キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

TCP state bypass による非対称ルーティング

TCP state bypass とは、名前通り、TCP State を管理しないようにする機能で、8.2(1) からの新機能として ASA に導入されています。
設定自体はシンプルで、典型的な MPF (Modular Policy Framework) 設定となります。

  1. TCP state bypass を有効にしたいトラフィックに対してアクセスリストを定義する
  2. そのアクセスリストをマッチするよう、class-map を定義する
  3. policy-map を定義するか、グローバルの policy-map global_policy で、該当 class-map に対して "set connection advanced-options tcp-state-bypass" コマンドを有効にする
  4. policy-map をインターフェースに適用する(global_policy の場合はデフォルトで適用済みなので、このステップは不要)

    また、設定例は下のページにあります。

    ASA 8.2.X TCP State Bypass Feature Configuration Example

    本来ステートフルファイヤーウォールとして、ASA は SYN 以外の TCP パケットによってコネクションを作成することができなく、既存のコネクションが見つからない SYN 以外の TCP パケットがドロップされます。この TCP state bypass 機能により、特定もしくは全てのトラフィックに対してこの制限をなくすことができます。

    この機能があると何が便利かと言いますと、ASA を経由する通信に対して非対称ルーティングが簡単にできるようになります。サポートする構成は大まかに二種類あります。
    • 2台の ASA で ASA を経由する通信の非対称ルーティング。
    • 上の英文ドキュメントでの設定例のように、行きと帰りの通信が2台の ASA を経由するような非対称ルーティング環境になっています。注意点としては、1台の ASA で ASA を経由する通信の非対称ルーティングはサポートされません。
    • 1台の ASA で、ASA を経由しない通信(いわゆる One-Arm 構成)に対して非対称ルーティング
    • 例えば、ASA 配下の LAN ネットワークでレイヤー3スイッチがあり、そのスイッチ配下に複数の VLAN がある構成を考えます。
      ASA の LAN 側インターフェースと同じ VLAN にあるホストが ASA をデフォルトゲートウェイに指定している場合、スイッチ側でスタティックルートによるルーティングテーブルのチューニングを行っていなければ、 このホストから別 VLAN にあるホストへの通信は非対称ルーティングになります。何故なら、行きは ASA 経由で、帰りは ASA を経由せず直接スイッチからホストに転送されてしまいます。
      実際、この通信が ICMP のようなステートレスのプロトコルでしたら問題なくできますが、TCP トラフィックの場合は通信できません。ASA の Random Sequecing によって、シーケンス番号がランダマイズされ、ホストにとっては期待されないシーケンスとなり、対向側のホストに RST を返します。
      解決策は二つあり、一つはスイッチ側でルーティングをチューニングし、帰りのパケットも ASA 経由にする;もう一つは、ASA 上でこれら LAN ネットワーク内の通信に対して TCP state bypass 機能を有効にすることです。
    バージョン履歴
    改訂番号
    1/1
    最終更新:
    ‎07-30-2010 11:19 PM
    更新者:
     
    ラベル(1)