Ciscoのスレッド 0/11 [無断転載禁止]©2ch.net

**anonymous** · 2017/03/24(金) 19:08:18.13

Ciscoのスレッドです。

前スレ
Ciscoのスレッド 0/9
http://hayabusa6.2ch.net/test/read.cgi/network/1383801715/
Ciscoのスレッド 0/10
http://hayabusa6.2ch.net/test/read.cgi/network/1451241638/

○関連スレ
↓アンチはこちら
アンチCisco スレッド2
http://pc11.2ch.net/test/read.cgi/network/1181951737/

↓基本的な質問はこちら
物凄い勢いで誰かが質問するスレ Port 17
http://pc11.2ch.net/test/read.cgi/network/1226849430/

○Ciscoオフィシャル
USサイト
http://www.cisco.com/
Bug Tool Kit
http://tools.cisco.com/Support/BugToolKit/
IOS Documentation
http://www.cisco.com/univercd/cc/td/doc/product/software/
Security Advisories
http://www.cisco.com/en/US/products/products_security_advisories_listing.html
JPサイト
http://www.cisco.com/jp/
テクニカルサポート
http://www.cisco.com/JP/support/customer/
日本語マニュアル
http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/

**anonymous** · 2017/03/24(金) 19:09:28.90

ってことでギリギリ間に合った.

**anonymous** · 2017/03/24(金) 19:12:51.51

乙です。
前スレ1年以上持ったんだな。

a · 2017/03/24(金) 19:12:52.96

乙シスコ

**anonymous@**218-251-8-174f1.hyg1.eonet.ne.jp · 2017/03/24(金) 19:40:11.59

乙です

前スレの>>999さんありがとうございます。
サイトの方を見てみたのですが、恐らくこの方法だと拠点ルーターはVLANに所属出来ないのでは無いでしょうか？

**anonymous@**218-251-8-174f1.hyg1.eonet.ne.jp · 2017/03/24(金) 19:57:13.35

前スレの997です

**anonymous@**218-251-8-174f1.hyg1.eonet.ne.jp · 2017/03/24(金) 20:03:13.65

前スレの997です。連投失礼します。　※>>6は投稿ミスです

進展(後退？)があったので質問内容を改めます。
891FJを2台使ってxconnectを使ったブリッジ接続を試みています。
各ルーターのGE8同士を接続し、R1のVLAN1とR2のVLAN1をブリッジしています。
xconnectを設定したVLANインターフェイスはIPアドレスが持てない為、R1とR2ががVLAN1に非参加の状態になっています。
IRBを織り交ぜて設定する事でBVIにてVLAN1に参加させる方法を考えましたが、xconnectを設定しているインターフェイスではIRBが動作しないらしくBVIが利用できませんでした。
R1とR2をVLAN1に参加させる方法をご享受下さい。
よろしくお願いします。

**anonymous@**KD182251252019.au-net.ne.jp · 2017/03/24(金) 20:04:07.43

スレ立て乙シスコ

**anonymous@**ns.fsk.gr.jp · 2017/03/26(日) 22:45:03.09

凄い適当なこと言います。
VLAN 2どうしでブリッジ接続し、GE0 を VLAN2、GE1 を VLAN1 に割り当てて
GE0 と GE1 を短い線でループさせるとか?

昔 2811 に HWIC-4ESW 2枚挿す時に、両カード間を物理的に繋ぐ必要があったことを思い出しまして。

**anonymous** · 2017/03/29(水) 22:51:08.19

2960L って CPU が PowerPC じゃないんだね。
いつから ARM になったんだろ?

**anonymous@**sp1-72-2-14.msc.spmode.ne.jp · 2017/03/30(木) 07:42:39.23

安価で性能高いし新しい。Linuxをプラットホームに作りなおした頃からじゃないかな。
なお、3650内部トレースが有効になっているみたいで、ログにワーニング吐きまくるバグに当たった…。

アライドもxシリーズはLinuxなんだよな。

**anonymous@**182-166-196-235f1.hyg1.eonet.ne.jp · 2017/03/30(木) 11:32:20.49

>>9
物理ループバック接続以外でお願いします。

**ano** · 2017/03/30(木) 21:10:18.46

JuniperだけFreeBSDで独自路線だな
PaloとかもLinuxだし

**anonymous@**om126200112110.15.openmobile.ne.jp · 2017/03/30(木) 22:40:48.31

telnetの脆弱性騒いでる？
うちの現場は調査したけど、幸いインターネットに晒しているL2なくて良かったわ

**anonymous** · 2017/04/01(土) 03:03:01.41

スイッチの野晒しは無いけど、ルーターがなー

**anonymous** · 2017/04/01(土) 19:45:28.15

>>15
え？telnet晒してるの？

**anonymous@**p1715039-omed01.osaka.ocn.ne.jp · 2017/04/05(水) 09:35:41.30

ASA、213日連続稼働させると止まるバグだってよ。またASAか…
http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

**anonymous** · 2017/04/05(水) 20:41:54.15

>>17
んーありがと。ウチもヤバいとこだった。
週末に再起動します。

**YAMASA** · 2017/04/11(火) 20:34:21.47

　　　　＋------------------サーバA（192.168.10.10)
　　　　｜
　［　ＡＳＡ　］（inside:192.168.10.1/24）
　　｜　　
　（VPN）　※ 192.168.10.1と192.168.1.1でVPN
　　｜　　
　［　ＲＴＸ(1)　］
　｜　｜　｜　｜（LAN1:192.168.1.1/24)
　｜　｜　｜　＋--------------------パソコンA（192.168.1.10)
　｜　｜　｜
　｜　｜　｜（LAN2:192.168.2.1/24)
　｜　｜　＋------------------------パソコンB（192.168.2.10)
　｜　｜　
　｜（VPN）
　｜　｜　
　｜［　ＲＴＸ(2)　］
　｜　　　｜（LAN:192.168.5.1/24)
　｜　　　｜
　｜　　　＋------------------パソコンC（192.168.5.10)
（VPN）
　｜　
　［　ＲＴＸ(3)　］
　｜（LAN:192.168.6.1/24)
　｜
　＋------------------パソコンD（192.168.6.10)

**YAMASA** · 2017/04/11(火) 20:35:36.29

すみません、いきなりミス投稿してしまいました。

初Cisco(ASA)でヤマハとの違いに戸惑っています。
ヤマハでいう
ip route 192.168.1.0/24 gateway tunnel 1
に該当するコマンドって何でしょうか？

上記 >19 のような構成で各ネットワークは相互に通信できるようにしたいのです。

現状は
・通信可能
RTX(1)←→RTX(2) LAN1とLAN2両方
RTX(1)←→RTX(3) LAN1とLAN2両方
RTX(2)←→RTX(3)
RTX(1)←→ASA LAN1

・通信不可
RTX(1)←→ASA LAN2
RTX(2)←→ASA
RTX(3)←→ASA

ASAからRTX(1)LAN1に対してはVPNトンネルを張っているためか通信できます。
ASAでRTX(1)LAN2に対しては通信できず、TraceRouteを打つとインターネット側へ出て行ってしまうので
ASAのStaticRouteに192.168.2.0/24等へはVPNトンネルを使用するよう書けば良いのではと推測しているのですが・・・
根本的に間違っていたらすみません。

**混ぜるな危険** · 2017/04/11(火) 22:21:59.37

>>20
必要なのはルーティングじゃなくて
crypt map map-name match address access-listコマンドと
access-listじゃない？

**anonymous** · 2017/04/11(火) 23:14:53.21

ASAはルータとして使うのだと面倒くさい

**anonymous** · 2017/04/12(水) 00:20:32.51

検証環境のACLとNAT設定で汚ねえASAを見ると鳥羽ものだな

**YAMASA** · 2017/04/12(水) 04:33:28.72

>>21
ありがとうございます。crypto mapの方でしたか。

まだよくわかっていませんが調べて試してみます。

ありがとうございました。

**anonymous@**182-166-196-234f1.hyg1.eonet.ne.jp · 2017/04/12(水) 09:38:21.24

>>24
ipsecのみを使ったvpnの場合ならcrypt mapが原因の可能性もあるけど、ipsec over greなどでは関係ないだろうね。
vpnの方式も書いておいたほうが良かったね

**YAMASA** · 2017/04/12(水) 18:52:55.48

追加で質問です。

object-group network [DM_INLINE_NETWORK]
network-object object 192.168.1.0/24
network-object object 192.168.2.0/24

access-list [outside_cryptomap] extended permit ip 192.168.1.0 255.255.255.0 object-group [DM_INLINE_NETWORK]

crypto map [outside_map 1] match address [outside_cryptomap]

上記のように設定したところ、192.168.1.0/24と192.168.2.0/24のどちらか一方のみに繋がる状態となりました。
この「どちらか」に切り替わるタイミングが微妙で、VPNを切断した際など再接続時や、再接続でない時にも替わる場合があります。
同時に繋がる事はありません。
ただ、結局AccessList関連の記述がわからなかったためGUIを使用して設定したので不要な設定が入っている恐れはあります。
VPNはIPsecのみです。

**ospf** · 2017/04/13(木) 00:19:57.64

>>26
Object group-based ACLs are not supported with IPsec.

http://www.cisco.com/c/en/us/td/docs/ios/sec_data_plane/configuration/guide/15_1/sec_data_plane_15_1_book/sec_object_group_acl.html#wp1132617

たぶんこれ。
現行バージョンでも引きずってるかは不明。

**YAMASA** · 2017/04/13(木) 10:10:27.92

>>27
グループ不可ってことは1本ずつVPNを張るとかってことですかね？
しかしながらVPN先のネットワークに更に別セグメントがある場合とか考えると何かしらルーティングする手段があると思ってしまうのですけど。
例えば下記機能で実現できるでしょうか？

トンネリングされたデフォルトゲートウェイを使用した SSL VPN トラフィックルーティングの設定例
http://www.cisco.com/cisco/web/support/JP/110/1108/1108681_ssl-tdg-config-example-00-j.html

route inside 0.0.0.0 0.0.0.0 192.168.1.1 tunneled
試しにコレを打ってみたいけど通信できなくなりそうで怖い。

**anon** · 2017/04/13(木) 21:46:28.33

>>28
IPsecトンネルでIKEが何をやり取りしているかを考えれば
ルーティングで解決できる問題じゃないことがわかると思う