atwiki-logo
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ(更新順)
    • おまかせページ移動
  • RSS
    • このウィキの更新情報RSS
    • このウィキ新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡(不具合、障害など)
ページ検索 メニュー
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
ページ検索 メニュー
  • 新規作成
  • 編集する
  • 登録/ログイン
  • 管理メニュー
管理メニュー
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • このウィキの全ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ一覧(更新順)
    • このページの全コメント一覧
    • このウィキの全コメント一覧
    • おまかせページ移動
  • RSS
    • このwikiの更新情報RSS
    • このwikiの新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡する(不具合、障害など)
  • atwiki
  • DynagenでCCIEを目指す
  • トップページ
  • 動作検証 ネットワーク系
  • CBAC 基本設定

DynagenでCCIEを目指す

CBAC 基本設定

最終更新:2010年12月23日 21:03

it_certification

- view
管理者のみ編集可
  • 1. 目的
  • 2. 構成
    • 2.1. 設定概要
    • 2.2. 構成図
    • 2.3. netファイル
    • 2.4. 初期設定
  • 3. [検証] 拒否設定
    • 3.1. シナリオ意図
    • 3.2. 設定投入
    • 3.3. 疎通不能の確認
  • 4. [検証] 戻り許可
    • 4.1. 設定投入
    • 4.2. 疎通確認
    • 4.3. 設定確認

1. 目的

  • CBACの基本的な設定について確認します。
  • 社内システム担当が、社内から社外へのトラフィックに対して一時的に戻りを許可するようなシナリオを想定します。

2. 構成

2.1. 設定概要

  • R1, R2, R3はEIGRPでルーティングします。
  • R1, R2, R3はtelnet, sshで互いにログイン可能にします。

2.2. 構成図

2.3. netファイル

model = 3660

[localhost]
    
    [[3660]]
        image = C:\Program Files\Dynamips\images\c3660-ik9o3s-mz.124-6.T.bin
        ram = 128
    
    [[ROUTER R1]]
        f0/0 = R2 f1/0
    
    [[ROUTER R2]]
        f0/0 = R3 f1/0
    
    [[ROUTER R3]]

2.4. 初期設定

  • R1
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
!
!
ip cef
no ip domain lookup
ip domain name cisco.com
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username root password 0 password
!
! 
!
!
!
!
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
router eigrp 1
 passive-interface default
 no passive-interface FastEthernet0/0
 network 192.168.12.1 0.0.0.0
 auto-summary
!
ip http server
no ip http secure-server
!
!
!
no cdp run
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login local
 transport input telnet ssh
!
!
end

  • R2
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
!
!
ip cef
no ip domain lookup
ip domain name cisco.com
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username root password 0 password
!
! 
!
!
!
!
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.23.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 192.168.12.2 255.255.255.0
 duplex auto
 speed auto
!
router eigrp 1
 passive-interface default
 no passive-interface FastEthernet0/0
 no passive-interface FastEthernet1/0
 network 192.168.12.2 0.0.0.0
 network 192.168.23.2 0.0.0.0
 auto-summary
!
ip http server
no ip http secure-server
!
!
!
no cdp run
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login local
 transport input telnet ssh
!
!
end

  • R3
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
!
!
ip cef
no ip domain lookup
ip domain name cisco.com
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username root password 0 password
!
! 
!
!
!
!
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 192.168.23.3 255.255.255.0
 duplex auto
 speed auto
!
router eigrp 1
 passive-interface default
 no passive-interface FastEthernet1/0
 network 192.168.23.3 0.0.0.0
 auto-summary
!
ip http server
no ip http secure-server
!
!
!
no cdp run
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login local
 transport input telnet ssh
!
!
end

3. [検証] 拒否設定

3.1. シナリオ意図

社内から社外に対する通信において、社内システム担当が“戻り”を一時的に許可するようなシナリオを想定します。
R2をファイアウォール、R1は社内、R3を社外とし、以下の順で設定を投入します。
  • 社内へのトラフィックを基本的に拒否
  • 社内への戻りトラフィックを一時的に許可

3.2. 設定投入

R3からR1へのトラフィックを基本的に拒否する設定を投入します(ICMP, EIGRPは除きます)。
なお、拒否設定は必ず拡張ACLを使用して下さい。後続のシナリオで戻りパケットを一時的に許可しますが、標準ACLでは戻りパケットに対する一時的に許可する事ができません。
R2(config)#access-list 100 permit icmp any any
R2(config)#access-list 100 permit eigrp any any
R2(config)#access-list 100 deny ip any any
R2(config)#
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip access-group 100 in

3.3. 疎通不能の確認

この設定では戻りパケットが許可されていないので、R1, R3は互いに疎通不能になっています。pingは疎通可能なものの、telnet, sshが疎通不能になった事を確認します。
R1#ping 192.168.23.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/32/64 ms
R1#
R1#
R1#
R1#telnet 192.168.23.3
Trying 192.168.23.3 ...
% Connection timed out; remote host not responding

R1#
R1#
R1#ssh -l root 192.168.23.3

R1#

4. [検証] 戻り許可

4.1. 設定投入

R1からR3の通信において、sshとupdの戻りパケットを許可する設定を投入します。
具体的には、R2 f1/0のパケットを覗き見し、R2 f0/0に設定されたACLを動的に変化されます。
R2(config)#ip inspect name FW ssh
R2(config)#ip inspect name FW udp
R2(config)#interface FastEthernet 1/0
R2(config-if)#ip inspect FW in

4.2. 疎通確認

R1からR3へのsshが可能になった事を確認します。また、telnetは許可されていない事を確認します。
R1#ping 192.168.23.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/32/76 ms
R1#
R1#
R1#telnet 192.168.23.3
Trying 192.168.23.3 ...
% Connection timed out; remote host not responding

R1#
R1#
R1#ssh -l root 192.168.23.3

Password:

R3>

一方、R3からR1へは疎通不能である事を確認します。
R3#ping 192.168.12.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/68 ms
R3#
R3#
R3#telnet 192.168.12.1
Trying 192.168.12.1 ...
% Destination unreachable; gateway or host down

R3#
R3#
R3#ssh -l root 192.168.12.1
% Destination unreachable; gateway or host down

R3#

4.3. 設定確認

showコマンドにより、CBACの設定や状態を確認できます。
show ip inspect nameコマンドを使用すると、簡易的な設定確認ができます。
R2#show ip inspect name FW
Inspection name FW
    ssh alert is on audit-trail is off timeout 30
    udp alert is on audit-trail is off timeout 30

R2#

show ip inspect configでより詳細な設定確認ができます。
R2#show ip inspect config
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [400:500] connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
 Inspection name FW
    ssh alert is on audit-trail is off timeout 30
    udp alert is on audit-trail is off timeout 30

R2#

show ip inspect sessionsで現在Activeなセッションを確認できます。
R2#show ip inspect sessions
Established Sessions
 Session 664E0A28 (192.168.12.1:48212)=>(192.168.23.3:22) ssh SIS_OPEN
R2#

show ip inspect allで上記すべての情報を確認できます。
R2#show ip inspect all
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [400:500] connections
 - 以下 省略 - 
「CBAC 基本設定」をウィキ内検索
LINE
シェア
Tweet
添付ファイル
  • topology.jpg
DynagenでCCIEを目指す
記事メニュー

メインコンテンツ

  • トップページ
  • トップページ/動作検証 ネットワーク系

更新履歴

取得中です。

@Wiki

  • @wiki
  • @wikiご利用ガイド
  • プラグイン紹介
  • まとめサイト作成支援ツール




ここを編集
記事メニュー2
人気記事ランキング
  1. トップページ/手順書 サーバ系/TACACS+ インストール手順
  2. トップページ/動作検証 ネットワーク系/20100331 rip passive-interfaceの設定
  3. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
もっと見る
最近更新されたページ
  • 3007日前

    トップページ
  • 4206日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4206日前

    トップページ/手順書 ネットワーク系
  • 4206日前

    トップページ/手順書 開発系
  • 4206日前

    トップページ/手順書 サーバ系
  • 4206日前

    トップページ/動作検証 ネットワーク系
  • 4920日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4941日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4954日前

    メニュー
  • 4963日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
人気記事ランキング
  1. トップページ/手順書 サーバ系/TACACS+ インストール手順
  2. トップページ/動作検証 ネットワーク系/20100331 rip passive-interfaceの設定
  3. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
もっと見る
最近更新されたページ
  • 3007日前

    トップページ
  • 4206日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4206日前

    トップページ/手順書 ネットワーク系
  • 4206日前

    トップページ/手順書 開発系
  • 4206日前

    トップページ/手順書 サーバ系
  • 4206日前

    トップページ/動作検証 ネットワーク系
  • 4920日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4941日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4954日前

    メニュー
  • 4963日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
ウィキ募集バナー
新規Wikiランキング

最近作成されたWikiのアクセスランキングです。見るだけでなく加筆してみよう!

  1. 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  2. MadTown GTA (Beta) まとめウィキ
  3. R.E.P.O. 日本語解説Wiki
  4. シュガードール情報まとめウィキ
  5. ソードランページ @ 非公式wiki
  6. AviUtl2のWiki
  7. ヒカマーWiki
  8. シミュグラ2Wiki(Simulation Of Grand2)GTARP
  9. Dark War Survival攻略
  10. 星飼いの詩@ ウィキ
もっと見る
人気Wikiランキング

atwikiでよく見られているWikiのランキングです。新しい情報を発見してみよう!

  1. アニヲタWiki(仮)
  2. ストグラ まとめ @ウィキ
  3. ゲームカタログ@Wiki ~名作からクソゲーまで~
  4. 初音ミク Wiki
  5. 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  6. 検索してはいけない言葉 @ ウィキ
  7. 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  8. 発車メロディーwiki
  9. オレカバトル アプリ版 @ ウィキ
  10. Grand Theft Auto V(グランドセフトオート5)GTA5 & GTAオンライン 情報・攻略wiki
もっと見る
全体ページランキング

最近アクセスの多かったページランキングです。話題のページを見に行こう!

  1. 参加者一覧 - ストグラ まとめ @ウィキ
  2. べりはぴ - ストグラ まとめ @ウィキ
  3. 魔獣トゲイラ - バトルロイヤルR+α ファンフィクション(二次創作など)総合wiki
  4. クロスボーン・ガンダムX1改 - 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  5. 鬼レンチャン(レベル順) - 鬼レンチャンWiki
  6. ヴォイドカンパニー - アニヲタWiki(仮)
  7. 機体一覧 - 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  8. ガンダム・エアリアル(改修型) - 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  9. コメント/雑談・質問 - マージマンション@wiki
  10. 危険度7 - 検索してはいけない言葉 @ ウィキ
もっと見る

  • このWikiのTOPへ
  • 全ページ一覧
  • アットウィキTOP
  • 利用規約
  • プライバシーポリシー

2019 AtWiki, Inc.