2009/10/28

実験手前で頓挫

23日(Fri)
    実験できるだろう目処がつく
26日(Mon)
    スイッチの enable・config のパスワードを忘れる
27日(Tue)
    TA がんばった
28日(Wed)
    実験なう!と思ったらつまずく ←イマココ

---------------------------------------------
●やろうとしたこと
「12210教室スイッチにて ポート1から3からの http アクセスを遮断」

(config)# ip access-list extended http_DENY
    "http_DENY" という ACL_ID を命名
(config-ext-nacl)# deny tcp src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 eq http
    "src 0.0.0.0 255.255.255.255" すべての送信元IPv4 アドレスを設定
    "eq http"  httpを指定
(config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255
    "protocol ip" 全てのプロトコルを指定
(config-ext-nacl)# exit
(config)# interface range fastethernet 0/1-3
    スイッチの物理ポート 1~3 の設定を変える
(config-if-range)# ip access-group http_DENY in
上記ポートに http_DENY を設定する
(config-if-range)# exit

●現状
!is210-01(config)# interface range fastethernet 0/1-3
!is210-01(config-if-range)# ip access-group http_DENY in
interface : system function isn't set. 

interface : system function isn't set.

interface : system function isn't set.

!is210-01(config-if-range)#
---------------------------------------------
●"interface : system function isn't set." の解決を目指して

    (config)# system function filter
    を設定すれば良いのだが、それにはスイッチの再起動が必要。
    再起動してもいいだろうか?
    ……やってみた。

    ●やろうとしたこと
    (config)# system function filter
    (config)# save
    #reload

    ●現状
    !is210-01(config)# system function filter
    extended-authentication is in use.
    ---------------------------------------------
    ●"extended-authentication is in use." の解決を目指して
      CFREF.pdf p.478 [表30-3 装置の管理のエラーメッセージ] extended-authentication is in use.
      下記の機能のいずれかが有効に設定されているため,本設定を変更できません。
      • 認証専用 IPv4 アクセスリスト
      • IEEE802.1X:ポート単位認証(動的)
      • Web 認証:固定VLANモード,ダイナミック VLANモード,Web 認証専用 IP アドレス
      • MAC 認証:固定VLAN モード,ダイナミック VLAN モード

      下記の設定を削除してください。
      • authentication arp-relay
      • authentication ip access-group
      • dot1x port-control
      • web-authenticaiton ip address
      • web-authentication port
      • mac-authentication port
      12210教室(802.1x認証アリの自習室)の認証を OFF にすれば良い。(技術的に考えて)
      ……やっちゃだめだろうなぁ。(事務的に考えて)
      #追記 20:49
      やっていいって!

      12216教室は物理的に入室できないので、実験結果の検証が出来ない(入室してPCを持ち込み、http が遮断されるか試せない)。

      ●解決策(案)
      • 他の自習室(12219、12220)で実験する
        • それぞれの教室スイッチで enable・config できることが条件
      • 未使用の教室(12216,12217,12218)へ入室させてほしい
        • それぞれの教室スイッチで enable・config できることが条件
      • 12221(LAN接続不可の教室)で、実験時だけLAN接続を可能にする
        • フロアスイッチ・コアスイッチを設定すればできるのかな?調査中