ネットワークの自学ツールで使用するパケットトレーサーにはファイアウォール機能も搭載されております。初めて使う機器でしたが、これまでにSSG,Fortigate,Paloaltoなど主要なファイアウォールでの設定変更をしているので、現場での経験を生かして最後まで構築することができました。
作成環境
目的:TrustにあるPCからDMZにあるサーバーに向かってping疎通を行えるようにする
投入コンフィグ
L3スイッチ
!
interface FastEthernet0/1
switchport access vlan 192
switchport mode access
switchport nonegotiate
!
interface GigabitEthernet0/1
switchport access vlan 172
switchport mode access
switchport nonegotiate
!
!
interface Vlan172
ip address 172.16.10.1 255.255.254.0
!
interface Vlan192
ip address 192.168.10.254 255.255.254.0
!
router ospf 1
log-adjacency-changes
passive-interface Vlan192
network 192.168.10.0 0.0.1.255 area 0
network 172.16.10.0 0.0.1.255 area 0
ASA(ファイアウォール)
interface GigabitEthernet1/3
nameif Trust
security-level 80
ip address 172.16.10.2 255.255.254.0
!
interface GigabitEthernet1/4
nameif DMZ
security-level 40
ip address 11.10.10.2 255.255.254.0
!
class-map TEST
match default-inspection-traffic
!
policy-map TEST2
class TEST
inspect icmp
!
service-policy TEST2 global
!
router ospf 1
log-adjacency-changes
network 172.16.10.0 255.255.254.0 area 0
network 11.10.10.0 255.255.254.0 area 0
!
ルーター
interface GigabitEthernet0/0
ip address 192.168.20.254 255.255.254.0
!
interface GigabitEthernet0/1
ip address 11.10.10.1 255.255.254.0
!
router ospf 1
network 11.10.10.0 0.0.1.255 area 0
network 192.168.20.0 0.0.1.255 area 0
結果
PC⇒サーバー1(192.168.20.1)
PC⇒サーバー2(192.168.20.2)
それぞれへのpingが疎通できたので成功です。
ping疎通不可の場合、よくある見落としポイント
※デフォルトゲートウェイにアドレスを振り忘れる
アドレスを設定しないとパケットの宛先がわからないのでpingが届かなくなります。
必ず届け先にはアドレスを設定しましょう。
参考: Cisco Packet Tracer(パケットトレーサー)を使いこなそう!
参考: ネットワークエンジニアとして CISCO ASA技術解説
参考: Cisco ASA シリーズファイアウォールCLIコンフィギュレーションガイド