- ベストアンサー
Cisco2610のフィルタリング(ICMPのType3)について
下記構成にてLANを組んでおります。 --------------------------------------------------------- Server-HUB-Cisco2610-((MODEM-Serial-MODEM-Cisco805-PC)×4) -PC×15 --------------------------------------------------------- ServerからIPパケットをブロードキャスト(以下BC)にて送信した時、 Serverから見てCisco2610の先にあるPCで該当ポートを開けないと、 Cisco2610からServerにICMPの障害パケット"Port Unreachable"が 返ってきます。その障害パケットとServerから送出するBCが衝突する らしく一部のBCパケットが消失(HUB直結のPCも受信不可)しています。 そこでCisco2610にてICMPのType3(ICMP到達不能メッセージ)を送信 抑止したいのですが、可能ですか?可能であれば設定方法(コマンド) をご教授下さい。マニュアル(英文)、製品取扱会社でも設定方法は 解りませんでした。他のPing等はそのまま使えることが前提です。 何卒よろしくお願い致します。
- LemonT
- お礼率92% (24/26)
- その他(インターネット接続・通信)
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
今手元にルータが無いので予想ですが... access-list 101 deny icmp any any 3 3 なんかではどうですか? Type3のフィルタはやったことないですが、 昔Timestamp(Type13,14)のフィルタはやったことがあります。 その時、 ...13 0 といった感じだったので、 後ろの「0」はcodeなのかなぁ...なんて。 はずしてたらごめんなさい。
その他の回答 (2)
No.#2のものです。 ちゃんと読んでなかったです。すみません。 "Port Unreachable"だけじゃなくてType3全部止めるんでしたね。 だったら access-list 101 deny icmp any any 3 0 でいけるかも... でもって何も考えずに回答してましたが、 ただのコリジョンではなくパケットの消失となると 根本的な解決をしないと「"つぎはぎ"ネットワーク」になってしまうような気がします。 で、Type3を止めるとなると正常に接続できない場合 レスポンスが悪くなったりとか影響がでる...かな?
お礼
回答ありがとうございます。 すぐに試したいのですが、事情により時間がかかりそうです。 あまり構築例の無いネットワーク構成だと思っています。
補足
PCがHUB直結のみなら、BCパケット抜けも発生しないので、 単にCisco2610のフィルタ設定なんだろうと軽く考えていました。 Type3を抑止することにより悪影響が出ますか?
- mimis
- ベストアンサー率66% (16/24)
最近、CISCO製品自体触っていないので良く解りませんが、通常のルータのフィルタ機能でICMPのTypeを設定できるものは今まで見たことがありません。 FireWallアプライアンス製品などであれば、可能なものもありますが・・・。 もし、ServerがWindows系であればServer側に簡易FireWallソフトを導入するのが簡単だと思います。ASCIIのWinWrapperならMSのサーバーOSで動作しますし、確かICMPのタイプ別にルールが作成できたと思います。 (体験版がダウンロードできますので確認してみてください。) ASCII NT http://www.ant.co.jp/Products/winwrapper10_Index.html また、BCの衝突=コリジョンという意味であればServer-HUB間などをFullDuplexにすれば、改善されるのでは? ちゃんとした回答ではなくてごめんなさい。
お礼
回答ありがとうございます。 2日間程回答ゼロだったので、ひと安心です。 やはりICMPのTypeでフィルタリングするのは難しいかなー。
補足
Serverは、更にその上位装置がいるため訳あってLinuxです。 >また、BCの衝突=コリジョンという意味であればServer-HUB間などをFullDuplexにすれば なるほど!LANスイッチですね。 試してみたいのですが、すぐには無理そうです。 ありがとうございました。
関連するQ&A
- ciscoルータ設定
USENの回線8IPに申し込みしましてUSENのモデム(メデアコンバータ)はpppoe接続が必要なくモデムにPCを接続しますと自動的に固定IPが振り分けられます。 固定IP1個に対して一台のPCでWEBサーバを立ち上げるのならば 問題ありませんがWEBサーバの下にDBサーバをつなげたいのですが普通にモデムにつなぎますと固定IPが自動に割り当てられてDBサーバが外部で公開になってしまいます。 そこでciscoのルータ(1841)で固定IP1個を管理し内部IPでDBサーバにつなげれば解決かと思われますが1ciscoルータの初心者のもので設定方法がわかりません。 大変申し訳ないと思いますが教えていただけると大変助かります。 またサーバにNICが2個あるのですが一つにDBをつなげたほうが設定が簡単でしょうか?。 申し訳ありませんがどうかよろしくお願いします。
- ベストアンサー
- ネットワーク
- LinuxサーバからSNMPレスポンスが返らない
LinuxサーバにSNMPの設定を行ったところ、自サーバからは問題なくMIB情報を取得できましたが、別マシンのSNMPマネージャーよりGETをしてもレスポンスが返って来ません。 自サーバ:snmpwalk -c public localhost MIB取得OK LinuxサーバでパケットをキャプチャするとGETを受け取った後に、ICMPでDestination Unreachableが発生しています。(宛先は別マシン) なお、snmpd.logには特にログが吐き出されていません。 マシン構成はLinuxサーバがNICを2枚挿しで、それぞれ[192.168.0.100]と[192.168.1.100]を設定し、同じHUBに接続し、別マシンが同じHUBで[192.168.0.253]のアドレスを設定しています。 もちろん、Linuxサーバから別マシンへはpingは問題なく通ります。 レスポンスの返らない理由を教えてください。 また、対処方法が分かれば合わせて教えてください。
- ベストアンサー
- Linux系OS
- 通信量はどのくらいなのですか?
下記はNURO 光のモデムF660Aの内部からコピーしたものです。自分が月にどのくらいパケットを消費しているのか知りたいです。モデムには、無線APとLANでPCが接続されています。 質問 ・どこを見れば使用したパケット量がわかりますか? ・数値はどの時点のものでしょうか?モデムを再起動してから取得時まで? ↓モデムのデータ ポート名 LAN3 受信したデータ量(byte) 4807226213 受信したパケットの総数 14040660 マルチキャストパケットの受信数 908303 ブロードキャストパケットの受信数 947970 送信したデータ量(byte) 21500145612 送信されたパケットの総数 20654585 マルチキャストパケットの送信数 62667 ブロードキャストパケットの送信数 11865 ポート名 TA 受信したデータ量(byte) 18027481 受信したパケットの総数 162304 マルチキャストパケットの受信数 0 ブロードキャストパケットの受信数 9 送信したデータ量(byte) 41652727 送信されたパケットの総数 354887 マルチキャストパケットの送信数 35041 ブロードキャストパケットの送信数 143892 よろしくお願いいたします。
- 締切済み
- FTTH・光回線
- Ciscoルータの設定方法について教えて下さい!
Ciscoルータの設定方法について教えて下さい! Cisco 871ルータをVPNとして下記のネットワークを構築しようと考えております。 ◎ネットワーク構成 外部PC | Internet | | DHCP Server | VPN ROOTER-------Web Server(DNS Server) | | モデム | | ADSL (1)VPN ROOTERのLAN側を192.168.0.1、WAN側を210.3.0.Xとする。 (2)Web ServerのLAN側を192.168.0.2、WAN側を210.3.0.Yとする。 (3)DHCP ServerのIPアドレスを192.168.0.3とする。 (4)DHCP Serverの払い出すIPアドレスのIPを192.168.0.4~192.168.0.30とする。 ◎構築案 (1)VPN ROOTER(Cisco 871)にてNATによるPPPoEの設定 (2)簡易ファイアウォールの設定 上記の設定以外にルータで設定しなければならない設定はあるでしょうか? ◎参考URL http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/rt/800/arscg/index.shtml
- 締切済み
- ネットワーク
- Ciscoルータの設定
下記のような構成でCiscoルータ配下のWORKSTATIONからWANへ抜けられません。 LAN側NWは192.168.11.0/24でAtermがDHCPサーバになっています。 Cisco側のdefault gatewayは192.168.11.1(AtermのLAN側IF)へ向け、CiscoのAterm向けIFのアドレスは192.168.11.5に設定しています。 切り分けでCiscoルータから192.168.11.5へPingOK 192.168.11.1へPingNGでした。 Aterm側のDHCPをOFFにすればよいのでしょうか? また、DHCPをOFFにした場合、無線のセグメントは利用できなくなってしまうのでしょうか? WAN | | ●-----■ --WORKSTATION(無線) | |←Ethernet | ▲---HUB---WORKSTATION(有線) ※ ●=レンタルルータ(Aterm) ■= 無線LANルータ ▲Ciscoルータ
- 締切済み
- その他(ITシステム運用・管理)
- LAN間接続について
cisco2514を使って2つのLANを相互接続したいと思います。 しかし、2514のeth0,eth1を設定したのですが、うまく接続されません。 接続形態としては以下のようになってます。 internet | router(192.168.10.1) | HUB1-----server(192.168.10.2) | cisco2514 eth0(192.168.10.3) | eth1(192.168.20.1) | HUB2 | クライアント(192.168.20.2~10) となってます。 クライアントから192.168.10.0のアドレスへのpingは 通りませんし、192.168.10.0のネットワークから192.168.20.0 のネットワークへも通りません。 ただし、クライアントからciscoの二つのポート(eth0,eth1)への pingは通ります。 cisco2514の2つのポートのパケットのフォワーディングがうまく いってないのだと思いますが、直接接続されたネットワークへのルーティング は自動的に生成されると聞いていたのでさっぱりわかりません。 どなたか助けてください。
- 締切済み
- その他(インターネット接続・通信)
- パケットのフィルタリング
どうぞお知恵をお貸しください。 別プロセスからインターネット上のサーバ宛に送信されるパケットを監視し、 データ部に特定の文字列が含まれる場合、パケットをブロック(破棄)したいと考えております。 WPE Pro と言うソフトのフィルタ機能が、まさに理想なのですが 実現するにはどのような方法を取ればよいのか悩んでおります。 現在、C#のSocketクラスを使い、以下の流れまでは出来たのですが、 送信パケットをブロックする方法が分からず困っております。 アダプタ(IPアドレス)の取得 -> RAWソケットの作成 -> 非ブロッキングモードの設定 -> ネットワークカードをプロミスキャスモードに設定 -> パケットの取得 -> ヘッダ&データ部の解析 言語・開発環境は問いません。 何かヒントだけでも与えて頂ければ幸いです。
- ベストアンサー
- C・C++・C#
- Ciscoルータのアクセスリストについて
ciscoルータのアクセスリストの設定に関して質問なのですが、sourceのポートの指定の必要性がいまいちわかりません。クライアントをはじく事は出来ませんし、サーバからの送信をはじくのであれば、クライアントからのそもそものリクエストを弾けばいいと思うのですが・・・ 使い道がわかりません 仕様ですか?
- ベストアンサー
- ネットワーク
- ブロードキャストの宛先について教えて下さい。
ブロードキャストの宛先について教えて下さい。 パケットキャプチャ(Ethereal)でネットワーク内のパケットを見ていましたところ、ブロードキャストがもう存在しないIPアドレス宛てに送信されている事が分かりました。 このIPアドレスには、1ヶ月前までDNS及びWINSサーバーを設置していました。 送信元PCのDNS、WINSサーバー、HOSTSファイルにはこの宛先IPアドレスの記述はありません。 送信元PCのarpテーブルにも該当IPアドレスの記述はありません。 (この存在しないIPアドレスに送信しているPCは複数台あります) 又、現在運用しているDNS、WINSサーバー内にもこの宛先IPアドレスの記述はありません。 ブロードキャストする場合、送信元PCはこの存在しないIPアドレスをどこから知るんでしょうか? どこかに情報が残っているから分かるんですよね。 なにとぞ助言をいただきたく・・・。 又情報不足であればご指摘下さい。 宜しく御願い致します。
- ベストアンサー
- ネットワーク
- Cisco EasyVPNサーバ接続について
下記構成でCisco1721のEasyVPNサーバにてリモートサクセスVPNを構築したのですが、疎通がうまくいきません。 どなたかご教示をお願いします。 構成 インターネット-ADSLモデムルータ(IPsec/L2TPパススルー)-Cisco1721(VPNサーバ) CiscoSDMのウィザードにてEasyVPNサーバを構築し、ダイアルアップ環境(FOMA接続)から認証・接続までは確立しています。 接続後内部サーバへpingを打つとRequestTimeOutになります。 Cisco1721側の「sh ip route」でもリモート接続元がルーティング登録はされており問題ないかとおもいます。 リモート接続PCからのpingは届かず、一度VPN接続が確立している間に Cisco1721からリモート接続PCへPingを打ってやると応答があり それ以後、リモートアクセスPCからも内部サーバ群へPing応答がありアクセスも可能です。 どの部分に起因する問題なのでしょうか? arpテーブル更新などの問題でしょうか?
- 締切済み
- ネットワーク
お礼
回答ありがとうございます。 いろいろ探し回って"access-list..."までは、辿り着いたのですが、 やはり"... any any"の後が必要なのですね。
補足
設定したことのある方がいらっしゃると心強いです。 いろいろ探し回った際、 「アクセスリストを設定すると、permitで明示的に許可された場合以外は、 すべて拒否(deny)扱いになります。」 という記述があったので、仮にPingだけを有効にする場合なら access-list 101 permit icmp any any echo access-list 101 deny icmp any any なのかなーとか思っていましたが、どうなのでしょうか。 よろしくお願いします。