CCIE Security ver5 対策問題集からの抜粋 #2 [ASA Security Infrastructure - Basic Failover Configuration(Active/Active)]

Shunta Tsuchida

弊社、海外の協力校がCCIE Security ver5 当時に提供していた、試験対策問題集からの抜粋です。弊社サービス・教材のご紹介、及び皆様の自習目的としております。

[ASA Security Infrastructure - Basic Failover Configuration(Active/Active)]

構成図例#1

以下の要件に従い、Active/ActiveのASAフェイルオーバー構成を設定すること:

[ASA1-systemコンテキスト]
【フェイルオーバー】
Unit: Primary
LAN インターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Link インターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE
Failover グループ 1: Primary
Failover グループ 2: Secondary

【コンテキスト】
Name: admin
Allocate interface: Management0/0
URL: admin.cfg

Name: c1
Allocate interface: GigabitEthernet0/0.1, GigabitEthernet0/1.1, GigabitEthernet0/2.1
Labels Respectively: inside_c1, dmz_c1, outside_c1
Join Failover グループ: 1
URL: c1.cfg

Name: c2
Allocate interface: GigabitEthernet0/0.2, GigabitEthernet0/1.2, GigabitEthernet0/2.2
Labels Respectively: inside_c2, dmz_c2, outside_c2
Join Failover グループ: 2
URL: c2.cfg

[ASA1-admin コンテキスト]
Interface Management0/0:
Address Primary-Standby: 150.1.7.57/24 - 150.1.7.58
Name: management
Security Level: 100

[ASA1-c1 コンテキスト]
Interface inside_c1:
Address Primary-Standby: 10.100.2.1/24 - 10.100.2.2
Name: inside

Interface dmz_c1:
Address Primary-Standby: 10.100.4.1/24 - 10.100.4.2
Name: dmz
Security Level: 50

Interface outside_c1:
Address Primary-Standby: 10.100.6.1/24 - 10.100.6.2
Name: outside

【アドレス変換】
・Server5はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server5_c1"という名前を付ける

【トラフィックフィルタリング】
・Server5はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.10.0/24ネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server5_c2"という名前を付けること
・ACLはネットワークおよびホスト固有であること

【スタティックルート】
・Server5のネットワークはR7をネクストホップとしてアクセス可能であること
・192.168.10.0/24のネットワークはR9をネクストホップとしてアクセス可能であること

[ASA1-c2 コンテキスト]
Interface inside_c2:
Address Primary-Standby: 10.100.3.1/24 - 10.100.3.2
Name: inside

Interface dmz_c2:
Address Primary-Standby: 10.100.5.1/24 - 10.100.5.2
Name: dmz
Security Level: 50

Interface outside_c2:
Address Primary-Standby: 10.100.7.1/24 - 10.100.7.2
Name: outside

【アドレス変換】
・Server6はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server6_c2"という名前を付けること

【トラフィックフィルタリング】
・Server6はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.11.0/24のネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server6_c2"という名前を付ける
・ACLはネットワークおよびホスト固有であること

【スタティックルート】
・Server6のネットワークはR8をネクストホップとしてアクセス可能であること
・192.168.11.0/24のネットワークはR9をネクストホップとしてアクセス可能であること

[ASA2-system コンテキスト]
【フェイルオーバー】
Unit: Secondary
LANインターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Linkインターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE

Note: このフェイルオーバーの実装について、全てのインターフェースがモニターされている状態にすること

【模範解答のコンフィグ設定例】

[ASA1]
#system context
mode multiple

failover lan unit primary
failover lan interface LAN Gi0/3
failover link STATE Gi0/4
failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2

failover group 1
primary
preempt
failover group 2
secondary
preempt

admin-context admin
context admin
allocate-interface Management0/0
config-url admin.cfg

context c1
allocate-interface Gi0.1 inside_c1
allocate-interface Gi1.1 dmz_c1
allocate-interface Gi2.1 outside_c1
config-url c1.cfg
join-failover-group 1

context c2
allocate-interface Gi0.2 inside_c2
allocate-interface Gi1.2 dmz_c2
allocate-interface Gi2.2 outside_c2
config-url c2.cfg
join-failover-group 2

changeto context admin
#admin context
interface Management0/0
nameif mgmt
security-level 100
ip address 150.1.7.57 255.255.255.0 standby 150.1.7.58

changeto context c1
#c1 context
interface inside_c1
nameif inside
ip address 10.100.2.1 255.255.255.0 standby 10.100.2.2

interface dmz_c1
nameif dmz
security-level 50
ip address 10.100.4.1 255.255.255.0 standby 10.100.4.2

interface outside_c1
nameif outside
ip address 10.100.6.1 255.255.255.0 standby 10.100.6.2

object network server5_c1
host 192.168.105.7
nat(dmz,outside) static interface

access-list server5_c1 extended permit tcp 192.168.10.0 255.255.255.0
host 192.168.105.7 eq www
access-list server5_c1 extended permit icmp 192.168.10.0 255.255.255.0
host 192.168.105.7 echo
access-group server5_c1 in interface outside

route dmz 192.168.105.7 255.255.255.255 10.100.4.7
route outside 192.168.10.0 255.255.255.0 10.100.6.9

monitor-interface inside
monitor-interface dmz
monitor-interface outside

changeto context c2
#c2 context
interface inside_c2
nameif inside
ip address 10.100.3.1 255.255.255.0 standby 10.100.3.2

interface dmz_c2
nameif dmz
security-level 50
ip address 10.100.5.1 255.255.255.0 standby 10.100.5.2

interface outside_c2
nameif outside
ip address 10.100.7.1 255.255.255.0 standby 10.100.7.2

object network server6_c2
host 192.168.106.8
nat(dmz,outside) static interface

access-list server6_c2 extended permit tcp 192.168.11.0 255.255.255.0 host 192.168.106.8 eq www
access-list server6_c2 extended permit icmp 192.168.11.0 255.255.255.0 host 192.168.106.8 echo
access-group server6_c2 in interface outside

route outside 192.168.11.0 255.255.255.0 10.100.7.9
route dmz 192.168.106.8 255.255.255.255 10.100.5.8

monitor-interface inside
monitor-interface dmz
monitor-interface outside

[ASA2]
#system context

failover lan unit secondary
failover lan interface LAN Gi0/3
failover link STATE Gi0/4
failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2

failover group 1
secondary
preempt
failover group 2
primary
preempt

【解説】

[ASA1]
[ASA1-system]
#failover lan unit primary
#failover lan interface LAN Gi0/3
#failover link STATE Gi0/4
#failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
#failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2
<対応要件>
【フェイルオーバー】
Unit: Primary
LAN インターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Link インターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE

#failover group 1
#primary
#preempt
#failover group 2
#secondary
#preempt
<対応要件>
Failover Group1: Primary
Failover Group2: Secondary

構成図例#2

#admin-context admin
#context admin
#allocate-interface Management0/0
#config-url admin.cfg
<対応要件>
【コンテキスト】
Name: admin
Allocate interface: Management0/0
URL: admin.cfg

#context c1
#allocate-interface Gi0/0.1 inside_c1
#allocate-interface Gi0/1.1 dmz_c1
#allocate-interface Gi0/2.1 outside_c1
#config-url c1.cfg
#join-failover-group 1
<対応要件>
Name: c1
Allocate interface: GigabitEthernet0/0.1, GigabitEthernet0/1.1, GigabitEthernet0/2.1
Labels Respectively: inside_c1, dmz_c1, outside_c1
Join Failover Group: 1
URL: c1.cfg

#context c2
#allocate-interface Gi0/0.2 inside_c2
#allocate-interface Gi0/1.2 dmz_c2
#allocate-interface Gi0/2.2 outside_c2
#config-url c2.cfg
#join-failover-group 2
<対応要件>
Name: c2
Allocate interface: GigabitEthernet0/0.2, GigabitEthernet0/1.2, GigabitEthernet0/2.2
Labels Respectively: inside_c2, dmz_c2, outside_c2
Join Failover Group: 2
URL: c2.cfg

[ASA1-adminコンテキスト]
#interface Management0/0
#nameif mgmt
#security-level 100
#ip address 150.1.7.57 255.255.255.0 standby 150.1.7.58
<対応要件>
Interface Management0/0:
Address Primary-Standby: 150.1.7.57/24 - 150.1.7.58
Name: management
Security Level: 100

[ASA1-c1 コンテキスト]
#interface inside_c1
#nameif inside
#ip address 10.100.2.1 255.255.255.0 standby 10.100.2.2
<対応要件>
Interface inside_c1:
Address Primary-Standby: 10.100.2.1/24 - 10.100.2.2
Name: inside

#interface dmz_c1
#nameif dmz
#security-level 50
#ip address 10.100.4.1 255.255.255.0 standby 10.100.4.2
<対応要件>
Interface dmz_c1:
Address Primary-Standby: 10.100.4.1/24 - 10.100.4.2
Name: dmz
Security Level: 50

#interface outside_c1
#nameif outside
#ip address 10.100.6.1 255.255.255.0 standby 10.100.6.2
<対応要件>
Interface outside_c1:
Address Primary-Standby: 10.100.6.1/24 - 10.100.6.2
Name: outside

#object network server5_c1
#host 192.168.105.7
#nat(dmz,outside) static interface
<対応要件>
【アドレス変換】
・Server5はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server5_c1"という名前を付ける
<メモ>
(config)# nat (real-ifc,mapped-ifc)
実際のInterface(変換前)とマッピングInterface(変換後)のインターフェースを指定する
[Cisco ASA - Static NAT]
https://www.infraexpert.com/study/ciscoasa7.html

構成図例#3

#access-list server5_c1 extended permit tcp 192.168.10.0 255.255.255.0
host 192.168.105.7 eq www
#access-list server5_c1 extended permit icmp 192.168.10.0 255.255.255.0
host 192.168.105.7 echo
#access-group server5_c1 in interface outside
<対応要件>
【トラフィックフィルタリング】
・Server5はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.10.0/24 ネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server5_c1"という名前を付けること
・ACLはネットワークおよびホスト固有であること

#route dmz 192.168.105.7 255.255.255.255 10.100.4.7
#route outside 192.168.10.0 255.255.255.0 10.100.6.9
<対応要件>
【スタティックルート】
・Server5のネットワークはR7をネクストホップとしてアクセス可能であること
・192.168.10.0/24のネットワークはR9をネクストホップとしてアクセス可能であること

構成図例#4
構成図例#5

#monitor-interface inside
#monitor-interface dmz
#monitor-interface outside
<対応要件>
このフェイルオーバーの実装について、全てのインターフェースがモニターされている状態にすること

[ASA1-c2コンテキスト]
#interface inside_c2
#nameif inside
#ip address 10.100.3.1 255.255.255.0 standby 10.100.3.2
<対応要件>
Interface inside_c2:
Address Primary-Standby: 10.100.3.1/24 - 10.100.3.2
Name: inside

#interface dmz_c2
#nameif dmz
#security-level 50
#ip address 10.100.5.1 255.255.255.0 standby 10.100.5.2
<対応要件>
Interface dmz_c2:
Address Primary-Standby: 10.100.5.1/24 - 10.100.5.2
Name: dmz
Security Level: 50

#interface outside_c2
#nameif outside
#ip address 10.100.7.1 255.255.255.0 standby 10.100.7.2
<対応要件>
Interface outside_c2:
Address Primary-Standby: 10.100.7.1/24 - 10.100.7.2
Name: outside

#object network server6_c2
#host 192.168.106.8
#nat(dmz,outside) static interface
<対応要件>
【アドレス変換】
・Server6はASAのoutsideインターフェイスを使用して外部からアクセスできること
・変換に使用されるネットワークオブジェクトには、"server6_c2"という名前を付けること

構成図例#6

#access-list server6_c2 extended permit tcp 192.168.11.0 255.255.255.0 host 192.168.106.8 eq www
#access-list server6_c2 extended permit icmp 192.168.11.0 255.255.255.0 host 192.168.106.8 echo
#access-group server6_c2 in interface outside
<対応要件>
【トラフィックフィルタリング】
・Server6はポート80 HTTP、およびICMPエコーメッセージを対象に192.168.11.0/24 ネットワークからのみアクセス可能であること
・トラフィックフィルタリングのACLには、"server6_c2"という名前を付けること
・ACLはネットワークおよびホスト固有であること

#route dmz 192.168.106.8 255.255.255.255 10.100.5.8
#route outside 192.168.11.0 255.255.255.0 10.100.7.9
<対応要件>
【スタティックルート】
・Server6のネットワークはR8をネクストホップとしてアクセス可能であること
・192.168.11.0/24のネットワークはR9をネクストホップとしてアクセス可能であること

構成図例#7
構成図例#8

#monitor-interface inside
#monitor-interface dmz
#monitor-interface outside
<対応要件>
このフェイルオーバーの実装について、全てのインターフェースがモニターされている状態にすること

[ASA2]
[ASA2-systemコンテキスト]
#failover lan unit secondary
#failover lan interface LAN Gi0/3
#failover link STATE Gi0/4
#failover interface ip LAN 10.100.201.1 255.255.255.0 standby 10.100.201.2
#failover interface ip STATE 10.100.202.1 255.255.255.0 standby 10.100.202.2
<対応要件>
【フェイルオーバー】
Unit: Secondary
LANインターフェース: Gi0/3
Primary-Standby: 10.100.201.1/24 - 10.100.201.2
Name: LAN
Linkインターフェース: Gi0/4
Primary-Standby: 10.100.202.1/24 - 10.100.202.2
Name: STATE

全体のコンフィグ設定後、フェイルオーバーを実行
#ASA1/アクティブ側のSystemコンテキストで実行
#ASA2/スタンドバイ側でもフェイルオーバーを実行



【コンタクト】
メッセージの表題に「仮メンバー登録希望」や「ENCORテキスト希望」などコピペして頂くと助かります。
[代表メールアドレス]
onemind.it@gmail.com
[代表 Linkedin プロフィール]
https://www.linkedin.com/in/tsuchida-shunta-446aa9239/

この記事が気に入ったらサポートをしてみませんか?