Firewall について (Ask the Expert)

CiscoJapanModerator · ‎2012-11-22

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ！

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

担当エキスパート: 秦昭　（シンショウ）

シスコテクニカルサポート、Firewall テクノロジテクニカルリード

2008年入社。カスタマーサポートエンジニアとしてシスコテクニカルサポート部門、セキュリティチームへ配属。

以降、Firewall、VPN、ACS や IPS などのテクノロジに関するサポートを担当。現在は、Firewall を最も専門とし活躍している。

保有資格: CCIE 22796 in Routing and Switching 及びSecurity, RedHat, VMware

ディスカッション開催期間: 11月26日（月）～12月9日（日）

[質問の回答方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし１つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッションフォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております！

[エキスパートからの回答について]

質問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容によっては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。

ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。

MASASHI KONDO · ‎2012-11-27

お世話になります。

ASAを使用してSSL VPNでアクセスする場合、クライアントから見たアドレスを

実アドレスとは別のアドレスに見せる事（宛先NAT)は可能でしょうか？

ASA5505を使用してIPADからAnyConnectを使用してアクセスした場合に

必要な要件が実現できるかどうかの検証をしています。

概ねうまくいっていますが、一つうまくいかない事があります。

サーバーの実アドレスは10.2.2.1ですが、事情があってクライアントは

10.1.1.1にアクセスします。

クライアントが10.1.1.1にアクセスした時。10.2.2.1に変換して社内ネット

ワークに流す必要がありますが、これがうまくいきません。

ASAは慣れていないので、まずはこれが仕様なのが設定の問題なのかを

確認したく思います。

NAT部分は以下のような設定で試しています。

---------------------------------------------------------------

nat (inside,any) source static any any destination static VPN-Pool VPN-Pool route-lookup

nat (any,inside) source static any any destination static VMWare VMware-V

!

object network obj_any

nat (inside,outside) dynamic interface

object network VMWare

nat (any,any) static VMware-V

object network VMware-V

nat (any,any) static VMWare

---------------------------------------------------------------

以上よろしくお願い致します

zhaqin · ‎2012-11-28

ご検討されている要件は、下記のようなサンプル設定で実現できるかと思います。

<設定例>

object network MAPPED

host 10.1.1.1

object network REAL

host 10.2.2.1

!

object network REAL

nat (inside,outside) static MAPPED dns

なお、nat コマンドの行は、nat (any,any) static MAPPED dns に変更しても動作します。

もしうまく動作しない場合、show nat detail と show xlate コマンドの出力を貼りつけて頂けますでしょうか。

cja56910tf · ‎2012-11-29

標題：VPN Clusterについての質問

クライアントレス/AnyConnectによるRemoteVPNの環境を、ASAを複数台使ったClusterで構成することを考えております。

その中で、以下の点について疑問に思いましたが、CCO等のドキュメントを調べたのですが、どうしてもわからなかったので質問させていただいた次第です。

・VPN Clusterのメンバー機器のプライオリティが同じであった場合は、どちらがマスター機に選出されますか？

・VPN Clusterのメンバー機器は他のメンバー機器をどうやって検出しているのでしょうか？（マルチキャスト？）

　また、どのインターフェースから検出用パケット？を送受信しているのでしょうか？

・VPN Clusterのマスター機はメンバー機の障害をどのように検出しているのでしょうか？

・VPN Clusterのマスター機はメンバー機の死活監視を行っていると思いますが、どのくらいの間隔/タイムアウト/

　リトライ回数で実行しているのでしょうか？

・上記すべてにいて設定（パラメータチューニング）が可能でしょうか。

　またASDMのどの項目（or コマンド）で設定できますでしょうか？

お手数とは存じますが、ご回答いただけましたなら幸いです。

以上、よろしくお願いいたします。

zhaqin · ‎2012-12-03

ご質問ありがとうございます。

> ・VPN Clusterのメンバー機器のプライオリティが同じであった場合は、どちらがマスター機に選出されますか？

プライオリティが異なる場合、高いプライオリティの ASA がマスター機になりますが、プライオリティが同じの場合、Lowest IPを持つ（IP アドレスの最も小さい） ASA がマスター機になります。

> ・VPN Clusterのメンバー機器は他のメンバー機器をどうやって検出しているのでしょうか？（マルチキャスト？）

メンバー機器が立ち上がったら、設定した VPN Cluster IP に対して、Public インターフェイス側で ARP パケットや UDP/9023 の Hello パケットを送信して検知します。デフォルトのポート番号は 9023 になるが、お客様が変更可能です。

> また、どのインターフェースから検出用パケット？を送受信しているのでしょうか？

Public インターフェイス側です。

> ・VPN Clusterのマスター機はメンバー機の障害をどのように検出しているのでしょうか？

Keepalive パケットで相手の障害を検出しております。

> ・VPN Clusterのマスター機はメンバー機の死活監視を行っていると思いますが、どのくらいの間隔/タイムアウト/リトライ回数で実行しているのでしょうか？

間隔や回数はお客様にてチューニングできるパラメータではなく、この情報は公開しておりません。もしどうしても必要の場合、お手数ですが、実機にてパケットキャプチャを採取して頂き、観測して頂ければと思います。

> ・上記すべてにいて設定（パラメータチューニング）が可能でしょうか。

> またASDMのどの項目（or コマンド）で設定できますでしょうか？

全てのパラメータではないですが、チューニングは CLI と ASDM ではいずれも可能です。

実機で確かめていただくことをお勧めいたします。

CiscoJapanModerator · ‎2012-12-03

cja56910tf様、

サポートコミュニティのご利用ありがとうございます。

今回のエキスパートに質問はFirewaｌｌでの開催となっております。

ご質問はVPNに関することですので、次回からはVPNの通常のコミュニティへご質問ください。トピックに沿ったご質問のご協力をどうぞよろしくお願いいたします。

サポートコミュニティ事務局

torukimura · ‎2012-12-07

PCから AnyConnect を利用して、IPSec VPNを利用する想定です。

この場合、AnyConnect Essentials VPN license は必要でしょうか？

zhaqin · ‎2012-12-07

AnyConnect でIPSec VPN を利用するということは、IKEv2 をご検討されているかと思いますが、必要なライセンスは下記をご参考ください。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/administration/guide/ac01intro.html#wp1073806

AnyConnect support for SSL and IKEv2 access requires either of the following licenses to specify the maximum number of remote access sessions supported at a time:

•AnyConnect Essentials license.

•AnyConnect Premium SSL VPN Edition license.