Ciscoのスレッド 0/11 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
DNSリレーの設定を有効にしつつ、外部(WAN側)からは名前解決出来なくする方法が見つからず困っています。 ttps://supportforums.cisco.com/t5/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9%E3%82%B9%E3%83%88%E3%83%A9%E3%82%AF%E3%83%81%E3%83%A3-% E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E3%83%AB%E3%83%BC%E3%82%BF%E3%81%AE%E3%82%AA%E3%83%BC%E3%83%97%E3%83%B3%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90%E5%AF%BE%E7%AD%96/ta-p/3155406 このURLに書かれているACLを適用すると、ルータ自身が名前解決を行えなくなり、ドメイン指定のNTP・DDNSが使えなくなってしまいます。 no ip dns serverでDNSリレーを諦めるのが妥当でしょうか… >>244 助けてあげたいけどそのURLが開けない..... 見難いURLを貼ってしまいました。修正版を貼ります。 結局DNSリレーを諦める形となりましたが、上手いやり方を知っている方がいましたらアドバイス頂けると助かります。 ルータのオープンリゾルバ対策 - Cisco Support Community 日本語URL ttps://supportforums.cisco.com/t5/ネットワークインフラストラクチャ-ドキュメント/ルータのオープンリゾルバ対策/ta-p/3155406 短縮版 goo.gl/kvtC6t >>246 ステートレスにやりたいならこんなかんじ? ! Deny DNS from Public ip access-list extended ACL-IN_FROM-WAN remark allow OpenDNS lookups permit udp 208.67.222.222 0.0.0.0 any eq domain permit tcp 208.67.222.222 0.0.0.0 any eq domain remark deny all others and log the attempts deny udp any any eq domain log deny tcp any any eq domain log permit ip any any ! Apply to WAN interface int WAN ip access-group ACL-IN_FROM-WAN in >>247 アドバイスありがとうございます。助かりました。 自分が利用するDNSとの通信のみ許可すればいい事に気付けませんでした。 それとremarkという便利なモノがあったんですね…今後ACL書くのが少し楽になりそうです。 スイッチのプロンプトがbrom>ってなってるんやけどbromって何だか知ってる方いらっしゃいますか rommonやswitchは見たことあるけどbromは見たことなかったので… 99.99% likely it has a hardware fault. If you have a Cisco maintenance contract, like SmartNet, contact Cisco to get the switch replaced. >>248 相手方 DNS サーバーの UDP/53番ポートに問い合わせをする際は、 ルーターの 1023番以上の任意の UDP ポートから相手方の 53番に送信され、その応答は 相手方 DNS サーバーの UDP/53番ポートから送信元のポートに返信するので access-list 101 permit tcp any eq domain any gt 1023 access-list 101 permit udp any eq domain any gt 1023 のように記述すれば、any であってもある程度選択的に許可できますよ。 DHCP や PPP など、どの DNSサーバーを指定されるか分からない場合にこう記してます。 あれ? もしかして 1023番以上が使われるのは NAT 設定した時だけ? 違うよね? >>234 1921 って EOS になったのは HWIC-1ADSL がついてくる ADSL バンドルモデルだけかと思ったけど? >>253 実装によるし、53からのアタックなんて簡単。 それでTCP開けるなんて… >>247 間違ってないけどセオリーで言えば0.0.0.0よりhostがいいかもね ACEがそろそろ保守切れなんだけど、 ロードバランサ今だったらおまいら何を選ぶ??? 無難にf5かな。 流石にRadware/alteonを挙げる人はいなかったかw catalyst9K導入されてリプレースで3850あたりが放出されんかな 10G使えるCiscoのL3がお手頃価格でほしいわ 金がないんだろ、察してやれよ(笑) 投資をケチる連中がパフォーマンスを気にするとか、草生えます。 Ciscoの価値の何割かはTACにあると思う。 保守入らないなら他社で良いと思う。 なんでUCSなんか入れたがるんだろうな、沖でいいじゃんね 考えられるとしたらCUCM使いたい時とか? 自分にはそれくらいしかメリットが思い浮かばない >268 UCじゃなくてUCSね UCSのTACは・・・ GNSいれて勉強したいんだけど、Macbook Airで動く? PacketTracer で良いんじゃないの? …と思ったけど、WinとLinuxしかなかったっけね >>262 昨日手に入れたぞ! 初期化しようとしたらFANがガランガランいってて、おかんに殴られたけどな! >>276 お!羨ましい。いくら位で手に入れたの? >>277 0円食堂 故障→リプレース 保守に入ってないから廃棄だけど FAN以外は問題ないから自宅に持ち帰ってきた FAN同等品教えてくれ! >>278 いったんヤフオクで売ってそれを元手に買い直す! 3850って型番の後ろで全然性能違うからややこしい 48Tだと1Gが48ポートのどこにでもあるスイッチなのに 48XSだとダウンリンク全部SFP+やしアップリンクはQSFP対応の40Gポートとかついてるからすごい こちらで処分しますとかいってついでにおんぼろUPSなんかもひっくるめて回収してきちゃったんじゃない? 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。 グーグル検索⇒『加藤のセセエイウノノ』 WSSRVJDJ8N もう 3850 が廃棄になるような時期なんか うちじゃまだ 3750X 10Gモジュール付きの4台スタックが主役だわ ちなみにおうちじゃ 3560CG が常用で 3750E がお遊び用。 俺は6500を大事に使ってるぞ TVの下に置いてる テレビ台?ブラウン管TVの25インチ〜28インチぐらいにはまるかな。 電源投入時に一瞬115kになるみたい。 起動し始めたらもう9600になってる。 ってことはCiscoSmartなので 工場出荷時にデフォルトでWebUIを使えるconfigが入っていると思うけど、 その中でline con 0 に speed 115200 が入っているのかな 更に見ていくと、2960LってUSBポートにドングルをつければ Bluetooth でシリアル接続できるんですね 115200bpsはそのためかと思い始めました どんなドングルに対応してるんだろ? 一般的なPC用のやつで動くんだろうなぁと思うけど、試された方います? うちにあるやつ調べたらwrite eraseで飛ばしたconfigには速度関連のconfigは入ってなかった 電源投入前から9600でコンソール繋いでると文字化けが一瞬発生したあとにいつもの起動メッセージが出力されるけどその文字化けしている所だけ115200みたい あ、C841Mみたいに工場出荷時に 初期configが入ってたのではないかと 「AT」って打つだけでDTE速度自動認識してくれないかねえ 成功したらat&wて保存を忘れずにな。上手くいかなかったらatzでリセット、at&fでファクトリーセッティング呼び出しだった様な…。 いやマジでATってビット列の早さでDTE速度自動で決めてくれるのがメインなんよ NECはATZでNVRAM消えるから気をつけろ そういうのありましたねぇ… アナログモデムを知る世代じゃないとわからない話だからら齢がバレるなw ciscoにもautoboud 設定はあるみたいだけど、 ASYNC系モジュール用?でline conでは使えないみたいですね ひょっとしたら line aux がある機種では使えたのかな? APの件で教えてください。 現在ヤマハのWLX302を使用しており入れ替えを検討中です。 ヤマハの後継機があまりに評価が悪いのでciscoにしようかと考えています。 使用環境としては 10mX10mのワンフロア ipadを中心として30-40台を同時に使用 主にwebサービスを使用しデータのダウンロードがある。 ルーターはYAMAHA RTX1210 こんな感じなのですが、WAP571でも対応可能でしょうか? それともAironet 1830シリーズの方がいいのでしょうか? 非営利法人なので、あまりお金がかけられない事情があります。 アドバイスいただけると助かります。 私はAironetをSIで導入したことがないので良くわからないですが、 一部では超有名人の国立天文台の大江さんの以下の記事が参考になるのではないでしょうか。 http://itpro.nikkeibp.co.jp/atcl/column/16/102100236/102100004/?itp_leaf_index O江さんシスコ嫌い公言してるのに検証機は借りるんだなw というのは置いておいて、AironetはコントローラーからAPを 集中管理するところに利点があるので、小規模ならWAPでいいと思うよ。 WAP500シリーズなら16台まで設定同期できるし。 Aironetは100台以上の規模や802.1X使うような用途じゃないとメリット出てこないと思う。 全部使ってるオレがマジレスすると、1830は古い一部のPCで相性問題出て切れまくる。 WAPの方が機能も豊富だがやっぱGUIのみはどちみち厳しい。 最近Aironetはスタンドアロン型がどんどん減ってるから 小規模拠点はWAP使わせたいんだろうな。 2800/3800買えないなら消去法でWAP571かな。 1830はオレにとっては地雷。 自宅はWLX302→WAP150→WAP571と変えて571で落ち着いてる。 PoE+じゃないとダメなのが571の唯一の欠点。 まぁヤマハさん使ってるのならヤマハさんのほうがいいと思う ネットでの評判が全てじゃないし、販売店通して貸し出しできるだろうし >>306 >O江さんシスコ嫌い公言してるのに検証機は借りるんだなw 元ネタが日経ネットワークの記事なので編集部が用意したんでしょうねぇ 1815、1830辺りで良いと思うぞ。その位のクライアント数なら1台で動作実績余裕。コントローラ機能も案外使い物になるから、台数増やすのも簡単だよ。 AirOS(ファームウエア)は新しくするのを薦めるんだが、最新の詳しい情報は自身で調べる場合には英語になる。 Yamahaスレで聞けば良いのにw 今はWLX202も402も大きな問題は無いよ ただ、1台に30-40もぶら下げるならWLX202は無理だし、402でも怪しい WLX202x2 7万くらい RukusR310x2 10万くらい WAP571x2 10万くらい ArubaIAP207x2 12万くらい 金無いならWLXで良いんじゃ無い ヤマハさんの事例発表のときにWLX302で50台全然平気とかやってたな 302は接続30台超えると動作が怪しくなった 20台以下なら問題なし 202は20台から怪しいんだよね 402は設置後直ぐに突き返されたからよく分からない 皆さまアドバイスありがとうございます。 確かに30台を過ぎたあたりで、繋がらない事が増えてきたり、フリーズしているかのような挙動が見られてます。 WAP571でも良さそうなのでさらに検討してみます Spectreの影響ってあるのかね NEXUSは絶対あるとしてPPC搭載製品も影響あると思うんだけど >>315 管理者以外のユーザーがネットワーク機器で任意のコードを実行するチャンスがそもそもあるのか? 最近セキュリティがいろいろ話題で、にわかセキュリティニキが増えてるのか、ヤマハスレでも騒いでるのがいるな 製品に脆弱なコンポーネントを含んでいても、それを実行する機会がなければ脆弱性とは言わないんだが JVNあたりの定義を見直してこいと小一時間t にわか情シスが増えたからな。DNSSECの時にもサーバすら持ってないような客が騒いでたけど。 ってググったら「DNSが使えなくなるトラブル、9月19日に発生する恐れ」なんてタイトルで記事書いてるやついたのか! http://itpro.nikkeibp.co.jp/atcl/column/14/346926/071401064/ 日経NETWORK は自前のDNSサーバを持ってるような規模の企業の情シス向けの雑誌だから… 今時自前DNSサーバなんて持つ必要無いだろ。 うちは全部Route53に移した。 日経NETWORKなんて新人教育くらいにしか使えんよ。 月に1つくらいは教育教材になる記事あるから購読続けてるけど。 上位の日経コミュニケーションが紙媒体廃止になって 日経NETWORKが生き残るとは思いもよらなかった >320 よく知らないけど Route53 って ActiveDirectoryのDNSも持っていけるの? 脅し文句がまんま日経って感じだよな 専門誌ならもっと技術的なタイトルでよかろう >>322 話の流れからしてイントラ用のDNSの話じゃないのでは? 日経NETWORKの読者層はその辺りの区別もついてるのか怪しいな。 ASAを触ってみたいのですが勉強用と割り切ってヤフオクで安く5505買うか奮発して実用に足るGE対応の5506買うか悩んでいます ただ固定IPもドメインもない環境なので奮発して導入したのに攻撃が殆ど無くて有ってもなくても変わらないとなると悲しいので ASAを検証機じゃなくて実際にファイヤーウォールとして使ってる方いたら攻撃の頻度とか教えてほしいです 5505買ってご家庭用のブロードバンドルーターとして使えばいいじゃん。 5505だとmulti context使えないから 勉強用なら5510が良いんじゃないスカねぇ シミュレーションで良ければ Cisco PacketTracerでASA5505が動きますね >>325 IPさらして、かかってきて下さいくらい 言えよw 社内で開催されるハッキング甲子園予選で初戦敗退する俺には無理だ ふと思ったんだけど C891FJ-K9 とか C841M-4X-JAIS/K9 の USB ポートに、 docomo L-03F とかの USB接続のLTE通信モジュール(ドングル) を挿して使うことってできないですかね? 日本未発売だけどLTEモジュールが用意されてるし 無理じゃない? Cisco startのラインナップ追加されたけど841mの後継はなさそうやね >>>333 そうですか・・・ 別途モバイルルーター用意するか。 実家で C891FJ-K9 に PoE カード載せて使ってます。 今、玄関にある ADSLモデムまで ・Gi0 に PoE スプリッター(アクティブ)を接続し、DC12V に変換して取り出す ・Fa0 に PoE コンバイナー(パッシブ)を取り付け、上記 DC12V を入力して重畳する ・玄関まで UTP 配線 ・玄関の ADSL モデム直近に PoE スプリッター(パッシブ)を取り付け、 ・ADSLモデムに DC12V と 100BASE-TX を収容 というちょっと面倒な配線をしているんですが、ふと思いついたことがあって・・・ ルーターのスイッチポートで PPPoE って使えるんですかね? やっぱりルーターポートのみ? スイッチポートで PPPoE できるなら配線がシンプルになるなぁ、と思いまして。 >>337 おお、今度 実家に帰ったらやってみます! >>337 予習ついでに教えていただけないでしょうか ip nat outside ip virtual-reassembly in duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number * このあたりの設定は、 ルーターポート同様スイッチポート(interface GigabitEthernet0 とか)に書くのか、 それとも interface Vlan に書く感じか、どちらだったでしょうか? >>339 ip nat outsideは、VLANでもSwitch portでもなく、pppoe I/Fに書く。 dialer-poolは、Switchportがいいと思う。 >>340 >ip nat outsideは、VLANでもSwitch portでもなく、pppoe I/Fに書く。 interface Dialer * ですね >dialer-poolは、Switchportがいいと思う。 ありがとうございます。やってみます! (実際にやれるのは来週以降だけれども) switchport でpppoe喋るとqos周りが相当厳しくなるので注意。 >>342 うっ、 だとすると、従来通り Gi0 から PoE の電力だけもらって、PPPoE は Fa0 で喋って PoE スプリッター/コンバイナーで重畳させる今のやり方のほうがマシですかね? ポート周りがごちゃごちゃするのが嫌で思いついたんですが。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる