Cisco 担当者コラム
Cisco・Designedラボ
Designedラボ 第15回 「C841のFW(ファイアーウォール)の設定にチャレンジ3」
前々回には、CLIでC841のZonebase Firewallの設定が完了致しました。
その続きで、今回は設定したC841で正常にZonebase Firewallが動作しているのかを検証したいと思います。
また、最後にこれまで設定してきたC841のshow runの結果を貼りたいと思います。
現在の構成図は、以下となります。
なので、今回はICMPパケットが本当に通信可能かどうか確認していきたいと思います。
in-zoneからout-zoneへのICMP通信が可能かを確認するために検証用PCからインターネット(8.8.8.8)へ疎通確認を行います。
結果は、検証用PCは問題無くインターネットと通信出来ていることが分かりました。
とは言ってもこれだけでは、本当にZonebase Firewallのinspectionにより通信出来ているのかはわかりません。
なので、もしここでICMPをinspection対象外に設定変更し、通信ができ無くなれば、Zonebase Firewallが正常に動作しているという事になります。
では、早速以下の赤字部分のコマンドにより、現在のinspectionの対象リストからICMPパケットを除外します。
-------------------------------------------------------------------
Router>enable
Router#conf t
Router(config)#class-map type inspect match-any CLASS
Router(config-cmap)#no match protocol icmp
Router(config-cmap)#end
-------------------------------------------------------------------
それでは、ICMPをinspection対象外にしましたので、先ほどと同様にin-zoneからout-zoneへの通信を確認するために検証用PCからインターネット(8.8.8.8)へ疎通確認を行います。
とは言ってもこれだけでは、本当にZonebase Firewallのinspectionにより通信出来ているのかはわかりません。
なので、もしここでICMPをinspection対象外に設定変更し、通信ができ無くなれば、Zonebase Firewallが正常に動作しているという事になります。
では、早速以下の赤字部分のコマンドにより、現在のinspectionの対象リストからICMPパケットを除外します。
-------------------------------------------------------------------
Router>enable
Router#conf t
Router(config)#class-map type inspect match-any CLASS
Router(config-cmap)#no match protocol icmp
Router(config-cmap)#end
-------------------------------------------------------------------
それでは、ICMPをinspection対象外にしましたので、先ほどと同様にin-zoneからout-zoneへの通信を確認するために検証用PCからインターネット(8.8.8.8)へ疎通確認を行います。
通信ができなくなりました!
という事は、やはりinspectionが機能していたという事ですね!つまりこれまでの設定でZonebase Firewallが正常に動作していたと考えて間違いないでしょう!
inspectionの設定はICMPパケットを追加して、元の設定に戻しておきます。
以上の検証結果より、Zonebase Firewallが正常に動作していることが確認出来ました。
これまでの設定に間違いがなくてほっと致しました。。
では、最後にこれまでPPPoEの設定、NAT(PAT)の設定、Zonebase Firewallの設定をC841で行ってきましたが、このC841のshow run結果を以下に添付いたします。
実際に設定する際の参考にして頂ければと思います。
-------------------------------------------------------
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip dhcp pool vlan1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 192.168.1.254
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
!
redundancy
!
!
class-map type inspect match-any CLASS
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect POLICY-1
class type inspect CLASS
inspect
class class-default
pass
!
zone security out-zone
zone security in-zone
zone-pair security PAIR-1 source in-zone destination out-zone
service-policy type inspect POLICY-1
zone-pair security PAIR-2 source self destination out-zone
service-policy type inspect POLICY-1
!
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no shutdown
!
interface GigabitEthernet0/5
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security in-zone
ip tcp adjust-mss 1414
!
interface Dialer1
mtu 1492
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly in
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user01@example.net
ppp chap password 0 cisco
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
dialer-list 1 protocol ip permit
ipv6 ioam timestamp
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
-------------------------------------------------------
以上となります。
引き続き、宜しくお願い致します。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」