キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 AMATopBanner2021.4.JPG

 2021Apr.TopBanner.JPG

 

1013
閲覧回数
0
いいね!
77
返信
CiscoJapanModerator
Rising star

Ask Me Anything イベント: Secure Remote Workers

このイベントに参加するには、Japanese-reply.png をクリックして質問してください

 

AnyConnect、ASAFTDDuoUmbrella などのシスコ セキュア リモート ワーキング テクノロジーにういて話し合うためのトピックです。このセッションでは、エキスパートが Emergency ライセンス、デザイン、設定、トラブルシューティングについて回答します。エキスパートは 12 のタイムゾーンで回答します。また、みなさまのニーズにお応えするために、このセッションは複数の言語に翻訳されます。

このフォーラム イベントはセキュリティ ソリューションに詳しくない方、学習を始めたばかりの方にもイントロダクションとしてご利用いただけます。

3 月 23 日(月)より 4 3 日(金)まで、質問を投稿できます。

エキスパート

divyanai.jpgDivya Nair は、ノースカロライナ州ローレイ在住のセキュリティ ビジネス グループのテクニカル マーケティング エンジニアです。ファイアウォール、IPSVPNAAA などのシスコ ネットワーク セキュリティ テクノロジーに 10 年以上携わり、現在は VPN およびファイアウォール マネージメントを主に担当しています。Divya は、コンピュータ科学技術の学士号を取得しています。

jonnoble.jpgJonny Noble は、Cisco Umbrella とそのまわりの技術のエキスパートで、クラウド セキュリティのテクニカル マーケティング チームをリードしています。Jonny は、20 年以上お客様のグローバル、かつ最新の技術に携わってきました。また、様々なセッションでプレゼンをおこなったり、Cisco Live をはじめとする多くのイベント、トレードショー、展示会などでラボのプロクターを担当してきました。Jonny は電子工学、社会学の学位、およびビジネス MBA CISSP を取得しています。
adganjoo.jpgAditya Ganjoo は、インド バンガロール在住のテクニカル マーケティング エンジニアです。7 年ほどシスコでファイアウォール、VPNAAA などのセキュリティ分野を担当しています。Aditya ASA、および VPN 技術トレーニングも担当してきました。情報技術の学士号、セキュリティの CCIECCIE#58938)を取得しています。シスコ サポート コミュニティにもたくさん参加しており、Cisco Live でも多くのセッションを担当しています。

質問が多数となる場合、DivyaAdityaJonny 3人とも回答できない場合があります。その場合は、引き続き セキュリティ コミュニティをご利用ください。

 

** 評価のお願い **
質疑応答の評価にぜひご協力ください

 

77件の返信77

head-end ASAです。イントラインターフェイストラフィック許可は既にあります。
いただいたNATにトライしてみます。それでトラフィックが1時間以内にどのように内部アクセス可能になるのか分かりませんが。

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

ご案内したNATはAnyConnectへのインターネットアクセスを得るためのものです。AnyConnectにTunnelAllで接続するとインターネットアクセスが失われるということでしたので。
インターネットアクセスするにはこのNATを使ってAnyConnectトラフィックを無効に出来ます。

nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

TunnelAllを使用すると、内部へのアクセスとインターネットへのアクセスともに許可できますが、トラフィックはホームネットワークではなく、インターネットのASAに送信されますか?

ルーティングに関して、ASAにルートを追加、または推奨のダウンストリームにルートを挿入しますか?

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

それは正しいです。
TunnelAllは、トラフィックがヘッドエンド(ASA)に到達し、そこからトラフィックを(外部インターフェースでDynamic PATを使用して)インターネットにルーティングします。

ダウンストリームのデバイスにリバースルート(プールのため)が必要になります。

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

内部アクセスにNATを使用しています。ヘッドエンドデバイス経由でAnyConnectのIPプールをインターネットにつなぐにはどうすればよいですか。

クライアントはAnyConnectに接続し、AnyConnect IPプールからIPアドレスを受信します。

以下のようにNATを使用すると、内部ネットワークにはつながりますが、インターネットにはつながりません。 ["any"を内部オブジェクトグループに置き換えました。]

nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect

AnyConnect IPプールをインターネットにも接続できるようにするには、どうすればいいですか? NATではクライアントはインターネットにつながりません。

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

下記のガイドにすべての手順の詳細が記載されています。https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html
ご覧いただきご質問あればご連絡ください。

注)この回答は    Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

前回の私の回答に既に記載しております。
こちらのNATをご利用ください。

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

AnyConnect IPポールには2つのNATステートメントが要るということですか?

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


はい、一つはインターネットネットワークアクセス用でもう一つがインターネットアクセス用です。

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

ありがとうございます。最後にお送りいただいたリンクがまさに探していたものです。バックエンドルーティングについてはまだ考えなければなりませんが、おかげさまでTunnelAllコンフィグレーションではAnyConnectが作動するようになりましたことをご連絡いたします。

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

お役に立てて何よりです。

 

注)この回答は  Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

CiscoJapanModerator
Rising star

私のPCでの会議に参加している人たちに音声資料を送付したいのですが、私の選ぶ抜粋資料を参加者が聞けるようにしたいです。可能ですか?I want to send audio material that I have on my computer to participants in my meetings. I want them to be able to listen to extracts that I select. Is this possible?

注)この質問は  ORI1ori1による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

ご質問をコラボレーションにご投稿いただけますか。

https://community.cisco.com/t5/collaboration-voice-and-video/ct-p/4691-collaboration-voice-video

注)この回答は  Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

 

CiscoJapanModerator
Rising star

ゲストWi-Fi用に新しいVLAN02を作成し、一部のIPアドレスへのアクセスを制限する必要があります。

ASA5506はBVIモードです。ASAインターフェイスは次のとおりです。

 

BVI1 – inside

GIG1/1 -  outside -

GIG1/2 -  inside_1 -

GIG1/3 -  inside_2 -

GIG1/4 -  inside_3 -

GIG1/5 -  inside_4 -

GIG1/6 -  inside_5 -

GIG1/7 -  inside_6 -

GIG1/8 -  inside_7 -

Management1/1 -   

 

注)この質問は   saids3 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

VLAN02のGIG1 / 5をゲストWi-Fiに、新しいVLANにIPアドレスを割り当てたいのですが、ベストな方法をご教示ください。ASDMからの設定をおしえてもらうことは可能ですか?

AnyConnectユーザにQOSをどう割り当てるか教えてください。
SSP ASAデバイスで出来ますか。
各ユーザに1Mb割り当てる必要があります。リモートデスクトップユーザがパフォーマンスについて不満があります。SQLクライアントユーザもそうです(デスクトップアプリはリモートでSQLに接続しています)。
ユーザがリモートでAnyConnectを使って接続しているときにサーバ/データベース切断のトラブルシューティング方法を教えて下さい。

注)この質問は   elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

IPコンフィグレーションとベストプラクティスについては下記リンクをご覧ください。

 

https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/asdm78/general/asdm-78-general-config/intro-fw.html

 

詳細については、ご質問をこちらにご投稿ください。

 

https://community.cisco.com/t5/network-security/bd-p/discussions-network-security


注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

CiscoJapanModerator
Rising star

AnyconnectユーザーにQoSを適用する方法を教えてください。ssp asaデバイスで可能ですか?

 

各ユーザーに1 Mbを与えたいと思っています。リモートのユーザー、SQLユーザー(リモートからSQLサーバーに接続されたデスクトップアプリ)ともパフォーマンスに不満があるようです。

ユーザーがAnyconnectを使用してリモートから接続している場合、SQLサーバー/データベースの切断のトラブルシューティングをおしえてください。

注)この質問は  elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


復号化された際(クリアテキストトラフィック)、トラフィックを確認する必要があります。 Anyconnectは、SQL / DBトラフィックを他のトラフィックと同じように処理するため、デバイスがVPNトラフィックで過負荷にならないようにします。

ASA with VPNサービスから提供される処理能力の詳細は、ASAデータシートで確認してください。

申し訳ございませんが、ASAでAnyconnectセッションごとにトラフィックを調整したりレート制限する方法はありません。

AnyConnectユーザーまたはリモートアクセスVPNユーザーを集合的に特定の帯域幅に制限することはできます。設定例は下記になります。

access-list 101 extended permit ip internal_Resource_IP internal_Resource_Mask anyconnect_IP_Pool anyconnect_Mask

class-map remote-access
match access-list 101

policy-map outside-policy
class remote-access
police output 1000000 <-- this value is 1 Mb in bits

https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/firewall/asa-98-firewall-config/conns-qos.html#ID-2133-000002dd

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。