Cisco ASA ファイアウォールを介するパケット フロー 目次 概要 前提条件 要件 使用するコンポーネント 表記法 背景説明 Cisco ASA パケット処理アルゴリズム NAT に関する説明 show コマンド syslog メッセージ 関連情報 概要 このドキュメントでは、Cisco ASA ファイアウォールを介したパケット フローについて説明します。また、Cisco ASA の内部パ ケット処理手順がどのように機能するかを示します。さらに、パケットがドロップされるさまざまな可能性やパケットが転送され るさまざまな状況について説明します。 前提条件 要件 次の項目に関する知識があることが推奨されます。 Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス 使用するコンポーネント このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。 ソフトウェア バージョン 8.0 以降を実行する Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 背景説明 パケットを受信するインターフェイスは入力インターフェイスと呼ばれ、送信パケットが通過するインターフェイスは出力インタ ーフェイスと呼ばれます。任意のデバイスを介するパケット フローの確認は、これらの 2 つのインターフェイスのタスクを参照 することで、簡単に行うことができます。 次に例を示します。 内部ユーザ(192.168.10.5)が DMZ ネットワーク(172.16.10.5)の Web サーバにアクセスする場合、パケット フローは次のよ うになります。 送信元アドレス:192.168.10.5 送信元ポート:22966 宛先アドレス:172.16.10.5 宛先ポート:8080 入力インターフェイス:内部 出力インターフェイス:DMZ 使用されるプロトコル:TCP ここで説明するパケット フローの詳細を判別することで、問題を特定の接続エントリに簡単に切り分けることができます。 Cisco ASA パケット処理アルゴリズム 次の図に、Cisco ASA が受信パケットをどのように処理するかを示します。 次に、個々の手順の詳細を示します。 1. パケットが、入力インターフェイスに到達します。 2. パケットがインターフェイスの内部バッファに到達すると、インターフェイスの入力カウンタが 1 増加します。 3. Cisco ASA は最初に内部接続テーブル詳細を参照して、これが既存の接続がどうかを確認します。パケット フローが既存の 接続に一致した場合、アクセス コントロール リスト(ACL)チェックがバイパスされ、パケットが転送されます。 パケット フローが既存の接続に一致しない場合、TCP 状態が検証されます。SYN パケットまたは UDP パケットである場 合、接続カウンタが 1 増加し、パケットが送信され ACL チェックが行われます。SYN パケットでない場合、パケットはド ロップされ、イベントが記録されます。 4. パケットは、インターフェイス ACL に基づいて処理されます。検証は、ACL エントリの順に行われ、ACL エントリのいずれ かに一致する場合、転送されます。それ以外の場合、パケットはドロップされて情報がログに記録されます。ACL ヒット カ ウントは、パケットが ACL エントリに一致する場合 1 増加します。 5. パケットは、トランスレーション ルールで検証されます。パケットがこのチェックに合格すると、このフローの接続エント リが作成され、パケットが転送されます。それ以外の場合、パケットはドロップされて情報がログに記録されます。 6. パケットのインスペクション チェックが行われます。このインスペクション チェックでは、特定のパケット フローがプロ トコルに準拠しているかどうかが検証されます。Cisco ASA には、アプリケーションレベル機能の事前定義セットにより各 接続を検査するインスペクション エンジンが組み込まれています。パケットは、このインスペクション チェックに合格す ると、転送されます。それ以外の場合、パケットはドロップされて情報がログに記録されます。 CSC モジュールが関連する場合、追加のセキュリティ チェックが実行されます。 7. IP ヘッダー情報は、NAT/PAT ルールにより変換され、これに従いチェックサムが更新されます。AIP モジュールが関連する 場合、パケットが AIP-SSM に転送され、IPS 関連セキュリティ チェックが行われます。 8. パケットは、トランスレーション ルールに基づいて出力インターフェイスに転送されます。出力インターフェイスがトラン スレーション ルールに指定されていない場合、グローバル ルート ルックアップに基づいて宛先インターフェイスが決定さ れます。 9. 出力インターフェイスで、インターフェイス ルート ルックアップが実行されます。出力インターフェイスは、優先される トランスレーション ルールにより決定されるので注意してください。 10. レイヤ 3 ルートが見つかり、ネクスト ホップが識別されると、レイヤ 2 解決が実行されます。この段階で、MAC ヘッダー のレイヤ 2 リライトが発生します。 11. パケットは有線に転送され、出力インターフェイスのインターフェイス カウンタが増加します。 NAT に関する説明 NAT 操作の順序の詳細については、次のドキュメントを参照してください。 8.2 よりも前のバージョンの Cisco ASA Cisco ASA ソフトウェア バージョン 8.3 以降 show コマンド 次に、各処理段階におけるパケット フロー詳細のトラッキングに役に立つコマンドを示します。 Show Show Show Show interface conn access-list xlate Show Show Show Show Show Show Show Show service-policy inspect run static run nat run global run global nat route arp syslog メッセージ syslog メッセージは、パケット処理に役に立つ情報を提供します。次に、参照用の syslog メッセージの例を示します。 接続エントリがない場合の syslog メッセージ: %ASA-6-106015: Deny TCP (no connection) from IP_address/port to IP_address/port flags tcp_flags on interface interface_name パケットがアクセスリストにより拒否された場合の syslog メッセージ: %ASA-4-106023: Deny protocol src [interface_name:source_address/source_port] dst interface_name:dest_address/dest_port by access_group acl_ID トランスレーション ルールがない場合の syslog メッセージ: %ASA-3-305005: No translation group found for protocol src interface_name: source_address/source_port dst interface_name: dest_address/dest_port パケットがセキュリティ インスペクションにより拒否された場合の syslog メッセージ: %ASA-4-405104: H225 message received from outside_address/outside_port to inside_address/inside_port before SETUP ルート情報がない場合の syslog メッセージ: %ASA-6-110003: Routing failed to locate next-hop for protocol from src interface:src IP/src port to dest interface:dest IP/dest port Cisco ASA により生成されるすべての syslog メッセージおよび簡単な説明のリストについては、『Cisco ASA ログ メッセージ ガイド』を参照してください。 関連情報 Cisco ASA に関するサポート ページ(英語) Cisco ASA 5500 シリーズ コマンド リファレンス 8.2(英語) Cisco ASA 5500 シリーズ設定ガイド 8.3(英語) テクニカルサポートとドキュメント:シスコ 1992 - 2014 Cisco Systems, Inc. All rights reserved. Updated: 2013 年 4 月 19 日 http://www.cisco.com/cisco/web/support/JP/111/1117/1117522_asa-packet-flow-00-j.html Document ID: 113396
© Copyright 2026 Paperzz