トラフィック ゾーンの概要
この項では、ネットワークでトラフィック ゾーンを使用する方法について説明します。
ゾーン分割されていない動作
アダプティブ セキュリティ アルゴリズムは、トラフィックの許可または拒否を決定する際に、パケットの状態を考慮します。フローに適用されたパラメータの 1 つは、トラフィックが同じインターフェイスに出入りすることです。異なるインターフェイスに入る既存のフローのトラフィックは、ASA によってドロップされます。
トラフィック ゾーンにより、複数のインターフェイスを 1 つにまとめることができるため、ゾーン内の任意のインターフェイスに出入りするトラフィックがアダプティブ セキュリティ アルゴリズムのセキュリティ チェックを満たすことができるようになります。
ゾーンを使用する理由
ゾーンを使用して、複数のルーティングのシナリオに対応することができます。
非対称ルーティング
次のシナリオでは、Outside1 インターフェイスの ISP 1 を経由する内部ホストと外部ホストの間に接続が確立されています。宛先ネットワークの非対称ルーティングが原因で、Outside2 インターフェイスの ISP 2 からリターン トラフィックが到達しています。
ゾーン分割されていない場合の問題:ASA は、インターフェイスごとに接続テーブルを保持します。リターン トラフィックが Outside2 に到達すると、そのトラフィックは、接続テーブルに一致しないため、ドロップされます。ASA クラスタに関しては、クラスタが同一ルータに対して複数の隣接関係(アジャセンシー)を持つ場合、非対称ルーティングは許容できないトラフィック紛失の原因となることがあります。
ゾーン分割されたソリューション:ASAは、ゾーンごとに接続テーブルを保持します。Outside1 と Outside2 を 1 つのゾーンにグループ化した場合、リターン トラフィックが Outside2 に到達すると、ゾーンごとの接続テーブルに一致するため、接続が許可されます。
紛失したルート
次のシナリオでは、Outside1 インターフェイスの ISP 1 を経由する内部ホストと外部ホストの間に接続が確立されています。Outside1 と ISP 1 間でルートが紛失または移動したため、トラフィックは ISP 2 を経由する別のルートを通る必要があります。
ゾーン分割されていない場合の問題:内部ホストと外部ホスト間の接続が削除されるため、新しい次善のルートを使用して新しい接続を確立する必要があります。UDP の場合、1 つのパケットがドロップダウンすると新しいルートが使用され、UDP がない場合は、新しい接続を再確立する必要があります。
ゾーン分割されたソリューション:ASA は、紛失したルートを検出し、フローを ISP 2 経由の新しいパスに切り替えます。トラフィックは、パケットがドロップすることなくシームレスに転送されます。
ロード バランシング
次のシナリオでは、Outside1 インターフェイスの ISP 1 を経由する内部ホストと外部ホストの間に接続が確立されています。2 番目の接続が Outside2 の ISP 2 を経由する等コスト ルートを介して確立されています。
ゾーン分割されていない場合の問題:インターフェイス間でロードバランシングを行うことができません。可能なのは、1 つのインターフェイスの等コスト ルートによるロードバランスだけです。
ゾーン分割されたソリューション:ASA は、ゾーン内のすべてのインターフェイスで最大 8 つの等コスト ルート間の接続をロードバランスすることができます。
ゾーンごとの接続テーブルおよびルーティング テーブル
ASA は、トラフィックがゾーンのインターフェイスのいずれかに到達できるようにゾーンごとの接続テーブルを保持します。また、ASA は、ECMP サポート用にゾーンごとのルーティング テーブルも保持します。
ECMP ルーティング
ASA では、等コスト マルチパス(ECMP)ルーティングをサポートしています。
ゾーン分割されていない ECMP サポート
ゾーンがない場合は、インターフェイスごとに最大 8 つの等コストのスタティック ルートタまたはダイナミック ルートを設定できます。たとえば、次のように異なるゲートウェイを指定する外部インターフェイスに 3 つのデフォルト ルートを設定できます。
route outside 0 0 10.1.1.2
route outside 0 0 10.1.1.3
route outside 0 0 10.1.1.4
この場合、トラフィックは、10.1.1.2、10.1.1.3 と 10.1.1.4 間の外部インターフェイスでロード バランスされます。トラフィックは、送信元 IP アドレスおよび宛先 IP アドレスをハッシュするアルゴリズムに基づいて、指定したゲートウェイ間に分配されます。
ECMP は複数のインターフェイス間ではサポートされないため、異なるインターフェイスで同じ宛先へのルートを定義することはできません。上記のルートのいずれかを設定すると、次のルートは拒否されます。
route outside2 0 0 10.2.1.1
ゾーン分割された ECMP サポート
ゾーンがある場合は、ゾーン内の最大 8 つのインターフェイス間に最大 8 つの等コストのスタティック ルートまたはダイナミック ルートを設定できます。たとえば、次のようにゾーン内の 3 つのインターフェイ間に 3 つのデフォルト ルートを設定できます。
route outside1 0 0 10.1.1.2
route outside2 0 0 10.2.1.2
route outside3 0 0 10.3.1.2
同様に、ダイナミック ルーティング プロトコルは、自動的に等コスト ルートを設定できます。ASA では、より堅牢なロード バランシング メカニズムを使用してインターフェイス全体でトラフィックをロードバランスします。
ルートが紛失した場合、ASA はフローをシームレスに別のルートに移動させます。
接続のロード バランス方法
ASA では、パケットの 6 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、プロトコル、入力インターフェイス)から生成されたハッシュを使用して、等コスト ルート間の接続をロード バランスします。ルートが紛失しない限り、接続は接続期間中、インターフェイスで継続されます。
接続内のパケットは、ルート間でロードバランスされません。接続では、そのルートが紛失しない限り、単一ルートを使用します。
ASA では、ロード バランシング時にインターフェイス帯域幅やその他のパラメータを考慮しません。同じゾーン内のすべてのインターフェイスが MTU、帯域幅などの同じ特性を持つことを確認します。
ロード バランシング アルゴリズムは、ユーザ設定可能ではありません。
別のゾーンのルートへのフォール バック
ルートがインターフェイスで紛失したときにゾーン内で使用可能な他のルートがない場合、ASA では、異なるインターフェイス/ゾーンからのルートを使用します。このバックアップ ルートを使用した場合、ゾーン分割されていないルーティングのサポートと同様にパケットのドロップが発生することがあります。
インターフェイスベースのセキュリティ ポリシーの設定
ゾーンを使用すると、トラフィックはゾーン内のすべてのインターフェイスで出入りを許可されますが、セキュリティ ポリシー自体(アクセス ルール、NAT など)は、ゾーン単位ではなく、インターフェイス単位で適用されます。ゾーン内のすべてのインターフェイスに同じセキュリティ ポリシーを設定すると、そのトラフィックの ECMP およびロード バランシングを適切に実装できます。必須のパラレル インターフェイス設定の詳細については、トラフィック ゾーンの前提条件を参照してください。
トラフィック ゾーンでサポートされるサービス
次のサービスがゾーンでサポートされています。
-
アクセル ルール
-
NAT
-
QoS トラフィック ポリシングを除くサービス ルール。
-
Routing
完全にゾーン分割されたサポートは利用できませんが、To-the-Box および From-the-Box トラフィックに示した to-the-box サービスおよび from-the-box サービスを設定することもできます。
トラフィック ゾーンのインターフェイスに他のサービス(VPN、ボットネット トラフィック フィルタなど)を設定しないでください。これらのサービスは、想定どおりに機能または拡張しないことがあります。
(注) |
セキュリティ ポリシーの設定方法の詳細については、トラフィック ゾーンの前提条件を参照してください。 |
セキュリティ レベル
ゾーンに最初に追加するインターフェイスによってゾーンのセキュリティ レベルが決まります。追加のインターフェイスは、すべて同じセキュリティ レベルにする必要があります。ゾーン内のインターフェイスのセキュリティ レベルを変更するには、1 つのインターフェイスを除くすべてのインターフェイスを削除してからセキュリティ レベルを変更し、インターフェイスを再度追加します。
フローのプライマリおよび現在のインターフェイス
各接続フローは、最初の入出力インターフェイスに基づいて構築されます。これらのインターフェイスは、プライマリ インターフェイスです。
ルート変更または非対称ルーティングにより、新しい出力インターフェイスが使用されている場合は、新しいインターフェイスが現在のインターフェイスになります。
ゾーンの追加または削除
ゾーンにインターフェイスを割り当てる場合、そのインターフェイスのすべての接続が削除されます。接続を再確立する必要があります。
ゾーンからインターフェイスを削除する場合、そのインターフェイスをプライマリ インターフェイスとしているすべての接続が削除されます。接続を再確立する必要があります。そのインターフェイスが現在のインターフェイスの場合、ASA は接続をプライマリ インターフェイスに戻します。ゾーンのルート テーブルも更新されます。
ゾーン内トラフィック
トラフィックがあるインターフェイスに入り、同じゾーンの別のインターフェイスから出ることができるようにするには、same-security permit intra-interface コマンドをイネーブルにしてトラフィックが同じインターフェイスを出入りできるようにし、さらに、same-security permit inter-interface コマンドをイネーブルにして same-security インターフェイス間のトラフィックを許可します。このように設定しない場合、フローは同じゾーンの 2 つのインターフェイス間をルーティングできません。
To-the-Box および From-the-Box トラフィック
-
management-only インターフェイスまたは management-access インターフェイスをゾーンに追加することはできません。
-
ゾーンの通常のインターフェイスでの管理トラフィックでは、既存のフローの非対称ルーティングのみがサポートされます。ECMP サポートはありません。
-
1 つのゾーン インターフェイスにのみ管理サービスを設定できますが、非対称ルーティング サポートを利用するには、すべてのインターフェイスでそれを設定する必要があります。構成がすべてのインターフェイスでパラレルである場合でも、ECMP はサポートされません。
-
ASA は、ゾーンで次の To-the-Box および From-the-Box サービスをサポートします。
-
Telnet
-
SSH
-
HTTPS
-
SNMP
-
Syslog
-
ゾーン内の IP アドレスのオーバーラップ
ゾーン分割されていないインターフェイスの場合、ASA では、NAT が正しく設定されていれば、インターフェイスでの IP アドレス ネットワークのオーバーラップをサポートします。ただし、同じゾーンのインターフェイスでは、ネットワークのオーバーラップはサポートされていません。