NATs』

        シスコのテクニカル サポート

        説明

        リンク

        シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

        IPv6 ファイアウォールの FTP66 ALG サポートの機能情報

        次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        表 2 IPv6 ファイアウォールの FTP66 ALG サポートの機能情報

        機能名

        リリース

        機能情報

        IPv6 ファイアウォールの FTP66 ALG サポート

        Cisco IOS XE Release 3.7S

        IPv6 ファイアウォールの FTP66 ALG サポート機能を使用すると、FTP は IPv6 ファイアウォールとともに機能することができます。 このモジュールでは、ファイアウォール、ネットワーク アドレス変換(NAT)、および NAT64 が、FTP66 アプリケーション レベル ゲートウェイ(ALG)とともに機能するように設定する方法について説明します。

        目次

        IPv6 ファイアウォールの FTP66 ALG サポート機能を使用すると、FTP は IPv6 ファイアウォールとともに機能することができます。 このモジュールでは、ファイアウォール、ネットワーク アドレス変換(NAT)、およびステートフル NAT64 が、FTP66 アプリケーション レベル ゲートウェイ(ALG)とともに機能するように設定する方法について説明します。

        機能情報の確認

        ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        IPv6 ファイアウォールの FTP66 ALG サポートの制約事項

        FTP66 ALG は次をサポートしていません。
        • ボックスツーボックス ハイ アベイラビリティ。
        • 加入者単位のファイアウォール。
        • ステートレス ネットワーク アドレス変換 64(NAT64)。
        • ステートフル NAT64 が設定されている場合の仮想ルーティングおよび転送(VRF)。
        • 仮想 TCP(vTCP)、または変換後の小さいパケットへのパケット分割。

        IPv6 ファイアウォールの FTP66 ALG サポートについて

        アプリケーション レベル ゲートウェイ

        アプリケーション レベル ゲートウェイ(ALG)は、アプリケーション層ゲートウェイとも呼ばれ、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。 ALG は、アプリケーション層プロトコルを解釈し、ファイアウォールおよびネットワーク アドレス変換(NAT)アクションを実行するために使用されます。 これらのアクションは、ファイアウォールおよび NAT の設定に応じて次の 1 つまたは複数のアクションになります。
        • クライアント アプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバ アプリケーションと通信できるようにします。
        • アプリケーション固有のコマンドを認識し、それらに対するきめ細かいセキュリティ制御を提供します。
        • データ交換を行う 2 台のホスト間のデータの複数のストリームまたはセッションを同期します。
        • アプリケーション ペイロードで使用できるネットワーク層アドレス情報を変換します。

        ファイアウォールはピンホールを開き、NAT は、アプリケーション層データ ストリームの送信元および宛先 IP アドレスを伝送しない TCP または UDP トラフィックに対する変換サービスを実行します。 IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには ALG のサポートが必要です。

        FTP66 ALG サポートの概要

        ファイアウォールは、IPv6 パケットおよびステートフル ネットワーク アドレス変換 64(NAT64)のインスペクションをサポートします。 IPv6 パケット インスペクションにおいて FTP が機能するには、アプリケーション層ゲートウェイ(ALG)(アプリケーション レベル ゲートウェイ(ALG)とも呼ばれます)、FTP66 が必要となります。 FTP66 ALG は、オールインワン FTP ALG および 1 つの FTP ALG とも呼ばれます。

        FTP66 ALG は次のことをサポートします。
        • ファイアウォール IPv4 パケット インスペクション
        • ファイアウォール IPv6 パケット インスペクション
        • NAT 設定
        • NAT64 設定(FTP64 サポートとともに)
        • NAT およびファイアウォール設定
        • NAT64 およびファイアウォール設定
        FTP66 ALG には次のセキュリティ脆弱性があります。
        • パケット セグメンテーション攻撃:FTP ALG ステート マシンは、セグメント化されたパケットを検出でき、ステート マシンの処理は、完全なパケットを受信するまで停止します。
        • バウンス攻撃:FTP ALG は、1024 より少ないデータ ポート番号を使用して(NAT 用の)ドアまたは(ファイアウォール用の)ピンホールを作成しません。 バウンス攻撃の防止は、ファイアウォールがイネーブルな場合にのみアクティブです。

        FTP66 ALG でサポートされる FTP コマンド

        FTP66 アプリケーション レベル ゲートウェイ(ALG)は、RFC 959 に基づいています。 ここでは、FTP66 ALG が処理する主要な RFC 959 と RFC 2428 の FTP コマンドおよび応答について説明します。

        PORT コマンド

        PORT コマンドは、アクティブ FTP モードで使用されます。 PORT コマンドでは、サーバが接続するアドレスとポート番号を指定します。 このコマンドを使用する場合、引数は、32 ビットのインターネット ホスト アドレスと 16 ビットの TCP ポートのアドレスを連結したものになります。 アドレス情報は 8 ビットのフィールドに分割され、各フィールドの値は 10 進数(文字列表記)として送信されます。 フィールドは、カンマで区切られます。

        次に、 h1 がインターネット ホスト アドレスの最上位の 8 ビットである PORT コマンドの例を示します。 
        PORT h1,h2,h3,h4,p1,p2

        PASV コマンド

        PASV コマンドは、TRANSFER コマンドを受信した場合、サーバのデフォルト データ ポートではないデータ ポートをリッスンし、別の接続を開始するのではなく、接続を待機するようサーバに要求します。 PASV コマンドに対する応答には、サーバがリッスンするホストとポート アドレスが含まれます。

        拡張 FTP コマンド

        拡張 FTP コマンドは、FTP が IPv4 以外のネットワーク プロトコルのデータ接続エンドポイント情報をやり取りできる方法を提供します。 拡張 FTP コマンドは、RFC 2428 で規定されています。 RFC 2428 では、拡張 FTP コマンドの EPRT および EPSV は、FTP コマンドの PORT および PASV をそれぞれ置き換えます。

        EPRT コマンド

        EPRT コマンドを使用すると、データ接続に拡張アドレスを指定できます。 拡張アドレスは、ネットワーク プロトコル、ネットワーク アドレス、および転送アドレスで構成されている必要があります。 EPRT のコマンドの形式は次のとおりです。 

        EPRT<space><d><net-prt><d><net-addr><d><tcp-port><d>
        • <net-prt> 引数は、アドレス ファミリ番号である必要があり、次の表で説明するように定義される必要があります。
          表 1 <net-prt> 引数の定義

          アドレス ファミリ番号

          プロトコル

          1

          IPv4(Pos81a)

          2

          IPv6(DH96)

        • <net-addr> 引数は、ネットワーク アドレスのプロトコル固有文字列表記です。 上記の表で指定された 2 つのアドレス ファミリ番号(アドレス ファミリ番号 1 と 2)の場合、次の表に示すアドレス形式である必要があります。

          アドレス ファミリ番号

          アドレス フォーマット

          1

          ドット付き 10 進数

          10.135.1.2

          2

          DH96 で定義された IPv6 文字列表記

          2001:DB8:1::1

        • <tcp-port> 引数は、ホストがデータ接続をリッスンする TCP ポートの番号の文字列表記である必要があります。
        • 次のコマンドは、TCP ポート 6275 でホスト 10.235.1.2 へのデータ接続を開くために IPv4 アドレスを使用するようにサーバに指定する方法を示します。 
          EPRT |1|10.235.1.2|6275|
        • 次のコマンドは、ポート 5282 で TCP データ接続を開くために IPv6 ネットワーク プロトコルおよびネットワーク アドレスを使用するようにサーバに指定する方法を示します。 
          EPRT |2|2001:DB8:2::2:417A|5282|
        • <d> 引数は、デリミタ文字であり、33 ~ 126 の範囲の ASCII 形式である必要があります。

        EPSV コマンド

        EPSV コマンドは、サーバがデータ ポートでリッスンし、接続を待機するよう要求します。 このコマンドへの応答には、接続をリッスンする TCP ポート番号のみが含まれます。 拡張アドレスを使用してパッシブ モードを開始するための応答コードは、229 である必要があります。

        EPSV コマンドへの応答で返されるテキストは、次の形式である必要があります。 
        (<d><d><d><tcp-port><d>)
        • カッコで囲まれた文字列の一部は、データ接続を開くために EPRT コマンドで必要とされる正確な文字列である必要があります。 カッコ内の最初の 2 つのフィールドは空白である必要があります。 3 番目のフィールドは、サーバがデータ接続のためにリッスンする TCP ポート番号の文字列表記である必要があります。 データ接続で使用されるネットワーク プロトコルは、制御接続で使用されるのと同じネットワーク プロトコルです。 データ接続を確立するために使用されるネットワーク アドレスは、制御接続で使用されるのと同じネットワーク アドレスです。
        • 次に、応答文字列の例を示します。 
          Entering Extended Passive Mode (|||6446|)

        次の FTP 応答とコマンドも FTP66 ALG によって処理されます。 これらのコマンドの処理結果は、ステート マシンの状態遷移を駆動するために使用されます。

        • 230 応答
        • AUTH
        • USER
        • PASS

        IPv6 ファイアウォールの FTP66 ALG サポートの設定方法

        FTP66 ALG サポート用ファイアウォールの設定

        match protocol ftp コマンドを使用して、FTP66 ALG を明示的にイネーブルにする必要があります。

        手順の概要

          1.    enable

          2.    configure terminal

          3.    class-map type inspect match-any class-map-name

          4.    match protocol protocol-name

          5.    exit

          6.    policy-map type inspect policy-map-name

          7.    class type inspect class-map-name

          8.    inspect

          9.    exit

          10.    class class-default

          11.    exit

          12.    exit

          13.    zone security zone-name

          14.    exit

          15.    zone-pair security zone-pair source source-zone destination destination-zone

          16.    service-policy type inspect policy-map-name

          17.    exit

          18.    interface type number

          19.    no ip address

          20.    ip virtual-reassembly

          21.    zone-member security zone-name

          22.    negotiation auto

          23.    ipv6 address ipv6-address/prefix-length

          24.    cdp enable

          25.    exit

          26.    ipv6 route ipv6-prefix/prefix-length interface-type interface-number

          27.    ipv6 neighbor ipv6-address interface-type interface-number hardware-address

          28.    end


        手順の詳細
            コマンドまたはアクション 目的
          ステップ 1 enable


          例: 
          Device> enable
           
          特権 EXEC モードをイネーブルにします。
          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure terminal


          例: 
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 class-map type inspect match-any class-map-name


          例: 
          Device(config)# class-map type inspect match-any in2out-class
           

          検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

           
          ステップ 4 match protocol protocol-name


          例: 
          Device(config-cmap)# match protocol ftp
           

          指定されたプロトコルに基づくクラス マップの一致基準を設定します。

           
          ステップ 5 exit


          例: 
          Device(config-cmap)# exit
           

          QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 6 policy-map type inspect policy-map-name


          例: 
          Device(config)# policy-map type inspect in-to-out
           

          検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

           
          ステップ 7 class type inspect class-map-name


          例: 
          Device(config-pmap)# class type inspect in2out-class
           

          アクションを実行するクラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

           
          ステップ 8 inspect


          例: 
          Device(config-pmap-c)# inspect
           

          ステートフル パケット インスペクションをイネーブルにします。

           
          ステップ 9 exit


          例: 
          Device(config-pmap-c)# exit
           

          QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

           
          ステップ 10 class class-default


          例: 
          Device(config-pmap)# class class-default
           
          ポリシー マップ設定を定義済みのデフォルト クラスに適用して、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。
          • 設定済みクラス マップの一致基準のいずれともトラフィックが一致しない場合、事前に定義されたデフォルト クラスに誘導されます。
           
          ステップ 11 exit


          例: 
          Device(config-pmap-c)# exit
           

          QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

           
          ステップ 12 exit


          例: 
          Device(config-pmap)# exit
           

          QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 13 zone security zone-name


          例: 
          Device(config)# zone security inside
           
          インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
          • 設定には、ゾーン ペアを作成するために、2 つのセキュリティ ゾーン(送信元ゾーンと宛先ゾーン)が含まれている必要があります。
          • ゾーン ペアでは、送信元ゾーンまたは宛先ゾーンとしてデフォルト ゾーンを使用できます。
           
          ステップ 14 exit


          例: 
          Device(config-sec-zone)# exit
           

          セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 15 zone-pair security zone-pair source source-zone destination destination-zone


          例: 
          Device(config)# zone-pair security in2out source inside destination outside
           
          セキュリティ ゾーンのペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。
          • ポリシーを適用するには、ゾーン ペアを設定する必要があります。
           
          ステップ 16 service-policy type inspect policy-map-name


          例: 
          Device(config-sec-zone-pair)# service-policy type inspect in-to-out
           

          ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。
          • ゾーンのペア間でポリシーが設定されない場合、トラフィックはデフォルトでドロップされます。
           
          ステップ 17 exit


          例: 
          Device(config-sec-zone-pair)# exit
           

          セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 18 interface type number


          例: 
          Device(config)# interface gigabitethernet 0/0/1
           

          インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

           
          ステップ 19 no ip address


          例: 
          Device(config-if)# no ip address
           

          IP アドレスを削除するか、IP 処理をディセーブルにします。

           
          ステップ 20 ip virtual-reassembly


          例: 
          Device(config-if)# ip virtual-reassembly
           

          インターフェイスでの仮想フラグメンテーション再構成(VFR)をイネーブルにします。

           
          ステップ 21 zone-member security zone-name


          例: 
          Device(config-if)# zone-member security inside
           
          インターフェイスを指定したセキュリティ ゾーンに割り当てます。
          • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
           
          ステップ 22 negotiation auto


          例: 
          Device(config-if)# negotiation auto
           

          ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

           
          ステップ 23 ipv6 address ipv6-address/prefix-length


          例: 
          Device(config-if)# ipv6 address 2001:DB8:1::1/96
           

          IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

           
          ステップ 24 cdp enable


          例: 
          Device(config-if)# cdp enable
           

          インターフェイス上で Cisco Discovery Protocol をイネーブルにします。

           
          ステップ 25 exit


          例: 
          Device(config-if)# exit
           

          インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

           
          ステップ 26 ipv6 route ipv6-prefix/prefix-length interface-type interface-number


          例: 
          Device(config)# ipv6 route 2001::/96 gigabitethernet 0/0/1
           

          スタティック IPv6 ルートを確立します。

           
          ステップ 27 ipv6 neighbor ipv6-address interface-type interface-number hardware-address


          例: 
          Device(config)# ipv6 neighbor 2001:DB8:1::1 gigabitethernet 0/0/1 0000.29f1.4841
           

          IPv6 ネイバー探索キャッシュのスタティック エントリを設定します。

           
          ステップ 28 end


          例: 
          Device(config)# end
           

          グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

           

          FTP66 ALG サポート用 NAT の設定

          手順の概要

            1.    enable

            2.    configure terminal

            3.    interface type number

            4.    ip address ip-address mask

            5.    ip nat inside

            6.    zone-member security zone-name

            7.    exit

            8.    interface type number

            9.    ip address ip-address mask

            10.    ip nat outside

            11.    zone-member security zone-name

            12.    exit

            13.    ip nat inside source static local-ip global-ip

            14.    end


          手順の詳細
              コマンドまたはアクション 目的
            ステップ 1 enable


            例: 
            Device> enable
             
            特権 EXEC モードをイネーブルにします。
            • パスワードを入力します(要求された場合)。
             
            ステップ 2 configure terminal


            例: 
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3 interface type number


            例: 
            Device(config)# interface gigabitethernet 0/1/2
             

            インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 4 ip address ip-address mask


            例: 
            Device(config-if)# ip address 10.1.1.1 255.255.255.0
             

            インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

             
            ステップ 5 ip nat inside


            例: 
            Device(config-if)# ip nat inside
             

            インターフェイスが内部ネットワーク(NAT 変換の対象になるネットワーク)に接続されていることを示します。

             
            ステップ 6 zone-member security zone-name


            例: 
            Device(config-if)# zone-member security inside
             
            インターフェイスを指定したセキュリティ ゾーンに割り当てます。
            • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
             
            ステップ 7 exit


            例: 
            Device(config-if)# exit
             

            インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

             
            ステップ 8 interface type number


            例: 
            Device(config)# interface gigabitethernet 0/1/1
             

            インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 9 ip address ip-address mask


            例: 
            Device(config-if)# ip address 10.2.1.1 255.255.255.0
             

            インターフェイスが内部ネットワーク(NAT 変換の対象になるネットワーク)に接続されていることを示します。

             
            ステップ 10 ip nat outside


            例: 
            Device(config-if)# ip nat outside
             

            インターフェイスが外部ネットワークに接続されていることを示します。

             
            ステップ 11 zone-member security zone-name


            例: 
            Device(config-if)# zone-member security outside
             
            インターフェイスを指定したセキュリティ ゾーンに割り当てます。
            • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
             
            ステップ 12 exit


            例: 
            Device(config-if)# exit
             

            インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

             
            ステップ 13 ip nat inside source static local-ip global-ip


            例: 
            Device(config)# ip nat inside source static 10.1.1.10 10.1.1.80
             

            内部送信元アドレスの NAT をイネーブルにします。

             
            ステップ 14 end


            例: 
            Device(config)# end
             

            グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

             

            FTP66 ALG サポート用 NAT64 の設定

            手順の概要

              1.    enable

              2.    configure terminal

              3.    ipv6 unicast-routing

              4.    interface type number

              5.    no ip address

              6.    ipv6 virtual-reassembly

              7.    zone-member security zone-name

              8.    negotiation auto

              9.    ipv6 address ipv6-address

              10.    ipv6 enable

              11.    nat64 enable

              12.    cdp enable

              13.    exit

              14.    interface type number

              15.    ip address type number

              16.    ip virtual-reassembly

              17.    zone member security zone-name

              18.    negotiation auto

              19.    nat64 enable

              20.    exit

              21.    ipv6 route ipv6-address interface-type interface-number

              22.    ipv6 neighbor ipv6-address interface-type interface-number hardware-address

              23.    nat64 v6v4 static ipv6-address ipv4-address

              24.    end


            手順の詳細
                コマンドまたはアクション 目的
              ステップ 1 enable


              例: 
              Device> enable
               
              特権 EXEC モードをイネーブルにします。
              • パスワードを入力します(要求された場合)。
               
              ステップ 2 configure terminal


              例: 
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3 ipv6 unicast-routing


              例: 
              Device(config)# ipv6 unicast-routing
               

              IPv6 ユニキャスト データグラムの転送をイネーブルにします。

               
              ステップ 4 interface type number


              例: 
              Device(config)# interface gigabitethernet 0/0/0
               

              インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 5 no ip address


              例: 
              Device(config-if)# no ip address
               

              IP アドレスを削除するか、IP 処理をディセーブルにします。

               
              ステップ 6 ipv6 virtual-reassembly


              例: 
              Device(config-if)# ipv6 virtual-reassembly
               

              インターフェイスでの仮想フラグメンテーション再構成(VFR)をイネーブルにします。

               
              ステップ 7 zone-member security zone-name


              例: 
              Device(config-if)# zone-member security inside
               
              インターフェイスを指定したセキュリティ ゾーンに割り当てます。
              • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(デバイス宛のトラフィックまたはデバイス発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
               
              ステップ 8 negotiation auto


              例: 
              Device(config-if)# negotiation auto
               

              ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

               
              ステップ 9 ipv6 address ipv6-address


              例: 
              Device(config-if)# ipv6 address 2001:DB8:1::2/96
               

              IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

               
              ステップ 10 ipv6 enable


              例: 
              Device(config-if)# ipv6 enable
               

              明示的な IPv6 アドレスが設定されていないインターフェイスにおける IPv6 処理をイネーブルにします。

               
              ステップ 11 nat64 enable


              例: 
              Device(config-if)# nat64 enable
               

              インターフェイスで NAT64 をイネーブルにします。

               
              ステップ 12 cdp enable


              例: 
              Device(config-if)# cdp enable
               

              インターフェイス上で Cisco Discovery Protocol をイネーブルにします。

               
              ステップ 13 exit


              例: 
              Device(config-if)# exit
               

              インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

               
              ステップ 14 interface type number


              例: 
              Device(config)# interface gigabitethernet 0/1/1
               

              インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 15 ip address type number


              例: 
              Device(config-if)# ip address 209.165.201.25 255.255.255.0
               

              インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

               
              ステップ 16 ip virtual-reassembly


              例: 
              Device(config-if)# ip virtual-reassembly
               

              インターフェイス上で VFR をイネーブルにします。

               
              ステップ 17 zone member security zone-name


              例: 
              Device(config-if)# zone member security outside
               
              インターフェイスを指定したセキュリティ ゾーンに割り当てます。
              • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(ルータ宛のトラフィックまたはルータ発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
               
              ステップ 18 negotiation auto


              例: 
              Device(config-if)# negotiation auto
               

              ギガビット イーサネット インターフェイスの速度、デュプレックス、および自動フロー制御を自動ネゴシエーション プロトコルで設定できるようにします。

               
              ステップ 19 nat64 enable


              例: 
              Device(config-if)# nat64 enable
               

              インターフェイスで NAT64 をイネーブルにします。

               
              ステップ 20 exit


              例: 
              Device(config-if)# exit
               

              インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

               
              ステップ 21 ipv6 route ipv6-address interface-type interface-number


              例: 
              Device(config)# ipv6 route 2001:DB8:1::2/96 gigabitethernet 0/0/0
               

              スタティック IPv6 ルートを確立し、指定したネットワークに到達するために使用可能なネクスト ホップの IPv6 アドレスを指定します。

               
              ステップ 22 ipv6 neighbor ipv6-address interface-type interface-number hardware-address


              例: 
              Device(config)# ipv6 neighbor 2001:DB8:1::103 gigabitethernet 0/0/0 0000.29f1.4841
               

              IPv6 ネイバー探索キャッシュのスタティック エントリを設定します。

               
              ステップ 23 nat64 v6v4 static ipv6-address ipv4-address


              例: 
              Device(config)# nat64 v6v4 static 2001:DB8:1::103 209.165.201.32
               

              NAT64 の IPv6 送信元アドレスを IPv4 送信元アドレスに、および IPv4 宛先アドレスを IPv6 宛先アドレスに変換します。

               
              ステップ 24 end


              例: 
              Device(config)# end
               

              グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

               

              IPv6 ファイアウォールの FTP66 ALG サポートの設定例

              例:FTP66 ALG サポート用 IPv6 ファイアウォールの設定

              Device# configure terminal 
Device(config)# class-map type inspect match-any in2out-class 
Device(config-cmap)# match protocol ftp
Device(config-cmap)# exit 
Device(config)# policy-map type inspect in-to-out
Device(config-pmap)# class type inspect in2out-class
Device(config-pmap-c)# inspect
Device(config-pmap-c)# exit 
Device(config-pmap)# class class-default 
Device(config-pmap-c)# exit 
Device(config-pmap)# exit 
Device(config)# zone security inside
Device(config-sec-zone)# exit
Device(config)# zone security outside
Device(config-sec-zone)# exit
Device(config)# zone-pair security in2out source inside destination outside
Device(config-sec-zone-pair)# service-policy type inspect in-to-out  
Device(config-sec-zone-pair)# exit
Device(config)# interface gigabitethernet 0/0/1
Device(config-if)# no ip address 
Device(config-if)# ip virtual-reassembly
Device(config-if)# zone-member security inside 
Device(config-if)# negotiation auto
Device(config-if)# ipv6 address 2001:DB8:1::1/96 
Device(config-if)# cdp enable 
Device(config-if)# exit 
Device(config)# interface gigabitethernet 0/1/1
Device(config-if)# no ip address 
Device(config-if)# ip virtual-reassembly
Device(config-if)# zone-member security outside 
Device(config-if)# negotiation auto
Device(config-if)# ipv6 address 2001:DB8:2::2/96 
Device(config-if)# exit 
Device(config)# ipv6 route 2001::/96 gigabitethernet 0/0/1  
Device(config)# ipv6 route 2001::/96 gigabitethernet 0/1/1  
Device(config)# ipv6 neighbor 2001:DB8:1::1 gigabitethernet 0/0/1 0000.29f1.4841
Device(config)# ipv6 neighbor 2001:DB8:2::2 gigabitethernet 0/1/1 0000.29f1.4842
Device(config)# end

              例:FTP66 ALG サポート用 NAT の設定

              Device# configure terminal
Device(config)# interface gigabitethernet 0/1/2
Device(config-if)# ip address 10.1.1.1 255.255.255.0
Device(config-if)# ip nat inside
Device(config-if)# zone-member security inside
Device(config-if)# exit
Device(config)# interface gigabitethernet 0/1/1
Device(config-if)# ip address 10.2.1.1 255.255.255.0
Device(config-if)# ip nat outside
Device(config-if)# zone-member security outside
Device(config-if)# exit
Device(config-if)# ip nat inside source static 10.1.1.10 10.1.1.80

              例:FTP66 ALG サポート用 NAT64 の設定

              Device# configure terminal
Device(config)# ipv6 unicast-routing
Device(config)# interface gigabitethernet 0/0/0
Device(config-if)# no ip address
Device(config-if)# ipv6 virtual-reassembly
Device(config-if)# zone-member security inside
Device(config-if)# negotiation auto
Device(config-if)# ipv6 address 2001:DB8:1::2/96
Device(config-if)# ipv6 enable
Device(config-if)# nat64 enable
Device(config-if)# cdp enable
Device(config-if)# exit
Device(config)# interface gigabitethernet 0/1/1
Device(config-if)# ip address 209.165.201.25 255.255.255.0
Device(config-if)# ip virtual-reassembly
Device(config-if)# zone member security outside
Device(config-if)# negotiation auto
Device(config-if)# nat64 enable
Device(config-if)# exit
Device(config)# ipv6 route 2001:DB8:1::2/96 gigabitethernet 0/0/0
Device(config)# 2001:DB8:1::103 gigabitethernet 0/0/0 0000.29f1.4841
Device(config)# nat64 v6v4 static 2001:DB8:1::103 209.165.201.32

              IPv6 ファイアウォールの FTP66 ALG サポートの追加情報

              関連資料

              関連項目

              マニュアル タイトル

              Cisco IOS コマンド

              『Master Command List, All Releases』

              セキュリティ コマンド

              NAT コマンド

              『IP Addressing Command Reference』

              標準および RFC

              標準/RFC

              タイトル

              RFC 959

              『File Transfer Protocol』

              RFC 2428

              『FTP Extensions for IPv6 and NATs』

              シスコのテクニカル サポート

              説明

              リンク

              シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

              http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

              IPv6 ファイアウォールの FTP66 ALG サポートの機能情報

              次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

              プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

              表 2 IPv6 ファイアウォールの FTP66 ALG サポートの機能情報

              機能名

              リリース

              機能情報

              IPv6 ファイアウォールの FTP66 ALG サポート

              Cisco IOS XE Release 3.7S

              IPv6 ファイアウォールの FTP66 ALG サポート機能を使用すると、FTP は IPv6 ファイアウォールとともに機能することができます。 このモジュールでは、ファイアウォール、ネットワーク アドレス変換(NAT)、および NAT64 が、FTP66 アプリケーション レベル ゲートウェイ(ALG)とともに機能するように設定する方法について説明します。

              このドキュメントは役に立ちましたか?

              Feedbackフィードバック

              シスコに問い合わせ