キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
Bookmark
|
Subscribe
|
6926
閲覧回数
10
いいね!
0
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee

 

はじめに

本ドキュメントでは、SD-WAN cEdgeルータにて Enterprise Firewall (Ent FW) 機能を利用時の、設定例や動作確認方法、よくあるトラブルと対応例、テクニカルサポートに調査依頼時に取るべきログなどについて紹介します。

なお、SD-WAN cEdgeルータの Enterprise Firewall機能は、IOX-XEルータ(非SD-WAN)の Zone Based Firewall(ZBFW)機能を拡張したものを利用しているため、従来のIOS-XEルーターの ZBFWの設定例やトラブルシューティング手法、ノウハウの多くを流用可能です。従来のZBFWの大きな違いとしては、cEdgeの場合は VPN(VRF)に各ゾーンを適用するということに注意してください。なお、非SD-WANルーターのZBFWはInterfaceにゾーンを適用します。

本ドキュメントは、vManage 20.4.1 と cEdge Catalyst 8000V 17.4.1a を用いて確認、作成しております。本ドキュメントの内容は、IOS-XEソフトウェアで動作する CSR1000Vや ISR1000シリーズ、ISR4000シリーズなど利用時も利用することができます。

 

 

パケット処理フロー

Firewall処理は UTDによる IPSやURLフィルタリング処理の前に行われます。

CSC-SD-WAN-cEdge-EntFW-01.JPG


以下はFirewall処理の詳細フローです。なお、"Create Session"でセッションを生成するには、Actionが「Inspect」である必要があります。

CSC-SD-WAN-cEdge-EntFW-02.JPG


なお、DIAの場合 NAT設定は必須です。DIA通信が想定通りにできない場合、NAT起因であるケースも少なくありません。以下はNAT処理の詳細フローです。

CSC-SD-WAN-cEdge-EntFW-03.JPG

 

 

設定例

通信構成例

ブランチの Direct Internet Access (DIA) のために、VPN10からVPN0(インターネット)宛の以下通信を許可します。

・1.0.0.100へのDNSアクセス

www.cisco.com (FQDN) 宛の HTTP/HTTPSアクセス

・上記以外の通信拒否と ログ出力

CSC-SD-WAN-cEdge-EntFW-Diagram-ver2.JPG
 


vManageからの設定例

1. vManage > Security から Add Secuirty Policy ボタンをクリックし、Direct Internet Access をクリック

CSC-SD-WAN-cEdge-EntFW-11.JPG

 

2. Firewall設定ページで、Add Firewall Policy > Create New をクリック

CSC-SD-WAN-cEdge-EntFW-12.JPG

 

3. Apply Zone-Pairs をクリックし、Zone未作成の場合は 任意VPNに Zone名を設定した後、Souce Zone に inside (vpn10)、Destination Zone に outside (vpn0) を設定

CSC-SD-WAN-cEdge-EntFW-13.JPG

 

4. Add Rule/Rule Set Rule をクリックし、8.8.8.8宛のDNSと www.cisco.com 宛のTCP80/443の許可ルールを追加する。セッションの戻りパケットも動的に許可するため、許可ルールのActionは inspectにする。最後に明示的に他の全ての通信のDenyルールを追加した後、任意NameとDescriptionを設定した後、Save Firewall Policy で設定保存

CSC-SD-WAN-cEdge-EntFW-14.JPG

 

5.以下画面に戻るため、再度 Add Firewall Policy > Create New をクリック

CSC-SD-WAN-cEdge-EntFW-15.JPG

 

6. 逆方向の outside --> inside の Zone-Pairsを作成し、明示的に全てのトラフィックのDropとログ出力を設定、任意NameとDescriptionを設定した後、Save Firewall Policy で設定保存

CSC-SD-WAN-cEdge-EntFW-16.JPG

 

7. 以下画面に戻るため、Firewall以外のセキュリティ設定が不要()の場合は、Nextを何度かクリックし Policy Summaryに移動 (※Intrusion Prevention や URLフィルタリング、Advanced Malware Protectionなどの利用はパフォーマンス影響がとても大きいため注意してください。詳しくは当ドキュメントの「よくある質問」を参照)

CSC-SD-WAN-cEdge-EntFW-17.JPG

 

8. Security Policyの任意Nameと Descriptionを設定した後、Save Policy をクリック

CSC-SD-WAN-cEdge-EntFW-18.JPG

 

9. Configuration > Templates > Device から 適用対象のデバイスのテンプレートをEditし、Security Policyに 作成したセキュリティポリシーをアタッチして、Updateをクリックしデバイスに適用

CSC-SD-WAN-cEdge-EntFW-19.JPG


以下はテンプレート適用時のCLI設定の抜粋

 ip access-list extended zbfw-inside-to-outside-seq-DNS-permit-acl_
  11 permit object-group zbfw-inside-to-outside-seq-DNS-permit-service-og_ object-group zbfw-inside-to-outside-seq-DNS-permit-network-src-og_ object-group zbfw-inside-to-outside-seq-DNS-permit-network-dstn-og_
 !
 ip access-list extended zbfw-inside-to-outside-seq-DropAll-acl_
  11 permit object-group zbfw-inside-to-outside-seq-DropAll-service-og_ any any
 !
 ip access-list extended zbfw-inside-to-outside-seq-cisco-web-permit-acl_
  12 permit object-group zbfw-inside-to-outside-seq-cisco-web-permit-service-og_ object-group zbfw-inside-to-outside-seq-cisco-web-permit-network-src-og_ fqdn-group zbfw-inside-to-outside-seq-cisco-web-permit-fqdn-dstn-og_
  !
  ip access-list extended zbfw-outside-to-inside-seq-DropAll-acl_
   11 permit object-group zbfw-outside-to-inside-seq-DropAll-service-og_ any any
  !

  class-map type inspect match-any zbfw-inside-to-outside-sDNS-permit-l4-cm_
   match protocol udp
  !
  class-map type inspect match-any zbfw-inside-to-outside-scisco-web-permit-l4-cm_
   match protocol tcp
  !
  class-map type inspect match-all zbfw-inside-to-outside-seq-1-cm_
   match class-map zbfw-inside-to-outside-sDNS-permit-l4-cm_
   match access-group name zbfw-inside-to-outside-seq-DNS-permit-acl_
  !
  class-map type inspect match-all zbfw-inside-to-outside-seq-11-cm_
   match class-map zbfw-inside-to-outside-scisco-web-permit-l4-cm_
   match access-group name zbfw-inside-to-outside-seq-cisco-web-permit-acl_
  !
  class-map type inspect match-all zbfw-inside-to-outside-seq-21-cm_
   match access-group name zbfw-inside-to-outside-seq-DropAll-acl_
  !
  class-map type inspect match-all zbfw-outside-to-inside-seq-1-cm_
   match access-group name zbfw-outside-to-inside-seq-DropAll-acl_
  !
  policy-map type inspect zbfw-inside-to-outside
   class zbfw-inside-to-outside-seq-1-cm_
     inspect
   !
   class zbfw-inside-to-outside-seq-11-cm_
     inspect
   !
   class zbfw-inside-to-outside-seq-21-cm_
     drop log
   !
   class class-default
     drop
   !
  !
  policy-map type inspect zbfw-outside-to-inside
   class zbfw-outside-to-inside-seq-1-cm_
     drop log
   !
   class class-default
     drop
   !
  !

 object-group network zbfw-inside-to-outside-seq-DNS-permit-network-dstn-og_
   host 1.0.0.100
 !
 object-group network zbfw-inside-to-outside-seq-DNS-permit-network-src-og_
  192.168.10.0 255.255.255.0
 !
 object-group network zbfw-inside-to-outside-seq-cisco-web-permit-network-src-og_
  192.168.10.0 255.255.255.0
 !
 object-group fqdn zbfw-inside-to-outside-seq-cisco-web-permit-fqdn-dstn-og_
  pattern "www\.cisco\.com"
 !
 object-group service zbfw-inside-to-outside-seq-DNS-permit-service-og_
  tcp-udp 53
 !
 object-group service zbfw-inside-to-outside-seq-DropAll-service-og_
  ip
 !
 object-group service zbfw-inside-to-outside-seq-cisco-web-permit-service-og_
  tcp-udp 80
  tcp-udp 443
 !
 object-group service zbfw-outside-to-inside-seq-DropAll-service-og_
  ip
 !

 parameter-map type inspect-global
  alert on
  log dropped-packets
  multi-tenancy
  vpn zone security
 !
 zone security inside
  vpn 10
 !
 zone security outside
  vpn 0
 !
 zone-pair security ZP_inside_outside_zb_-1582384604 source inside destination outside
  service-policy type inspect zbfw-inside-to-outside
 !
 zone-pair security ZP_outside_inside_zbf_2109188818 source outside destination inside
  service-policy type inspect zbfw-outside-to-inside
 !

 policy
  no app-visibility
  no app-visibility-ipv6
  no flow-visibility
  no flow-visibility-ipv6
  no implicit-acl-logging
  log-frequency        1000
 !

※CLI出力は参考用やトラブルシューティン時用に利用し、cEdgeの設定は基本 vManageのテンプレートから行ってください。vManageからの設定は、SD-WAN環境の利用用に適用されるCLI設定が最適化されているためです

 

 

動作確認例

CLIからの場合 (cEdge)

VPN10内の試験端末(192.168.10.1)から以下宛の通信試験を実施
・DNSサーバーIPアドレスを設定
www.cisco.com 宛に HTTPSアクセス


設定したルールに期待通りにマッチしてるかは、show policy-map type inspect zone-pair コマンドで確認可能。以下出力例の場合、DNSと HTTP/HTTPSの許可ルールにパケットがマッチしている事を確認できる。また、これらルールにマッチしないパケットが、class-map 「zbfw-inside-to-outside-seq-21-cm_」でドロップしていることがわかる。

cEdge3# show policy-map type inspect zone-pair
  Zone-pair: ZP_inside_outside_zb_-1582384604
  Service-policy inspect : zbfw-inside-to-outside

    Class-map: zbfw-inside-to-outside-seq-1-cm_ (match-all)
      Match: class-map match-any zbfw-inside-to-outside-sDNS-permit-l4-cm_
        Match: protocol udp
          55 packets, 4400 bytes
      Match: access-group name zbfw-inside-to-outside-seq-DNS-permit-acl_
      Inspect
        Packet inspection statistics [process switch:fast switch]
        udp packets: [0:110]

        Session creations since subsystem startup or last reset 55
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [4:0:0]
        Last session created 00:00:15
        Last statistic reset never
        Last session creation rate 55
        Last half-open session total 0

    Class-map: zbfw-inside-to-outside-seq-11-cm_ (match-all)
      Match: class-map match-any zbfw-inside-to-outside-scisco-web-permit-l4-cm_
        Match: protocol tcp
          4 packets, 264 bytes
      Match: access-group name zbfw-inside-to-outside-seq-cisco-web-permit-acl_
      Inspect
        Packet inspection statistics [process switch:fast switch]
        tcp packets: [0:214]

        Session creations since subsystem startup or last reset 4
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [2:0:0]
        Last session created 00:00:16
        Last statistic reset never
        Last session creation rate 4
        Last half-open session total 0

    Class-map: zbfw-inside-to-outside-seq-21-cm_ (match-all)
      Match: access-group name zbfw-inside-to-outside-seq-DropAll-acl_
      Drop
        171 packets, 11186 bytes

    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes

 

セッションが正しく貼れているか、show sdwan zonebfwdp sessions コマンドで確認。以下例の場合、DNS (UDP 53)と HTTPS (TCP443) の各セッションが open されていることがわかる。また、TOTAL xxxx BYTES で、データ交換状況を確認可能。

cEdge3# show sdwan zonebfwdp sessions
                                                                                      SRC  DST                                                                                        TOTAL      TOTAL
SESSION                                        SRC    DST                   SRC  DST  VPN  VPN                                                                       NAT    INTERNAL  INITIATOR  RESPONDER  APPLICATION
ID       STATE    SRC IP        DST IP         PORT   PORT  PROTOCOL        VRF  VRF  ID   ID   ZP NAME                           CLASSMAP NAME                      FLAGS  FLAGS     BYTES      BYTES      TYPE
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3947     open     192.168.10.1  1.0.0.100      60486  53    PROTO_L7_DNS    1    1    10   0    ZP_inside_outside_zb_-1582384604  zbfw-inside-to-outside-seq-1-cm_   -      0         31         421
3950     open     192.168.10.1  1.0.0.100      51174  53    PROTO_L7_DNS    1    1    10   0    ZP_inside_outside_zb_-1582384604  zbfw-inside-to-outside-seq-1-cm_   -      0         42         137
3948     open     192.168.10.1  173.37.145.84  26821  443   PROTO_L7_HTTPS  1    1    10   0    ZP_inside_outside_zb_-1582384604  zbfw-inside-to-outside-seq-11-cm_  -      0         2807       2965

  ※補足:各セッションの詳細情報は show policy-firewall sessions platform detail コマンドで確認可能


ZBFWを有効化した場合 通信の細かなセキュリティが行われる。セキュリティドロップのデバッグ表示は、show platform hardware qfp active feature firewall drop all コマンドで確認。以下出力例の場合、Dropアクションによるドロップしたパケットが345あることがわかる。各ドロップカウンタの説明の一部は、ZBFW for IOS-XE Configuration Troubleshoot Guide の Firewall Feature Drop Counters on QFP 表 から確認可能

cEdge3# show platform hardware qfp active feature firewall drop all
-------------------------------------------------------------------------------
Drop Reason                                                             Packets
-------------------------------------------------------------------------------
Invalid L4 header                                                             0
Invalid ACK flag                                                              0
Invalid ACK number                                                            0
Invalid TCP initiator                                                         0
SYN with data                                                                 0
Invalid window scale option                                                   0
Invalid Segment in SYNSENT                                                    0
Invalid Segment in SYNRCVD                                                    0
  --- snip ---
ICMP Error Packet TCAM missed                                                 0
Security policy misconfigure                                                  0
INT ERR:Get stat blk failed                                                   0
IPv6 dest addr lookup failed                                                  0
SYN cookie max dst reached                                                    0
INT ERR:syncook d-tbl alloc failed                                            0
SYN cookie being triggered                                                    0
Fragment drop                                                                 0
Policy drop:classify result                                                 345
ICMP policy drop:classify result                                              0
L7 segmented packet not allow                                                 0
L7 fragmented packet not allow                                                0
L7 unknown proto type                                                         0

 ※補足: セキュリティドロップカウンタは通常の通信時でも、アプリケーションや通信環境の影響などでカウントアップすることがあるため、特に実通信に問題が出ていない場合は、ドロップカウンタは通常 気にする必要はありません。た、当ログは全体の累計のため、特に通信量の多い環境での 細かなトラブルシューティングは困難です。

 

GUIからの場合 (vManage)

Dashboard > Security からセッション数と セキュリティDrop状況を確認可能。グラフ右上の□ボタンクリックで詳細表示も可能

CSC-SD-WAN-cEdge-EntFW-21.JPG


Monitor > Network から対象デバイスをクリックし、Security Monitoring > Firewall から 各ポリシーの処理状況を確認可能。各ポリシーをクリックすると、そのポリシー内のルールヒットと状況を確認可能。

CSC-SD-WAN-cEdge-EntFW-22.JPG

 

Monitor > Network から対象デバイスをクリックし、Real Time から、Device Options 欄から、ZBFWのセッションや統計情報をGUI出力が可能

CSC-SD-WAN-cEdge-EntFW-23.JPG

 

 

よくあるトラブルと対応例

Case1: 期待の通信ができない場合 (ZBFW起因)

以下の確認を実施してください。
・(他通信が全く流れていない場合) 設定したルールに通信がマッチしてるか確認
・(他通信が多数流れてる場合) 送信元IPや宛先IP/Portで対象を絞った パケットトレースを実行し、どのルールにマッチしてるか確認
・ダイレクトインターネットアクセス宛の通信を許可する場合は、戻りパケットも動的に許可するため、ルールアクションが"pass"(パケット通過の許可)ではなく"inspect"(セッションの許可)となっている事を確認


Case2: 期待の通信ができない場合 (ZBFW以外が起因)

show sdwan zonebfwdp sessions コマンドで セッションの詳しい状態を確認できます。例えば、ZBFWのセッションが "STATE = opening" のままの場合、ルーターのRouting/NATや対抗機器の影響で戻りパケットがこないことが考えられます。

cEdge3#show sdwan zonebfwdp sessions
                                                                                      SRC  DST                                                                                        TOTAL      TOTAL
SESSION                                        SRC    DST                   SRC  DST  VPN  VPN                                                                       NAT    INTERNAL  INITIATOR  RESPONDER  APPLICATION
ID       STATE    SRC IP        DST IP         PORT   PORT  PROTOCOL        VRF  VRF  ID   ID   ZP NAME                           CLASSMAP NAME                      FLAGS  FLAGS     BYTES      BYTES      TYPE
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3951     opening  192.168.10.1  173.37.145.84  26820  443   PROTO_L7_HTTPS  1    1    10   0    ZP_inside_outside_zb_-1582384604  zbfw-inside-to-outside-seq-11-cm_  -      0         0          0

 

ZBFW設定に異常が見当たらない場合は、切り分けのため、通信トラブルが発生している Firewall Policyの一旦無効化(cEdgeへの適用取り消し)を行い、事象に変化があるか確認してください。ZBFWが無効の状態でも発生する場合は、cEdgeの NATやRouting、QoSといった他機能/設定の影響や、通信経路や対向機器の問題が考えられます。

 

なお、セッション数の多い環境の場合 (目安:数万セッション以上)、 show sdwan zonebfwdp sessions コマンドを実行した場合 膨大な出力と遅延の原因となります。そのため、セッション数の多い環境の場合は show policy-firewall sessions platform コマンドで代用し、当コマンドの後ろに "v4-destination-address <IPアドレス>"などオプションを付けて出力を絞るようにしてください。現在のセッション数の確認方法は、 よくある質問の「ZBFWの現在のセッション数の確認方法をおしえてください」を参照してください。

cEdge3#show policy-firewall sessions platform ?
  all                     detailed information
  destination-port        Destination Port Number
  detail                  detail on or off
  icmp                    Protocol Type ICMP
  imprecise               imprecise information
  session                 session information
  source-port             Source Port
  source-vrf              Source Vrf ID
  standby                 standby information
  tcp                     Protocol Type TCP
  udp                     Protocol Type UDP
  v4-destination-address  IPv4 Desination Address
  v4-source-address       IPv4 Source Address
  v6-destination-address  IPv6 Desination Address
  v6-source-address       IPv6 Source Address
  |                       Output modifiers
  <cr>                    <cr>

   

Case3: 大量のACLを設定すると不安定になる

利用機器のTCAM 上限を超える膨大なルールを設定した場合、格納に失敗し、以下のようなログが生成されることがあります。また、格納に失敗するとZBFWが正しく処理されない原因となります。ISRルーターやCSR1Kの場合の上限目安は65,000程度となり、以下は8万エントリを登録時の失敗ログ例です。

Jul 15 13:33:25.268: %CPP_FM-3-CPP_FM_TCAM_WARNING: R0/0: cpp_sp: TCAM limit exceeded: The size of [cce:12816384] INSIDEtoOUTSIDE config (88201) exceeds the CACE limit (65535 entries).

当ログが発生する場合は 利用機器に対してのファイアウォール ルール設定過剰が原因のため、例えば以下のチューニングやデザイン変更を検討してください。

  • ホストIPベースの制御は避け、極力サブネットでまとめる
  • 宛先/送信元ポートの設定は避ける。使う場合は最小限で
  • 複数のIPやPortを登録したオブジェクトを組みわせたルール設定は避ける、もしくは最小限に
  • cEdgeでのアクセス制御は簡易的なものに留め、細かな制御が必要時は別の専用機(ASAやFTDなど)で行う

例えば、送信元10個 宛先10個 宛先ポート10個のオブジェクトを持つACLを設定した場合、10 x 10 x 10 = 約1000エントリが消費されます。そのため、複数の送信元や宛先、ポート、プロトコルを組み合わせたACL設定はエントリの過大な消費とメモリ枯渇の原因となります。

また、ISR1/4KやASRは Firewall専用機ではないため、設定できるルールやポリシー数が、Firewall専用機であるCisco ASAやFTDに比べると少な目です。そのため、膨大なルール設定や制御を行いたい場合は、Firewall専用機を利用するようにしてください。ASAやFTDはハイエンド機器は100万以上のエントリの処理が可能です (詳しくはコチラ)。

 

 

詳細調査用の取得ログやキャプチャ

はじめに

SD-WAN Security Enterprise Firewall のinspect機能が期待通りに通信処理できない場合は、主に以下問題が考えられます。
・ZBFW設定ミス
・通信経路や宛先の問題 (※ルーティング不備、経路の別機器でDrop、宛先サーバで応答が許可されてない etc)
・アプリケーションの問題 (※特殊な通信を利用時など)
・cEdgeの Firewall機能(ZBFW)の相性問題 もしくは 不具合
・cEdgeの その他機能(NATやRouting、UTDなど)の問題 もしくは 不具合

 

既知不具合の情報一覧は IOS XE SD-WAN の各リリースノートから確認できます。
https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.html

 

例えば以下は、IOS-XE SD-WAN Devices version 17.3.xのリリースノートです。「ZBFW」「ZBF」で検索して頂くと、幾つかのZBFW関係の不具合が当リリースで修正されていることを確認できます。
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/release/notes/xe-17-3/sd-wan-rel-notes-xe-17-3.html#reference_znm_zyz_blb

 

テクニカルサポートチームにエスカレーションする前に、可能な範囲で、以下の事前切り分けの実施をお願いいたします。 事前切り分けを実施することで、エンジニアの状況把握や解決が早くなることを期待できます。


事前切り分け

1. ZBFW設定の確認
通信発生時に 期待ルールにマッチしてるか、show policy-map type inspect zone-pair や パケットトレースで確認してください。

 

2. セッション状態の確認
クライアントとサーバー間で正しくセッションがはれているか確認します。例えば、TCPパケットでSYNのみ通過し SYN/ACK応答がない場合、宛先機器や 経路ルーティングなどの問題で、宛先からの応答がない可能性が高いです。
show policy-firewall sessions platform

 

3. ZBFW設定の一旦無効化

例えば、ZBFWとNAT/Routingなどを同時に有効化した場合、どの機能が原因で通信不可が発生しているか切り分けが困難となる事があります。特定VPN間のZone-pairを一旦外しZBFWを無効化すると デフォルトで permit anyの状態となるため、ZBFW無効時に同様に事象が発生するか確認してください。仮にZBFW無効時にも同様の事象が発生する場合は、NATや Routing、もしくは通信経路など 他の機能や問題が起因で発生している障害であると確認ができます。

 

4. パケットトレースの確認
パケットのドロップの原因となる機能や設定は様々なものがあり、Dropを引き起こしている機能や設定のトラブルシューティング時に パケットトレースは極めて有効です。パケットトレースの取得と分析方法について詳しくは以下ドキュメントを参照してください。
https://community.cisco.com/t5/-/-/ta-p/4273896


5. (UTD利用時のみ) UTDの一時無効化

UTD利用時は UTD設定を一旦外して問題が改善する確認するか確認してください。UTDを有効化した場合、ZBFWやNATの挙動に影響を与えることがあるためです。

 

詳細調査用のログ・キャプチャの取得

可能な範囲で事前切り分けを実施した後、その結果の情報とともに、以下A~Fまでのログ・キャプチャや情報を収集のうえ、テクニカルサポートに相談/エスカレーションしてください。フルパケットキャプチャは調査時に必須ではありませんが、将来なトラブルシューティングや再現試験時に必要になる事があります。フルパケットキャプチャは、試験端末(もしくはサーバー)のWiresharkなどキャプチャツールを利用してキャプチャを行ってください。もしくは、通信経路にスイッチがある場合は、スイッチのSPANでのキャプチャも有効です。

A. 問題発生前後のログ採取

問題通信のinspect設定が有効時の以下ログを「事象発生前」「事象発生中」「事象発生後」の3回以上取得してください。ログの中のカウンタは累積値である事も多いため、複数ログの比較差分が調査の上で重要のためです。また、ログの取得は、他通信のログ混入を極力避けるため、できるだけ 通信量の少ない時間帯、もしくは、検証環境で再現時に取得してください

ter width 200
show sdwan zonebfwdp sessions      ※注 
show ip nat translation
show ip nat stat
show tech firewall 
show sdwan zbfw drop-statistics
show platform hardware qfp active statistics drop all
show tech sdwan
show log

  ※セッションの多い環境(目安:数万以上)の場合は show sdwan zonebfwdp sessions は利用せず、show policy-firewall sessions platform で代用し、v4-destination-address <IPアドレス> などオプションを付けて、調査対象の通信のみに出力を絞ってください

 

B. admin-tech の取得

Aの試験後、以下ドキュメントを参考に 対象デバイスの admin-tech を取得してください。admin-techには、システム全般の状態確認やシステムログが格納されています。
https://community.cisco.com/t5/-/-/ta-p/4065601

 

C. Aの試験時の作業時系列

 

D. 事前切り分け 1~5の各実施結果や、切り分け時のログやパケットトレース

 

E. (できれば) ZBFWなどの設定影響で正常に通信ができない時の問題通信のフルパケットキャプチャ

F. (できれば) ZBFWやUTD無効にし正常に通信ができる時の対象通信のフルパケットキャプチャ

フルパケットキャプチャ取得時は、問題発生時と 問題が発生しない時の、同じ通信の、TCP通信の場合は SYNからFIN もしくは RSTでセッションクローズまでの、セッションのフルパケットキャプチャの取得が望ましいです。問題発生時と 発生しない時のキャプチャを比較することで、どのパケットが問題を引き起こしてるかの明確化や 詳細調査が可能になります。

 


よくある質問

SD-WAN Firewall (ZBFW) の主な用途を教えてください

ブランチから ダイレクトインターネットアクセス(DIA)をする際の、セキュリティ制御に利用されるケースが多いです。


SD-WAN Firewall機能を利用時はパフォーマンス低下しますか

はい、パケットの詳細チェックやセッション制御といった追加処理が発生するため、Firewall機能を未使用時に比べ 2割前後 パフォーマンスが低下する可能性があります。Firewall制御に加え、UTDによるURLフィルタリングやIPS処理も cEdgeで実施すると、パフォーマンスは7割以上 低下する恐れがあります。そのため、Firewall (ZBFW)のセキュリティ機能を利用は、どこに適用するかのメリハリ付けが、パフォーマンスを高く保つうえで重要です。UTDも併用する場合は、cEdgeに十分のパフォーマンス余力が必要です。

なお、実際のパフォーマンス影響は、ご利用環境や設定ルール数、利用機能、機器、パケットサイズなどにより変動することに注意してください。利用機能や設定、環境などによりパフォーマンスがどの程度変化するかの確認は、ご利用の環境・もしくはテスト環境での検証が必要です。

ブランチルーターのパフォーマンス余力があまりない場合は、DIAのセキュリティ制御に Umbrella SIG  で代用することも可能です。Umbrella SIG を利用することで、クラウド側でFirewallやURLフィルタリング、アンチマルウェアなどの処理が可能です。Umbrella SIG について詳しくは、Umbrella SIG: CSR1000V もしくは cEdge からのトンネル接続設定例と トラブルシューティング を参照してください。


ping [IP] source [interface] を実行しても Security Policyにマッチしません

ルーターからのPingは自発パケット扱いになるため、VPN Zone間の動作確認には使えません。VPN Zone間のポリシーにマッチするかのテストを行う場合は、クライアントは実機を用意して試験をするのをお勧めします。


ZBFWの通信ログの収集方法をおしえてください

High Speed Logging (HSL) の利用が必要です。ZBFWの通信ログは Netflow v9 ベースとなり、別途 Netflow コレクタの準備が必要となります。HSLについて詳しくは、こちら などを参照してください。


ZBFWの通信ログを ローカルバッファ(show log)で確認できないのは何故ですか

Firewall機能のセッションログは膨大な出力があるため、機器のパフォーマンスに影響するためです。そのため、セッションログの収集は、より軽快に動作するNetflowの利用が必要となります。

 

ZBFWの現在のセッション数の確認方法をおしえてください

show platform hardware qfp active feature firewall memory コマンドで確認可能です。なお、当コマンドは show tech firewall コマンドにも含まれています。

例えば以下は 100セッションある時の出力例となり、Chunk-Pool SCBの Inuse から確認できます。 Total History は 過去の生成やクリアされたセッションの履歴です。

cEdge#show platform hardware qfp active feature firewall memory
                     ==FW memory info==
Chunk-Pool   Allocated     Total_Free   Init-Num     Low_Wat
------------------------------------------------------------
scb          100           16284        16384        4096
hostdb       0             5120         5120         1024
teardown     0             160          160          80
ha retry     0             2048         2048         512
dst pool     0             5120         5120         1024

                         ------------Total History----------
Chunk-Pool   Inuse      |Allocated    Freed       Alloc_Fail|
------------------------------------------------------------
scb          100         34390095     34389995    523858715     <--- THIS
hostdb       0           0            0           0
dst pool     0           0            0           0

 

 
参考情報

IOS-XE 用の ZBFW 設定のトラブルシューティング ガイド
https://www.cisco.com/c/ja_jp/support/docs/security/ios-firewall/117721-technote-iosfirewall-00.html

Cisco SD-WAN: Enabling Firewall and IPS for Compliance
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sdwan-firewall-compliance-deploy-guide-2020sep.pdf

BRKSEC-2342: Branch Router Security
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2019/pdf/BRKSEC-2342.pdf

TECSEC-2355: Implementing SD-WAN Branch Security with Cisco Routers
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-2355.pdf

LTRARC-2003: IOS-XE Hands on Troubleshooting Lab
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2015/pdf/LTRARC-2003.pdf

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします