취소
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
221
VIEWS
0
Helpful
0
의견
socui
Cisco Employee
Cisco Employee
 
안녕하세요.
해당 문서는 SD-WAN vManage 장비에서 CLI Add-on template 기능을 통해 Zone-based Firewall (ZBFW) 정책을 설정하는 방법에 대한 설명입니다.
 
이 문서에 작성에 사용된 모든 장비는 Default 설정 전제하에서 진행되었고 이미 사용중인 Production network 일 경우 아래 설정 명령의 잠재적인 영향을 고려해야 됩니다.
 
테스트 환경 및 버전:
SD-WAN vManage:  20.9.3.2 버전
IOS-XE Catalyst Edge:  17.6.5a 버전
 
방화벽 정책은 TCP, UDP 및 ICMP 데이터 트래픽 흐름에 대한 상태 저장 검사를 허용하는 일종의 지역화된 보안 정책입니다.
이는 영역 개념(Zones)을 사용하므로 특정 영역에서 시작된 트래픽 흐름은 두 영역 간의 정책에 따라 다른 영역으로 전송할 수 있습니다.
ZBFW 기능의 Zone 유형:  Source Zone  ;  Destination Zone  ;  Interzone  ;  Intrazone  ;  Selfzone
ZBFW 에서 사용되는 또 다른 개념은 Source Zone 을 Destination Zone 과 연결하고 두 존 간의 트래픽에 방화벽 정책을 적용하는 컨테이너인 존 페어입니다.
 
Zone-Pair 정의되면 트래픽에 대해 아래와 같은 적용이 실행됩니다.
Drop:  매칭되는 트래픽을 drop 합니다.
Pass:  패킷 전송을 허용합니다.
Inspect:  Source 에서 Destination zone 으로 흐르는 트래픽에 대한 상태 기반 검사를 허용하고 트래픽 흐름이 자동으로 반환되도록 허용합니다.
 
ZBFW 에 대한 자세한 내용은 아래 링크 접속하여 참고하시기 바랍니다.
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/security/ios-xe-17/security-book-xe/m-firewall-17.html
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/217758-cisco-sd-wan-zone-based-firewall-zbfw.html
 
Configuration 방법
 
1) 구성 및 연결:
ZBFW CLI(1).png
2) 설정:
SD-WAN에서는 ZBFW를 Data-plan 에 적용하도록 구성합니다. 하지만 Control-plan 이 설정되어 있고 장치가 SD-WAN 컨트롤러와 통신하여 제어 연결을 구축할 수 있는지 확인해야 합니다.
주의:  WAN 인터페이스의 DHCP 설정 여부와 관계없이, 장비가 다시 로드되고 라우터가 새로운 IP 주소를 받아야 하는 경우 self-zone 영역이 Next-hop IP 주소에 도달할 수 있도록 새 규칙을 추가해야 합니다.
 
3) Control Plane
3-1) Inspect parameter map 생성
1.jpg
max-incomplete tcp <timeout> 설정 명령은 tcp 세션이 종료되기 전에 완료되지 않은 최대 연결 수를 지정하는 데 사용됩니다.
multi-tenancy 설정 명령은 ZBFW config에 필요한 global 매개변수입니다.
vManage GUI를 통해 ZBFW를 구성하면 기본적으로 해당 라인이 추가되고 CLI를 통해 ZBFW를 구성하는 경우 해당 명령을 추가해야 합니다.
 
3-2) WAN-Zone 을 생성
2.jpg
 
3-3) source-zone 과 destination-zone 에 대한 object 그룹을 생성 (self-zone 은 default 로 자동 생성되기에 추가 설정 필요없음)
3.jpg
 
3-4) IP access-list 생성
4.jpg
 
3-5) class-map 생성
5.jpg
 
3-6) zone-pair 에 추가할 policy map 을 생성
6.jpg
 
3-7) zone-pair 영역을 생성하고 해당 영역에 policy map 을 연동
7.jpg
control-plan 의 트래픽이 허용된후 data-plan 의 설정을 적용할수 있습니다.
 
3-8) control-connections 의 상태를 체크하려면
Device# show sdwan control connections
 
3-9) self-zone 과 wan-zone 영역이 정상적으로 설정 안되었을 경우 장비의 control-connection 이 끊어지고 다음과 같은 콘솔 오류가 발생할수 있습니다.
*May 11 00:00:00.000: %IOSXE-6-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000004865486441431 %FW-6-DROP_PKT: Dropping udp pkt from internal0/0/rp:0 10.10.10.10:32168 => 10.10.10.11:32168(target:class)-(none:none) due to Zone-pair without policy with ip ident 62472 (srcvpn:dstvpn)-(65534:0)
 
4) Data Plane
4-1) 필요에 따라 모든 VRF 영역에 각각 security-zone 생성
11.jpg
 
4-2) source-zone 과 destination-zone 에 대한 object 그룹을 생성
13.jpg
 
4-3) IP access-list 생성
14.jpg
4-4) class-map 생성
15.jpg
4-5) zone-pair 에 추가할 policy map 을 생성
16.jpg
 
4-6) zone-pair 영역을 생성하고 해당 영역에 policy map 을 연동
17.jpg
'CLI Add-On Feature Templates' 와 'CLI template' 에 대한 자세한 설명은 아래 링크 참고하시기 바랍니다.
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/system-interface/ios-xe-17/systems-interfaces-book-xe-sdwan/cli-template.html
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/system-interface/ios-xe-17/systems-interfaces-book-xe-sdwan/cli-add-on-feature-template.html
 
5) 검증 및 트러블슈팅 명령어
Device# show class-map type inspect
Device# show policy-map type inspect
Device# show zone-pair security
Device# show ip access-list
Device# show object-group
Device# show sdwan zonebfwdp sessions
Device# show sdwan zbfw zonepair-statistics
Device# show sdwan zbfw drop-statistics
Device# show platform hardware qfp active statistic drop
Device# show platform hardware qfp active feature firewall drop all
 
이상입니다.
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크