CCIE Security ver5 対策問題集からの抜粋 #2 [ASA Security Infrastructure - Basic Failover Configuration(Active/Active)]
弊社、海外の協力校がCCIE Security ver5 当時に提供していた、試験対策問題集からの抜粋です。弊社サービス・教材のご紹介、及び皆様の自習目的としております。
[ASA Security Infrastructure - Basic Failover Configuration(Active/Active)]
以下の要件に従い、Active/ActiveのASAフェイルオーバー構成を設定すること:
[ASA1-systemコンテキスト]
【フェイルオーバー】
Unit: Primary
LAN インターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Link インターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE
Failover グループ 1: Primary
Failover グループ 2: Secondary
【コンテキスト】
Name: admin
Allocate interface: Management0/0
URL: admin.cfg
Name: c1
Allocate interface: GigabitEthernet0/0.1, GigabitEthernet0/1.1, GigabitEthernet0/2.1
Labels Respectively: inside_c1, dmz_c1, outside_c1
Join Failover グループ: 1
URL: c1.cfg
Name: c2
Allocate interface: GigabitEthernet0/0.2, GigabitEthernet0/1.2, GigabitEthernet0/2.2
Labels Respectively: inside_c2, dmz_c2, outside_c2
Join Failover グループ: 2
URL: c2.cfg
[ASA1-admin コンテキスト]
Interface Management0/0:
Address Primary-Standby: 150.1.7.57/24 - 150.1.7.58
Name: management
Security Level: 100
[ASA1-c1 コンテキスト]
Interface inside_c1:
Address Primary-Standby: 10.100.2.1/24 - 10.100.2.2
Name: inside
Interface dmz_c1:
Address Primary-Standby: 10.100.4.1/24 - 10.100.4.2
Name: dmz
Security Level: 50
Interface outside_c1:
Address Primary-Standby: 10.100.6.1/24 - 10.100.6.2
Name: outside
【アドレス変換】
・Server5はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server5_c1"という名前を付ける
【トラフィックフィルタリング】
・Server5はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.10.0/24ネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server5_c2"という名前を付けること
・ACLはネットワークおよびホスト固有であること
【スタティックルート】
・Server5のネットワークはR7をネクストホップとしてアクセス可能であること
・192.168.10.0/24のネットワークはR9をネクストホップとしてアクセス可能であること
[ASA1-c2 コンテキスト]
Interface inside_c2:
Address Primary-Standby: 10.100.3.1/24 - 10.100.3.2
Name: inside
Interface dmz_c2:
Address Primary-Standby: 10.100.5.1/24 - 10.100.5.2
Name: dmz
Security Level: 50
Interface outside_c2:
Address Primary-Standby: 10.100.7.1/24 - 10.100.7.2
Name: outside
【アドレス変換】
・Server6はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server6_c2"という名前を付けること
【トラフィックフィルタリング】
・Server6はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.11.0/24のネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server6_c2"という名前を付ける
・ACLはネットワークおよびホスト固有であること
【スタティックルート】
・Server6のネットワークはR8をネクストホップとしてアクセス可能であること
・192.168.11.0/24のネットワークはR9をネクストホップとしてアクセス可能であること
[ASA2-system コンテキスト]
【フェイルオーバー】
Unit: Secondary
LANインターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Linkインターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE
Note: このフェイルオーバーの実装について、全てのインターフェースがモニターされている状態にすること
【模範解答のコンフィグ設定例】
[ASA1]
#system context
mode multiple
failover lan unit primary
failover lan interface LAN Gi0/3
failover link STATE Gi0/4
failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2
failover group 1
primary
preempt
failover group 2
secondary
preempt
admin-context admin
context admin
allocate-interface Management0/0
config-url admin.cfg
context c1
allocate-interface Gi0.1 inside_c1
allocate-interface Gi1.1 dmz_c1
allocate-interface Gi2.1 outside_c1
config-url c1.cfg
join-failover-group 1
context c2
allocate-interface Gi0.2 inside_c2
allocate-interface Gi1.2 dmz_c2
allocate-interface Gi2.2 outside_c2
config-url c2.cfg
join-failover-group 2
changeto context admin
#admin context
interface Management0/0
nameif mgmt
security-level 100
ip address 150.1.7.57 255.255.255.0 standby 150.1.7.58
changeto context c1
#c1 context
interface inside_c1
nameif inside
ip address 10.100.2.1 255.255.255.0 standby 10.100.2.2
interface dmz_c1
nameif dmz
security-level 50
ip address 10.100.4.1 255.255.255.0 standby 10.100.4.2
interface outside_c1
nameif outside
ip address 10.100.6.1 255.255.255.0 standby 10.100.6.2
object network server5_c1
host 192.168.105.7
nat(dmz,outside) static interface
access-list server5_c1 extended permit tcp 192.168.10.0 255.255.255.0
host 192.168.105.7 eq www
access-list server5_c1 extended permit icmp 192.168.10.0 255.255.255.0
host 192.168.105.7 echo
access-group server5_c1 in interface outside
route dmz 192.168.105.7 255.255.255.255 10.100.4.7
route outside 192.168.10.0 255.255.255.0 10.100.6.9
monitor-interface inside
monitor-interface dmz
monitor-interface outside
changeto context c2
#c2 context
interface inside_c2
nameif inside
ip address 10.100.3.1 255.255.255.0 standby 10.100.3.2
interface dmz_c2
nameif dmz
security-level 50
ip address 10.100.5.1 255.255.255.0 standby 10.100.5.2
interface outside_c2
nameif outside
ip address 10.100.7.1 255.255.255.0 standby 10.100.7.2
object network server6_c2
host 192.168.106.8
nat(dmz,outside) static interface
access-list server6_c2 extended permit tcp 192.168.11.0 255.255.255.0 host 192.168.106.8 eq www
access-list server6_c2 extended permit icmp 192.168.11.0 255.255.255.0 host 192.168.106.8 echo
access-group server6_c2 in interface outside
route outside 192.168.11.0 255.255.255.0 10.100.7.9
route dmz 192.168.106.8 255.255.255.255 10.100.5.8
monitor-interface inside
monitor-interface dmz
monitor-interface outside
[ASA2]
#system context
failover lan unit secondary
failover lan interface LAN Gi0/3
failover link STATE Gi0/4
failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2
failover group 1
secondary
preempt
failover group 2
primary
preempt
【解説】
[ASA1]
[ASA1-system]
#failover lan unit primary
#failover lan interface LAN Gi0/3
#failover link STATE Gi0/4
#failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
#failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2
<対応要件>
【フェイルオーバー】
Unit: Primary
LAN インターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Link インターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE
#failover group 1
#primary
#preempt
#failover group 2
#secondary
#preempt
<対応要件>
Failover Group1: Primary
Failover Group2: Secondary
#admin-context admin
#context admin
#allocate-interface Management0/0
#config-url admin.cfg
<対応要件>
【コンテキスト】
Name: admin
Allocate interface: Management0/0
URL: admin.cfg
#context c1
#allocate-interface Gi0/0.1 inside_c1
#allocate-interface Gi0/1.1 dmz_c1
#allocate-interface Gi0/2.1 outside_c1
#config-url c1.cfg
#join-failover-group 1
<対応要件>
Name: c1
Allocate interface: GigabitEthernet0/0.1, GigabitEthernet0/1.1, GigabitEthernet0/2.1
Labels Respectively: inside_c1, dmz_c1, outside_c1
Join Failover Group: 1
URL: c1.cfg
#context c2
#allocate-interface Gi0/0.2 inside_c2
#allocate-interface Gi0/1.2 dmz_c2
#allocate-interface Gi0/2.2 outside_c2
#config-url c2.cfg
#join-failover-group 2
<対応要件>
Name: c2
Allocate interface: GigabitEthernet0/0.2, GigabitEthernet0/1.2, GigabitEthernet0/2.2
Labels Respectively: inside_c2, dmz_c2, outside_c2
Join Failover Group: 2
URL: c2.cfg
[ASA1-adminコンテキスト]
#interface Management0/0
#nameif mgmt
#security-level 100
#ip address 150.1.7.57 255.255.255.0 standby 150.1.7.58
<対応要件>
Interface Management0/0:
Address Primary-Standby: 150.1.7.57/24 - 150.1.7.58
Name: management
Security Level: 100
[ASA1-c1 コンテキスト]
#interface inside_c1
#nameif inside
#ip address 10.100.2.1 255.255.255.0 standby 10.100.2.2
<対応要件>
Interface inside_c1:
Address Primary-Standby: 10.100.2.1/24 - 10.100.2.2
Name: inside
#interface dmz_c1
#nameif dmz
#security-level 50
#ip address 10.100.4.1 255.255.255.0 standby 10.100.4.2
<対応要件>
Interface dmz_c1:
Address Primary-Standby: 10.100.4.1/24 - 10.100.4.2
Name: dmz
Security Level: 50
#interface outside_c1
#nameif outside
#ip address 10.100.6.1 255.255.255.0 standby 10.100.6.2
<対応要件>
Interface outside_c1:
Address Primary-Standby: 10.100.6.1/24 - 10.100.6.2
Name: outside
#object network server5_c1
#host 192.168.105.7
#nat(dmz,outside) static interface
<対応要件>
【アドレス変換】
・Server5はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server5_c1"という名前を付ける
<メモ>
(config)# nat (real-ifc,mapped-ifc)
実際のInterface(変換前)とマッピングInterface(変換後)のインターフェースを指定する
[Cisco ASA - Static NAT]
https://www.infraexpert.com/study/ciscoasa7.html
#access-list server5_c1 extended permit tcp 192.168.10.0 255.255.255.0
host 192.168.105.7 eq www
#access-list server5_c1 extended permit icmp 192.168.10.0 255.255.255.0
host 192.168.105.7 echo
#access-group server5_c1 in interface outside
<対応要件>
【トラフィックフィルタリング】
・Server5はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.10.0/24 ネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server5_c1"という名前を付けること
・ACLはネットワークおよびホスト固有であること
#route dmz 192.168.105.7 255.255.255.255 10.100.4.7
#route outside 192.168.10.0 255.255.255.0 10.100.6.9
<対応要件>
【スタティックルート】
・Server5のネットワークはR7をネクストホップとしてアクセス可能であること
・192.168.10.0/24のネットワークはR9をネクストホップとしてアクセス可能であること
#monitor-interface inside
#monitor-interface dmz
#monitor-interface outside
<対応要件>
このフェイルオーバーの実装について、全てのインターフェースがモニターされている状態にすること
[ASA1-c2コンテキスト]
#interface inside_c2
#nameif inside
#ip address 10.100.3.1 255.255.255.0 standby 10.100.3.2
<対応要件>
Interface inside_c2:
Address Primary-Standby: 10.100.3.1/24 - 10.100.3.2
Name: inside
#interface dmz_c2
#nameif dmz
#security-level 50
#ip address 10.100.5.1 255.255.255.0 standby 10.100.5.2
<対応要件>
Interface dmz_c2:
Address Primary-Standby: 10.100.5.1/24 - 10.100.5.2
Name: dmz
Security Level: 50
#interface outside_c2
#nameif outside
#ip address 10.100.7.1 255.255.255.0 standby 10.100.7.2
<対応要件>
Interface outside_c2:
Address Primary-Standby: 10.100.7.1/24 - 10.100.7.2
Name: outside
#object network server6_c2
#host 192.168.106.8
#nat(dmz,outside) static interface
<対応要件>
【アドレス変換】
・Server6はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server6_c2"という名前を付けること
#access-list server6_c2 extended permit tcp 192.168.11.0 255.255.255.0 host 192.168.106.8 eq www
#access-list server6_c2 extended permit icmp 192.168.11.0 255.255.255.0 host 192.168.106.8 echo
#access-group server6_c2 in interface outside
<対応要件>
【トラフィックフィルタリング】
・Server6はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.11.0/24 ネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server6_c2"という名前を付けること
・ACLはネットワークおよびホスト固有であること
#route dmz 192.168.106.8 255.255.255.255 10.100.5.8
#route outside 192.168.11.0 255.255.255.0 10.100.7.9
<対応要件>
【スタティックルート】
・Server6のネットワークはR8をネクストホップとしてアクセス可能であること
・192.168.11.0/24のネットワークはR9をネクストホップとしてアクセス可能であること
#monitor-interface inside
#monitor-interface dmz
#monitor-interface outside
<対応要件>
このフェイルオーバーの実装について、全てのインターフェースがモニターされている状態にすること
[ASA2]
[ASA2-systemコンテキスト]
#failover lan unit secondary
#failover lan interface LAN Gi0/3
#failover link STATE Gi0/4
#failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
#failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2
<対応要件>
【フェイルオーバー】
Unit: Secondary
LANインターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Linkインターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE
【コンタクト】
メッセージの表題に「仮メンバー登録希望」や「ENCORテキスト希望」などコピペして頂くと助かります。
[代表メールアドレス]
onemind.it@gmail.com
[代表 Linkedin プロフィール]
https://www.linkedin.com/in/tsuchida-shunta-446aa9239/