シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知

シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。

「エキスパートに質問」:ファイアウォールについて

シスコのプロフェッショナルと質疑応答ができる「エキスパートに質問」にようこそ!

ここでは、シスコのエキスパートから、専門的でかつ最新の情報が得られる貴重な機会となるでしょう。

テーマ:「ファイアウォールについて」

担当エキスパート:「秦 昭 (シン ショウ)

ディスカッション終了予定日:20109月30

 「秦 昭は、2008年カスタマーサポートエンジニアとしてシスコに入社しました。ルータとスイッチのサポートを半年間経験した後、ファイヤウォール(ASACSC-SSMFWSM 及び IOS Firewall)や VPNASA/IOS 上の VPNWindows 上の VPN Client など)他のセキュリティーテクノロジーをサポートするチームに入り、現在に至ります。Routing & Switching および Security トラックのCCIECCIE# 22796)資格を保有しております。

 

 担当エキスパートがすべての質問に返答できないかもしれませんが、返答が得られずに開催期間が終了して残ってしまった質問については、シスコのモデレータが他のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

   

 適切な返答が得られたかどうかがエキスパートに伝わるよう、評価機能をぜひ利用してください。

 

 あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひ頻繁にこのフォーラムへ訪問されることをお待ちしております!

3 件の返信
Bronze

Re: 「エキスパートに質問」:ファイアウォール

ご担当者様

お世話になります。

小林と申します。

支店のPCから本社のサーバーへ接続する必要ができたため

VPN接続を利用しています。

現在支店のPCからVPN経由使用するのは、特定のサーバーへのアクセスのみですが

常時接続が必要なサーバーのため、業務中は接続したままとなります。

この状況でアクセスが集中すると支店側のPCの通信速度がかなり遅くなってしまいます。

そのため、VPN接続が必要な通信のみVPNを使用し、他の通信(インターネット接続)は

VPNを経由しないで通信をするなど、種類によって通信のパターンを分けることができないかと考えています。

現在の構成は下記の通りとなります。

VPNは、VPNクライアントとASAで接続しています。

VPNクライアント --- Router--ADSL---(WAN)--光--- ASA --- +--- File Server

                                                                                  |

                                                                                  +--- Mail Server

上記問題を回避するための方法があれば教えて下さい。

またその際リスクがある場合にはその点についても教えて下さい。

もし、ここの質問として適切ではない場合にはご指摘ください。

よろしくお願いします。

Silver

Re: 「エキスパートに質問」:ファイアウォール

私の理解が間違っていなければ、ご用件は:

VPN Client と ASA 間で VPN がはれている状態で、支店の PC からの

- 本社の File/Mail Server への通信はこの VPN セッションを経由する

- その他外部への通信は支店のルータからそのままインターネットに出す

ようにしたいことです。

ご用件はスプリット・トンネリングという機能を ASA 側で有効にすれば、実現できます。

(正確には、「種類によって通信のパターンを分ける」というより、「通信の宛先によって VPN を経由するか」を決めることになります。

現行の設定で VPN が確立できるのであれば、下記例のような設定を ASA に追加すれば、スプリット・トンネリングが有効になります。これで、10.0.1.0/24 サブネットへの通信のみが VPN を経由することになります。

(赤字の部分は適宜変更していただければと思います)

access-list split-tunnel-acl standard permit 10.0.1.0 255.255.255.0 (ここのサブネットは本社サーバのサブネットです)

group-policy my-group-policy internal

group-policy my-group-policy attributes

split-tunnel-policy tunnelspecified

split-tunnel-network-list value split-tunnel-acl

tunnel-group DefaultRAGroup general-attributes

default-group-policy my-group-policy

VPN Client 側は、現行設定のままで問題ありません。

なお、日本語のドキュメントとして下記のものがありまして、やや古いバージョンでの設定例ですが、ご参考いただければと思います。

-----

PIX/ASA 7.x:ASA で VPN クライアントのスプリット トンネリングを許可するための設定例

http://www.cisco.com/JP/support/public/ht/tac/100/1008368/asa-split-tunnel-vpn-client-j.shtml

Bronze

Re: 「エキスパートに質問」:ファイアウォール

早速のご回答ありがとうございます!

秦さんの認識どおりです。

頂いた回答をもとに設定変更を行ってみようと思います。

サンプルコンフィグまで頂けて大変助かりました!!!

今後もお世話になると思いますがよろしくお願いします。

小林

1507
閲覧回数
65
いいね!
3
返信
作成コンテンツを作成するには してください