Designedラボ

Cisco 担当者コラム

Cisco・Designedラボ

Designedラボ 第15回 「C841のFW(ファイアーウォール)の設定にチャレンジ3」

こんにちは。社会人3年目の新米SEのTEと申します。

前々回には、CLIでC841のZonebase Firewallの設定が完了致しました。
その続きで、今回は設定したC841で正常にZonebase Firewallが動作しているのかを検証したいと思います。
また、最後にこれまで設定してきたC841のshow runの結果を貼りたいと思います。

現在の構成図は、以下となります。

現在の設定では、in-zoneからout-zoneへの通信は、inspectionの設定によりTCP,UDP,ICMPは、行きの通信とその通信に対して戻ってくる通信は許可されているはずです。
なので、今回はICMPパケットが本当に通信可能かどうか確認していきたいと思います。

in-zoneからout-zoneへのICMP通信が可能かを確認するために検証用PCからインターネット(8.8.8.8)へ疎通確認を行います。

結果は、検証用PCは問題無くインターネットと通信出来ていることが分かりました。

とは言ってもこれだけでは、本当にZonebase Firewallのinspectionにより通信出来ているのかはわかりません。
なので、もしここでICMPをinspection対象外に設定変更し、通信ができ無くなれば、Zonebase Firewallが正常に動作しているという事になります。

では、早速以下の赤字部分のコマンドにより、現在のinspectionの対象リストからICMPパケットを除外します。
-------------------------------------------------------------------
Router>enable
Router#conf t
Router(config)#class-map type inspect match-any CLASS
Router(config-cmap)#no match protocol icmp
Router(config-cmap)#end
-------------------------------------------------------------------

それでは、ICMPをinspection対象外にしましたので、先ほどと同様にin-zoneからout-zoneへの通信を確認するために検証用PCからインターネット(8.8.8.8)へ疎通確認を行います。
通信ができなくなりました!
という事は、やはりinspectionが機能していたという事ですね!
つまりこれまでの設定でZonebase Firewallが正常に動作していたと考えて間違いないでしょう!
inspectionの設定はICMPパケットを追加して、元の設定に戻しておきます。

以上の検証結果より、Zonebase Firewallが正常に動作していることが確認出来ました。
これまでの設定に間違いがなくてほっと致しました。。

では、最後にこれまでPPPoEの設定、NAT(PAT)の設定、Zonebase Firewallの設定をC841で行ってきましたが、このC841のshow run結果を以下に添付いたします。
実際に設定する際の参考にして頂ければと思います。
-------------------------------------------------------
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip dhcp pool vlan1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 192.168.1.254
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
!
redundancy
!
!
class-map type inspect match-any CLASS
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect POLICY-1
class type inspect CLASS
inspect
class class-default
pass
!
zone security out-zone
zone security in-zone
zone-pair security PAIR-1 source in-zone destination out-zone
service-policy type inspect POLICY-1
zone-pair security PAIR-2 source self destination out-zone
service-policy type inspect POLICY-1
!
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no shutdown
!
interface GigabitEthernet0/5
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security in-zone
ip tcp adjust-mss 1414
!
interface Dialer1
mtu 1492
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly in
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user01@example.net
ppp chap password 0 cisco
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
dialer-list 1 protocol ip permit
ipv6 ioam timestamp
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
-------------------------------------------------------

以上となります。
引き続き、宜しくお願い致します。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事