読者です 読者をやめる 読者になる 読者になる

designetwork

ネットワークを軸としたIT技術メモ

Cisco ASAシリーズはCDP/LLDPを未サポート

Cisco ASAはセキュリティデバイスであるため、隣接NW機器の情報を収集するCDP/LLDPをサポートしていない。 Ciscoサポートコミュニティの情報 ASAのCDP/LLDPの対応状況に関する質問がいくつかされている。質問はASA5505についてだが、ASAシリーズ全般で同仕様…

Cisco AIR1131AGでDot11Radioがresetになる原因のひとつ

自宅ラボの無線AP Cisco Aironet AIR1131AGで、停電から復旧後にDot11Radioインタフェースのステータスがresetになるトラブルが発生した。 停電の原因は単純な家の電源容量超過で、すべてのNW機器で突然の電源断となってしまった。configの保存はしてあった…

ASAでDMZを構築するときのセキュリティレベル設定

Cisco ASA5505で自宅ラボにDMZを構築している。単純なinside-outside設定の場合はセキュリティレベルをinside:100, outside:0とし、必要な外からの通信をFWとNATで許可すればよい。 しかし、DMZを含めるとセキュリティレベルだけでは制御しきれなくなる。一…

自宅ラボASAでDMZからinsideに通信できない問題に対応する

自宅ラボのASA5505でDMZを構築していたら、DMZからinsideへの通信ができない事象が発生したので対応メモ。 前提構成 Cisco ASA5505(基本ライセンス・BASE License, Ver.9.2(3)) Cisco Catalyst2960 VMware ESXi ASA5505はセキュリティライセンスがないとVLAN…

マルチドメインかつワイルドカードの証明書は発行できない

(2017/4/15 ValueSSLではマルチドメインかつワイルドカードの証明書を発行可能) HTTPS(SSL)を実装する際には証明書の検討も必要となる。多くのサイトを公開する場合にはFQDNが多数となるが、ワイルドカード証明書、マルチドメイン(SANs)証明書を使用すること…

基本ライセンスのASA5505でVLAN nameif設定エラーを解消する

Cisco ASA5505は基本ライセンスでは3つまでVLANを設定できる。ただし、普通に設定をしようとすると、3つ目のVLANにnameifを設定する際にエラーとなる。エラーを解消して、3つ目のVLANにnameifを設定する方法を記載する。 Cisco ASA5505の中古価格が下がって…

ローカルドメインのSSL証明書はどうするのが良いか

内部的なドメイン(Internal Domain Name)として使用される.local。 test.local, test.internalといったローカルドメインを使用しているケースが多い。 ローカルドメインを使用している中で発生する問題のひとつである「SSL証明書をどうするか?」という問題…

Cisco ASAでX-Forwarded-Forヘッダを付けてNAPT環境ユーザアドレスを識別したい

Proxy環境、NAPT環境でのHTTP通信で重要になるX-Forwarded-For (XFF) ヘッダ。NAPTルータとして使用されることが多いCisco ASAでXFFヘッダの付与について記載する。 確認結果 2016年7月時点ではCisco ASAではX-Forwarded-Forヘッダを付与することはできない…

Cisco ASAインターネットNAPT越しtraceroute設定

Cisco ASAをNATルータとして使用している環境でtracerouteを正常に動作させるためにはいくつかの設定が必要となる。 インターネット接続部分でNAPT、inspect、ACL、policy-mapといった各種設定を見直したためメモ。 Cisco, Linuxのtracerouteの仕組み、違い…

Cisco,LinuxのtracerouteをFWで許可(通過)する

ネットワークの疎通確認で使用するtracerouteをFWで許可し通過させるには一手間必要になる。 traceroute(トレースルート): TTL expiredを利用してネットワーク経路を確認するコマンド tracerouteの仕様 一言でtracerouteと言っても、大きく次のパターンが存…