シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。

教えて!Cisco Start ルータ Cisco 841M J (エキスパートに質問)


※Cisco 841M J シリーズに関しては こちら をご参照ください。

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ!
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2015年11月1日~11月30日

担当エキスパート: カスタマーサポートエンジニア / システムズエンジニア

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービス リクエストでのお問い合わせをご案内させて頂きます。

タグ(1)
59 件の返信
New Member

C841MとYAMAHAのRTX1210及び1200の比較

C841MとYAMAHAのRTX1210及び1200の比較資料を作成しています。

C841Mで以下の機能をサポートしているかご確認いただけますか。

AISでしか使用できない場合は、その旨の追記をお願いします。

  • IGMP Snooping
  • Private VLAN Edge
  • SIP-NAT
  • H323-NAT
  • IP-SLA (設定可能測定項目もお願いします)
  • リンクアグリーゲーション
  • SUITE B暗号化
  • PPTP
  • IPIP
  • L2TP over IPSec
  • Dynamic DNSサーバ機能
  • Dynamic DNSクライアント機能

以上、宜しくお願い致します。

Cisco Employee

確認が遅くなりました。以下の表をご確認ください。

確認が遅くなりました。以下の表をご確認ください。

実際には動作する機能もありますが Cisco841M J 上でのテストが完了していない機能は未サポートとしています。
最新のサポート情報は製品データシートで更新していく予定です。

機能 サポート可否
IGMP Snooping サポート
Private VLAN Edge 未サポート
SIP-NAT 未サポート
H323-NAT 未サポート
IP-SLA サポート

設定可能項目
dhcp/dns/ftp/http/voip/icmp echo, jitter/icmp path echo, jitter/udp echo, jitter/tcp-connect/ethernet echo, jitter/ethernet-monitor
リンクアグリーゲーション 未サポート
SUITE B 暗号化 サポート
PPTP サポート(ms-chap-v2 のみ)
IPIP 未サポート
L2TP over IPSec サポート
Dynamic DNS サーバ機能 サポート
Dynamic DNS クライアント機能 サポート

New Member

ご確認ありがとうございます。

ご確認ありがとうございます。

Dynamic DNSに関してはDatasheetに記載されているのですが、Datasheetが間違いですかね?

日本語のデータシートにも記載されています。

http://www.cisco.com/c/en/us/products/collateral/routers/800m-integrated-services-router-isr/datasheet-c78-732678.html

「Dynamic Domain Name System (DNS), DNS Proxy, DNS Spoofing」

IP SLAはAdvanced SecurityでもResponderではなくInitiatorとして動作すると思ってよろしいでしょうか?

Cisco Employee

改めて確認しましたが DDNS はサポートになります

改めて確認しましたが DDNS はサポートになります。失礼しました。上の表は訂正しています。

また IP SLA についてはご理解の通りです。

New Member

ありがとうございました。

ありがとうございました。

いただいた内容で比較資料を作成します。

New Member

ISP(IPv4/IPv6),NGN(IPv6

ISP(IPv4/IPv6),NGN(IPv6)の接続を行いたいため、下記ページを参考に構築しています。

http://www.cisco.com/cisco/web/support/JP/111/1115/1115275_pppoe-v4v6-tunnel.html

http://www.cisco.com/cisco/web/support/JP/111/1115/1115512_IPoE.html

ISP(IPv4)接続に関しては問題なく接続できていますが、

ISP(IPv6),NGN(IPv6)の接続がうまくいきません。

ご教示の程よろしくお願いいたします。

ISP(IPv6)はPPPoE接続でIPの取得は成功しています。

しかし、PCからpingを実施すると50% lossの状態が発生しています。

=====

C:\>ping 2001:4860:4860::8888

2001:4860:4860::8888 に ping を送信しています 32 バイトのデータ:
2001:4860:4860::8888 からの応答: 時間 =54ms
要求がタイムアウトしました。
2001:4860:4860::8888 からの応答: 時間 =54ms
要求がタイムアウトしました。

=====

また、名前解決ができていません。

=====

C:\>ping -6 www.google.co.jp
ping 要求ではホスト www.google.co.jp が見つかりませんでした。ホスト名を確認して
もう一度実行してください。

=====

NGN(IPv6)についても、WAN側IFにIPは割り当てられていますが、

アドレスの再配布が行われていません。

=====

rt1#sh ipv6 route
S ::/0 [1/0]
via Dialer2, directly connected
NDp 2001:A451:xxxx:xxxx::/64 [2/0]
via GigabitEthernet0/4, directly connected
L 2001:A451:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/128 [0/0]
via GigabitEthernet0/4, receive
S xxxx:xxxx:B1D0:6100::/56 [1/0]
via Null0, directly connected
C xxxx:xxxx:B1D0:6100::/64 [0/0]
via Loopback0, directly connected
L xxxx:xxxx:B1D0:6100::1/128 [0/0]
via Loopback0, receive
C xxxx:xxxx:B1D0:6110::/64 [0/0]
via Vlan10, directly connected
L xxxx:xxxx:B1D0:6110::1/128 [0/0]
via Vlan10, receive
L FF00::/8 [0/0]
via Null0, receive

=====

rt1#show run

no ip dhcp conflict logging
ip dhcp excluded-address 192.168.10.1 192.168.10.100
!
ip dhcp pool DHCP_pool
import all
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.10.1
lease 0 2
!
!
ip inspect name ins_WAN.v4.o tcp
ip inspect name ins_WAN.v4.o udp
ip cef
ipv6 unicast-routing
ipv6 cef
ipv6 inspect name ins_WAN.v6.o tcp
ipv6 inspect name ins_WAN.v6.o udp
ipv6 dhcp pool STATELESS
import dns-server
!
!
vtp domain rt1
vtp mode transparent
!
redundancy
!
!
vlan 10
!
no cdp run
!
!
interface Loopback0
no ip address
ipv6 address v6.ISP ::1/64
ipv6 enable
ipv6 nd other-config-flag
!
interface GigabitEthernet0/1
switchport access vlan 10
no ip address
!
interface GigabitEthernet0/4
description === WAN 1 ===
no ip address
duplex auto
speed auto
ipv6 address autoconfig default
ipv6 enable
ipv6 dhcp client pd v6.NGN
pppoe enable group global
pppoe-client dial-pool-number 2
pppoe-client dial-pool-number 1
!
interface Vlan1
no ip address
ip tcp adjust-mss 1452
shutdown
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ipv6 address v6.NGN ::10:0:0:0:1/64
ipv6 address v6.ISP ::10:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server STATELESS
!
interface Dialer1
description === v4 ISP ===
mtu 1454
ip address negotiated
ip nat outside
ip inspect ins_WAN.v4.o out
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1414
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXX@XXX
ppp chap password 7 XXXXXX
ppp ipcp dns request accept
no cdp enable
!
interface Dialer2
description === v6 ISP ===
mtu 1454
no ip address
no ip redirects
no ip proxy-arp
encapsulation ppp
dialer pool 2
dialer-group 2
ipv6 address autoconfig
ipv6 enable
no ipv6 nd ra suppress
ipv6 dhcp client pd hint ::/0
ipv6 dhcp client pd v6.ISP
ipv6 inspect ins_WAN.v6.o out
ppp authentication chap callin
ppp chap hostname XXX@v6.XXX
ppp chap password 7 XXXXXX
no cdp enable
!
ip forward-protocol nd
!
ip dns server
ip nat inside source list acl_NAT interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list standard acl_NAT
permit 192.168.10.0 0.0.0.255
!
dialer-list 1 protocol ip permit
dialer-list 2 protocol ipv6 permit
ipv6 route ::/0 Dialer2
!
!
end

以上、よろしくお願いいたします。

Cisco Employee

interface Gi0/4

interface Gi0/4 の下にある以下の設定は必要ないように思いますが、これらを削除してどうなるか確認して頂けますでしょうか。

ipv6 address autoconfig default
ipv6 enable
ipv6 dhcp client pd v6.NGN

New Member

ご返信ありがとうございます。

ご返信ありがとうございます。

上記設定を削除したところ、ISP(IPv6)の名前解決はできましたが、

PCからのpingでパケットの50%lossの状態は継続して発生しています。

ルータからpingを実行するとロスはありません。

=====

C:\>ping 2001:4860:4860::8888

2001:4860:4860::8888 に ping を送信しています
要求がタイムアウトしました。
2001:4860:4860::8888 からの応答: 時間 =51ms
要求がタイムアウトしました。
2001:4860:4860::8888 からの応答: 時間 =51ms

C:\>ping -6 www.google.co.jp

www.google.co.jp [2404:6800:4004:814::2003]に pin
データ:
要求がタイムアウトしました。
2404:6800:4004:814::2003 からの応答: 時間 =11ms
要求がタイムアウトしました。
2404:6800:4004:814::2003 からの応答: 時間 =13ms

=====

また、NGN(IPv6)のIPv6アドレスがルータ側で取得できなくなり、またPCの方でもNGN用の

IPv6アドレスは取得できませんでした。

=====
S ::/0 [1/0]
via Dialer2, directly connected
S xxxx:xxxx:B1D0:6100::/56 [1/0]
via Null0, directly connected
C xxxx:xxxx:B1D0:6100::/64 [0/0]
via Loopback0, directly connected
L xxxx:xxxx:B1D0:6100::1/128 [0/0]
via Loopback0, receive
C xxxx:xxxx:B1D0:6110::/64 [0/0]
via Vlan10, directly connected
L xxxx:xxxx:B1D0:6110::1/128 [0/0]
via Vlan10, receive
L FF00::/8 [0/0]
via Null0, receive

=====

以上、よろしくお願いいたします。

Cisco Employee

ご確認ありがとうございました

ご確認ありがとうございました。
前回の回答は若干読み違えていた部分がありました。これではご確認いただいた通り NGN IPv6 は使用できなくなりますので削除をお願いした設定は元に戻して下さい。大変失礼いたしました。
設定例との差分は IPv6 用の dialer2 で ipv6 mut 1280 となっていない点くらいですが余り関係はないかと思います。
お手数ですがログを取得するなどして詳細を確認をする必要がありそうですので、サービスリクエストをオープンいただいた方がよいと思います。

New Member

ご担当者様

ご担当者様

C841MのデータシートにUSBメモリの記載があります。
http://www.cisco.com/web/JP/product/hs/routers/c800isr/prodlit/data_sheet_c78-732678.html

実際にC841MJAISにUSBメモリを挿入しましたが、「show file system」で確認しても認識されていませんでした。
ログを確認したところ以下のログが記録されており、認識に失敗しているようです。

*Nov 5 05:31:37.819: %USB_HOST_STACK-3-USB_FLASH_READY_TEST_FAILED: USB flash failed to pass 'Ready' test.
*Nov 5 05:31:37.819: %USBFLASH-3-DEVSTARTSTOP: usbflash0 MSCD_StartStop failure in usbflash_mscd_scsi_listener!

IOSではFATしか認識しないという情報があったので、USBメモリをFAT16でフォーマットしましたがやはり失敗しました。
C841MでUSBを認識させるためにはどうすればいいのでしょうか?
もしくは、USBメモリの規格に制限がある場合はそれを教えていただけますか?

Cisco Employee

USBメモリは挿入すれば使用可能になります

USBメモリは挿入すれば使用可能になります。サポート対象になるのはシスコから提供しているUSBメモリのみではありますが、市販のものでも使用はできます。

引用のメッセージは挿入した際に何らかの問題が発生したことを示すものですが特に不具合なども見当たりませんのでUSBメモリの問題かも知れません。お手数ですが他のUSBメモリを試していただけないでしょうか。

New Member

「シスコから提供しているUSB」というのは「MEMUSB

「シスコから提供しているUSB」というのは「MEMUSB-1024FT=」でしょうか?

ASR用やNexus用、UCS用など多様な種類があるようなので、C841に対応しているものを

教えていただけますか?

Cisco Employee

非常に遅くなりまして申し訳ありません。

非常に遅くなりまして申し訳ありません。

正式にサポートするものとして宣言ができるのは以下になります。

MEMUSB-64FT
MEMUSB-128FT
MEMUSB-256FT

ただ、やはりこれでは正直なところ実用には耐えないと思いますので市販のものを使って頂くことになると思いますが、何か問題があった場合には常識的な方法で切り分けを行ってルータ、メモリのいずれに問題があるのか確認して頂ければよいと思います。

New Member

こんにちは。

こんにちは。

ゾーンベースファイアウォールのドメインフィルタリングについて質問させてください。

C841M-4X-JSEC/K9にて、CCP Expressのセキュリティタブから、

添付画面のように、noaccessというポリシー名で、

Twitterとyoutubeへのアクセスをブロックするポリシーを作成しましたが、

このポリシーが適用されていないようで、

ネットワーク上のクライアントから、どちらのURLにもアクセスできてしまいます。

Configを見る限り、

LAN-WAN-POLICYでnoaccessがdropされているので、

設定自体はできているように思えます。

何かCLIで追加の設定や変更が必要でしょうか?

ご教授いただけると幸いです。

なお、

初期化後、セットアップウィザードにてインターネット接続を作成し、

他の設定はせず、CCPExpressからポリシーのみを設定した状態で、

CLIはもちろん、GUIでも他の設定は一切変更していません。

Using 7576 out of 262136 bytes
!
! Last configuration change at 16:25:48 GMT Fri Nov 6 2015 
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco841
!
boot-start-marker
boot system flash c800m-universalk9-mz.SPA.155-3.M.bin
boot-end-marker
!
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login local_access local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 9 0
!
crypto pki trustpoint TP-self-signed-1620794595
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1620794595
revocation-check none
rsakeypair TP-self-signed-1620794595
!
!
crypto pki certificate chain TP-self-signed-1620794595
certificate self-signed 01 nvram:IOS-Self-Sig#B.cer
!
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.128
default-router 10.10.10.1
dns-server 10.10.10.1
lease 0 2
!
!
!
ip domain name workgroup
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
parameter-map type protocol-info noaccess_urllist
server name .*twitter.* snoop
server name .*youtube.* snoop

!
license udi pid C841M-4X-JSEC/K9 sn
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
any
!
object-group network Others_src_net
any
!
object-group service Others_svc
ip
!
object-group network Web_dst_net
any
!
object-group network Web_src_net
any
!
object-group service Web_svc
ip
!
object-group network local_cws_net
!
object-group network local_lan_subnets
10.10.10.0 255.255.255.128
!
object-group network noaccess_dst_net
any
!
object-group network noaccess_src_net
any
!
object-group service noaccess_svc
ip
!
object-group network vpn_remote_subnets
any
!
username
!
redundancy
!
!
!
!
no cdp run
!
!
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
match protocol msnmsgr
match protocol ymsgr
class-map type inspect match-any Others_app
match protocol https
match protocol smtp
match protocol pop3
match protocol imap
match protocol sip
match protocol ftp
match protocol dns
match protocol icmp
class-map type inspect match-any noaccess_url
match protocol ymsgr noaccess_urllist
class-map type inspect match-any Web_app
match protocol http
class-map type inspect match-all noaccess
match access-group name noaccess_acl
match class-map noaccess_url
class-map type inspect match-all Others
match class-map Others_app
match access-group name Others_acl
class-map type inspect match-all Web
match class-map Web_app
match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
class type inspect noaccess
drop log
class type inspect Web
inspect
class type inspect Others
inspect
class type inspect INTERNAL_DOMAIN_FILTER
inspect
class class-default
drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-POLICY
!
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
no ip address
spanning-tree portfast
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/5
description PrimaryWANDesc_
no ip address
ip tcp adjust-mss 1412
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
description $ETH_LAN$
ip address 10.10.10.1 255.255.255.128
ip nbar protocol-discovery
ip flow monitor application-mon input
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
zone-member security LAN
ip tcp adjust-mss 1412
load-interval 30
!
interface Dialer1
description PrimaryWANDesc__GigabitEthernet0/5
mtu 1454
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly in
zone-member security WAN
encapsulation ppp
dialer pool 1
dialer-group 1
ppp mtu adaptive
ppp authentication chap callin
ppp chap hostname 
ppp chap password 0 
ppp ipcp dns request
no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list nat-list interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended Others_acl
permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
ip access-list extended noaccess_acl
permit object-group noaccess_svc object-group noaccess_src_net object-group noaccess_dst_net
!
dialer-list 1 protocol ip permit
!
!
access-list 23 permit 10.10.10.0 0.0.0.127
!
!
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------

Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you
want to use.

-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
This feature requires the one-time use of the username "cisco" with the
password "cisco". These default credentials have a privilege level of 15.

YOU MUST USE CISCO CP or the CISCO IOS CLI TO CHANGE THESE
PUBLICLY-KNOWN CREDENTIALS

Here are the Cisco IOS commands.

username <myuser> privilege 15 secret 0 <mypassword>
no username cisco

Replace <myuser> and <mypassword> with the username and password you want
to use.

IF YOU DO NOT CHANGE THE PUBLICLY-KNOWN CREDENTIALS, YOU WILL
NOT BE ABLE TO LOG INTO THE DEVICE AGAIN AFTER YOU HAVE LOGGED OFF.

For more information about Cisco CP please follow the instructions in the
QUICK START GUIDE for your router or go to http://www.cisco.com/go/ciscocp
-----------------------------------------------------------------------
^C
!
line con 0
login authentication local_access
no modem enable
line vty 0 4
access-class 23 in
privilege level 15
login authentication local_access
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Cisco Employee

こんにちは。

こんにちは。

頂いた、capture.pngにおいて、CCPから見た、noaccessのPolicyのアプリケーションはAnyとなっていますが、頂いたコンフィグの関連箇所を見ると、以下の通り、ymsgr(yahoo messenger)となっているように見受けられました。

以下、LAN-WAN-POLICYのPolicyから関連する箇所を抜粋しています。

ーーー

policy-map type inspect LAN-WAN-POLICY
 class type inspect noaccess <<<まず、LAN-WAN-POLICYではnoaccess class-mapを参照
  drop log

class-map type inspect match-all noaccess
 match access-group name noaccess_acl
 match class-map noaccess_url <<<noaccess_url class-mapを参照

class-map type inspect match-any noaccess_url
 match protocol ymsgr noaccess_urllist <<< ここでプロトコルがYahoo messengerになっている

parameter-map type protocol-info noaccess_urllist
 server name .*twitter.* snoop
 server name .*youtube.* snoop

ーーー

何故CCP上からAnyと表示されたProtocolが実際のコンフィグ上で、Yahoo Messengerになっているのかは現時点では分かりませんが、もし可能であれば

・CCP上からプロトコルをHTTPもしくはHTTPSに指定 もしくは

・CLI上で、以下のようにYahoo Messengerがプロトコルとして指定されているnoaccess_url classを削除した上で、プロトコルをhttpもしくはhttpsに変更(以下の例はhttp)

no class-map type inspect match-any noaccess_url
class-map type inspect match-any noaccess_url
 match protocol http noaccess_urllist

のどちらかを試すことで事象が改善されるか確認いただけないでしょうか。

何かご不明な点があれば遠慮なく聞いていただけたらと思います。

New Member

ご回答ありがとうございます。

ご回答ありがとうございます。

ご教授いただいた方法にて以下のコンフィグを設定してみましたが、

http通信すべてが遮断されてしまいました。

match protocol http noaccess_urllist

の引数のパラメーターマップが、元のコンフィグのymsg用のままで

httpでは認識してくれないようです。

---

parameter-map type protocol-info noaccess_urllist
server name .*twitter.* snoop
server name .*youtube.* snoop

class-map type inspect match-any noaccess_url
match protocol http noaccess_urllist

class-map type inspect match-all noaccess
match access-group name noaccess_acl
match class-map noaccess_url

policy-map type inspect LAN-WAN-POLICY
class type inspect noaccess
drop log

---

直接指定してみてはどうかと思い以下のように設定してみましたが、

"*youtube.com*"以下がエラーではじかれてしまいました。

cisco841(config)#class-map type inspect match-any noaccess_url
cisco841(config-cmap)#match pr
cisco841(config-cmap)#match protocol http host "*youtube.com*"

何か解決策があればご教授いただけると幸いです。

New Member

ここ

ここ↓に記載されている内容とかを参考にしたらいかがでしょうか?

http://www.cisco.com/cisco/web/support/JP/108/1089/1089524_zone-design-guide-j.html

URI 検査:このコマンドは、URI が設定済みの通常の検査と一致する要求を、許可/拒否/監視する機能を提供します。これは、カスタム URL とクエリーをブロックする機能をユーザに提供します。許可またはリセットのアクションは、クラスマップ基準に一致する要求または応答に適用できます。ログ アクションを追加すると、次の syslog メッセージが発生します。

  APPFW-6- HTTP_URI_REGEX_MATCHED

コマンドの使用方法:

  match request uri regex <parameter-map-name>

サンプルの使用例

URI が次の正規表現に一致する要求をブロックするように、http appfw ポリシーを設定します。

  • .*cmd.exe

  • .*sex

  • .*gambling

parameter-map type regex uri_regex_cm
   pattern “.*cmd.exe”
   pattern “.*sex”
   pattern “.*gambling”

class-map type inspect http uri_check_cm
   match request uri regex uri_regex_cm

policy-map type inspect http uri_check_pm
   class type inspect http uri_check_cm

なお、こちらの環境ではURLを複数指定しても想定どおり通信はブロックされることを確認しています。
ただ、「 match protocol ymsgr noaccess_urllist 」のProtocolが「ymsgr」だったり、「msnmsgr」だったり、場合によって値が異なって設定されます。
原因は不明です。

New Member

ありがとうございます。

ありがとうございます。

参考にしながら、設定してみたいと思います。

>ただ、「 match protocol ymsgr noaccess_urllist 」のProtocolが「ymsgr」だったり、>「msnmsgr」だったり、場合によって値が異なって設定されます。

同じ状況のユーザーが他にもいらっしゃたのは幸いです。

CCPExpressは検証が十分でないのか、

動作が期待通りではないことがあるようです。

せっかく設けていただいた場なので、こういった情報も共有しながら、

フィードバックに役立てていただければと思います。

New Member

自己解決しました。

自己解決しました。

ブロック時にメッセージも出せるので

最終的には、以下の設定を利用しました。

URLの変更を後からすることを考えると、

やはりGUIで設定できるとうれしいです。

---

parameter-map type urlfpolicy local URL_FILTER
block-page message "BLOCK!"

parameter-map type urlf-glob ALLOW_URL
pattern *

parameter-map type urlf-glob BLOCK_URL
pattern *.twitter.*
pattern *.youtube.*
pattern *.yahoo.*


class-map type urlfilter match-any BLOCK
match server-domain urlf-glob BLOCK_URL
class-map type urlfilter match-any ALLOW
match server-domain urlf-glob ALLOW_URL

policy-map type inspect urlfilter URL_FILTER
parameter type urlfpolicy local URL_FILTER
class type urlfilter BLOCK
log
reset
class type urlfilter ALLOW
allow

policy-map type inspect LAN-WAN-POLICY
class type inspect Web
inspect
service-policy urlfilter URL_FILTER

---

New Member

フレッツ光ネクストの回線で接続するシーンを想定しています

フレッツ光ネクストの回線で接続するシーンを想定しています。
さらにIPv6 オプション(半固定アドレス)も使用したく思っています。

Cisco 841Mシリーズは上記に対応していますでしょうか?
(他のISRシリーズは対応しているようですが・・・)

また、可能であればサンプルコンフィグを掲載していただけますと大変助かります。
(Cisco.comでは見つけることが出来ませんでした・・・)

Cisco Employee

お問い合わせありがとうございます

お問い合わせありがとうございます。
841Mシリーズにおきましてもフレッツ光ネクストへの接続は可能です。
お問い合わせ頂いた内容よりIPoE方式によるご契約で接続されるものと理解しました。
フレッツ光ネクストへの接続では、ひかり電話のご契約状況によりIPv6プレフィックスの取得方法が異なります。
以下に設定サンプルが記載されておりますのでご参考ください。
1) ひかり電話ありの場合
DHCP-PDによるIPv6プレフィックスの取得
下記をご参考ください。
http://www.cisco.com/cisco/web/support/JP/111/1115/1115512_IPoE.html
2) ひかり電話なしの場合
RA (Router Advertisement) によるIPv6プレフィックスの取得
下記をご参考ください。
http://www.cisco.com/cisco/web/support/JP/111/1115/1115272_ipv6-passthru.html
ルータ自身がRAでIPv6アドレスを取得する場合、WAN側インターフェースに下記設定を行ってください。
interface GigabitEthernet0/8
 no ip address
 duplex auto
 speed auto
 ipv6 address autoconfig default    <<< ここです
 ipv6 enable  <<< ここです
end
 
New Member

ご回答ありがとうございます。

ご回答ありがとうございます。

対応(接続)可能ということで了解しました。

 

また、設定例・参考URLについてもご回答いただき、助かりました。

ありがとうございました。

New Member

CCPExpress3

CCPExpress3.1初期設定ガイドとスタティックVPN簡単設定ガイドを参考に、841M JシリーズにVPNの設定を行いましたところうまくいかない点があったため投稿させていただきます。
VPNに使用している回線はNTTのフレッツVPNワイドです。(インターネットの接続は行ってはいません)
自身も対向拠点も同じ製品を使用しています。
VPNの接続自体は成功しているようなのですが(VPNのトンネルが緑の表示)、
設定している拠点のPCから対向拠点側のVLAN配下のIP(相手側で設定に使用しているPC)へのPINGが通りません。
どういった原因が考えられるでしょうか?
設定したルータのコンフィグファイルを添付いたします。

Cisco Employee

頂いたCLI情報からはNATの設定が反映されていない事が原

頂いたCLI情報からはNATの設定が反映されていない事が原因のように見受けられます。
interface Vlan1
 ip nat inside
interface Dialer1
 ip nat outside
こちらを投入いただき、ご確認ください。
New Member

ご回答ありがとうございます。

ご回答ありがとうございます。

NATの設定を追加しても状況は変わりませんでした。

interface Vlan1
 description $ETH_LAN$
 ip address 10.10.11.1 255.255.255.128
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 zone-member security LAN
 ip tcp adjust-mss 1412
 load-interval 30
!
interface Vlan2
 ip address 192.168.1.99 255.255.255.0
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 zone-member security LAN
 load-interval 30
!
interface Dialer1
 description PrimaryWANDesc__GigabitEthernet0/4
 mtu 1454
 ip address negotiated
 ip mtu 1452
 ip nat outside
 ip virtual-reassembly in
 zone-member security WAN
 encapsulation ppp
 ip tcp adjust-mss 1412
 dialer pool 1
 dialer-group 1
 ppp mtu adaptive
 ppp authentication chap callin
 ppp chap hostname xxxxx@cvn0000000000
 ppp chap password 0 xxxxx
 ppp ipcp dns request
 no cdp enable

New Member

ポリシーと静的ルーティングの追加を行うことで解決することが

ポリシーと静的ルーティングの追加を行うことで解決することができました。

・ポリシーの追加
 ポリシー名 : lan-vpn
 アクション : 許可
 送信元ゾーン : LAN
 宛先ゾーン : VPN

 ポリシー名 : vpn-lan
 アクション : 許可
 送信元ゾーン : VPN
 宛先ゾーン : LAN

・静的ルーティングの追加
 プレフィックス : 相手先の内部ネットワーク
 プレフィックスマスク : 相手先の内部ネットワークのマスク
 インタフェース : Tunnnel0

最終的にCisco様のサポートに問い合わせ解決することができました。

ご助力いただきありがとうございました。

Cisco Employee

入れ違いで既に弊社サポートにお問い合わせ頂いて解決頂いてい

入れ違いで既に弊社サポートにお問い合わせ頂いて解決頂いていたという事でありがとう御座います。

確認頂いた「CCPExpress3.1初期設定ガイドとスタティックVPN簡単設定ガイド」については、修正依頼中ですのでお待ち頂ければと思います。

今後ともよろしくお願いします。

Cisco Employee

「CCPExpress3

CCPExpress3.1初期設定ガイドとスタティックVPN簡単設定ガイド」の Step8 以降で、ポリシーと静的ルーティングの設定手順の追記が完了しております。このたびは資料に不備があり失礼いたしました。今後ともどうぞよろしくお願いいたします。

Cisco Employee

こんにちは、

こんにちは、

多分、LAN と VPN 間のゾーンのポリシー設定がないためではないかと思われます。

以下のような設定をして頂いて確認頂けますか。※ポリシー名は任意。


1. セキュリティ -> ポリシー

2. 追加ボタンから以下を入力しセーブ
   -------------------------
   ポリシー名   : lan-vpn
   アクション   : 許可
   送信元ゾーン : LAN
   宛先ゾーン   : VPN
   -------------------------

3. 追加ボタンから以下を入力しセーブ
   -------------------------
   ポリシー名   : vpn-lan
   アクション   : 許可
   送信元ゾーン : VPN
   宛先ゾーン   : LAN
   -------------------------

4. 上部のメニューから"静的ルーティング"を選択

5. 追加から以下を入力し、"はい"を選択
   -------------------------
   プレフィックス : リモートネットワークアドレス
   プレフィックスマスク : サブネットマスク
   インタフェース : プルダウンから Tunnnel0 を選択
   -------------------------

こちらの設定で改善しない場合にはもう少しトラブルシューティングが必要になるかと思われますので弊社TACまでお問い合わせ頂けると幸いです。

15303
閲覧回数
95
いいね!
59
返信