2014-06-19 02:43 PM
シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ!
ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。
担当エキスパート: 河野 心平(Shinpei Kono)
Cisco Japan TAC のカスタマーサポートエンジニアとしてセキュリティ製品をサポートしており、主に VPN、AAA 関連技術のトラブルシューティングを担当しています。
ディスカッション開催期間:2014年6月23日~2014年7月6日
[質問の回答方法]
サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。
もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。
あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております!
[エキスパートからの回答について]
質問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容に よっては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。
ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。
2014-06-24 04:41 PM
こんにちは。
C892JとiPhoneでIPSecをするときはどのようにしたらよいでしょうか?
初心者で申し訳ございませんがよろしくお願いします。
2014-06-26 02:37 PM
お問い合わせありがとうございます。
IPsec で C892J への接続をご希望される場合には、iPhone ネイティブの
VPNクライアントをご利用いただく必要があるかと存じます。
接続に必要な最小設定例を添付しましたので、ご参照いただければと思います。
なお、本コーナーのトピックは AnyConnect とさせていただいておりますので、
内容についてご不明な点、または追加要件等ございましたら
ホーム > セキュリティ > 仮想プライベート ネットワーク (VPN) にて、
別のスレッドを立てていただき別途ご質問いただきたいと思いますが
よろしいでしょうか。
または、弊社にサービスリクエストをオープンいただきましたら、
担当のエンジニアにてサポートを提供させていただきます。
どうぞよろしくお願い申し上げます。
2014-06-27 10:22 AM
こんにちわ。
ASAのDynamic Access Policyを使用して、あるOSのAnyconnect端末がVPN接続してきた場合に、特定の宛先のみDenyさせて、それ以外の宛先はPermitして、Anyconnectの通信を抑制したいと考えています。
この時、DAPの設定で読み込ませるACL設定は、暗黙のDenyを考慮に入れて設定する必要がありますか?
初歩的な質問ですみません。
2014-06-27 09:23 PM
お問い合わせありがとうございます。
どこまでお試しになっているか把握できておりませんので、
多少冗長かとは存じますが、基本動作から順番に説明させていただく
という形式での回答とさせていただきます。
まず、Dynamic Access Policy (以後 DAP) で Network-ACL を適用する際の
動作は以下のようになっています。
Permit と Deny の両方の ACE を含む ACL を Network-ACL に適用
---> 実装上適用不可
Permit のみの ACE から成る ACL を Network-ACL に適用
---> 最後に暗黙の Deny が含まれます。
Deny のみの ACE から成る ACL を Network-ACL に適用
---> 最後に暗黙の Deny が含まれ、結果としてすべての通信が Deny となります。
そこで、"特定の宛先のみDenyさせて、それ以外の宛先はPermit" という動作を
実現するためには、以下のように、Permit のみを定義した ACL (DAP1) と
Deny のみを定義した ACL(DAP2) を別々に作成したうえで、
DAP1、DAP2 それぞれを単一の DAP の Network ACL に適用します。
access-list DAP1 extended permit ip any any
access-list DAP2 extended deny .....(特定の宛先1)
access-list DAP2 extended deny .....(特定の宛先2)
ここで AnyConnect からの接続が当該 DAP にマッチすると、
以下のような Deny 行が先頭に来る Dynamic Network-ACL が生成され、
特定の宛先のみを Deny するという動作が実現するかと存じます。
# show access-list の出力抜粋
access-list DAP-ip-user-D0454D0B; 2 elements; name hash: 0x3c0f8696 (dynamic)
access-list DAP-ip-user-D0454D0B line 1 extended deny(特定の宛先) (hitcnt=x) 0x6e1e410e
access-list DAP-ip-user-D0454D0B line 2 extended permit ip any any (hitcnt=x) 0x9bc7e03a
すでにこのような設定を想定されており、ここで生成される Dynamic Network-ACL に
暗黙の Deny が存在するかどうかが考慮点となっているようでしたら、
存在するとご認識いただればと存じます。
また、本内容を補足し、もう少し発展した内容 (DAP Aggregation) が含まれた資料が
以下に公開されていますので、必要に応じてご一読いただけますと幸いです。
Aggregating Multiple Dynamic Access Policies (Table 8、Table 9 周辺)
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html#t5
どうぞよろしくお願い申し上げます。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド