LLDP 隣接デバイスに自身の情報を載せたフレームを送信する
show lldp neighbors 隣接機器の情報を表示する。
CDP Cisco独自の隣接デバイス情報交換プロトコル。デフォで有効
LLDP-MOD エンドデバイスの隣接情報を取得可能(IP Phoneとスイッチ間)
Device-ID
Local Interface
Holdtme
Capability
Platform
Port ID
Address
IOSSoftware
CDPはデータリンク層で活躍するのでIPアドレスが設定されていなくても、利用できるプロトコルである。
プロープパケットとは、調査を目的としたパケット。TTLやホップ限界などの情報が入っている。(主にtraceroute)
拡張tracerouteで指定できる主なパラメータを以下に記します。
・Target IP address…宛先IPアドレスを指定
・Source address…送信元IPアドレスを指定
・Probe count…送信するプローブパケットの数を指定
・Minimum Time to Live…最小のTTLを指定(2を指定した場合は2ホップ目からの情報が表示される)「わかりやすくていいね」
・Maximum Time to Live…最大のTTLを指定
service password encryption 現在設定されているパスワードも、今後設定するパスワードも全て暗号化する。
VRRPは、デフォルトゲートウェイの冗長化技術なので、ルータだけでなく、SMTPサーバーにも適用できる。
cdpで取得した隣接情報のうち、特定のデバイスのみを表示するコマンドは、show cdp entry {ホスト名}
ルータの起動方法は、「コンフィギュレーションレジスタ」という4桁の値によって決定する。
・ROMモニタモードで起動:0x2100
・設定を読み込んで起動(通常の起動):0x2102(デフォルトのコンフィグレーションレジスタ値)
・設定を読み込まずに起動:0x2142
On固定
静的にEtherChannelを形成するには、モードの設定をOnにします。(無条件に行いたい)
Switch# channel-group 1 mode on
Fast Ether Channel(FEC)とは、Cisco独自の規格で、他のベンダーではTrunk、Link Aggregation(リンクアグリゲーション)呼ばれています。Gigabitに対応したポートを持つスイッチでは、Gigabit Ethernet Ether Channel(GEC)機能も利用できます。
FEC には、次の3つのチャネルモードがあります。
●ON固定
●LACP(IEEE802.3ad)
●PAgP(Cisco独自)
SVI ネットワークを分割している場合に、VLANで通信できるようにするために仮想的に設けられるネットワークインターフェース。VLAN間で通信できるようにするために、仮想敵に設けられるネットワークインターフェース。L3のパケットをルーティングすることができる。マネジメントインター絵フェースで使用される。(死活監視を行うことができる。)
VLAN・・・レイヤ2のレベルでブロードキャストドメインを分割するもの
SVI ・・・レイヤ3のレベルでIPルーティングをするためのインターフェイス
show ether-channel detail FECの詳細情報を表示する。
show interfaces port-channel ポートチャネルもインターフェースと同様に、コマンドで詳細情報を表示することができる。
LACPは、対抗ポートの速度、全二重/半二重、VLAN、トランクなど、ネゴシエーションをおこなって、対抗ポートの情報を取得するためのプロトコル。
SPAN Cisco機器でミラーリングを行うための技術。
IPアンナンバード 2つのルータを論理的に1つにする技術。WAN側のポートを無くし、LAN側のポートを一つにする技術。管理がしやすくなる?
「ip unnumbered」コマンドは、IPアドレスを設定しているインターフェイスから借り、コマンドで設定したインターフェイスに割り当てることで、2つのインタフェースでIPアドレスを共有します。
Router(config-if)#ip unnumbered {type} {number}
「type」、「number」の指定には、IPアドレスを借りたいインターフェイスを指定します。このコマンドを実行したインタフェースに借りたIPアドレスが割り当てます。 その結果、IPアドレスをが共有されることになります。
他のインターフェースからIPアドレスを借りているインターフェースをunnumberedインターフェースという。
固定長サブネットマスク 同じサブネットで同じサブネットマスクを使うネットワークの分け方。
192.168.1.0/24 のみのサブネット。
可変長サブネットマスク 同じサブネットで異なるサブネットマスクを使うネットワークの分け方。
192.168.1.0/27, 192.168.1.128/17, 192.168.1.64/27 ...... みたいにたくさん作れる。
シリアルインターフェース 初期設定をするときに用いるインターフェース。初期のインターフェースには、IPアドレスが割り当てられていないので、設定ができない。そのために、シリアルインターフェースを使用する。そのあとは、telnetやSSHを使用して設定を行う。
再配送 他ルーティングプロトコルのルーティング情報を取得する機能
ルーティングプロトコルの境界に位置するルータで設定する。
*特に何も設定しなければ、異なるルーティングプロセス間でルート情報がやり取りされることはありません。
◆ OSPFで学習した経路情報を、EIGRPへ再配布する設定例
R2(config)# router eigrp 1
R2(config-router)# redistribute ospf 1
R2(config-router)# default-metric 1000000 1 255 1 1500
再配布を行うには「シードメトリック」を与えておく必要がある。
シードメトリック値(デフォ)
RIP
IGRP/EIGRP
OSPF
●再配送元のプロセスごとにシードメトリックを指定する場合
配送元のルーティングプロセスが複数ある場合、各プロセスごとにシードメトリックを指定したい場合は、以下のように設定します。
Router(config)#router {protocol1}
Router(config-router)#redistribute {protocol2} metric {metric-value}
●共通のシードメトリックを設定する場合
配送元のルーティングプロセスで共通のシードメトリックを設定する場合は、以下のように設定します。
Router(config)#router {protocol1}
Router(config-router)#redistribute {protocol2}
Router(config-router)#default-metric {metric-value}
ルート再配送のデメリット
・ルーティングループを起こしてまう可能性がある。
protocol1 : 再配送先(再配送に使うプロトコル)
protocol2 : 再配送元
フローティングスタティックルート わざとADの大きいスタティックルートを作成し、ダイナミックが障害で利用できなくなったときに、自動的に切り替わるようにする。
NDP IPv6 has no ARP and requires a way to know the MAC address. That is NDP.
・Discover routers on adjacent links
・Duplicate address checking
NDインスペクション 不正なNDPを取得した場合は破棄する。
IPv6ファーストホップセキュリティ PCが最初に送るスイッチで働かせるセキュリティ機能。
ICMPv6 Type135 ネイバー請求 NSメッセージ
ICMPv6 Type136 ネイバーアドバタイズNeiborAdvertisement NAメッセージ
IPv6が割り当てられた時点で、請求ノードマルチキャストアドレスグループに参加している。
パスmtuディスカバリ フラグメント処理を送信元で行うために、フラグメントなしで宛先まで送信できるサイズを調べておく必要がある。その機能がパスmtuディスカバリ。
DFフラグ IPv4パケットのフラグ。フラグメントを行なっていいか、悪いか
IPv6の最小MTUは1280バイト。
フローラベルとは、通信経路の品質確保、経路選択のために使用。ランダムな値をセットして、共通のパスワードとして利用することで、不正な機器からのPacketToBigも防ぐことができる。
IPv6ルーティングの有効化
(config)# ipv6 unicast-routing
IPv6では一つののインターフェースに複数のIPアドレスを割り当てることができる。
リンクローカルユニキャストアドレス。 リンク(ブロードキャストが届く範囲)ローカルなユニキャストアドレス
リンクローカルアドレスを手動で設定する
ipv6 address link-local
ipv6 enable リンクローカルアドレスがEUI-64形式で自動的に設定される
no keepalive 強制的にインターフェースをUPさせる
OSPF
さまざまなメーカーで使用可能
リンクスタート
エリアがある
コンバージェンス速い
VLSMに対応している
ルーティング認証がある
LSAでインターフェース情報を共有し合い、LSDB(データベース)を作り上げる。LSDB内でSPFアルゴリズムを用いてルーティング計算をする。ルータIDによって識別されている。
エリアの中心はバックボーンエリア。エリアを階層化していく?らしい
ディスタンスベクター型は定期的にルーティングアップデートを行うので、通信に負荷がかかるが、OSPFはHelloパケットで生存確認、差分情報を送り合うだけなので、通信負荷が少ない。その際、トリガードアップデートを行う
Helloパケットは、マルチキャストで224.0.0.5。デフォでHelloインターバル40secounds。
If the router does not receive HelloPacets for 40 secounds , Neibor is considered Down
In OSPF, 6 items must match to build Neibor.
1. Hello Interval
2. Dead Interval
3. SubnetMask
4. AreaID
5. Stubflag
6. Authorization Infomation
DBDパケット Summarize and send LSDB . DDシーケンス and LSAヘッダ is stored in DBDパケット
need to synchronize DDシーケンス番号 first.
クラスレスルーティングプロトコル サブネットマスクをつけていないので、クラス単位でネットワークを分割する
クラスフルルーティングプロトコル サブネットマスクをつけられるので、VLSMのようなクラス分けを行うことができる。
ipv6でネクストホップをするときは、リンクローカルで指定せず、インターフェース名「glgaEthernet0/0」などで指定する。(リンクローカルだと重複していてどこに送ればいいかわからないため
LSAタイプ4のLSAは、show ip ospf database asbr-summary コマンド
ASBRが保持する経路情報をOSPFネットワークに
ルート再配布した場合にそのエリアに所属するABRがLSAタイプ4を生成します?
LSAタイプ5のLSAは、show ip ospf database externalコマンド
スタブエリア Type5のみデフォルトルートに変換
トータリースタブエリア 何でもかんでもデフォルトルートにするよ。(Type3)
NSSA スタブエリアに、ASBRが入れるようにした環境。Type5が使用できないため(なんでかしらんけど)、Type7を用いる。他エリアに通知される際は、再度Type5に戻す。
バーチャルリンクの制約と誓約
・2つ以上のエリアを飛び越えられない
・スタブエリアを飛び越えられない
・どちらかのエリアがバックボーンと接していなければならない。
ルータID ルーターコンフィギュレーションモードで設定。IPアドレスと同じ書式。
(config-router)# router-id [ルータID]
ルータIDを設定していない場合、ループバックインターフェースを設定。それがないならIPアドレス
ルータIDを変更したい→一度クリア
#clear ip ospf process
パッシブインターフェースの指定
(config-router)# passive-interface [インターフェース]
戻すには、noをつける。
ルート集約 手動に変わったらしいよ。
EIGRPのメトリック計算
速度の速いルートを取る。「あたりまえ」計算法が独特。
パケットの種類
LSDBの情報を確認するには、 show ip ospf database 全タイプのLSAの要約情報を見ることができる。
スタブエリアにする
area (エリアID) stub [no-summary]
no-summaryをつけると、トータリースタブエリアになる。
NSSAの設定はNSSAとなるエリアに属している全てのルータで行う必要がある。
経路集約を手動で行う。
(confing-router)# area [エリアID] range [ネットワーク]
ネット集約やってみよう!
EIGRPの特徴
・Cisco proprienty protocol(Can not used with equipment other than Cisco)
・コンバージェンスが速い
・Corresponding to VLSM
・Corresponding to ルーティング認証
・複数のネットーワーク層のプロトコルで動作する。
※IGRPとEIGRPは、自動で再配送を行います。
DUAL In EIGRP , When there is an change , only routing info that has changed is transfered.
→It is possible to elect route loop do not occur
EIGRPパケットの種類
・Hello は、確認応答はないよ。AS番号・K値・認証情報が入っている(これが対向ポートと一致しない場合は、ネイバーを確立しない)。マルチキャストで、sends ,addressed to 224.0.0.10
・アップデート ルーティングアップデートを送信。メトリックが変わった時などに送信される。
・クエリ ルーティング情報についてネイバーに送信する。シーケンス番号がついているよ。自分の経路情報から消えてしまった場合に送信される。
・応答(Reply): ルーティング情報に関するクエリに応答する。リプライ。クエリとセット
・ACK: ハローパケット以外のパケットを送信した際にその、受け取り確認のためにAckパケットを応答する。
K値が一致していないと、ネイバー関係を形成しない。
AS番号が一致していないと、ネイバー関係を形成しない。
OSPFのようにLSDBにインターフェース情報もっておくのではなく、経路情報のみをトポロジテーブルに持つので注意。
Helloパケットは5秒間隔、自動で6秒間隔になる可能性がある。帯域速度によって変わる可能性がある。HoldTime Hello タイムの3倍
show ip eigrp neighborsコマンド。
ルーターはネイバーごといん、ネイバーリストと、再送信リストを持つ
再試行回数制限16回
マルチキャストだよ。応答は、ユニキャストだよ。
CCNPでは、プロトコルごとに、テーブルが3つ出てくるよ
トポロジテーブル
ルーティングテーブル
ネイバーテーブル
Router# debug eigrp packet
EIGRP DUAL
二次ルート
サクセサが失われると、フィジブルサクセサに変更される。(ADみたい)
トポロジテーブル
アドミニストレーティブディスタンスのほかに、FDがあるらしい(こわ)
FD 全部のリンクの速度を足したもの。
AD FDから、帯域幅を引いたもの。
フィジブルサクセサが作成される条件 2番目のAD < サクセサのFD
default-networkコマンド
show ip route でEIGRPはD と表示される。[90(AD)/100000(K値)]
インターネットに接続するとなると、ADが上昇する。
show ip eigrp topology コマンド
(config)# auto-summary // 自動集約(デフォルト。最新は手動になっているが、ビミョーなところ)手動にしたいなら、no auto-summary
→ip summary-address eigrp //ルーティングテーブルを任意の数に減らせるらいしい。
variance デフォルトで1。2にすると、回線速度が半分のものも許容する。
不当コストロードバランシング
EIGRPのネイバー条件
1、AS番号の一致 : router eigrp 10 , router eigrp100
2、Passive-interfaceにしていないこと。helloパケットを出さないので、ルーティングテーブルを更新しない。
3、K値が全て一致する。metric weight 010100
OSPFv3アドレスファミリ
一つのプロセスでIPv4とIPv6の両方のOSPFを動作させることができる設定方法。
router ospf3 プロセスID
ルーティングプロセスの有効化
IPv4とIPv6のそれぞれのルーティングプロセスを有効化する方法
(config-router)#address-family
これを指定すると、OSPFで有効化になる
アドレスファミリコンフィグレーションモードを無効化するには、
exit-address family
アドレスファミリの確認
show ospfv3
EIGARP は統合メタリックを適用。BW(帯域)、遅延(DLY)、信頼性、負荷、MTU。デフォルトでは、BWとDLY
FD ファージブルディスタンス 計算によって得られたルータからネイバーから通知されたネットワークまでのメトリック。これが一番小さい経路情報を最適経路とする。
AD アドバタイズディスタンス あるネットワークに対してネイバーから通知されたメトリック。ネイバーから通知されるから、RD(reported Distance)ともいう。
計算によって得られたメトリック = FD
ネイバーから通知されたメトリック = AD
フィジブルサクセサのADがサクセサ(最適経路)のFDよりも小さいこと。
サクセサFD > フィジブルサクセサのAD
フィジブルサクセサはトポロジテーブルにあるだけで、ルーティングプロトコルには登録されない。
◎フィジブルサクセサがなく、障害が発生した場合は、ルーターからクエリをマルチキャストアドレス宛に送る。
NULLインターフェース パケットを破棄するためのインターフェース。ループが起こらないようにする。送信先インターフェースをNULLインターフェースにする。
不連続サブネット 連続しているサブネットの間に、異なるサブネットがいるようなネットワーク構成。推奨されていない。プロトコルによっては、自動集約がおこなわれてしまう?
集約を行うことで、クエリの範囲を狭めることができる。
スタブルーティング 低速回線で、障害が起こった場合に、ルート経路を変えたくない場合に用いる。とにかく節電。
connected ルーターに直接接続しているルートのみアドバタイズする。
receive-only ルーティングアップデートを送信せずに受信のみを行う。
redistributed 再配送された外部ルートのみをアドバタイズする。
static ルータに設定されているスタティックルートの情報のみをアドバタイズする。
summary ルータに設定されている集約のみをアドバタイズする。
スタブルーティングを設定すると、デフォで、connectedとsummaryが有効になる。スタブルーティングは、ほかのルーターからアドバタイズされた経路情報をアドバタイズしなくなるので、注意。
EIGRP キーチェーン 複数のIDとパスワードを束ねたもの。
不等コストロードバランシング 倍率を指定して、フィジブルサクセサを作成
varienceコマンド
分散方法を指定するためには
traffic-share
ルーティングテーブルに登録できる最大数を設定する。デフォは4
maximum-paths <最大数>
router eigrp
network [IPアドレス][サブネ] // インターフェースのIPアドレス指定
トポロジテーブル ルーティングテーブルの材料となる。ネットワーク内すべてのルート情報が集まる。
P passive ルートが稼働状態であることを示している。
キーチェーンの作成
key chain
→キーIDの作成
key 「ID」
→キー文字列の作成
key-string 「文字列」
→ 認証を有効にするには、インターフェースコンフィギュレーションモードで
ip authentication mode [AS番号] md5
→使用するキーチェーンを指定する。
ip authentication key-chain eigrp [AS番号] [キーチェーン名]
→デバッグをとろう!
debug eigrp packets
EIGRPのメトリック指定
bandwith <帯域幅>
EIGRPでは、パケットが帯域を占有してしまわないように、帯域の50%までと決められている。
EIGRPのパケットの帯域幅を調整するには
ip bandwith-percent eigrp <パーセント>
EIGRP(名前付きモード)
・ルーター子ンフィギュレーション内で完結することができる。
・複数のアドレスファミリを使用して、IPv6やVRFの一元管理を行うことができる。
EIGRPで使用するアルゴリズム DUAL
BGPスピーカ BGPを実行するデバイスのこと
BGPスプリットホライズン IBGPピアからのルートを他デバイスにアドバタイズしない。
すでに知っているルート情報を教えないようにするため。鈴木「田中は今朝オネショしたよ」 上山「田中は今朝オネショしたよ」←同じ情報!
ルートリフレクタ BGPピアの数を減らす技術(フルメッシュになっているとルータの負荷が高くなってしまう)
ルートリフレクタが中心にいて、ルートリフレクタライアンと、ルートリフレクタノンクライアントに送信する。
ループバックインターフェースを設定し、冗長構成をとる場合は、TTLを「1」以上に変更する必要がある。
ORIGIN 経路情報の生成元
AS_PATH
NEXT_HOP IPアドレスに到達するための経路情報をルータが知らなかった場合、その経路情報を有効と見なさない。
Weigt属性 特定のルートを指定する際に用いる。周りのネイバーに伝達しない。柔軟なルーティングを実現できる。
(config-router)# neighbor 「IPアドレス」weight 「値」
LOCAL_PREF 外部ASとのルーティングする際に使うので、外部ASと接続するルーターで設定する。AS全体で共通のルートをしようしたい場合に用いる。
(config-router) # bgp default local-preference
経路ごとに属性値をつけて、制御したい
(config-router-map) # set locall-preference
AS属性ルーティングの調整
ASプリペンド この機能を使って、AS属性にパスを追加する。優先させたくないルートを排除!!
(config-route-map) # set as-path prepend
外部ルート 他ルーティングプロトコルやスタティックルートで学習した経路情報
内部ルート 自身のルーティングドメイン内に存在している経路情報
再配送する際、シードメトリックが無限大になっているものは、配送不能とみなされるので、変更する必要がある。
ディストリビュートリスト ルーティングアップデートの送受信の際に適応することができるフィルタ。再配送の時に使用する
(config-router)#area [通過するエリアID] virtual-link [ルータ]
しかし、OSPFでは、ルーター同士でLSDBを交換しあっているため、エリア内で取り除くことはできない。
フィルタリングの種類
・ACL
・プレフィックスリスト プレフィックス長で指定できるため、ACLより柔軟?
・ルートマップ フィルタリングするだけでなく、さらに細かい処理を加えることができる。
ルートマップの形式
permit シーケンス番号 10
match 条件
set 処理
ルートタグをつけて、判断させられるようにしている。
match文の対象になったものに対して、処理を実行したい
(config)# set (選択)
interface 送信するインターフェースを指定したインターフェースを変更する。
ip next-hop 送信先を指定したIPアドレスに変更する。
metric-type メトリックタイプを指定したメトリックタイプに変更する。
tag ルーティングアップデートに指定したタグを付与する。
ルートマップを指定するには、distribute-list route-mapコマンドを打つ。
再配送の際は、(config-router)# restribute コマンドの、router-mapオプションを指定する。
PRB ポリシーベースルーティング permit句は、PRBに基づいたものでルーティングを行うが、deny句は通常のルーティングを行う。(deny句でもパケットは破棄されない。)
How to adapt to Interface
(config-if) # ip policy route-map
位置付け
1、ルートマップ
2、ポリシーベースルーティング(setでdefaultがついている場合)
3、普通のルーティング
ローカルポリシーベースルーティング The router can filter the transmission
(config)# ip local policy route-map 「ルートマップ」
(config)# ip local policy route map
「show route-map」The Number and size of ポリシーベースルーティング packet can be examinded
高速スイッチング
Enabling 高速スイッチング allowed for faster proccesing of routing
(config-if)# ip route-cache policy
VPNにいくよーー
ADSL communicate using conventional 電話回線
インターネットVPN ネット使うから、渋滞に巻き込まれる可能性あり
リモートアクセスVPN リモートで仕事する時とかに使われる。SSL-VPNがよく使われる。ソフトウェアをインストールしておく必要があるのが特徴
IP VPN 通信事業者がつかう回線をつかって、VPN
トンネリングが必要な理由
アンチリプレイ 送信されてきたデータが不正に再送されたデータであった場合に破棄することができる技術
AH 認証機能がある。
ESP 暗号化、認証機能。
SA Security Association 機器間をVPNで繋ぐ際のコネクション
IKE 鍵交換プロトコル
GRE is can make マルチキャスト ユニキャスト
ACLでは、IPsecによって暗号化するパケットをpermitで指定します。
暗号ACL 暗号アクセスリスト
Checking the state of SA is called IKEキープアライブ
DPD (dead peer detection) DPD has function to detect when IPsec run out.
暗号化MAP defined IPsec's policy
adaption to interface
(config-if)# crypto map [マップ名]
NATの変換は、暗号化ACLのチェックより先に行われてしまい、暗号化対象にならないので、暗号化対象のパケットはNATから外しておく必要がある。
DMVPN IPsec VPNで複数の拠点の接続を簡略化したもの。ハブ形式にすると負荷が一極集中してしまう問題など
NHRP 異なるサブネットにいるルータのIPアドレスを調べることができる。
NHS ハブルーター 各スパークルーターのデータをデータベースに保存しておく。片方で障害が発生した場合、もう一つに伝える。
NHC スパークルーター。
LIB MPLS のデータベース、LDB(プロトコル)によって作られる。
PHP 最後から2番目のルーターでラベルを取り外す。これにより、検索回数が減るのでつうしんのうりつが上がる。
MP-BGP MPLS版BPP。新パス属性がある。RT。importとexportの2種類。これで、どのVRFに該当するのか定義する。
BFD 双方向フォーワーディング検出。間にスイッチがあっても障害検出することができる。
AAAの有効化
(config)# new-model
ログイン時の認証方式リストの作成
(config)#aaa authentication login リスト名 認証方式
認証サーバーの登録
(config)# radius server サーバー名
(config-radius-server)# address アドレス
Tactics+サーバーの登録
(config)# tactics server サーバー名
(config- server- tactics)# address アドレス
(config- server- tactics)# port
認証グループの作成 優先順位の変更やサーバーの限定を容易に行うことができる。
(config)# aaa group server [radius | tacacs] グループ名
method(String... s){}
method(null) //警告が出る(単純なnullを渡したいのか、配列のnullを渡したいのかわからないため)
LDP ネイバー情報とラベル情報を交換するプロトコル。
◇ LIBテーブル ⇒ show mpls ldp binding
MPLSを有効化したルータではコントロールプレンとデータプレンの2つの構成要素があります。コントロールプレンでは、ルーティングテーブルやLIBテーブルによりルーティングとラベルスイッチングに必要な情報が収集されます。そして、データプレンではコントロールプレンで生成したテーブル情報をキャッシュし実際のパケット転送が行われます。
なお、インターフェースとVRFの関連付けの変更や解除を行った場合、そのインターフェースのIPアドレスも削除されるので、IPアドレスを再設定する必要があります。
NHRPマッピングエントリの確認
show ip nhrp [brief | detail]
この中に出てくるフラグ
authoritative: NHRPの情報がNHSから直接入手したものである。
unique : 同一のVPNアドレスから来たもので、上書きすることができない。
used : プロセススイッチングでこのマッピングエントリが参照された
nhop :ネクストホップで利用可能。
OSPF
IP SLA パケットを生成してネットワークのパフォーマンスを監視/測定する機能。
Using a target that supports IP SLAs, we can examine the latency of VOIP using UDP
IP LSA の設定手順
1, オペレーション番号の指定 ip sla
2, 種類とパラメータの指定 icmp-echo ,udp など選べるよ
3,オペレーション間隔の指定 frequency [second]
4,タイムアウトの設定(RTTを超えたら)timeout [secound]
5, SLAスケジュールの指定 ip sla schedule [オペレーション番号] [スケジュール]:
AAAによる認証の設定
(config)# aaa authentication [type] [default | リスト名][method]
タイプ
login ログイン認証
enable 特権モードに移行する際の認証
dot1x 802.1xの認証
オブジェクトトラッキング Ability to monitor various router conditions that the router can recognize。到達性がなくなったパスを無効化することができるようになるよ
debug ip routing で経路が変わったという情報をリアルたむで表示することができる。
RD (Route Distinguisher) VRFを識別するための情報 。use RD to create ipv4
There is an implict permit in the ipv6 ACL that allows all
VPNv4アドレス RD値とipv4を組み合わせることによって、重複するipアドレスに対応する。
Combinning VRF's RD with an IP address duplicate ip address
ルートタグ ルーティングアップデートをする情報に右派任意のタグをつけることができる。ディストリビュートリストを使うことでルートタグをもとにフィルタリングすることができる。
再配送時のルーティングループを抑えることができる。(戻ってくる経路情報は配送しない)
再配送の際にルーティングループが起こってしまうのは、メトリックの違いにより、本当に覚えてほしい経路が、ほかのところにまわりまわっているルートによって上書きされてしまうから
EIGRPでネイバーを確立する条件
・同一サブネットに属している
・K値が一致している
・認証情報が一致している。
OSPFを有効化する流れ
IPv6ルーティングを有効にする。
(config)#ipv6 unicast-routing
(conifg)# router ospfv3 //ルーティングプロセスを作成
(config)# router-id [ルーターID] //ルータIDの設定
(config)# ipv6 enable //インターフェースでIPv6を有効化する
(config-if)# ospfv3 [プロセスID] ipv4|ipv6 area [エリア番号]
ge le はそれまでのプレフィックス長も範囲とすることができる。
le 指定したプレフィックス長以下まで
ge ge~/32 までのプレフィックス長
BFD Bidirectioanl Forwarding Detection 双方向フォワーディング検出 BFDは、隣接ルーターのパス障害を検知するプロトコル
BGPスピーカでルートリフレクタを有効にすると、入手したアドバタイズをほかのピアへ転送することができる。転送される側をルートリフレクタという
ルートリフレクタがあると、 フルメッシュにする必要がない
ルートリフレクタクライアントの設定
(config) #router bgp
(config-router)#neighbor [ipアドレス|ピアグループ名] route-reflector-client
ピアグループを作成し、設定を楽にすることができる。
VPN トンエネリング 暗号化、仮想的なプライベートネットワーク
サイト間VPN VPNを実装した拠点間ルーター同士で企業の拠点間の接続する構成。ルーターに設定するのでクライアントで導入する必要はない
リモートアクセスVPN VPNゲートウェイとVPNクライアントをインストールしたPCと接続する構成
SSL-VPN WebブラウザのSSLを使用して暗号化を行うVPN
VPNのカプセル化、相手の宛先のヘッダーを付ける。暗号化・復号化をお香ことでトンネリングを実現することができる。
IPSec ネットワーク層で動作するプロトコル。レイヤ3でつける。暗号化のデータを組み込む。
・完全性
・機密性
ユーザー名やID、パスワードを暗号化することができる。VPN接続先からのデータを保証。
・アンチリプレイ 不正に再送されたパケットを破棄する機能。→シーケンス番号を割り当てて防ぐ。
AH 認証を行うためのヘッダー。暗号化ができないので、あまり使われていない。
トランスポートモード IPヘッダから始まる
トンネルモード 新IPヘッダ。
相手と同じモード、技術を使ってないとVPN通信できない。
ESP 暗号化を行う。
IKE 鍵交換プロトコル。2つのフェーズがある。ISAKMP SA 、IPsec SAがある。
セキュリティーアソシエーション(SA)← VPNでやり取りすることをアソシエーションという
IPsecの設定コマンド //相手側のルーターと設定をそろえないといけない。
ACL(標準)作成
(config)# crypto(クリプト) isakmp policy [ポリシー]
IPsecトランスフォームセットも相手と合わせる必要がある。
IPSec SAライフタイム設定
(config)# crypto ipsec security lifetime
暗号化マップ(マップはプログラムのように設定するという意味)
show crypto isakmp sa //VPNがちゃんと張れているか
state を見る。Idle = つながっている。
GRE レイヤー3のトンネリングプロトコル。IPSecは主に暗号化するプロトコル。トンネリングして通信するためにGREを利用する。頭にGREヘッダ(4バイト)
(config-if) #tunnel mode gre [ip/ipv6]
再帰的ルーティング GRE特有の注意事項。ループすることによって、アップダウンを繰り返して通信が不安定になる。
ループの対策→tunnel destination IPアドレスに一致するルート情報をGREで学習しないようにする。
DMVPN 複数サイト間のVPNの問題。フルメッシュにしなくて済むので構築は楽になる。しかし、ハブへの負担が増えるので遅延が発生する。
DMVPNのメリット・固定グローバルアドレスの設定が不要になる。
DMVPNはmGREとNHRP(ネクストホップがどのルーターか解決することができる)という技術が使われている。
NHRP(ネクストホップがどのルーターか解決することができる)。NHS Next Hop Serverサーバーとクライアントで設定が異なる。
(config-if)# ip nhrp authintication
(config-if)# ip nhrp map multicast dynamic
(config-if)# ip nhrp network-id 10
NHC クライアント側
(config-if)# ip nhrp authentication 認証
(config-if)
DMVPNでは、ハブをDRにする必要がある。スポークルータで「ip ospf priority 0」を設定する必要がある。
ハブ&ルータはトンネルインターフェースで学習したスポークルーターの経路をトンネルインターフェースのほかのルーター
IP LSA専用ルータはルーティングを行わず、IP SLAのみ実行するルータ。シャドウルータともいわれる。
IP LSAルータは、すべてのルータに転送する必要があるため、ディストリビューション層に配置することが推奨されている。
aaa new-model //AAAを有効化
aaa authentication login LIST local //ログイン認証のリスト定義
line console 0 LIST 1 //コンソール接続時にLIST1を使用する
password PASS1 //lineパスワード。指定しないと使われない。
exit
username ccna password PASS2 //ローカルデータベース登録。
enable password PASS3
enable secret PASS4
BGPのAS_Path属性をもとにしたフィルタリング
ip as-path access-list ACL permit 正規表現
ACLで指定したアクセスリストからAS_Pathを含んだアトリビュートを受信した場合に破棄する。
インターフェースへの適用コマンド
neibhbor 192.x.x.x filter-list 1 in|out
BFD 隣接ルータのパス障害を検知するプロトコル。Helloパケットの間隔を短くするよりも検知が速い。インたーフェースのメディアタイプに依存しない
【条件】
・ルータでCEFが有効になっていること
・ルータでIPルーティングが有効になっていること
・ルーティングプロトコルがルータで有効になっていること
BFDテンプレートの作成
(config)#bfd-templete single-hop 名前
(config-bfd)# interval min-tx 最小間隔 min-rx 最小受信間隔 multipliter 検出連続数
検出連続数 3を設定した場合、3回連続パケットを検出しなかったら障害とみなす。
(config-if)# bfd templete 名前 //適用
■BFDをルーティングプロトコルで起動
(config-router)# bfd all-interfaces //すべてのインターフェースで適用する
Cisco DNA Center
ディスカバリ ネットー枠デバイスを検出するためのツール。検出したデバイスへの到達性を確認するために、ICMP、SMNP、HTTP、NETCONFが使用される。
ipv6のACLをインターフェースへ適用する。
ipv6 traffic-filter ACL in|out
EIGRPのアクティブタイマーの設定
(config-router)# times active-time 時間
SIA クエリを送ってリプライが返ってこない場合は、Active状態が続いてしまう。この状態のことを、SIA(Stick In Active)という。これが3分間続くと、ネイバー解除になる。これを防止しなければいけない。
EIGRPのメトリックの計算式
256×(経路上の最小の帯域幅+経路上の遅延合計)
OSPFのコスト
100Mbps / インターフェースの帯域幅
再配送ルートのフィルタリング
distribute-list 10 out rip
再配送でルートマップを使用する
redistribute プロトコル subnets reoute-map RMAP1
プロトコルには、staticやconnectを指定してもよい。
DMVPNのフェーズ
・フェーズ1 すべてのトラフィックがハブルータを経由する。
・フェーズ2 ハブルーターを経由せずにスポーク間でトラフィックをやり取りするようになる。
・フェーズ3 ハブルータが経路情報を集約する。
ハブルータには、ip nhrp redirectコマンドを使用する。
NBMAアドレス NHRPではWAN側に設定された物理インターフェースに設定されたIPアドレス。スポーク側のルーターでTunnelインタフェースとNBMAアドレスをマッピングしている。
NHS NHRPにおけるハブルーター
NHC NHRPにおけるスポークルーター
DMVPNでは「mGRE」「NHRP」「IPsec」の設定が必要
「mGRE」の設定(ハブとスポーク両方に必要な設定)
(config)# interface tunnel 任意
(config-if)# ip address ~
(config-if)# tunnel source ~
(config-if)# tunnel mode gre multipoint
(config-if)# tunnel key ID
「NHSの設定」の設定(ハブに必要な設定)
(config-if)# ip nhrp multicast dynamic // OSPFやEIGRPなどのマルチキャストに対応するための設定。スポークのIPアドレスは固定ではないため、dynamicを指定する。
「NHCのマルチキャストマッピング」の設定(スポークにに必要な設定)
(config-if)# ip nhrp map multicast NBMAアドレス // OSPFやEIGRPなどのマルチキャストに対応するための設定。ハブの物理インターフェースのIPアドレスを指定
「NHSのアドレス」の設定(スポークにに必要な設定)
(config-if)# ip nhrp nhs NHSのトンネルインターフェースのIPアドレス
(config-if)# ip nhrp map NHSのトンネルインターフェースのIPアドレス NBMAアドレス
「NHRPの認証情報の設定」(ハブとスポークの両方に必要な設定)
(config-if)# ip nhrp authentication 認証用の文字列
DHCPサーバーを作ろう!
(config)# service dhcp //DHCPサーバーとDHCPリレーエージェントの有効化
(config)# ip dhcp pool プール名
(dhcp-config)# network ネットワークアドレス ネットマスク
(dhcp-config)# lease //貸出期間
(dhcp-config)# dns-server //DNSサーバーのアドレス指定
(dhcp-config)# default-router //デフォルトゲートウェイの指定
(dhcp-config)# netbios-name-server //Winsサーバのアドレスを指定
(dhcp-config)# import all //中心となるDHCPサーバーからパラメータ情報を取得する
Cisco DNA Center Assurance ネットワークのモニタリングをおこなう。
・ルータやスイッチの情報を収集して可視化する。
・PCやスマートフォンの情報を収集して可視化する。
SNMPv3ではコミュニティストリングに代わってユーザー名とパスワードを使用した認証を行うようになった。
SNMPv2では、認証に使うコミュニティストリングの設定が必要となる。
(config)# snmp-server community コミュニティストリング
SNMP Trap/Informを送信する
(config)#snmp-server host 送信先アドレス inform version 2c 通知コミュニティストリング
(config-if)#no snmp trap link-status
SNMPに関する情報を設定する
・設置場所
(config)#snmp-server location 設置場所の説明
・管理者情報
(config)# snmp-server contact 管理者情報
コメントや要望があれば、下記のツイッターにDMをください。
Tweets by wallofmind2
show lldp neighbors 隣接機器の情報を表示する。
CDP Cisco独自の隣接デバイス情報交換プロトコル。デフォで有効
LLDP-MOD エンドデバイスの隣接情報を取得可能(IP Phoneとスイッチ間)
Device-ID
Local Interface
Holdtme
Capability
Platform
Port ID
Address
IOSSoftware
CDPはデータリンク層で活躍するのでIPアドレスが設定されていなくても、利用できるプロトコルである。
プロープパケットとは、調査を目的としたパケット。TTLやホップ限界などの情報が入っている。(主にtraceroute)
拡張tracerouteで指定できる主なパラメータを以下に記します。
・Target IP address…宛先IPアドレスを指定
・Source address…送信元IPアドレスを指定
・Probe count…送信するプローブパケットの数を指定
・Minimum Time to Live…最小のTTLを指定(2を指定した場合は2ホップ目からの情報が表示される)「わかりやすくていいね」
・Maximum Time to Live…最大のTTLを指定
service password encryption 現在設定されているパスワードも、今後設定するパスワードも全て暗号化する。
VRRPは、デフォルトゲートウェイの冗長化技術なので、ルータだけでなく、SMTPサーバーにも適用できる。
cdpで取得した隣接情報のうち、特定のデバイスのみを表示するコマンドは、show cdp entry {ホスト名}
ルータの起動方法は、「コンフィギュレーションレジスタ」という4桁の値によって決定する。
・ROMモニタモードで起動:0x2100
・設定を読み込んで起動(通常の起動):0x2102(デフォルトのコンフィグレーションレジスタ値)
・設定を読み込まずに起動:0x2142
On固定
静的にEtherChannelを形成するには、モードの設定をOnにします。(無条件に行いたい)
Switch# channel-group 1 mode on
Fast Ether Channel(FEC)とは、Cisco独自の規格で、他のベンダーではTrunk、Link Aggregation(リンクアグリゲーション)呼ばれています。Gigabitに対応したポートを持つスイッチでは、Gigabit Ethernet Ether Channel(GEC)機能も利用できます。
FEC には、次の3つのチャネルモードがあります。
●ON固定
●LACP(IEEE802.3ad)
●PAgP(Cisco独自)
SVI ネットワークを分割している場合に、VLANで通信できるようにするために仮想的に設けられるネットワークインターフェース。VLAN間で通信できるようにするために、仮想敵に設けられるネットワークインターフェース。L3のパケットをルーティングすることができる。マネジメントインター絵フェースで使用される。(死活監視を行うことができる。)
VLAN・・・レイヤ2のレベルでブロードキャストドメインを分割するもの
SVI ・・・レイヤ3のレベルでIPルーティングをするためのインターフェイス
show ether-channel detail FECの詳細情報を表示する。
show interfaces port-channel ポートチャネルもインターフェースと同様に、コマンドで詳細情報を表示することができる。
LACPは、対抗ポートの速度、全二重/半二重、VLAN、トランクなど、ネゴシエーションをおこなって、対抗ポートの情報を取得するためのプロトコル。
SPAN Cisco機器でミラーリングを行うための技術。
IPアンナンバード 2つのルータを論理的に1つにする技術。WAN側のポートを無くし、LAN側のポートを一つにする技術。管理がしやすくなる?
「ip unnumbered」コマンドは、IPアドレスを設定しているインターフェイスから借り、コマンドで設定したインターフェイスに割り当てることで、2つのインタフェースでIPアドレスを共有します。
Router(config-if)#ip unnumbered {type} {number}
「type」、「number」の指定には、IPアドレスを借りたいインターフェイスを指定します。このコマンドを実行したインタフェースに借りたIPアドレスが割り当てます。 その結果、IPアドレスをが共有されることになります。
他のインターフェースからIPアドレスを借りているインターフェースをunnumberedインターフェースという。
固定長サブネットマスク 同じサブネットで同じサブネットマスクを使うネットワークの分け方。
192.168.1.0/24 のみのサブネット。
可変長サブネットマスク 同じサブネットで異なるサブネットマスクを使うネットワークの分け方。
192.168.1.0/27, 192.168.1.128/17, 192.168.1.64/27 ...... みたいにたくさん作れる。
シリアルインターフェース 初期設定をするときに用いるインターフェース。初期のインターフェースには、IPアドレスが割り当てられていないので、設定ができない。そのために、シリアルインターフェースを使用する。そのあとは、telnetやSSHを使用して設定を行う。
再配送 他ルーティングプロトコルのルーティング情報を取得する機能
ルーティングプロトコルの境界に位置するルータで設定する。
*特に何も設定しなければ、異なるルーティングプロセス間でルート情報がやり取りされることはありません。
◆ OSPFで学習した経路情報を、EIGRPへ再配布する設定例
R2(config)# router eigrp 1
R2(config-router)# redistribute ospf 1
R2(config-router)# default-metric 1000000 1 255 1 1500
再配布を行うには「シードメトリック」を与えておく必要がある。
シードメトリック値(デフォ)
RIP
IGRP/EIGRP
OSPF
●再配送元のプロセスごとにシードメトリックを指定する場合
配送元のルーティングプロセスが複数ある場合、各プロセスごとにシードメトリックを指定したい場合は、以下のように設定します。
Router(config)#router {protocol1}
Router(config-router)#redistribute {protocol2} metric {metric-value}
●共通のシードメトリックを設定する場合
配送元のルーティングプロセスで共通のシードメトリックを設定する場合は、以下のように設定します。
Router(config)#router {protocol1}
Router(config-router)#redistribute {protocol2}
Router(config-router)#default-metric {metric-value}
ルート再配送のデメリット
・ルーティングループを起こしてまう可能性がある。
protocol1 : 再配送先(再配送に使うプロトコル)
protocol2 : 再配送元
フローティングスタティックルート わざとADの大きいスタティックルートを作成し、ダイナミックが障害で利用できなくなったときに、自動的に切り替わるようにする。
NDP IPv6 has no ARP and requires a way to know the MAC address. That is NDP.
・Discover routers on adjacent links
・Duplicate address checking
NDインスペクション 不正なNDPを取得した場合は破棄する。
IPv6ファーストホップセキュリティ PCが最初に送るスイッチで働かせるセキュリティ機能。
ICMPv6 Type135 ネイバー請求 NSメッセージ
ICMPv6 Type136 ネイバーアドバタイズNeiborAdvertisement NAメッセージ
IPv6が割り当てられた時点で、請求ノードマルチキャストアドレスグループに参加している。
パスmtuディスカバリ フラグメント処理を送信元で行うために、フラグメントなしで宛先まで送信できるサイズを調べておく必要がある。その機能がパスmtuディスカバリ。
DFフラグ IPv4パケットのフラグ。フラグメントを行なっていいか、悪いか
IPv6の最小MTUは1280バイト。
フローラベルとは、通信経路の品質確保、経路選択のために使用。ランダムな値をセットして、共通のパスワードとして利用することで、不正な機器からのPacketToBigも防ぐことができる。
IPv6ルーティングの有効化
(config)# ipv6 unicast-routing
IPv6では一つののインターフェースに複数のIPアドレスを割り当てることができる。
リンクローカルユニキャストアドレス。 リンク(ブロードキャストが届く範囲)ローカルなユニキャストアドレス
リンクローカルアドレスを手動で設定する
ipv6 address link-local
ipv6 enable リンクローカルアドレスがEUI-64形式で自動的に設定される
no keepalive 強制的にインターフェースをUPさせる
OSPF
さまざまなメーカーで使用可能
リンクスタート
エリアがある
コンバージェンス速い
VLSMに対応している
ルーティング認証がある
LSAでインターフェース情報を共有し合い、LSDB(データベース)を作り上げる。LSDB内でSPFアルゴリズムを用いてルーティング計算をする。ルータIDによって識別されている。
エリアの中心はバックボーンエリア。エリアを階層化していく?らしい
ディスタンスベクター型は定期的にルーティングアップデートを行うので、通信に負荷がかかるが、OSPFはHelloパケットで生存確認、差分情報を送り合うだけなので、通信負荷が少ない。その際、トリガードアップデートを行う
Helloパケットは、マルチキャストで224.0.0.5。デフォでHelloインターバル40secounds。
If the router does not receive HelloPacets for 40 secounds , Neibor is considered Down
In OSPF, 6 items must match to build Neibor.
1. Hello Interval
2. Dead Interval
3. SubnetMask
4. AreaID
5. Stubflag
6. Authorization Infomation
DBDパケット Summarize and send LSDB . DDシーケンス and LSAヘッダ is stored in DBDパケット
need to synchronize DDシーケンス番号 first.
クラスレスルーティングプロトコル サブネットマスクをつけていないので、クラス単位でネットワークを分割する
クラスフルルーティングプロトコル サブネットマスクをつけられるので、VLSMのようなクラス分けを行うことができる。
ipv6でネクストホップをするときは、リンクローカルで指定せず、インターフェース名「glgaEthernet0/0」などで指定する。(リンクローカルだと重複していてどこに送ればいいかわからないため
LSAタイプ4のLSAは、show ip ospf database asbr-summary コマンド
ASBRが保持する経路情報をOSPFネットワークに
ルート再配布した場合にそのエリアに所属するABRがLSAタイプ4を生成します?
LSAタイプ5のLSAは、show ip ospf database externalコマンド
スタブエリア Type5のみデフォルトルートに変換
トータリースタブエリア 何でもかんでもデフォルトルートにするよ。(Type3)
NSSA スタブエリアに、ASBRが入れるようにした環境。Type5が使用できないため(なんでかしらんけど)、Type7を用いる。他エリアに通知される際は、再度Type5に戻す。
バーチャルリンクの制約と誓約
・2つ以上のエリアを飛び越えられない
・スタブエリアを飛び越えられない
・どちらかのエリアがバックボーンと接していなければならない。
ルータID ルーターコンフィギュレーションモードで設定。IPアドレスと同じ書式。
(config-router)# router-id [ルータID]
ルータIDを設定していない場合、ループバックインターフェースを設定。それがないならIPアドレス
ルータIDを変更したい→一度クリア
#clear ip ospf process
パッシブインターフェースの指定
(config-router)# passive-interface [インターフェース]
戻すには、noをつける。
ルート集約 手動に変わったらしいよ。
EIGRPのメトリック計算
速度の速いルートを取る。「あたりまえ」計算法が独特。
パケットの種類
LSDBの情報を確認するには、 show ip ospf database 全タイプのLSAの要約情報を見ることができる。
スタブエリアにする
area (エリアID) stub [no-summary]
no-summaryをつけると、トータリースタブエリアになる。
NSSAの設定はNSSAとなるエリアに属している全てのルータで行う必要がある。
経路集約を手動で行う。
(confing-router)# area [エリアID] range [ネットワーク]
ネット集約やってみよう!
EIGRPの特徴
・Cisco proprienty protocol(Can not used with equipment other than Cisco)
・コンバージェンスが速い
・Corresponding to VLSM
・Corresponding to ルーティング認証
・複数のネットーワーク層のプロトコルで動作する。
※IGRPとEIGRPは、自動で再配送を行います。
DUAL In EIGRP , When there is an change , only routing info that has changed is transfered.
→It is possible to elect route loop do not occur
EIGRPパケットの種類
・Hello は、確認応答はないよ。AS番号・K値・認証情報が入っている(これが対向ポートと一致しない場合は、ネイバーを確立しない)。マルチキャストで、sends ,addressed to 224.0.0.10
・アップデート ルーティングアップデートを送信。メトリックが変わった時などに送信される。
・クエリ ルーティング情報についてネイバーに送信する。シーケンス番号がついているよ。自分の経路情報から消えてしまった場合に送信される。
・応答(Reply): ルーティング情報に関するクエリに応答する。リプライ。クエリとセット
・ACK: ハローパケット以外のパケットを送信した際にその、受け取り確認のためにAckパケットを応答する。
K値が一致していないと、ネイバー関係を形成しない。
AS番号が一致していないと、ネイバー関係を形成しない。
OSPFのようにLSDBにインターフェース情報もっておくのではなく、経路情報のみをトポロジテーブルに持つので注意。
Helloパケットは5秒間隔、自動で6秒間隔になる可能性がある。帯域速度によって変わる可能性がある。HoldTime Hello タイムの3倍
show ip eigrp neighborsコマンド。
ルーターはネイバーごといん、ネイバーリストと、再送信リストを持つ
再試行回数制限16回
マルチキャストだよ。応答は、ユニキャストだよ。
CCNPでは、プロトコルごとに、テーブルが3つ出てくるよ
トポロジテーブル
ルーティングテーブル
ネイバーテーブル
Router# debug eigrp packet
EIGRP DUAL
二次ルート
サクセサが失われると、フィジブルサクセサに変更される。(ADみたい)
トポロジテーブル
アドミニストレーティブディスタンスのほかに、FDがあるらしい(こわ)
FD 全部のリンクの速度を足したもの。
AD FDから、帯域幅を引いたもの。
フィジブルサクセサが作成される条件 2番目のAD < サクセサのFD
default-networkコマンド
show ip route でEIGRPはD と表示される。[90(AD)/100000(K値)]
インターネットに接続するとなると、ADが上昇する。
show ip eigrp topology コマンド
(config)# auto-summary // 自動集約(デフォルト。最新は手動になっているが、ビミョーなところ)手動にしたいなら、no auto-summary
→ip summary-address eigrp //ルーティングテーブルを任意の数に減らせるらいしい。
variance デフォルトで1。2にすると、回線速度が半分のものも許容する。
不当コストロードバランシング
EIGRPのネイバー条件
1、AS番号の一致 : router eigrp 10 , router eigrp100
2、Passive-interfaceにしていないこと。helloパケットを出さないので、ルーティングテーブルを更新しない。
3、K値が全て一致する。metric weight 010100
OSPFv3アドレスファミリ
一つのプロセスでIPv4とIPv6の両方のOSPFを動作させることができる設定方法。
router ospf3 プロセスID
ルーティングプロセスの有効化
IPv4とIPv6のそれぞれのルーティングプロセスを有効化する方法
(config-router)#address-family
これを指定すると、OSPFで有効化になる
アドレスファミリコンフィグレーションモードを無効化するには、
exit-address family
アドレスファミリの確認
show ospfv3
EIGARP は統合メタリックを適用。BW(帯域)、遅延(DLY)、信頼性、負荷、MTU。デフォルトでは、BWとDLY
FD ファージブルディスタンス 計算によって得られたルータからネイバーから通知されたネットワークまでのメトリック。これが一番小さい経路情報を最適経路とする。
AD アドバタイズディスタンス あるネットワークに対してネイバーから通知されたメトリック。ネイバーから通知されるから、RD(reported Distance)ともいう。
計算によって得られたメトリック = FD
ネイバーから通知されたメトリック = AD
フィジブルサクセサのADがサクセサ(最適経路)のFDよりも小さいこと。
サクセサFD > フィジブルサクセサのAD
フィジブルサクセサはトポロジテーブルにあるだけで、ルーティングプロトコルには登録されない。
◎フィジブルサクセサがなく、障害が発生した場合は、ルーターからクエリをマルチキャストアドレス宛に送る。
NULLインターフェース パケットを破棄するためのインターフェース。ループが起こらないようにする。送信先インターフェースをNULLインターフェースにする。
不連続サブネット 連続しているサブネットの間に、異なるサブネットがいるようなネットワーク構成。推奨されていない。プロトコルによっては、自動集約がおこなわれてしまう?
集約を行うことで、クエリの範囲を狭めることができる。
スタブルーティング 低速回線で、障害が起こった場合に、ルート経路を変えたくない場合に用いる。とにかく節電。
connected ルーターに直接接続しているルートのみアドバタイズする。
receive-only ルーティングアップデートを送信せずに受信のみを行う。
redistributed 再配送された外部ルートのみをアドバタイズする。
static ルータに設定されているスタティックルートの情報のみをアドバタイズする。
summary ルータに設定されている集約のみをアドバタイズする。
スタブルーティングを設定すると、デフォで、connectedとsummaryが有効になる。スタブルーティングは、ほかのルーターからアドバタイズされた経路情報をアドバタイズしなくなるので、注意。
EIGRP キーチェーン 複数のIDとパスワードを束ねたもの。
不等コストロードバランシング 倍率を指定して、フィジブルサクセサを作成
varienceコマンド
分散方法を指定するためには
traffic-share
ルーティングテーブルに登録できる最大数を設定する。デフォは4
maximum-paths <最大数>
router eigrp
network [IPアドレス][サブネ] // インターフェースのIPアドレス指定
トポロジテーブル ルーティングテーブルの材料となる。ネットワーク内すべてのルート情報が集まる。
P passive ルートが稼働状態であることを示している。
キーチェーンの作成
key chain
→キーIDの作成
key 「ID」
→キー文字列の作成
key-string 「文字列」
→ 認証を有効にするには、インターフェースコンフィギュレーションモードで
ip authentication mode [AS番号] md5
→使用するキーチェーンを指定する。
ip authentication key-chain eigrp [AS番号] [キーチェーン名]
→デバッグをとろう!
debug eigrp packets
EIGRPのメトリック指定
bandwith <帯域幅>
EIGRPでは、パケットが帯域を占有してしまわないように、帯域の50%までと決められている。
EIGRPのパケットの帯域幅を調整するには
ip bandwith-percent eigrp
EIGRP(名前付きモード)
・ルーター子ンフィギュレーション内で完結することができる。
・複数のアドレスファミリを使用して、IPv6やVRFの一元管理を行うことができる。
EIGRPで使用するアルゴリズム DUAL
BGPスピーカ BGPを実行するデバイスのこと
BGPスプリットホライズン IBGPピアからのルートを他デバイスにアドバタイズしない。
すでに知っているルート情報を教えないようにするため。鈴木「田中は今朝オネショしたよ」 上山「田中は今朝オネショしたよ」←同じ情報!
ルートリフレクタ BGPピアの数を減らす技術(フルメッシュになっているとルータの負荷が高くなってしまう)
ルートリフレクタが中心にいて、ルートリフレクタライアンと、ルートリフレクタノンクライアントに送信する。
ループバックインターフェースを設定し、冗長構成をとる場合は、TTLを「1」以上に変更する必要がある。
ORIGIN 経路情報の生成元
AS_PATH
NEXT_HOP IPアドレスに到達するための経路情報をルータが知らなかった場合、その経路情報を有効と見なさない。
Weigt属性 特定のルートを指定する際に用いる。周りのネイバーに伝達しない。柔軟なルーティングを実現できる。
(config-router)# neighbor 「IPアドレス」weight 「値」
LOCAL_PREF 外部ASとのルーティングする際に使うので、外部ASと接続するルーターで設定する。AS全体で共通のルートをしようしたい場合に用いる。
(config-router) # bgp default local-preference
経路ごとに属性値をつけて、制御したい
(config-router-map) # set locall-preference
AS属性ルーティングの調整
ASプリペンド この機能を使って、AS属性にパスを追加する。優先させたくないルートを排除!!
(config-route-map) # set as-path prepend
外部ルート 他ルーティングプロトコルやスタティックルートで学習した経路情報
内部ルート 自身のルーティングドメイン内に存在している経路情報
再配送する際、シードメトリックが無限大になっているものは、配送不能とみなされるので、変更する必要がある。
ディストリビュートリスト ルーティングアップデートの送受信の際に適応することができるフィルタ。再配送の時に使用する
(config-router)#area [通過するエリアID] virtual-link [ルータ]
しかし、OSPFでは、ルーター同士でLSDBを交換しあっているため、エリア内で取り除くことはできない。
フィルタリングの種類
・ACL
・プレフィックスリスト プレフィックス長で指定できるため、ACLより柔軟?
・ルートマップ フィルタリングするだけでなく、さらに細かい処理を加えることができる。
ルートマップの形式
permit シーケンス番号 10
match 条件
set 処理
ルートタグをつけて、判断させられるようにしている。
match文の対象になったものに対して、処理を実行したい
(config)# set (選択)
interface 送信するインターフェースを指定したインターフェースを変更する。
ip next-hop 送信先を指定したIPアドレスに変更する。
metric-type メトリックタイプを指定したメトリックタイプに変更する。
tag ルーティングアップデートに指定したタグを付与する。
ルートマップを指定するには、distribute-list route-mapコマンドを打つ。
再配送の際は、(config-router)# restribute コマンドの、router-mapオプションを指定する。
PRB ポリシーベースルーティング permit句は、PRBに基づいたものでルーティングを行うが、deny句は通常のルーティングを行う。(deny句でもパケットは破棄されない。)
How to adapt to Interface
(config-if) # ip policy route-map
位置付け
1、ルートマップ
2、ポリシーベースルーティング(setでdefaultがついている場合)
3、普通のルーティング
ローカルポリシーベースルーティング The router can filter the transmission
(config)# ip local policy route-map 「ルートマップ」
(config)# ip local policy route map
「show route-map」The Number and size of ポリシーベースルーティング packet can be examinded
高速スイッチング
Enabling 高速スイッチング allowed for faster proccesing of routing
(config-if)# ip route-cache policy
VPNにいくよーー
ADSL communicate using conventional 電話回線
インターネットVPN ネット使うから、渋滞に巻き込まれる可能性あり
リモートアクセスVPN リモートで仕事する時とかに使われる。SSL-VPNがよく使われる。ソフトウェアをインストールしておく必要があるのが特徴
IP VPN 通信事業者がつかう回線をつかって、VPN
トンネリングが必要な理由
アンチリプレイ 送信されてきたデータが不正に再送されたデータであった場合に破棄することができる技術
AH 認証機能がある。
ESP 暗号化、認証機能。
SA Security Association 機器間をVPNで繋ぐ際のコネクション
IKE 鍵交換プロトコル
GRE is can make マルチキャスト ユニキャスト
ACLでは、IPsecによって暗号化するパケットをpermitで指定します。
暗号ACL 暗号アクセスリスト
Checking the state of SA is called IKEキープアライブ
DPD (dead peer detection) DPD has function to detect when IPsec run out.
暗号化MAP defined IPsec's policy
adaption to interface
(config-if)# crypto map [マップ名]
NATの変換は、暗号化ACLのチェックより先に行われてしまい、暗号化対象にならないので、暗号化対象のパケットはNATから外しておく必要がある。
DMVPN IPsec VPNで複数の拠点の接続を簡略化したもの。ハブ形式にすると負荷が一極集中してしまう問題など
NHRP 異なるサブネットにいるルータのIPアドレスを調べることができる。
NHS ハブルーター 各スパークルーターのデータをデータベースに保存しておく。片方で障害が発生した場合、もう一つに伝える。
NHC スパークルーター。
LIB MPLS のデータベース、LDB(プロトコル)によって作られる。
PHP 最後から2番目のルーターでラベルを取り外す。これにより、検索回数が減るのでつうしんのうりつが上がる。
MP-BGP MPLS版BPP。新パス属性がある。RT。importとexportの2種類。これで、どのVRFに該当するのか定義する。
BFD 双方向フォーワーディング検出。間にスイッチがあっても障害検出することができる。
AAAの有効化
(config)# new-model
ログイン時の認証方式リストの作成
(config)#aaa authentication login リスト名 認証方式
認証サーバーの登録
(config)# radius server サーバー名
(config-radius-server)# address アドレス
Tactics+サーバーの登録
(config)# tactics server サーバー名
(config- server- tactics)# address アドレス
(config- server- tactics)# port
認証グループの作成 優先順位の変更やサーバーの限定を容易に行うことができる。
(config)# aaa group server [radius | tacacs] グループ名
method(String... s){}
method(null) //警告が出る(単純なnullを渡したいのか、配列のnullを渡したいのかわからないため)
LDP ネイバー情報とラベル情報を交換するプロトコル。
◇ LIBテーブル ⇒ show mpls ldp binding
MPLSを有効化したルータではコントロールプレンとデータプレンの2つの構成要素があります。コントロールプレンでは、ルーティングテーブルやLIBテーブルによりルーティングとラベルスイッチングに必要な情報が収集されます。そして、データプレンではコントロールプレンで生成したテーブル情報をキャッシュし実際のパケット転送が行われます。
なお、インターフェースとVRFの関連付けの変更や解除を行った場合、そのインターフェースのIPアドレスも削除されるので、IPアドレスを再設定する必要があります。
NHRPマッピングエントリの確認
show ip nhrp [brief | detail]
この中に出てくるフラグ
authoritative: NHRPの情報がNHSから直接入手したものである。
unique : 同一のVPNアドレスから来たもので、上書きすることができない。
used : プロセススイッチングでこのマッピングエントリが参照された
nhop :ネクストホップで利用可能。
OSPF
IP SLA パケットを生成してネットワークのパフォーマンスを監視/測定する機能。
Using a target that supports IP SLAs, we can examine the latency of VOIP using UDP
IP LSA の設定手順
1, オペレーション番号の指定 ip sla
2, 種類とパラメータの指定 icmp-echo ,udp など選べるよ
3,オペレーション間隔の指定 frequency [second]
4,タイムアウトの設定(RTTを超えたら)timeout [secound]
5, SLAスケジュールの指定 ip sla schedule [オペレーション番号] [スケジュール]:
AAAによる認証の設定
(config)# aaa authentication [type] [default | リスト名][method]
タイプ
login ログイン認証
enable 特権モードに移行する際の認証
dot1x 802.1xの認証
オブジェクトトラッキング Ability to monitor various router conditions that the router can recognize。到達性がなくなったパスを無効化することができるようになるよ
debug ip routing で経路が変わったという情報をリアルたむで表示することができる。
RD (Route Distinguisher) VRFを識別するための情報 。use RD to create ipv4
There is an implict permit in the ipv6 ACL that allows all
VPNv4アドレス RD値とipv4を組み合わせることによって、重複するipアドレスに対応する。
Combinning VRF's RD with an IP address duplicate ip address
ルートタグ ルーティングアップデートをする情報に右派任意のタグをつけることができる。ディストリビュートリストを使うことでルートタグをもとにフィルタリングすることができる。
再配送時のルーティングループを抑えることができる。(戻ってくる経路情報は配送しない)
再配送の際にルーティングループが起こってしまうのは、メトリックの違いにより、本当に覚えてほしい経路が、ほかのところにまわりまわっているルートによって上書きされてしまうから
EIGRPでネイバーを確立する条件
・同一サブネットに属している
・K値が一致している
・認証情報が一致している。
OSPFを有効化する流れ
IPv6ルーティングを有効にする。
(config)#ipv6 unicast-routing
(conifg)# router ospfv3 //ルーティングプロセスを作成
(config)# router-id [ルーターID] //ルータIDの設定
(config)# ipv6 enable //インターフェースでIPv6を有効化する
(config-if)# ospfv3 [プロセスID] ipv4|ipv6 area [エリア番号]
ge le はそれまでのプレフィックス長も範囲とすることができる。
le 指定したプレフィックス長以下まで
ge ge~/32 までのプレフィックス長
BFD Bidirectioanl Forwarding Detection 双方向フォワーディング検出 BFDは、隣接ルーターのパス障害を検知するプロトコル
BGPスピーカでルートリフレクタを有効にすると、入手したアドバタイズをほかのピアへ転送することができる。転送される側をルートリフレクタという
ルートリフレクタがあると、 フルメッシュにする必要がない
ルートリフレクタクライアントの設定
(config) #router bgp
(config-router)#neighbor [ipアドレス|ピアグループ名] route-reflector-client
ピアグループを作成し、設定を楽にすることができる。
VPN トンエネリング 暗号化、仮想的なプライベートネットワーク
サイト間VPN VPNを実装した拠点間ルーター同士で企業の拠点間の接続する構成。ルーターに設定するのでクライアントで導入する必要はない
リモートアクセスVPN VPNゲートウェイとVPNクライアントをインストールしたPCと接続する構成
SSL-VPN WebブラウザのSSLを使用して暗号化を行うVPN
VPNのカプセル化、相手の宛先のヘッダーを付ける。暗号化・復号化をお香ことでトンネリングを実現することができる。
IPSec ネットワーク層で動作するプロトコル。レイヤ3でつける。暗号化のデータを組み込む。
・完全性
・機密性
ユーザー名やID、パスワードを暗号化することができる。VPN接続先からのデータを保証。
・アンチリプレイ 不正に再送されたパケットを破棄する機能。→シーケンス番号を割り当てて防ぐ。
AH 認証を行うためのヘッダー。暗号化ができないので、あまり使われていない。
トランスポートモード IPヘッダから始まる
トンネルモード 新IPヘッダ。
相手と同じモード、技術を使ってないとVPN通信できない。
ESP 暗号化を行う。
IKE 鍵交換プロトコル。2つのフェーズがある。ISAKMP SA 、IPsec SAがある。
セキュリティーアソシエーション(SA)← VPNでやり取りすることをアソシエーションという
IPsecの設定コマンド //相手側のルーターと設定をそろえないといけない。
ACL(標準)作成
(config)# crypto(クリプト) isakmp policy [ポリシー]
IPsecトランスフォームセットも相手と合わせる必要がある。
IPSec SAライフタイム設定
(config)# crypto ipsec security lifetime
暗号化マップ(マップはプログラムのように設定するという意味)
show crypto isakmp sa //VPNがちゃんと張れているか
state を見る。Idle = つながっている。
GRE レイヤー3のトンネリングプロトコル。IPSecは主に暗号化するプロトコル。トンネリングして通信するためにGREを利用する。頭にGREヘッダ(4バイト)
(config-if) #tunnel mode gre [ip/ipv6]
再帰的ルーティング GRE特有の注意事項。ループすることによって、アップダウンを繰り返して通信が不安定になる。
ループの対策→tunnel destination IPアドレスに一致するルート情報をGREで学習しないようにする。
DMVPN 複数サイト間のVPNの問題。フルメッシュにしなくて済むので構築は楽になる。しかし、ハブへの負担が増えるので遅延が発生する。
DMVPNのメリット・固定グローバルアドレスの設定が不要になる。
DMVPNはmGREとNHRP(ネクストホップがどのルーターか解決することができる)という技術が使われている。
NHRP(ネクストホップがどのルーターか解決することができる)。NHS Next Hop Serverサーバーとクライアントで設定が異なる。
(config-if)# ip nhrp authintication
(config-if)# ip nhrp map multicast dynamic
(config-if)# ip nhrp network-id 10
NHC クライアント側
(config-if)# ip nhrp authentication 認証
(config-if)
DMVPNでは、ハブをDRにする必要がある。スポークルータで「ip ospf priority 0」を設定する必要がある。
ハブ&ルータはトンネルインターフェースで学習したスポークルーターの経路をトンネルインターフェースのほかのルーター
IP LSA専用ルータはルーティングを行わず、IP SLAのみ実行するルータ。シャドウルータともいわれる。
IP LSAルータは、すべてのルータに転送する必要があるため、ディストリビューション層に配置することが推奨されている。
aaa new-model //AAAを有効化
aaa authentication login LIST local //ログイン認証のリスト定義
line console 0 LIST 1 //コンソール接続時にLIST1を使用する
password PASS1 //lineパスワード。指定しないと使われない。
exit
username ccna password PASS2 //ローカルデータベース登録。
enable password PASS3
enable secret PASS4
BGPのAS_Path属性をもとにしたフィルタリング
ip as-path access-list ACL permit 正規表現
ACLで指定したアクセスリストからAS_Pathを含んだアトリビュートを受信した場合に破棄する。
インターフェースへの適用コマンド
neibhbor 192.x.x.x filter-list 1 in|out
BFD 隣接ルータのパス障害を検知するプロトコル。Helloパケットの間隔を短くするよりも検知が速い。インたーフェースのメディアタイプに依存しない
【条件】
・ルータでCEFが有効になっていること
・ルータでIPルーティングが有効になっていること
・ルーティングプロトコルがルータで有効になっていること
BFDテンプレートの作成
(config)#bfd-templete single-hop 名前
(config-bfd)# interval min-tx 最小間隔 min-rx 最小受信間隔 multipliter 検出連続数
検出連続数 3を設定した場合、3回連続パケットを検出しなかったら障害とみなす。
(config-if)# bfd templete 名前 //適用
■BFDをルーティングプロトコルで起動
(config-router)# bfd all-interfaces //すべてのインターフェースで適用する
Cisco DNA Center
ディスカバリ ネットー枠デバイスを検出するためのツール。検出したデバイスへの到達性を確認するために、ICMP、SMNP、HTTP、NETCONFが使用される。
ipv6のACLをインターフェースへ適用する。
ipv6 traffic-filter ACL in|out
EIGRPのアクティブタイマーの設定
(config-router)# times active-time 時間
SIA クエリを送ってリプライが返ってこない場合は、Active状態が続いてしまう。この状態のことを、SIA(Stick In Active)という。これが3分間続くと、ネイバー解除になる。これを防止しなければいけない。
EIGRPのメトリックの計算式
256×(経路上の最小の帯域幅+経路上の遅延合計)
OSPFのコスト
100Mbps / インターフェースの帯域幅
再配送ルートのフィルタリング
distribute-list 10 out rip
再配送でルートマップを使用する
redistribute プロトコル subnets reoute-map RMAP1
プロトコルには、staticやconnectを指定してもよい。
DMVPNのフェーズ
・フェーズ1 すべてのトラフィックがハブルータを経由する。
・フェーズ2 ハブルーターを経由せずにスポーク間でトラフィックをやり取りするようになる。
・フェーズ3 ハブルータが経路情報を集約する。
ハブルータには、ip nhrp redirectコマンドを使用する。
NBMAアドレス NHRPではWAN側に設定された物理インターフェースに設定されたIPアドレス。スポーク側のルーターでTunnelインタフェースとNBMAアドレスをマッピングしている。
NHS NHRPにおけるハブルーター
NHC NHRPにおけるスポークルーター
DMVPNでは「mGRE」「NHRP」「IPsec」の設定が必要
「mGRE」の設定(ハブとスポーク両方に必要な設定)
(config)# interface tunnel 任意
(config-if)# ip address ~
(config-if)# tunnel source ~
(config-if)# tunnel mode gre multipoint
(config-if)# tunnel key ID
「NHSの設定」の設定(ハブに必要な設定)
(config-if)# ip nhrp multicast dynamic // OSPFやEIGRPなどのマルチキャストに対応するための設定。スポークのIPアドレスは固定ではないため、dynamicを指定する。
「NHCのマルチキャストマッピング」の設定(スポークにに必要な設定)
(config-if)# ip nhrp map multicast NBMAアドレス // OSPFやEIGRPなどのマルチキャストに対応するための設定。ハブの物理インターフェースのIPアドレスを指定
「NHSのアドレス」の設定(スポークにに必要な設定)
(config-if)# ip nhrp nhs NHSのトンネルインターフェースのIPアドレス
(config-if)# ip nhrp map NHSのトンネルインターフェースのIPアドレス NBMAアドレス
「NHRPの認証情報の設定」(ハブとスポークの両方に必要な設定)
(config-if)# ip nhrp authentication 認証用の文字列
DHCPサーバーを作ろう!
(config)# service dhcp //DHCPサーバーとDHCPリレーエージェントの有効化
(config)# ip dhcp pool プール名
(dhcp-config)# network ネットワークアドレス ネットマスク
(dhcp-config)# lease //貸出期間
(dhcp-config)# dns-server //DNSサーバーのアドレス指定
(dhcp-config)# default-router //デフォルトゲートウェイの指定
(dhcp-config)# netbios-name-server //Winsサーバのアドレスを指定
(dhcp-config)# import all //中心となるDHCPサーバーからパラメータ情報を取得する
Cisco DNA Center Assurance ネットワークのモニタリングをおこなう。
・ルータやスイッチの情報を収集して可視化する。
・PCやスマートフォンの情報を収集して可視化する。
SNMPv3ではコミュニティストリングに代わってユーザー名とパスワードを使用した認証を行うようになった。
SNMPv2では、認証に使うコミュニティストリングの設定が必要となる。
(config)# snmp-server community コミュニティストリング
SNMP Trap/Informを送信する
(config)#snmp-server host 送信先アドレス inform version 2c 通知コミュニティストリング
(config-if)#no snmp trap link-status
SNMPに関する情報を設定する
・設置場所
(config)#snmp-server location 設置場所の説明
・管理者情報
(config)# snmp-server contact 管理者情報
コメントや要望があれば、下記のツイッターにDMをください。
Tweets by wallofmind2
-
CCNA メモ4
参考サイト
ネットワークエンジニアとして
TCP/IPとは?通信プロトコルの階層モデルを図解で解説
3分ネットワーキング
CCNA学習
CCNA 本まとめCCNA メモ 0
CCNAメモ 1
CCNAメモ 2
CCNAメモ 3
CCNAメモ 4
CCNAメモ 5
他のサイト
AWS クラウドプラクティショナー
クラウドプラクティショナー 自宅受験(PSI)AWS ソリューションアーキテクト アソシエイト
ソリューションアーキテクト(SAA) メモ1
ソリューションアーキテクト(SAA) メモ2
AWS アドミニストレーター アソシエイト
アドミニストレータ メモ1
アドミニストレータ メモ2
アドミニストレータ オリジナルテスト01 10問
アドミニストレータ オリジナルテスト02 10問
アドミニストレータ オリジナルテスト03 10問
アドミニストレータ オリジナルテスト04 10問
アドミニストレータ オリジナルテスト05 10問
アドミニストレータ サンプル問題2
AWS デベロッパー アソシエイト
デベロッパー メモ1
デベロッパー メモ2
デベロッパー メモ3
デベロッパー範囲 Code〇〇
デベロッパー範囲 ElasticBeantalk
デベロッパー範囲 X-Ray
デベロッパー範囲 Cognito
デベロッパー範囲 Lambda
デベロッパー オリジナルテスト01 10問
デベロッパー オリジナルテスト02 10問
デベロッパー オリジナルテスト03 10問
デベロッパー オリジナルテスト04 10問
デベロッパー オリジナルテスト05 10問
デベロッパー オリジナルテスト06 10問
デベロッパー オリジナルテスト07 10問
デベロッパー オリジナルテスト08 10問
デベロッパー オリジナルテスト09 10問
その他
Route53 独自ドメイン購入 エラー独自ドメイン CloudFront エラー
著者の他のサイト
駆け出しインフラエンジニアおすすめサイト
DynamoDBのキーをわかりやすく。育児の合間に認定デベロッパー アソシエイト