購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1027
閲覧回数
0
いいね!
6
返信

NAT なしの C1161X-8P 基本セットアップ

解決策を見る
Translator
Community Manager
Community Manager

‎2021-09-27 10:41 PM

こんにちは、私は立ち往生しているといくつかの助けに感謝します。

私の構成が添付されています。現在、ACL は以下の状態です。

IP アクセス リスト拡張InsideToOutside_acl
10 許可 ip 任意
IP アクセス リスト拡張OutsideToInside_acl
10 許可 ip 任意

私がOutsideToInside_aclを変えたら

10 任意の eq 3389 を許可する

RDP はインターネットから LAN コンピュータに接続するために使用できますが、インターネットへの LAN トラフィック (またはリターン トラフィックの可能性が高い) は停止します。

どうすればこれを修正できますか?

ファイルをプレビュー
7 KB
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Translator
Community Manager
Community Manager

‎2021-09-27 10:41 PM

こんにちは

次の手順を実行します。

ポリシーマップタイプが avc Web_app_policyを検査しない
クラスマップタイプはマッチオールインサイドツーOutsideを検査しません

インターフェイス ギガビットイーサネット0/0/0
IP アクセスグループOutsideToInside_aclなし

インターフェイス ギガビットイーサネット0/0/1
IP アクセスグループOutsideToInside_aclなし

インターフェイス ギガビットイーサネット0/1/0
IP アクセスグループInsideToOutside_aclなし

アクセスリスト 110 マーク RDP
アクセス リスト 110 は任意の eq 3389 を許可します
アクセス リスト 110 は任意の eq 3389 を udp を許可します。


クラスマップ型は 、これを 追加する前に古いクラス マップを削除する必要がある場合<一致するすべての InsideToOutside を検査します。
マッチ プロトコル icmp
一致プロトコル DNS
マッチプロトコル http
プロトコルの一致 https
一致アクセスグループ 110


クラス マップ型は 、一致するすべての 外部を検査します。
一致するアクセスグループ名OutsideToInside_acl
一致アクセスグループ 110

元の投稿で解決策を見る

0 いいね!
6件の返信6

解決策を見る
Translator
Community Manager
Community Manager

‎2021-09-27 10:41 PM 

IP アクセス リスト拡張 InsideToOutside_acl
10 許可 ip 任意の IP アクセス リスト拡張
OutsideToInside_acl
10 許可 IP 任意

あなたがこの構成を持っているとき、すべての動作? (その後、上記はまだ任意の右の任意の3389ポート部分を許可していますか?あなたは3389を接続することができます?

0 いいね!

解決策を見る
Translator
Community Manager
Community Manager

‎2021-09-27 10:41 PM

こんにちは

次の手順を実行します。

ポリシーマップタイプが avc Web_app_policyを検査しない
クラスマップタイプはマッチオールインサイドツーOutsideを検査しません

インターフェイス ギガビットイーサネット0/0/0
IP アクセスグループOutsideToInside_aclなし

インターフェイス ギガビットイーサネット0/0/1
IP アクセスグループOutsideToInside_aclなし

インターフェイス ギガビットイーサネット0/1/0
IP アクセスグループInsideToOutside_aclなし

アクセスリスト 110 マーク RDP
アクセス リスト 110 は任意の eq 3389 を許可します
アクセス リスト 110 は任意の eq 3389 を udp を許可します。


クラスマップ型は 、これを 追加する前に古いクラス マップを削除する必要がある場合<一致するすべての InsideToOutside を検査します。
マッチ プロトコル icmp
一致プロトコル DNS
マッチプロトコル http
プロトコルの一致 https
一致アクセスグループ 110


クラス マップ型は 、一致するすべての 外部を検査します。
一致するアクセスグループ名OutsideToInside_acl
一致アクセスグループ 110

0 いいね!

解決策を見る
Translator
Community Manager
Community Manager
Translatorに対する応答

‎2021-09-27 10:41 PM

こんにちは @paulドライバー

ありがとう、これはまさに私が軌道に乗るために必要だったものです。私はパケットアクセス管理の2つの形態を混合していたと思います。

1 つのマイナーな変更が必要です。入ってくるトラフィックを3389に制限したいのですが、外出するトラフィックを制限したくありません。

私はこのコマンドが出て行くことができるパケットを制限していることを理解していますか?

クラスマップタイプは、一致するすべてのインサイドツーインサイドを検査します
説明 インサイドインサイドアウトサイド
マッチ プロトコル icmp
一致プロトコル DNS
マッチプロトコル http
プロトコルの一致 https
一致アクセスグループ 110

ユーザーマシンからすべてのトラフィックを送信するにはどうすればよいですか。

よろしく

0 いいね!

解決策を見る
Translator
Community Manager
Community Manager

‎2021-09-27 10:41 PM

こんにちは

私は他のすべての投稿を読み取っていませんが、ゾーンベースのファイアウォールとゾーンメンバーインターフェイスに適用されるアクセスリストはうまく機能しません。

太字でマークされた変更を行うと、すべてのトラフィックの送信が許可され、RDP 3389 の受信のみが許可されます。とは言え、NATが設定されていないのはわざとですか?

現在の構成: 23172 バイト
!
!管理者による最終構成変更 17:36:35 UTC 木 Jul 1 2021
!
バージョン 16.12
サービス タイムスタンプ デバッグ日時 msec
サービス タイムスタンプ ログ日時 msec
サービス コール ホーム
プラットフォーム qfp 使用率モニター負荷 80
プラットフォームのパントキープアライブ無効カーネルコア
!
ホスト名ネットラボ
!
ブート開始マーカー
ブートエンドマーカー
!
!
!
aaa新モデル
!
!
aaa 認証ログインデフォルトローカル
aaa 認証ログイン a-eap-authen-ローカル
aaa 権限 exec デフォルトローカル
aaa 認可ネットワーク a-eap-author-grp ローカル
!
aaa ログイン成功トラックコンフィス 1
!
aaa セッション ID 共通
クロック タイムゾーン UTC 10 0
クロックサマータイム UTC 繰り返し 1 日 1:00 1 4月 1:00
コールホーム
!コールホームの連絡先メールアドレスが sch-smart-licensing@cisco.com として設定されている場合
!Cisco スマート ライセンス ポータルで設定された電子メール アドレスは、SCH 通知を送信するための連絡先の電子メール アドレスとして使用されます。
連絡先 -電子メールの追加 sch-smart-licensing@cisco.com
プロファイル "CiscoTAC-1"
能動
宛先トランスポート方式 http
宛先トランスポート方式の電子メールがありません
!
IP ドメインのルックアップなし
ip ドメイン名 sece.company.com
IP dhcp 除外アドレス xxx.xxx.68.0 xxx.xxx.68.29
ip dhcp 除外アドレス xxx.xxx.68.50 xxx.xxx.68.255
!
IP DHCP プール VLAN68プール
ネットワーク xxx.xxx.68.0 255.255.255.0
デフォルトルータ xxx.xxx.68.254
dns サーバー xxx.xxx.68.254 8.8.8.8
リース 7
!
ログイン成功ログ
!
加入者テンプレート
!
マルチリンクバンドル名認証済み
!
暗号 PKI トラストポイント SLA トラストポイント
登録 pkcs12
失効チェックの CRL
!
暗号 PKI トラストポイント quovadis.root
登録ターミナルペム
失効チェックなし
!
暗号 PKI トラストポイント quovadis.inter
登録ターミナルペム
シリアル番号なし
fqdn netlab.sece.rmit.edu.au
IP アドレスなし
サブジェクト名 C=xxxx
件名 alt-名前 netlab.company.com
チェーン検証は quovadis.inter2 を継続します。
失効チェックなし
2048年 netlab.company.com rsakeypair
!
暗号 PKI トラストポイント quovadis.inter2
登録ターミナルペム
チェーン検証は quovadis.root を継続します。
失効チェックなし
!
暗号 PKI 証明書チェーン SLA トラストポイント
証明書 ca 01
30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
辞める
暗号 pki 証明書チェーン quovadis.root
証明書 ca 445734245B81899B35F2CEB82B3B5BA726F07528
30820560 30820348 A0030201 02021444 5734245B 81899B35 F2CEB82B 3B5BA726
辞める
暗号 PKI 証明書チェーン quovadis.inter
証明書 234A05CD947BCE0C6C75EE05B1447CEA6DD3E68
3082071C 30820504 A0030201 02021423 4A05CD94 7BCE0C6C 755EE05B 1447CEA6
辞める
証明書 ca 2D2C802018B7907C4D2D79DF7FB1BD87277CC93
308206AB 30820493 A0030201 0202142D 2C802018 B7907C4D 2D79DF7F B1BD8727
辞める
暗号 PKI 証明書チェーン quovadis.inter2
証明書 ca 2D2C802018B7907C4D2D79DF7FB1BD87277CC93
308206AB 30820493 A0030201 0202142D 2C802018 B7907C4D 2D79DF7F B1BD8727

辞める
!
暗号 PKI 証明書プール
カバンドル nvram:ios_core.p7b
!
ライセンス機能 hseck9
ライセンスウディ pid C1161X-8P sn F
ライセンスブートレベルのセキュリティk9
メモリフリー低透かしプロセッサ70177
!
診断ブートアップ レベル最小
!
スパニングツリー拡張システム ID
!
ユーザ名の管理者特権 15 パスワード 0 xx
ユーザー名 Wb35lMa26ZzB パスワード 0 xx
!
冗長性
モードなし
!
暗号 ikev2 提案ネットラボ.会社
暗号化 aes-cbc-256
整合性 sha256
グループ 14
!
VLAN 内部割り当てポリシー昇順
!
トラック 1 ip sla 1 到達可能性
!
クラスマップタイプはマッチオールインサイドツーアウトサイドを検査します
説明 インサイドインサイドアウトサイド
アクセスグループ名の一致InsideToOutside_acl
クラス マップ型は、一致するすべての外部を検査します。
説明 外側の内側
アクセスグループ名OutsideToInside_aclの一致
!
ポリシー マップ タイプは avc Web_app_policy を検査します
ポリシーマップタイプ検査 インサイド外部ポリシー
クラス型はインサイドインサイドアウトサイドを検査します
検査する
クラス クラスのデフォルト
ログを削除する
ポリシーマップタイプ検査 外部内部ポリシー
クラス型は外側を検査します。
-->パス
クラス クラスのデフォルト
ログを削除する
!
ゾーンセキュリティ内部
説明 内部インターフェイスのゾーン
ゾーン セキュリティ OUTSIDE
説明 外部インターフェイスのゾーン
ゾーン セキュリティの既定値
ゾーンペアセキュリティ INSIDE 外部ソース 内部外部の宛先
サービス ポリシータイプ検査 インサイド外部ポリシー
ゾーンペアセキュリティ 外部-内部ソース 外部の宛先内部
サービス ポリシータイプ検査 外部内部ポリシー
!
インターフェイス ギガビットイーサネット0/0/0
説明 WAN GE 0/0/0
IP アドレス xxx.xxx.253.10 255.255.255.240
--> ip アクセス グループがOutsideToInside_acl
ゾーンメンバーセキュリティ OUTSIDE
ネゴシエーション自動
!
インターフェイス ギガビットイーサネット0/0/1
説明 WAN GE 0/0/1
IP アドレスなし
--> ip アクセス グループがOutsideToInside_acl
ゾーンメンバーセキュリティ OUTSIDE
ネゴシエーション自動
!
インターフェイス ギガビットイーサネット0/1/0
説明 VLAN68Port0
スイッチポート モード アクセス
--> ip アクセス グループのInsideToOutside_aclがありません
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/1
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/2
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/3
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/4
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/5
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/6
ゾーンメンバーセキュリティ内部
!
インターフェイス ギガビットイーサネット0/1/7
ゾーンメンバーセキュリティ内部
!
インターフェイス Vlan1
説明 VLAN68
ip アドレス xxx.xxx.68.254 255.255.255.0
--> ip アクセス グループのInsideToOutside_aclがありません
ゾーンメンバーセキュリティ内部
!
インターフェイス Vlan2
IP アドレスなし
ゾーンメンバーセキュリティ内部
!
IP フォワードプロトコル nd
IP HTTP サーバー
IP HTTP 認証 aaa
ip http セキュア サーバー
ip http タイムアウト ポリシー アイドル 600 ライフ 600 要求 25
IP ルート 0.0.0.0 0.0.0.0.0 xxx.xxx.253.13
!
IP アクセス リスト拡張InsideToOutside_acl
10 許可 ip 任意
IP アクセス リスト拡張OutsideToInside_acl
-->任意の eq 3389 を tcp に許可します
!
コントロールプレーン
!
行コン 0
ストップビット 1
行 vty 0 4
exec タイムアウト 60 0
長さ 0
!
終わり

0 いいね!

解決策を見る
Translator
Community Manager
Community Manager
Translatorに対する応答

‎2021-09-27 10:41 PM

こんにちは @Georg孔雀

返信ありがとうございます。私はあなたのガイドに従って、私はもはやRDPを使用して外部から内部に接続することはできません。私は慎重に私の編集をチェックしました。

私は使用するデバイスの背後にパブリッククラスCを持っているので、私はNATを使用していません。これは歴史的な実装です。

私は問題を解決しようとする明確なポイントのカップルを求めていただければ幸いだろう。

1. 行 --> パス

私は単にパスとヒットリターンを入力すると仮定しています

2. 回線は任意の eq 3389 を tcp 許可します

それは前に数字を持っている必要がありますか?

他のステートメントは

10 許可 ip 任意

ありがとうございました

よろしく

マーク・グレゴリー

0 いいね!

解決策を見る
Translator
Community Manager
Community Manager
Translatorに対する応答

‎2021-09-27 10:41 PM

こんにちは

確かに、パスは1行に過ぎません。

アクセスリストの場合は、とにかく1行しかないので、シーケンス番号は必要ありません。

0 いいね!
Customers Also Viewed These Support Documents