インターフェースとVRFの関連づけを行った場合、もとのインターフェースのIPアドレスは削除されるので、設定しなおす必要がある。
BDPUガード BDPUを受信しない。ポートファストを設定したポートにBDPUを送信する機器が接続されることを防ぐ。間違った機器の接続でループが起こることを防ぐ
(config)#spanning-tree portfast bdpuguard default
BDPUガードを無効化する
(config-if)#no spanning-tree bpduguard enable
BDPUフィルタリング BDPUを送信しない
(config)#spanning-tree portfast bpdufilter default
指定ポート ルートポートの代替になる。データの転送を行わない
バックアップポート 指定ポートの代替ポート。データの転送を行わない
ポートファスト LANでスパニングツリーを使用する際、ループを形成しないことが分かっているポート。ダウン状態からすぐにフォワーディング状態に移行することができる。自動でBDPUガードが有効になる。計算しないので早い
(config)#spanning-tree portfast default
(config-if)#spanning-tree portfast
フローエクスポータ
Router(config-flow-exporter)#source
gigabitEthernet 0/0/0
Router(config-flow-exporter)#export-protocol n
Router(config-flow-exporter)#export-protocol netflow-v9
Router(config-flow-exporter)#transoprt udp 8000
WLC
仮想インターフェース DHCPリレーやWeb認証などセキュリティを守るために使用される。
AAAオーバーライド機能 Radiusサーバーがもつユーザー情報をもとにVLANを動的に割り当てる
P2Pブロッキング 無線LANクライアント同士の直接通信を禁止する
マーキングの種類 優先度を決めることができる
Cos Ethernetフレームの802.1Qヘッダのフィールドの3ビットを用いる。
YANG Jsonなどのデータ言語の構造やデータの意味を定義するための言語
Command to use when you want to キャプチャ
(config)#remote-span
SPANの特徴(SPAN用のVLANを作成する必要があるので、vlanコンフィグモードでremote-asを設定する必要がある)
単一のスイッチで行う
キャプチャ用のデバイスを直接接続しておく必要がある。
送信元と宛先を設定する必要がある。
(config)#monitor session 1 source [interface ]
(config)#monitor session 1 destination [interface ]
(config)#monitor session 1 filter vlan 100 //指定したVLANの通信を取得できる。
variance 2 //FDの2倍までのルートで不当コストロードバランシングを行う
EIGRPのメトリック計算めんどくさい!
EIGRPのメトリック = 256×(帯域幅+遅延)
帯域幅 1000万 / 最小の帯域幅(kbs)
遅延 = 経路上の遅延合計 / 10
FD 宛先ネットワークまでの合計メトリック
AD ネイバールータから宛先ネットワークまでのメトリック(ネイバが教えてくれたメトリック)
トランクポートでPortFastを設定する
(config)#spanning-tree portfast trunk
VTP スイッチ間でVLAN情報を同期するプロトコル。トランクポートからしか送出しないので注意。(普通に考えたらあたりまえか)
【VTPプルーニング】
VTPプルーニングとは、ブロードキャストの宛先VLANが存在しない(使われていない)スイッチへは、フレームを送らないようにする技術です。VTPプルーニングはサーバモードでのみ使用可能です。VTPプルーニングを有効にすることで、同一管理ドメイン全体で有効になります。
(config)# vtp pruning
VTPアドバタイズメント VLAN情報を同期するにあたり以下のような通知を使用する。
・VLAN要約アドバタイズメント VTPを同期する条件となる情報を通知するメッセージ。サーバーモードのスイッチが5分毎に送信する。
・VTPサブセットアドバタイズメント VTP要約アドバタイズメントに続けて送信する。
・VTPアドバタイズメント要求 VTP要約アドバタイズメントとサブセットアドバタイズメントを要求するメッセージ。サーバーモードやクライアントモードのスイッチを再起動した場合やVTP名を変更した場合に送信する。
カバレッジ 無線LANにおいてAPから電波が届く範囲のことで、セルということもある。
トランスミッタパワーを高めると、遠くまで無線を飛ばすことができるが、チャンネル干渉が起こってしまう可能性があるので注意する。
カバレッジホール(通信できない場所)ができないようにする
オーバーラップ(周波数が重なる)部分がないようにする
Open認証 無線LAN規格の802.11において無線LAN接続の認証フェーズで用いられる認証方式の一つ(APとクライアントをつなぐ)認証とは言っているものの、実際はSSIDが一致していれば通信可能。実際はほかの認証と組み合わせて利用することが大切
EAP認証 IEEE802.11Xで採用されている認証用のプロトコル。さまざまな種類がある
LEAP ID、パスワードを入力
EAP-FAST PAC(ピア固有の認証情報)をもつ
EAP-TLS 電子署名によって認証
PEAP クライアントはID,パスワード、サーバーは電子署名によって認証する
EAP-MSCHAPv2 クライアントはハッシュ化したパスワードで認証サーバーは電子署名認証する
EAP-GTC Cisco特有のPEAP
ユーザーポリシーの作り方
aaa new-model
aaa common-criteria policy [ポリシー名]
(config-cc-policy)#max-length [パスワードの最大文字数]
(config-cc-policy)#min-length [パスワードの最小文字数]
(config-cc-policy)#lifetime [単位] [パスワード有効期間]
(config)#username privilege common-criteria-policy [ポリシー名]
StackWise スイッチスタック。最大9つのスイッチをつなぐことができる。2つのスタック用
ブリッジモード/APモード 上位のルーターに機能があり、ルーティングする必要がない場合ブリッジする
NETCONF ネットワーク機器の設定に用いるプロトコル。プログラム的で、ミスが減らせる?Json形式のデータでやりとりする。
ルーターのデータストアの情報(インターフェースの状態)を取得することができる
get-config 指定したデータストアの設定情報を取得する
edit-config 指定したデータストアに設定情報を適応する
delete-config 指定したデータストアの設定情報を削除する
lock 指定したデータストアにロックをかける
unlock 指定したデータストアのロックを解除する。
取得情報
running 現在稼働中の設定情報
startup 起動時に適応される設定情報
candidate running/startup反映前の設定情報
RESTCONF REST APIが使える
dBm 電力レベル。1mWを基準としている。電力が2倍になると、3dBm増加する
Cisco ISE identity services engine。ユーザ認証やアクセス制御ポリシーの設定をするために Cisco DNA Centerが利用するデバイスです。
Cisco ISEはデフォルトで自己署名SSL証明書を利用するため、デフォルト設定のままゲストポータルにアクセスすると、証明書が信頼できないと判断される。
Cisco Umbrella 外部DNSの参照先をCiscoのクラウドのDNSに向けることにより、安全性が保たれる。
NCP Cisco DNA Centerファブリック内のネットワーク機器の構成を自動化したり機器の管理を行う。NETCONF、SNMP、SSHを使用する。
NDP ファブリックの機器からデータを収集して分析を行う。NetFlow、Syslogを使用する。
PSK(Pre-Shared Key:事前共有鍵)認証は、事前に設定した共通のパスフレーズ(文字列)を使用して認証を行います。
YANGステートメント データ構造やデータの意味を定義するために用いる。
container ブランチ
list 下位ノードを持つステートメント
key 複数の下位ノードを識別するための主キーを定義するためのステートメント
leaf 子ノードを持たない
leaf-list 同じ型の複数のノードを定義。子ノードを持たない
rpc NETCONFなどのRPC操作を定義するステートメント
container interfaces{ //インターフェースの情報に関するノードをまとめる
list interface{ //複数の下位ノードを持つlist
key "name"; //listの主キーを定義するkey
leaf name{ //インターフェースの名前を定義するleaf
type string;
}
leaf enabled{
type boolean;
default "true";
}
}
}
NetFlowの収集するトラフィックの量を減らす
(config)#mode random 1 out-of 2 //収集するパケットの量が50%減少する
(config)#flow exporter [フローエクスポータ]
(config-flow-exportor)
Flexible NetFlow
keyField 様々な項目をキー指定できる。条件指定
EEM 自動化機能。インターフェースがダウンしたときにアクションを起こすことができる。
EtherChannelの条件(テストに出てくる!)
・イーサネットメディアタイプ
・速度とデュプレックス
・スイッチポートの種類
・割り当てるVLAN
・ネイティブVLANt搬送するVLANの範囲
・トランキングポートになっている
・VLANのポートプライオリティ
◎EtherChannelの設定
(config-if)#channel-group [チャネル番号] mode [on | auto | desirable | passive | active |
on To make Etherchannel , do not doi negociation
auto 相手からのPAgPネゴシエーションを受信し、Etherchannelを形成する
desirable 相手へPAgPネゴシエーションを送信し、Etherchannelを形成する。
passive 相手からLACPネゴシエーションを受信してEtherchannelを形成する
active 相手にLACPネゴシエーションを送信しEtherChannelを形成する
ロードバランシング方式
(config)#port-channel load-balance [いろいろ指定する]
SPAN
monitor session 1 source interface FastEthernet 0/6 //キャッチするインターフェース
monitor session 1 destination interface FastEthernet 0/12 // パケットを送信するインターフェース
RSPAN To capture and monitor packets at a distance Switch
(config)#vlan 10 //The VLAN must match the switch to be captured
(config-vlan)#remote-vlan
ERSAPN 離れたスイッチのパケットをキャプチャすることが可能で、レイヤ3を超えることができる。GREでカプセル化してリモートスイッチに届ける
'(d
Preemptを有効にしていないと、アクティブ状態になっているルータが存在している
HSRP
HSRPv1のマルチキャストアドレスは「224.0.0.2」仮想MACアドレスは「0000,0C07.acxx」
HSRPv2のマルチキャストアドレスは「224.0.0.102」仮想MACアドレスは「0000,0c9f.fxx」
状態
・Init 初期状態
・Learn アクティブルータからパケットが到達するのを待っている状態
・Listen 仮想IPアドレスが判別されておらず、アクティブでもスタンバイでもない状態
・Speak 定期的にHello パケットそ送信する。
・Stanby 次にアクティブルーターになる候補
・Active アクティブ状態
基本的にあとから参加はできず、Priorityがたくてもアクティブになることができない。しかしpreemptを設定しているとアクティブにすることはできる
HSRPの認証
・平文認証 stanby 100 authentication text 青柳
・MD5認証 standby 100 authentication md5 key-string 青柳
インターフェーストラッキング HSRPを設定していないインターフェースが落ちた場合にプライオリティ値をさげることができる(念のためスタンバイに変更しておきたい)。
(config-if)# standby 100 track インターフェースの番号 減算値
アドミッション制御 通信を開始するまえにあらかじめ帯域幅の確保をおこなうことができる。
コールアドミッション制御 アドミッション制御の一つで、音声データ通信に使われる
RSVP T-Specを送信することで帯域の予約を行う
EIRP 送信電波量。トラミッションパワー + アンテナゲイン - ケーブルロス
RSSI 受信強度
SNR 信号の品質を表す。RSSI - Noise
Cisco DNA Centerが提供するツール
ポリシー ネットワーク全体や各ネットワーク機器に適応するための機能
アシュアランス モニタリングができる(監視、分析、可視化)
ディスカバリ ネットワークデバイスを検出するためのツール
トポロジ ネットワークの物理的な配置場所を表示できるツール
SD-WAN WANのトラフィックをコントロールしたり、WANの導入や運用を簡単にすることができる技術。
・各拠点のWANをコントローラで集中管理することができる。
ゼロタッチプロビジョニング SD-WANルーターに接続するだけで設定が自動的に行われる。
拡張ノード SD-Accessファブリックの範囲を拡張するためのデバイス。別のネットワークに接続できるようになる。エッジノード(ルータ)のポートを拡張する。
VEdge データ転送するルータ
cEdge データを転送をするルータ。ViptelaOSで動作するものと、IOS-XEで動作するものに分かれる
vManage GUI提供
vBound オーケストレーション。vEdgeの認証を行う
vSmart vEdgeに対してルーティングテーブルを配布する
vAnalytics
OMP ルーティング情報や暗号鍵の配布を行うプロトコル
DTLS 通信の暗号化を行うプロトコル
BFD トンネルリンク障害の検出を行うプロトコル
STUN NAT変換前のIPアドレスをサーバーに伝えるプロトコル
や
NAT
確認 show ip nat translations
NATで内部ローカルアドレスを指定する方法
(config)# ip nat inside source list //アクセスリストを指定
(config)# ip nat inside source route-map //ルートマップを指定
(config)# ip nat inside source static //IPアドレスを直接指定する
(config)# ip sla 1000
(config-ip-sla)# icmp-echo 172.16.20.10 source-ip 172.16.1.2
(config-ipsla-echo)#exit
(config)#ip sla schedule 1 start-time now life 4000
SNMPマネージャに状態を通知したい場合はSNMP Trapの送信を有効化する。
snmp-sever enable traps
認証を設定(コミュニティストリング)
(config)#snmp-sever community communityString
WLC
ServicePortインターフェース サービスポートに使う
Managementインターフェース 管理用インターフェース。pingやRADIUSサーバーとの通信に使う
Virtualインターフェース 代理DHCPサーバーやWeb認証などの宛先になる仮想的なインターフェース
Dynamicインターフェース SSIDとVLANマッピングを行うインターフェース
IBN
TCAM CAMは高速処理ができるメモリのこと。TCAMではルーティングテーブルの検索、セキュリティACLができる。
CEF 事前に高速で検索できるテーブルを作成。
1位 CEF
2位 ファストスイッチング(キャッシュする)
3位 プロセススイッチング(一つのパケット)
スタックワイズ スタックメンバプライオリティ値の高いスイッチがマスターに選定される。動作中に代わることはない。
IBN CiscoのSDN。ソフトウェアで定義する。利用者の意図(インテント)に応じたネットワークを構築する。
SD-Access IBNに基づいたLANの構築手法「アンダーレイ」「オーバーレイ」。コントローラーとして、CiscoDNA Center がある。
SD-WAN WANの導入や運用を簡単にする方法。vManageやvSmartなど役割ごとにコントローラーがある。
名前付きACLコマンドで、任意の位置のアクセスリストにぶち込むことができる。
(config)#ip access-list standard [name]
(config-std-nacl)# 10 [permit | deny ] source wildcard //10番にぶち込める
準仮想化 中途半端な仮想化。ゲストOS専用のデバイスドライバを用いてハイパーバイザコールを行い、ハイパーバイザを介して物理的なハードウェアにアクセスする
服装管理
FIFO 順番通りに転送
PQ 優先度の高いパケットの転送を完全に優先させる方式
CBWFQ プロトコルなどをもとに決定する。最低保証帯域幅を決めることができる。
LLQ PQとCBWFQの特徴を併せもつ
マルチキャストの必要性 L3を超えるため。同時に転送したい場合
マルチキャストルーティングの有効化( Catalystスイッチの場合、機種により ip multicast-routing distributed と設定 )
(config)# ip multicast-routing
PIM-DM マルチキャストルーティングプロトコル。隣接するルータにマルチキャストを転送する。
拡散方式伝言ゲーム
◆ マルチキャストパケットを転送させたいインターフェースでPIM-DMを有効化
(config-if)# ip pim dense-mode
PIM-SM Join要求があったルータのみにマルチキャストを転送する。
IGMPスヌーピング スイッチがマルチキャストを送信するポートを選別することができる。
IGMP ルータとホスト間でマルチキャストグループへの参加と離脱のやり取りをするためのプロトコル。
IGMPクリア マルチキャストグループに参加し続けるかの確認。定期的に送信するルータ。
PIM 道路整備
IGMP 交通手段。マルチキャストグループに参加したい場合に送信するプロトコル
FHR FirstHopRouter 送信元サーバーの最寄りルーター
CoPP Dos攻撃を受けたくないので設定する。その際にACLを使用する。段階があって設定めんどくさい
1,ACLの作成
2,クラスマップ作成
(config)# class-map 名前
(config-cmap)# match access-group [ACL番号]
3,ポリシーマップ作成
(config)# policy-map 名前
(config)# classd クラスマップ名
(config)# police 制限レート confirm-aciton transmit exceed-action drop
確認
#show policy-map control-plane
TrustSeC ユーザーグループによるアクセス制御を行う。ユーザーグループAはサーバーグループBに通信することができる
NAC ユーザーやデバイスの認証を行い、アクセス制御を行う。その際にTrustSecを用いる。無線LANで使われる。推奨されていている認証(左から順)IEEE802.1x → MAB → Web認証
MAB デバイスのMACアドレスを使用する認証方法
ISE ユーザー認証やTrustSecなどのセキュリティを提供する機器。RADIUSサーバーとして
AAAを一元管理する。
PCを接続した際に一度ISE(認証機器)にて認証を行い、TrustSecドメインに参加する
SG 特定の条件によって分類されたグループ。
SGT SGのタグ
REST APIの特徴
・クライアント・サーバー型 要求を行うクライアントと要求を処理して応答するさサーバーで構成される
・ステートレス 認証情報などのを保持しない。毎回リクエストする
・キャッシュの制御 レスポンスの情報を一定期間キャッシュすることができる。
・統一したインターフェース リクエストの方法やデータ形式など統一されている。
・階層構造 データや処理ごとに階層構造をとり、それぞれが独立する。
◎OSPFではエリア間ルートやルーティングアップデートのフィルタリングを行うためにip prefix-listを使用する。
エリア間のフィルタリングを行う。
(config)# ip prefix-list AOYAGI permit 192.168.1.0/24
(config)# router ospf 1
(config-router)#area 1 filter-list prefix AOYAGI in
◎ルーティングループの確認
traceroute
aaaによるアカウンティング
アカウントごとのコマンド履歴を残せる。
aaa accounting commands
SNR 無線信号の品質を示す値。算出方法...RSSI(受信信号強度)- ノイズ
EIRP 送信電波の強さを示す値。算出方法...TransmiteerPower + Attenna Ganin - Cable Loss
(config)#event manager applet AOYAGI
(config-applet)#event イベント
(config-applet)#action 名前 イベント(main,puts,syslog)
フィルタリングすると、ほかのルーターからのルーティング情報も消える
モビリティグループ WLCのグループ。管理しているAPの情報を共有できる。「先生同士の連絡網」
スムーズなローミングを行うことができる。
EIGRPはネイバーから受け取ったルートをすべてトポロジテーブルに格納します。
xTR LISPでカプセル化・非カプセル化を行えるスイッチのこと。
Intra-xTRローミング 同じアクセススイッチのAP間で移動する
Inter-xTRローミング 異なるアクセススイッチのAP間で移動する
OSPF
ネイバーテーブル sh ip ospf neighbor
ネイバーのテーブルを確認できる
トポロジテーブル sh ip ospf database
LSDBが参照される
ルーティングテーブル sh ip route
ASBR 意味のBoundaryはborderより強い隔離
エリア内のルータはすべて同じLSDBを保持する。
helloには確認応答がない
DBD、LSR、LSUには確認応答がある (各項目については後で調べる)
LSU ネットワークの変更があった場合に送信される。トリガードアップデート
スタブエリアフラグ ほかのエリアの情報を無視してしまう。
EIRGPの場合はHellowが一致しなくてもネイバーを確立する。
Hellowを送っただけだとDown状態
OSPFは2種類のマルチキャストをつかっている。
プロセスIDと一致させる必要はない。ふつうはやらないが、一つのルーターで同時にOSPFを起動させる場合に行う。
show ip ospf neighbor detail ネイバーの詳細情報が確認できる。隣のルーターのだけ確認できる。BDRとかわかるよ。相手の状態がわかるFULLとかね
OSPFのルーターIDは立ち上がった状態で一番大きいIPアドレスが選択される。(ループバックを作成したら上書きされる)
ループバックインターフェースをpingの宛先にして、死活監視ができる?
router-id アドレス //ルーターIDを設定する
ルーターIDを変更したい場合は、めんどくさく、clear ip ospf をしなくてはいけない
OSPFでコストを変更したい場合
(config-if)# ip ospf cost [value]
OSPFはなぜエリアを使うのか? 異なるエリアと同じエリアに分ける。異なるネットワークなら、ABRに送る。トポロジの変更の影響を最小限にできる。
集約コマンド
・エリアで集約する場合 area area-id range アドレス マスク //2番のエリアのアドレスを集約することができる。
。外部のルートを集約する summary-address アドレス マスク
デフォルトルートの配布(ネットの方向をすべてのルーターに配布したい)defoult-route originate
プライオリティをつける
ip ospf priority 110 //デフォルトは110なのでDRになる。
passive-interface gi0/0
DFS レーダーとの干渉を検知した場合に自動的にチャネルを変更する可能性がある。通信断が頻発する場合、DFSの設定を疑ったほうが良い。
BGPの状態
Idle 初期状態。ルーティングテーブルを探している。TCPを開始するとConnect状態になる
Connect TCP接続の完了を待っている状態
Open
Active TCP接続を開始して待っている状態
Open Sent BGPピアからのOPENメッセージを待っている状態
最適パス選択アルゴリズム
Weight ローカルルータ内だけで有効な属性。大きいほうが優先
Local Preference ASからの出口を示す属性。大きいほうが優先
AS Path 通貨数rAS番号を表示
Origin ルートの生成元を示す属性
MED 外部ASへの入り口を示す属性。小さいほうが優先される。
NTP
・認証が行える
・IOSのデフォのストラタムは8
・ポート番号は123
ntpサーバーに対するアクセス制御
(config)#ntp access-group [下記] [ACL]
◎NTP認証
NTPサーバー側
ntp authenticate
ntp authentication-key 1 md5 pass //NTP認証で使用できる鍵を作成する
ntp trusted-key 1 // NTPでNTP認証を使用できるように有効化
ntp master 3
NTPクライアント側
ntp authenticate
ntp authentication-key 1 md5 pass
ntp truest-key 1
ntp server 10.1.1.1 key 1
Cisco SAFE ネットワークを安全に運用するため、セキュリティの概念であるセキュアドメインを用いる
ISE ネットワークのセキュリティーポリシーを一元的に行うプラットフォーム
CoPP
(config)#class-map match-all class-control //両方に一致しているものが対象となる
(config-cmap)# match access-group name AAACL
(config-map)# match access-group name CCCACL
APのモード
FlexConnect WAN経由でWLCと接続するときに使用するモード
Monitor 不正なAPの検出、侵入検地をするモード
Rougue Detector 有線ネットワーク上で不正なAPやクライアントを検出する、モード
Sniffer 特定のチャネル上のすべてのパケットを収集して、指定したデバイスに送信するモード
Bridge APがブリッジとして動作するモード
SE-Connect スペクトラムアナライザ専用モード
Sensor リアルタイムでネットワーク内のクライアント接続性に関する問題を解決するモード
in/out inが内側からの通信に対するパケットに効果を働かせる。outは外側からやってくるパケットに効果を働かせる
しかし、インバウンドとアウトバウンドは逆。
SaltStack 構成ツール。ステートというファイル(SLS)を使用する。
PUSH型 SSHで対象機器に通信を行う。構成管理側にエージェントが必要
PULL型 対象機器が構成管理サーバーにとりに行く
Ansible Playbookとよばれるファイルを記述したものを対象機器に送り込む。エージェントレスの構成管理ツール。SSHやNETCONFで通信する。
スパニングツリー作成
(config)#spanning-tree mode {pvst | rapid-pvst | mst }
STP = PVST // VLANごとに一つ
RSTP = Rapid PVST+ // VLANごとに一つ
MST //複数のVLANで一つ
CST //全体でひとつ
インターフェースでデバック情報を指定する
debug condition interface Fa0/1
Syslog
discriminator 重要度などでフィルタリング
logging discriminator [名前] [何を条件とするのか] [dorops | includes] [フィルタリング条件]
例 logging discriminator AOYAGI severity drops 1
何を条件とするのか
facility ファシリティーをフィルタリングの対象とする
severity 重大度レベルをフィルタリングの対象とする
mnemonics Syslogのmnemonicsの部分をフィルタリングの対象とする。(項目?)
msg-body メッセージ部分をフィルタリングの対象とする
includes
drops
syslogの先頭に「*」がついている場合には、システムクロックの同期が行われていないことを表す。
フィルタリング条件 フィルタリング死体syslogの文字列や重大度レベルを指定する。
アグレッシブロードバランシング 無線LANクライアントの接続が特定のLAPに集中しないようにする機能。
音声トラフィックの場合は、ロードバランシング処理の負荷が大きくなってしまうので、その機能を無効にしたほうがいい。
インテントAPI Northbound側のAPI。ネットワークの構築や管理、監視などを行う。自作プログラムを利用してネットワーク情報を収集することができる。
データパケットのプライオリティ設定
(conifg-if)#switchport priority extend cos コス値
natをnaptにしたい
(config)# ip nat inside source list 1 pool YAGIPOOL overload
コマンド練習場
aaaサーバーによる認証を行いたい
aaa authentication login default group T gruop A local //Tサーバーによる認証→Aサーバーによる認証→local認証
aaa authentication login default group tactics group radius local //Tacticsサーバーによる認証→Radiusサーバーによる認証→ローカル認証
リスト名をdefaultにした場合はコンソールポートも含んだすべてのポートに適応されるが、リスト名を指定している場合には、リストが優先される。
BGP パスペクター型ルーティングプロトコル
一番規模の大ききなルーティングプロトコル
拡張ディスタンスペクター型ともいわれる
BGPはASとASをつなぐだけに使用される。
以下の条件が一つでも満たされて入ればBGP最適とされる
ASに対して複数のコネクションを持つ(マルチホーム)
ASを経由してほかのASにパケットに送信する
ASへのトラフィック入出力のためのルーティングポリシーとルート選択
TCPポート(179)
差分アップデート
キープアライブ
BGPのメッセージタイプ
・OPEN ホールドタイムとBGPルータIDが含まれる
・KEEPALIVE
・UPDATE
・NOTIFICATION エラー通知
IGPピアとEGPピアが存在する。
IGPピアは直接接続している必要はない。
IBGPスプリットホライゾンルール
IBGPから学習したルートは、ほかのIBGPネイバーに転送されない。(外部と通信するためのネットワークなので)→IBGPではフルメッシュが必要
ネイバーを管理的に無効化する
ルートフラッピングを防ぐためにメンテナンスとポリシーを変更するときに使用する。
(config-router)# neighbor IPアド| ピアグループ shutdown
再起動
(config-router)# no neighbor IPアド| ピアグループ shutdown
ピアグループ 同じアウトバウンドポリシーを適用するピアをグループ化する機能
ピアグループの特徴
・ローカルのみ有効
・設定をグループごとにまとめることができる
・UPDATEメッセージがグループごとに生成されるようになるのでルータの負荷が減る。
ピアグループの作成
(config)#router bgp [AS番号]
(config-router)# neighbor グループ名 peer-group
BGPピア問題
ループバックインターフェースを使って解決
neigbhor 3.3.3.3 update-source loopback0
BGP冗長コマンド
neighbor ebgp-multihop 2
どのネットーワークをアドバタイズすべきか(テーブルを伝える)
ピアとは構造がことなるので注意する
BGPはnetworkコマンドで指定したネットワークのみ転送する(ほかのルーティングプロトコルと異なる)
ネクストホップはEGBPが対象とな
BGP同期
no synchronization
BGPはIBGPだとルート情報を配布しない
AS内でルート情報を一貫させるため
ORIGIN 発信元の情報
ネットワーク集約
no auto-summary // クラスレスに集約することができる(/23みたいな細かい値にできる)
auto-summary // 1個のルーティングアドレスにする
集約アドレッシング
aggregate-address ip-addressw mask
詳細ルートではなく、集約だけ通知するためには summary-onlyコマンドを指定する。
BGPセッションのリセット
clear ip bgp *
ルータのすべてのBGP接続をリセットする(非推奨)
リセットはせずに更新を行う。
clear ip bgp 192.168.1.1 soft out
IBGPはフルメッシュが必要
→100台とかあったらヤバイ。
→ハブ&スポークしない?
→ルートリフレクターで反射する。
は、MSSを変更するコマンドです。GREヘッダがつくことにより、オーバーヘッドしてしまうのを避ける。
ip nat inside static source 192.168.1.1 100.1.1.2 80 // 100..から来た80番ポートへの通信は192に流される。
毎週木曜日の5時半にNoShutdownを実行
(config)#event manager applet NoShutdown
(config-applet)#event time cron cron-entry "30 17 * * 4"
(confgi-applet)#action 1.0 "no shutdown"
NSF(Non Stop Forwarding)はネットワークレベルの冗長化技術です。SSO(Stateful Switch Over)と併用することで、冗長化したスーパーバイザエンジンに障害が発生しても、転送処理に影響が出ないようになっています。
DCA(Dynamic Channel Assignment)はWLCが持つ動的にチャネルを割り当てる機能です。 複数のAPを配置する際に、各APでオーバーラップしないようにチャネルの割り当てを行います。DCAによるチャネルの切り替えが発生すると、一時的に通信が中断されます。DCAはデフォルトで10分間隔に設定されており、この間隔を長くすると頻発している通信断の発生を抑えられる可能性があります。 DCAの間隔は以下のようにGUI画面で設定できます。WIRELESSで「802.11a/n/ac/ax」または「802.11b/g/n/ax」から「RRM」⇒「DCA」を選択します。
RPC remote Procedure call あるコンピュータで動作するソフトウェアから通信回線やコンピュータネットワークを通じて別のコンピュータ上で動作するソフトウェアへ処理を依頼したり、結果を返したりするため規約。
tunnel destinationコマンドでは、相手方のIPアドレスか、ホスト名を指定する。正しい値が入っていないと、up/down状態になる。
自動ログアウト
(config)#line console 0
(config-line)# exec-timeout 1 20 //80秒の間何も操作しなかったらログアウトする。
QoSプロファイル WLCのGUIで操作することができる
Platinum(Voice)
Gold (video)
Silver(bestEfort)
Bronze(background)
LACP
#show lacp internal
VSS 2台のスイッチを1つのスイッチとして動作させる仮想化技術。
FHRPを使用せずにデフォルトゲートウェイ冗長化ができる。
VSSは2台の仮想スイッチメンバーとVSL(Virtual Switch Link)で構成されます。このVSLのリンクは
EtherChannelを使用して最大8本の10Gbpsで構成されます。VSLのリンクでは「コントロールプレーン間
のトラフィック」だけでなく「通常のデータトラフィック」も伝送されます。2台の仮想スイッチメンバー
のうち1台がコントロールプレーンでアクティブになり、データプレーンは2台ともアクティブになります。
内部ローカルアドレス、外部ローカルアドレスの違いを理解する。
(config)# ip nat inside source static tcp 内部ローカル 内部での宛先ポート番号 内部グローバル 外部からの宛先ポート番号
WLCには、プライマリ、セカンダリ、ターシャリがある。マスターコントローラーというのもあり、新しく追加されたLAPがすべてマスターに追加される。
ip ospf priority 1000
router-id 1000
WebAuthは、ブラウザを使用してIDとパスワードを入力させてユーザを認証する機能
スパイン&リーフ 2層構造のモデル。SDNとかで採用されている。
HTTPヘッダでデータ形式を指定する。
送信側:HTTPの「Content-Typeヘッダ」で指定
受信側:HTTPの「Acceptヘッダ」で指定
ログインした際に自動的に実行するコマンドを指定するには「username autocommand」を使用します。
VTPドメインとVTPパスワードが同一のServer/Clientモードのスイッチは、リビジョン番号の大きいスイッチにVLAN情報を同期します。(Clientモードのスイッチのリビジョン番号が大きければ、ServerモードのスイッチもClientモードのスイッチに同期することになります)
使用していたVLANが同期により削除されると、各ホスト間での疎通がとれなくなるということにつながります。アクセスポートで使用しているVLANが削除されると、そのポートは使用できなくなります。
なお、この現象は「VTP同期問題」と呼ばれています。
ポリシーマップをコントロールプレーンに適用するには以下のコマンドを使用します。
(config)# control-plane
(config-cp)#service-policy {input | output} {ポリシーマップ名}
input:コントロールプレーンで受信されるパケットに適用
output:コントロールプレーンから送信されるパケットに適用
StackWise Virtualは、2台のスイッチを1つの仮想的なスイッチとして動作させる仮想化技術で、Catalyst3850(主にアクセス層やディストリビューション層で使われるスイッチ)で利用できます。
ダミーのAS_PATHを追加するコマンド(ASプリペンド)set as-path prepend
MEDは外部ASへの入り口を示す属性。小さい値が優先される。
【StackWise Virtualの前提条件】
・2台のスイッチの IOSバージョンとライセンスは同じにする必要がある
・SVLには「10Gbps」または「40Gbps」のEthernetインターフェースを使用する
【StackWise Virtualの主な特徴】
・コントロールプレーンと管理プレーンが論理的に1つになる
・アクティブスイッチ、スタンバイスイッチがそれぞれ独立したデータ転送処理を行う
【NGFW】(NGFW:Next-Generation FireWall:次世代ファイアウォール)
これまで使われていた従来型のファイアウォールよりも高度な機能を備えたファイアウォールを「次世代ファイアウォール」と呼びます。
次世代ファイアウォールが持つ主な機能は以下の通りです。
・従来型ファイアウォールの機能:IPアドレスやポート番号を基にしたフィルタリング
・AVC(Application Visibility and Control:アプリケーションの識別と制御):アプリケーションの情報を基にしたフィルタリング(同じポート番号80のHTTP通信でも、Googleは許可するがTwitterは許可しないなどが可能)
・URLフィルタリング:悪意のあるWEBサイトにアクセスしてしまうことを防ぐ
【IDSとIPS】
不正アクセスへの対策として用いられるセキュリティシステムにIDSとIPSがあります。
・IDS(Intrusion Detection System:侵入検知システム):ネットワークを監視して不正アクセスを検知し通知する
・IPS(Intrusion Prevention System:侵入防御システム):IDSの不正アクセスを検知する機能と、検知した不正アクセスをブロックする機能をあわせ持つ
【NGIPS】(NGIPS:Next-Generation Intrusion Prevention System:次世代の侵入防止システム)
これまで使われていた従来型のIPSよりも高度な機能を備えたIPSを「次世代IPS」と呼びます。
次世代IPSが持つ主な機能は以下の通りです。
・従来型IPSの機能:シグネチャ(悪意の攻撃を識別するための情報)を参照し、悪意のあるパケットの受信やネットワークへの侵入行為を防ぐ
・マルウェアの防御:マルウェア(コンピュータウイルスなど)が仕込まれたファイルのダウンロードを防ぐ
・データの収集:IPSを通過するデータのIPアドレスや使用しているアプリケーションなどの情報を収集
・自動化:収集した情報を基に、検知ルールなどの設定を自動的に最適化する
【ファイアウォールとIPS】
ファイアウォールとIPSはどちらも、社内ネットワークとインターネットの間に配置するセキュリティ製品です。
主な違いは、ファイアウォールは社内のポリシーに従ってセキュリティを行うのに対して、IPSはセキュリティ会社などが集めた情報(シグネチャ)を基にセキュリティを行う点などがあります。しかし現在はどちらの機能も統合されてきており、Ciscoでは「Cisco Firepower NGFW」というセキュリティ製品にNGFWとNGIPSの両方を搭載しています。
【Cisco Firepower NGFW】
Cisco Firepower NGFWは、NGFWとNGIPSの両方を搭載したCiscoのセキュリティ製品です。
NGFWとNGIPSの両方の搭載を実現するには、以下のように2つの方法があります。
・従来型ファイアウォールのソフトウェアとFirepower用のソフトウェアの2つを同時に使用する
・従来型ファイアウォールのソフトウェアとFirepower用のソフトウェアを統合したFTD(Firewall Threat Defense)を使用する
【WSA】(Web Security Appliance)
WSAはWebサイト経由でマルウェアが侵入するのをブロックするCiscoのセキュリティ製品で、オンプレミスやクラウドなど様々な環境に展開可能です。
Cisco Talos(セキュリティ関連の研究を行っているCiscoのチーム)などが持つ脅威インテリジェンス(サイバー攻撃に関する情報)を活用して、日々進化するマルウェアがネットワークに侵入するのを防ぎます。
WSAでは攻撃前(Before)、攻撃中(During)、攻撃後(After)の各段階でセキュリティ対策を行います。
・攻撃前対策:最新の脅威インテリジェンスをもとに定義した疑わしいWebサイトへのアクセスをブロックする
・攻撃中対策:ネットワークに侵入した脅威を特定してブロックする
・攻撃後対策:未知のマルウェアを特定してブロックしたり、ネットワーク上のどのデバイスが感染しているか調査を行う
【StealthWatch】
StealthWatchはネットワークセキュリティの監視と分析を行い、脅威を自動検出するセキュリティ製品です。高度なセキュリティ分析により、ランサムウェア、DDoS攻撃、不正な暗号化、未知のマルウェアなど様々な脅威を迅速に検出します。
ルータやスイッチのNetFlowを収集することで、ネットワーク上のデバイス、ユーザ、トラフィックをリアルタイムで認識し、ネットワークを可視化できます。これにより、従来の内外対策(社外から社内、社内から社外の通信に対するセキュリティ対策)に加えて、内部間通信の監視が可能です。
【ISE】(Identity Services Engine)
ISEはネットワーク上のセキュリティポリシーの管理を一元的に行うプラットフォームです。
ISEが持つ主な機能は以下の通りです。
・ゲストポータルを提供しユーザ認証を行う
・ユーザのグループ分けを行うためのSGT(セキュリティグループタグ)を一元管理する
・pxGrid(プラットフォームのネットワーク システムを連携させるための規格)でセキュリティ製品の統合を行い、脅威の軽減、修復、封じ込めを行う
【EDR】(Endpoint Detection and Response )
EDRはエンドポイント(ネットワークの末端にあるサーバやPCなど)で脅威を封じ込めて排除することで、ネットワーク全体に脅威が拡散するのを防ぐ機能です。
Ciscoでは「Cisco Secure Endpoint(旧称 AMP for Endpoints)」というセキュリティ製品にEDRが搭載されています。
【Cisco Secure Endpoint】
「Cisco Secure Endpoint」はEDRを搭載しているCiscoのセキュリティ製品です。旧称は「AMP for Endpoints」で、「AMP4E」と略されることもあります。
Cisco Talos(セキュリティ関連の研究を行っているCiscoのチーム)などが持つ脅威インテリジェンス(サイバー攻撃に関する情報)を活⽤して、脅威のブロックを行い、高いセキュリティ効果を実現しています。
例えば、AMP4Eの「MAP engine(Malicious Activity Protection engine)」という機能では、実行中のプログラムからランサムウェアのような異常な動作を検出してブロックできます。
脅威の封じ込めを行った後は、機械学習により悪意のあるファイルについて学習し、脅威インテリジェンスとその情報を共有し今後のマルウェア対策に備えます。
【Cisco ESA】(Cisco Email Security Appliance)
Cisco ESAはEメールのセキュリティ対策に用いられるCiscoのセキュリティ製品です。ESAの主な機能としてメールからの脅威を検出してブロックすることなどが挙げられます。スパムメールのブロックやメールからのマルウェア感染を防ぎメールの脅威からユーザやネットワークを保護します。
【Cisco Umbrella】
Cisco Umbrellaは外部DNSの参照先をCiscoのクラウドDNSに向けることにより、Ciscoが安全であると判断した接続先にしかアクセスできないようにするクラウド型のセキュリティサービスです。クラウド型であるため導入が容易なのが特徴で、Cisco Talos(セキュリティ関連の研究を行っているCiscoのチーム)の脅威インテリジェンス(サイバー攻撃に関する情報)を活⽤して、高水準な脅威ブロックを提供しています。
【Cisco aWIPS】(Cisco Advanced Wireless Intrusion Prevention System)
Cisco aWIPSは、有線およびワイヤレスネットワークにおけるL1~L3の脅威を検出し、封じ込めを行うワイヤレスセキュリティソリューションです。不正なAPや無線LANデバイスを特定し、排除することができます。
高い精度で不正なAPや無線LANデバイスの物理的な位置の特定を行うために、Cisco DNA Spaces(WLAN環境においてデバイスの位置情報を取得するロケーションサービス)を併せて使用することも可能です。
Cisco aWIPSは、「AP」、「WLC」、「Cisco DNA Center」で構成されます。
Cisco aWIPSの管理機能はCisco DNA Centerに統合されており、Cisco DNA Center上で定義したセキュリティポリシーに従って脅威を検出することができます。
管理機能を統合することで「ワイヤレスネットワークの管理」と「ワイヤレスセキュリティの管理」の両方をCisco DNA Center上で行うことができ、運用が簡素化されます。
MACsec イーサネットフレームの暗号化。チェックサムにあたるICVをデータに付与しているので受信側がICVを確認することにより、送信元が信頼できる相手かどうか認証することができま。
◎名前付きACL
(config)#ip access-list extended AOYAGI
(config-ext-nacl)# permit udp any any range 161 514(ポート番号の範囲指定)
neighbor 10.1.1,1 shutdownでBGPピアを無効化した場合はIdle(Admin)が出力される。
NETCONF/RESTCONFは外部から接続して設定変更を行うため、AAAによるユーザー名とパスワード認証が必須。
◎RESTCONFを有効化する設定
(config)# restconf
(config)# ip http secure-server
(config)# ip http secure-port ポート番号
◎SSH接続のポート番号を変更するためのコマンド
(config)# ip ssh port 100 rotary 100
・インテントAPI
インテントAPIはNorthbound側のAPIです。ポリシーベースの抽象化によって、過程よりも結果に焦点をあてることで、効率的にネットワークの構築や管理、監視などを行います。
インテントAPIを利用することで、各企業のビジネスポリシーに従ったアプリケーションの開発や、自作プログラムや構成管理ツールなどを利用したCisco DNA Centerの操作のほか、情報の収集やネットワークの分析などが可能になっています。
・マルチベンダSDK(Software Development Kit:ソフトウェア開発キット)
マルチベンダSDKは、非Cisco機器をCisco DNA Centerから扱えるようにするためのツール群です。
Cisco DNA CenterはマルチベンダSDKで定義したデバイスパッケージ(Cisco DNA Centerで管理したい非Cisco機器に接続するためのSBIプロトコルや、管理に必要な部分の指定など)の情報に基づいて、非Cisco機器を制御します。
これにより、複数メーカーの機器を使用する「マルチベンダ環境」においても、Cisco DNA Centerから非Cisco機器を制御できるようになります。we
RPC remoteProcedureCall 手続き型プログラミングの要領と同じなので、Procedureという言葉が入る。
NETCONFはRPCに基づいて処理を行う。データと実行してほしい処理の情報を渡すことで、期待する処理を相手に実行させる。
RPF マルチキャストルーティングで、ルーティングループを避けるための技術。転送されてきたパケットが最短経路を通っているか確認し、最短経路でない場合は破棄する。
GREインターフェースはTunnelインタフェースだけでなく、Tunnelインターフェースの端末同士で到達可能な物理インターフェースやLoopbackインターフェースの名前かIPアドレスを書く
(config)#interface Tunnel0
(config-if)# ip address 相手と同じネットワークのIPアドレス
(config-if)# tunnel source FastEthernet0/0
(config-if)# tunnel destination 物理インターフェースのIPアドレス
RSTPはブロッキングポートに「代替ポート」か「バックアップポート」という役割を与える
ポートIDが最小のFa0/1がバックアップポートになる。
(config)# ip prefix-list 名前 permit 192.1.1.1/24
(config)# router ospf 1
(config-router)# area 10 filter-list prefix プレフィックスリスト in|out
【GRE over IPsecの処理】
GRE over IPsecトンネルを経由する通信は以下の順に処理されます
1. ルーティングにより、パケットがGRE over IPsecトンネルを通るかを決定する
2. パケットをGREトンネルインターフェースに送る
3. GREトンネルインターフェースに送られたパケットはGREでカプセル化される
4. 暗号マップにマッチするGREパケットをIPsecで暗号化する
5. 暗号化後のパケットの送信に使用する物理インターフェースをルーティングによって決定する
6. 物理インターフェースからトンネルの対向となる宛先へパケットを送信する
OSPFのネットワークタイプはインターフェースの種類によって自動的に選択される。
VLANコンフィギュレーションコマンドでremote-spanを設定したVLANがRSPAN用のVLANとして動作する。
RSPAN用のVLANはshow vlan remote-spanコマンドで確認できる。
(config)# vlan 10
(config-vlan)# remote-span
(config)# interface gigabitEthernet 0/0
(config-if)# switchport aceess vlan 10
【VTPによるVLAN情報の同期の条件】
1. トランクポートによる接続
2. VTPドメイン名の一致(VTPドメイン名が設定されている場合)
3. VTPモードはサーバもしくはクライアント
4. VTPパスワードの一致(VTPパスワードが設定されている場合)
5. VTPバージョンの一致
<コマンド構文:VTPドメイン名の設定>
Switch(config)#vtp domain {VTPドメイン名}
<コマンド構文:VTPモードの変更>
Switch(config)#vtp mode {server | client | transparent | off}
<コマンド構文:VTPパスワードの設定>
Switch(config)#vtp password {パスワード}
【主なVTPアドバタイズメント】
VLAN情報を同期するにあたり VTPでは以下のような通知を使用します。
・VTP要約アドバタイズメント
VTPを同期する条件となる情報(バージョン、ドメイン名、リビジョン番号など)を通知するメッセージです。
サーバモードのスイッチが5分毎に送信するほか、VLANの作成や削除を行った際にも送信します。
・VTPサブセットアドバタイズメント
同期対象となるVLANの情報を載せたメッセージです。
VTP要約アドバタイズメントに続けて送信します。
・VTPアドバタイズメント要求
VTP要約アドバタイズメントとサブセットアドバタイズメントを要求するためのメッセージです。
サーバモードやクライアントモードのスイッチを再起動した場合や、VTPドメイン名を変更した場合に送信します。
【VTPのバージョン】
VTPバージョンはバージョン1~3まで存在し、デフォルトではバージョン1が動作します。
■バージョン2で追加された主な機能
・トークンリングのサポート
・認識不能なTLVの伝搬
・バージョンに依存しないトランスペアレントモードの動作
・情報(VLAN名、値)の整合性チェック ※CLI、SNMPからの入力情報が対象
■バージョン3で追加された主な機能
・拡張VLAN情報の伝搬
・プライベートVLANのサポート
・複数のデータベース(「VLAN情報、MST設定情報、不明」の3つをサポート)
・サーバモードの役割(プライマリ、セカンダリ) ※プライマリサーバしかVLAN情報を変更できない
・ポート単位でのVTP有効、無効化
<コマンド構文:VTPバージョンの変更>
【ISE】(Identity Services Engine)
ISEはネットワーク上のセキュリティポリシーの管理を一元的に行うプラットフォームです。
ISEが持つ主な機能は以下の通りです。
・ゲストポータルを提供しユーザ認証を行う
・ユーザのグループ分けを行うためのSGT(セキュリティグループタグ)を一元管理する
・pxGrid(プラットフォームのネットワーク システムを連携させるための規格)でセキュリティ製品の統合を行い、脅威の軽減、修復、封じ込めを行う
ルートポートは、受信したBPDUに含まれる以下の情報を元に選出されます。
1.ルートパスコスト
2.送信元ブリッジID
3.送信元ポートの優先度(ポートプライオリティとポート番号)
1から順に比較し、スイッチの中で最も小さいポートがルートポートに選出されます。
SMB(Server Message Block)は、NFSと同じくファイル共有などの際に使用するファイルサーバー機能で、主にWindowsで使用されている通信プロトコルです。とはいえ、SMBもNFSと同様にほとんどすべてのOSでサポートされています。
WLCの冗長化ではSSO(stateful switchover)がサポートされています。アクティブWLCとスタンバイWLCでAPやクライアントの状態などが同期されており、スムーズにスイッチオーバーが行われるため、高い可用性を実現します。
モビリティMACアドレスはWLC(アクセスポイントを集中管理するデバイス)に対して設定されるMACアドレスです。冗長構成がとられているWLCでスイッチオーバーによりWLCが切り替わっても、MACアドレスが変わらないようにアクティブWLCとスタンバイWLCは同じモビリティMACアドレスを持ちます。デフォルトではアクティブWLCのMACアドレスがモビリティMACアドレスとしてスタンバイWLCに同期されます。これにより、元々はアクティブWLCによって管理されていたアクセスポイントが、スイッチオーバー発生時に自動的にスタンバイWLCに引き継がれます。そのため、アクセスポイントに接続している無線クライアントはスイッチオーバーを意識することなく継続してネットワークを利用できます。
Local_Preference の設定
bgp default local-Preference 170
デバッグを取りたいときは、コンソールポートに流れないようにする。
no logging console
→VTYポートにデバックを表示させる。
terminal monitor
VNI VXLANのネットワークを識別する番号
EAP 認証用のプロトコル。さまざまな種類がある。
LEAP IDとパスワードを使用して相互に認証を行う。
EAP-FAST PACを使用して認証をする。
EAP-TLS 電子署名によって認証
PEAP クライアントはIDとパスワード、サーバーは電子署名によって相互に認証する。
EAP-MSHAPv2 クライアントはユーザーIDとハッシュ化したパスを使用。サーバーは電子署名によって認証する。
EAP-GTC クライアントはユーザーIDとクリアテキストのパスワードで認証。サーバーは電子証明書によって認証する
OSPFでは自動で経路集約を行わないので、手動で行う必要がある。
経路集約できるのは、ABRとASBR
(config)# area AreaID range まとめるIP サブネット
(config)# router ospf 10
(config-router)# area 10 range 192.0.0.1 255.255.255.0
RESTNETCONFのHTTPメソッド
GET リソースの取得
POST リソースの更新
PUT リソースの更新
DELETE リソース
Postman APIリクエストを行うツール
RESTCONFで使えるよ。これをつかってインターフェースの情報を取得したりするよ
StealWatch ネットワークセキュリティの監視と分析を行い、脅威を自動検出する製品。リアルタイムでユーザーを認知できる。
上位BPDU 現在のルートブリッジよりも優先度の高いブリッジIDを持つBPDU
BPDUガードは、ポートファストを設定したポートに、BPDUを送信する機器が接続されるのを防ぐ機能です。BPDUガードが有効になっているポートでBPDUを受信すると、そのポートはエラーディセーブルとなります。そのため、PCやサーバを接続する予定で、ポートファストを設定しているポート(スイッチを接続することを想定していないポート)に誤ってスイッチが接続されてもSTPトポロジは変化せず、既存のSTPトポロジを保護できます。
OSPFの再配送
(config)# router ospf 1
(config-router)# redistribute eigrp 100
デフォルトメトリックは20である。
デフォルトメトリックはタイプ2
方向を意識する。下から上。(コマンド情報)(EIGRPのルート情報をOSPFに伝ええる。)
EIGRPの番号は組織内で統一する必要がある。
EIGRPの再配送
(config)# router eigrp
(config-router)# redistribute ospf 1 metric 100000 100 255 1 1500
上から順に
・キロバイト単位の帯域幅
・遅延
・信頼性 1~255 大きいほうが優先
・負荷 1~255 小さいほうが有利
・MTU
passive-interface ルーティング情報がださなくなる。
隣接ルーターからみえなくなる。
ルートフィルタ
ルーティングアップデートの制御を行う。データの通信は行う。
送信するアップデートをフィルタリングする。
distribute-list ACL (標準のみ) out
受信するアップデートをフィルタリング
distribute-list ACL(標準のみ) in
route-map 条件文で利用する。
ルートマップの用途
再配送ルートフィルタリング:ディストリビュートリストより高性能。
ポリシーベースルーティング:宛先ネットワークだけでなく、様々な要素に基づいたルーティングを実行する。
BGPポリシー実装;BGPのルーティングを決定する要素。
route-map my_bgp permit 10(シーケンス番号)
match いろいろあるよ。
set
route-map my_bgp permit 20(シーケンス番号)
match いろいろあるよ。
set
//条件が一致したらその時点ですべて抜ける。(20を実行しない)
アドミニストれーてぃぶディスタンスの変更方法
distance AD値 [IP|wildcard]
→EIGRPの再配送の時
distance eigrp [Internal] [extenal]
PBR ルーティングテーブルによらずに、強制的にルートを変えるときに使う。ルートマップを使用する。
送信元ベースの通貨プロバイダーの選択。(異なるユーザーが異なるルートを使用する)
QoSが設定できる。
ロードシェアリング 負荷分散のため。
(config-if)# ip policy route-map map-tag //着信するインターフェースで打つ必要がある。
(config-if)# ip route-cache policy //ファーストスイッチングの有効化を行う。(高速化)
# debug ip policy .. ポリシーベースルーティングのデバックが取れる。
中央認証・中央スイッチング WLCでクライアント認証を行い、WLCを経由してデータがやり取りされる接続モードの状態
認証ダウン・ローカルスイッチング 新規クライアントの認証を行わず、既存のクライアントのデータ転送のみをAP側で行うスタンドアロンモード。
IP SLAのオブジェクトトラッキング
(config)# track トラッキング番号 ip sla SLAオペレーション番号
→(config)# ip route 0.0.0.0 0.0.0.0 192.1.1.1 track トラッキング番号
設問の情報はshow crypto isakmp saコマンドで表示可能。
ローカルデータベース認証
username ユーザー名 priviledge password
ログインした後に自動的に実行するコマンドにしてい
(config)#username ユーザー名 autocommand コマンド
→ローカルデータベースに登録されたユーザー情報はAAAでの認証に使える。
BGPの設定
(config)# router bgp 1200
(config-router)# network BGPピアのIP mask サブネット
(config-router)# network 自分のIP remote-as 1201 //相手のASを選択する
IP SLAにようるオブジェクトトラッキング
(config)# track トラッキング番号 ip sla IPオペレーション番号 //オブジェクトの作成
(config)# ip route 宛先IP サブね ネクストホップ track トラッキング番号
syslogについて
(config)# logging console //コンソールへの出力を有効化する。
(config)# logging monitor //VTYポートの出力を有効化する
(config)# logging buffered //デバイス自身のRAMへの出力を有効化する。
(config)# logging host //Syslogサーバへの出力を有効化する
(config)# logging trap レベル // 出力するsyslogメッセージの重大度レベルを変更
LACP 最大16ポートのリンクを候補にできるが、実際アクティブなポートになるのは8つのポート。プライオリティ値の低いポートが選定される。
ME CiscoMobilityExpress WLCの機能をAP統合したもの。
暗号マップを用いたGRE over IP VPN
・IPSecの対象となるトラフィックの定義にACLを使用する。
・物理インターフェースに対して暗号マップを適応する。
EDR エンドポイントでセキュリティ対策を行う。
・機械学習により悪意のあるファイルの性質を学習する。
・Ciscoの脅威インテリジェンスを活用できる
・エンドポイントで驚異の封じ込めを行う。
1024~49151のポート番号は登録済みポート番号
Ansibleで設定されるほうが、SSHサーバーとなる。(逆っぽいけどな)
SD-WAN
・転送VPN 制御用トラフィック用VPN
・サービスVPN 拠点間のデータトラフィック用VPN。別拠点で同一セグメントの仮想ネットワークを利用することができる。
・管理VPN 各コンポーネントに対するSSH接続などの管理トラフィック用VPN
EIGRPで使用するパケット
Hello ネイバーの検出と隣接関係の維持で使用
Request ネイバーから特定の情報を取得するために使用
Update ルートの通知で使用、ルートの変更時に送信
Query ルートの問い合わせで使用。サクセサがダウンし、フィージブルサクセサがない場合送信
Reply Queryに対する返答で使用。
仮想化
・VM型 物理サーバー上にスーパーバイザの上でゲストOSを乗せる
・コンテナ型 VM型より処理が速い
仮想サーバーごとにIPアドレスが必要。
vNICにIPアドレスとMACアドレスが必要。
WGB LAPとWLCを単一の無線で繋ぐことで複数の無線LANと繋ぐことができる。
スイッチスーパーバイザオン冗長化 一つのシャーシの中にスーパーバイザエンジンを入れて冗長化を行う。
ローカル認証を行う際には、ユーザー名とパスワードを設定しておく必要がある。
username ユーザー名 priviledge 15 common-criteria-policy password パス
オーバーレイの構成要素
・データプレーン:VXLANを使用してトンネル構築を行う。
・コントロールプレーン:LISPを使用してトンネルの相手側のアドレスの解決を行う。
・ポリシープレーン:TrustSecを使用して通信の許可や拒否などのアクセス制御を行う。
SSIDステルス Wi-Fiアクセスポイントの識別子であるSSIDを見えなくするもの。
ip access-list
ip access group でoutに設定したら、外側から来る通信を遮断する。inは自分から出る通信を遮断する。
ループバックインターフェースを設定したサブネットマスクでアドバタイズしたい場合は、ネットワークタイプをポイントツーポイントにする。
ip ospf network point-to-point
インターフェースとVRFの関連付け
(config-if)# ip vrf forwarding VRF10
IP SLAの確認
show ip sla configuration
トランクポートを通過できるVLANを変更する。
(config-if)# switport trunk allowed vlan [add | remove | except] VLAN番号
◎VLAN3のアドバタイズを拒否したい
(config)# interface FastEthernet 0/2
(config-if)# switchport trunk allowed vlan remove 3
QoSの信頼境界 QoS対象となるパケットがネットワークに入ってくるエッジのこと。アクセス層のスイッチのPC側のポート
CoSの値をスイッチで変更(信頼しない)する場合
(config-if)#switchport prioritu extend 値|trust(変更しない)
OMP
ルーティング情報や暗号鍵の配布などを行うプロトコル。
Base64変換問題
$ echo "cGljb0NURnt0aGVfbTN0YWRhdGFfMXNfbW9kaWZpZWR9" | base64 -d
OSPFのルート集約(ABRで行う)
area 10 range 192.0.0.0 255.255.25
APを配置するときに重要なこと
・カバレッジホールがないように配置する
・オーバーラップ(周波数)を重ならないようにする
show crypto iskamp sa
ルートマップの用途
再配送ルートフィルタリング:ディストリビューションリストより高性能である。
ポリシーベースルーティング:宛先ネットワークだけでなく、要素に基づいたルーティングを実行する。
NAT::アドレス変換に使用する、グローバル、プライベートアドレスプールを定義する。
BGPポリシー実装:BGPのルーティングポリシーを決定するプライマリツールである。
(config)# route-map map-tag [permit | deny]
(config-route-map)# match [condition]
(config-route-map)# set [actions]
適用
(confif-router)# redistribute protocol 10 routemap map-tag
ADの変更
(config)# distance weight
ネイバールータがEXSTARTやEXCHANGEの場合
・MTUが一致していない場合がある。
スムーズなローミングを実現させるためには、CCKMやアダプティブ802.11rが必要となる。
BGPアトリビュートを変更するようにする
route-map route-map 名前
match ip address ACL
set local-pref 150
neighbor 10,1,1,1 route-map 名前 in
権限レベル15のアカウンティング情報をTacticsサーバーに転送する。
aaa accounting commands 15 default start-stop group tactics
ポリシーベースルーティング
IPルーティングは宛先ベースだが、ポリシーベースルーティングは送信元ベースになる。
ip policy ルートマップ マップタグ
→上記のものを高速化したい
ip route-cache policy
顎
サイト間VPN
VPNを実装した拠点ルータ同士で企業の拠点間を接続する構成。
トンネリングや暗号化は、拠点ルータですべて実施するため、拠点内の
端末などの機器にVPNクライアントなどのソフトウェアをインストールする必要がない。
リモートアクセスVPN
VPNゲートウェイとVPNクライアントソフトをインストールしたPCとを接続する構成。VPNゲートウェイとVPNクライアントソフトとの間で、パケットの暗号化、号、カプセル化、非カプセル化を行う。
SSL-VPN
WebブラウザのSSLを利用して暗号化された通信が可能、できることに制限がある場合が多い。
IP SLAの閾値を設定するコマンド
(config)# threshold 値
この値をこえると、Over thresholdが流れる。5
コメントや要望があれば、下記のツイッターにDMをください。
Tweets by wallofmind2
BDPUガード BDPUを受信しない。ポートファストを設定したポートにBDPUを送信する機器が接続されることを防ぐ。間違った機器の接続でループが起こることを防ぐ
(config)#spanning-tree portfast bdpuguard default
BDPUガードを無効化する
(config-if)#no spanning-tree bpduguard enable
BDPUフィルタリング BDPUを送信しない
(config)#spanning-tree portfast bpdufilter default
指定ポート ルートポートの代替になる。データの転送を行わない
バックアップポート 指定ポートの代替ポート。データの転送を行わない
ポートファスト LANでスパニングツリーを使用する際、ループを形成しないことが分かっているポート。ダウン状態からすぐにフォワーディング状態に移行することができる。自動でBDPUガードが有効になる。計算しないので早い
(config)#spanning-tree portfast default
(config-if)#spanning-tree portfast
フローエクスポータ
Router(config-flow-exporter)#source
gigabitEthernet 0/0/0
Router(config-flow-exporter)#export-protocol n
Router(config-flow-exporter)#export-protocol netflow-v9
Router(config-flow-exporter)#transoprt udp 8000
WLC
仮想インターフェース DHCPリレーやWeb認証などセキュリティを守るために使用される。
AAAオーバーライド機能 Radiusサーバーがもつユーザー情報をもとにVLANを動的に割り当てる
P2Pブロッキング 無線LANクライアント同士の直接通信を禁止する
マーキングの種類 優先度を決めることができる
Cos Ethernetフレームの802.1Qヘッダのフィールドの3ビットを用いる。
YANG Jsonなどのデータ言語の構造やデータの意味を定義するための言語
Command to use when you want to キャプチャ
(config)#remote-span
SPANの特徴(SPAN用のVLANを作成する必要があるので、vlanコンフィグモードでremote-asを設定する必要がある)
単一のスイッチで行う
キャプチャ用のデバイスを直接接続しておく必要がある。
送信元と宛先を設定する必要がある。
(config)#monitor session 1 source [interface ]
(config)#monitor session 1 destination [interface ]
(config)#monitor session 1 filter vlan 100 //指定したVLANの通信を取得できる。
variance 2 //FDの2倍までのルートで不当コストロードバランシングを行う
EIGRPのメトリック計算めんどくさい!
EIGRPのメトリック = 256×(帯域幅+遅延)
帯域幅 1000万 / 最小の帯域幅(kbs)
遅延 = 経路上の遅延合計 / 10
FD 宛先ネットワークまでの合計メトリック
AD ネイバールータから宛先ネットワークまでのメトリック(ネイバが教えてくれたメトリック)
トランクポートでPortFastを設定する
(config)#spanning-tree portfast trunk
VTP スイッチ間でVLAN情報を同期するプロトコル。トランクポートからしか送出しないので注意。(普通に考えたらあたりまえか)
【VTPプルーニング】
VTPプルーニングとは、ブロードキャストの宛先VLANが存在しない(使われていない)スイッチへは、フレームを送らないようにする技術です。VTPプルーニングはサーバモードでのみ使用可能です。VTPプルーニングを有効にすることで、同一管理ドメイン全体で有効になります。
(config)# vtp pruning
VTPアドバタイズメント VLAN情報を同期するにあたり以下のような通知を使用する。
・VLAN要約アドバタイズメント VTPを同期する条件となる情報を通知するメッセージ。サーバーモードのスイッチが5分毎に送信する。
・VTPサブセットアドバタイズメント VTP要約アドバタイズメントに続けて送信する。
・VTPアドバタイズメント要求 VTP要約アドバタイズメントとサブセットアドバタイズメントを要求するメッセージ。サーバーモードやクライアントモードのスイッチを再起動した場合やVTP名を変更した場合に送信する。
カバレッジ 無線LANにおいてAPから電波が届く範囲のことで、セルということもある。
トランスミッタパワーを高めると、遠くまで無線を飛ばすことができるが、チャンネル干渉が起こってしまう可能性があるので注意する。
カバレッジホール(通信できない場所)ができないようにする
オーバーラップ(周波数が重なる)部分がないようにする
Open認証 無線LAN規格の802.11において無線LAN接続の認証フェーズで用いられる認証方式の一つ(APとクライアントをつなぐ)認証とは言っているものの、実際はSSIDが一致していれば通信可能。実際はほかの認証と組み合わせて利用することが大切
EAP認証 IEEE802.11Xで採用されている認証用のプロトコル。さまざまな種類がある
LEAP ID、パスワードを入力
EAP-FAST PAC(ピア固有の認証情報)をもつ
EAP-TLS 電子署名によって認証
PEAP クライアントはID,パスワード、サーバーは電子署名によって認証する
EAP-MSCHAPv2 クライアントはハッシュ化したパスワードで認証サーバーは電子署名認証する
EAP-GTC Cisco特有のPEAP
ユーザーポリシーの作り方
aaa new-model
aaa common-criteria policy [ポリシー名]
(config-cc-policy)#max-length [パスワードの最大文字数]
(config-cc-policy)#min-length [パスワードの最小文字数]
(config-cc-policy)#lifetime [単位] [パスワード有効期間]
(config)#username privilege common-criteria-policy [ポリシー名]
StackWise スイッチスタック。最大9つのスイッチをつなぐことができる。2つのスタック用
ブリッジモード/APモード 上位のルーターに機能があり、ルーティングする必要がない場合ブリッジする
NETCONF ネットワーク機器の設定に用いるプロトコル。プログラム的で、ミスが減らせる?Json形式のデータでやりとりする。
ルーターのデータストアの情報(インターフェースの状態)を取得することができる
get-config 指定したデータストアの設定情報を取得する
edit-config 指定したデータストアに設定情報を適応する
delete-config 指定したデータストアの設定情報を削除する
lock 指定したデータストアにロックをかける
unlock 指定したデータストアのロックを解除する。
取得情報
running 現在稼働中の設定情報
startup 起動時に適応される設定情報
candidate running/startup反映前の設定情報
RESTCONF REST APIが使える
dBm 電力レベル。1mWを基準としている。電力が2倍になると、3dBm増加する
Cisco ISE identity services engine。ユーザ認証やアクセス制御ポリシーの設定をするために Cisco DNA Centerが利用するデバイスです。
Cisco ISEはデフォルトで自己署名SSL証明書を利用するため、デフォルト設定のままゲストポータルにアクセスすると、証明書が信頼できないと判断される。
Cisco Umbrella 外部DNSの参照先をCiscoのクラウドのDNSに向けることにより、安全性が保たれる。
NCP Cisco DNA Centerファブリック内のネットワーク機器の構成を自動化したり機器の管理を行う。NETCONF、SNMP、SSHを使用する。
NDP ファブリックの機器からデータを収集して分析を行う。NetFlow、Syslogを使用する。
PSK(Pre-Shared Key:事前共有鍵)認証は、事前に設定した共通のパスフレーズ(文字列)を使用して認証を行います。
YANGステートメント データ構造やデータの意味を定義するために用いる。
container ブランチ
list 下位ノードを持つステートメント
key 複数の下位ノードを識別するための主キーを定義するためのステートメント
leaf 子ノードを持たない
leaf-list 同じ型の複数のノードを定義。子ノードを持たない
rpc NETCONFなどのRPC操作を定義するステートメント
container interfaces{ //インターフェースの情報に関するノードをまとめる
list interface{ //複数の下位ノードを持つlist
key "name"; //listの主キーを定義するkey
leaf name{ //インターフェースの名前を定義するleaf
type string;
}
leaf enabled{
type boolean;
default "true";
}
}
}
NetFlowの収集するトラフィックの量を減らす
(config)#mode random 1 out-of 2 //収集するパケットの量が50%減少する
(config)#flow exporter [フローエクスポータ]
(config-flow-exportor)
Flexible NetFlow
keyField 様々な項目をキー指定できる。条件指定
EEM 自動化機能。インターフェースがダウンしたときにアクションを起こすことができる。
EtherChannelの条件(テストに出てくる!)
・イーサネットメディアタイプ
・速度とデュプレックス
・スイッチポートの種類
・割り当てるVLAN
・ネイティブVLANt搬送するVLANの範囲
・トランキングポートになっている
・VLANのポートプライオリティ
◎EtherChannelの設定
(config-if)#channel-group [チャネル番号] mode [on | auto | desirable | passive | active |
on To make Etherchannel , do not doi negociation
auto 相手からのPAgPネゴシエーションを受信し、Etherchannelを形成する
desirable 相手へPAgPネゴシエーションを送信し、Etherchannelを形成する。
passive 相手からLACPネゴシエーションを受信してEtherchannelを形成する
active 相手にLACPネゴシエーションを送信しEtherChannelを形成する
ロードバランシング方式
(config)#port-channel load-balance [いろいろ指定する]
SPAN
monitor session 1 source interface FastEthernet 0/6 //キャッチするインターフェース
monitor session 1 destination interface FastEthernet 0/12 // パケットを送信するインターフェース
RSPAN To capture and monitor packets at a distance Switch
(config)#vlan 10 //The VLAN must match the switch to be captured
(config-vlan)#remote-vlan
ERSAPN 離れたスイッチのパケットをキャプチャすることが可能で、レイヤ3を超えることができる。GREでカプセル化してリモートスイッチに届ける
'(d
Preemptを有効にしていないと、アクティブ状態になっているルータが存在している
HSRP
HSRPv1のマルチキャストアドレスは「224.0.0.2」仮想MACアドレスは「0000,0C07.acxx」
HSRPv2のマルチキャストアドレスは「224.0.0.102」仮想MACアドレスは「0000,0c9f.fxx」
状態
・Init 初期状態
・Learn アクティブルータからパケットが到達するのを待っている状態
・Listen 仮想IPアドレスが判別されておらず、アクティブでもスタンバイでもない状態
・Speak 定期的にHello パケットそ送信する。
・Stanby 次にアクティブルーターになる候補
・Active アクティブ状態
基本的にあとから参加はできず、Priorityがたくてもアクティブになることができない。しかしpreemptを設定しているとアクティブにすることはできる
HSRPの認証
・平文認証 stanby 100 authentication text 青柳
・MD5認証 standby 100 authentication md5 key-string 青柳
インターフェーストラッキング HSRPを設定していないインターフェースが落ちた場合にプライオリティ値をさげることができる(念のためスタンバイに変更しておきたい)。
(config-if)# standby 100 track インターフェースの番号 減算値
アドミッション制御 通信を開始するまえにあらかじめ帯域幅の確保をおこなうことができる。
コールアドミッション制御 アドミッション制御の一つで、音声データ通信に使われる
RSVP T-Specを送信することで帯域の予約を行う
EIRP 送信電波量。トラミッションパワー + アンテナゲイン - ケーブルロス
RSSI 受信強度
SNR 信号の品質を表す。RSSI - Noise
Cisco DNA Centerが提供するツール
ポリシー ネットワーク全体や各ネットワーク機器に適応するための機能
アシュアランス モニタリングができる(監視、分析、可視化)
ディスカバリ ネットワークデバイスを検出するためのツール
トポロジ ネットワークの物理的な配置場所を表示できるツール
SD-WAN WANのトラフィックをコントロールしたり、WANの導入や運用を簡単にすることができる技術。
・各拠点のWANをコントローラで集中管理することができる。
ゼロタッチプロビジョニング SD-WANルーターに接続するだけで設定が自動的に行われる。
拡張ノード SD-Accessファブリックの範囲を拡張するためのデバイス。別のネットワークに接続できるようになる。エッジノード(ルータ)のポートを拡張する。
VEdge データ転送するルータ
cEdge データを転送をするルータ。ViptelaOSで動作するものと、IOS-XEで動作するものに分かれる
vManage GUI提供
vBound オーケストレーション。vEdgeの認証を行う
vSmart vEdgeに対してルーティングテーブルを配布する
vAnalytics
OMP ルーティング情報や暗号鍵の配布を行うプロトコル
DTLS 通信の暗号化を行うプロトコル
BFD トンネルリンク障害の検出を行うプロトコル
STUN NAT変換前のIPアドレスをサーバーに伝えるプロトコル
や
NAT
確認 show ip nat translations
NATで内部ローカルアドレスを指定する方法
(config)# ip nat inside source list //アクセスリストを指定
(config)# ip nat inside source route-map //ルートマップを指定
(config)# ip nat inside source static //IPアドレスを直接指定する
(config)# ip sla 1000
(config-ip-sla)# icmp-echo 172.16.20.10 source-ip 172.16.1.2
(config-ipsla-echo)#exit
(config)#ip sla schedule 1 start-time now life 4000
SNMPマネージャに状態を通知したい場合はSNMP Trapの送信を有効化する。
snmp-sever enable traps
認証を設定(コミュニティストリング)
(config)#snmp-sever community communityString
WLC
ServicePortインターフェース サービスポートに使う
Managementインターフェース 管理用インターフェース。pingやRADIUSサーバーとの通信に使う
Virtualインターフェース 代理DHCPサーバーやWeb認証などの宛先になる仮想的なインターフェース
Dynamicインターフェース SSIDとVLANマッピングを行うインターフェース
IBN
TCAM CAMは高速処理ができるメモリのこと。TCAMではルーティングテーブルの検索、セキュリティACLができる。
CEF 事前に高速で検索できるテーブルを作成。
1位 CEF
2位 ファストスイッチング(キャッシュする)
3位 プロセススイッチング(一つのパケット)
スタックワイズ スタックメンバプライオリティ値の高いスイッチがマスターに選定される。動作中に代わることはない。
IBN CiscoのSDN。ソフトウェアで定義する。利用者の意図(インテント)に応じたネットワークを構築する。
SD-Access IBNに基づいたLANの構築手法「アンダーレイ」「オーバーレイ」。コントローラーとして、CiscoDNA Center がある。
SD-WAN WANの導入や運用を簡単にする方法。vManageやvSmartなど役割ごとにコントローラーがある。
名前付きACLコマンドで、任意の位置のアクセスリストにぶち込むことができる。
(config)#ip access-list standard [name]
(config-std-nacl)# 10 [permit | deny ] source wildcard //10番にぶち込める
準仮想化 中途半端な仮想化。ゲストOS専用のデバイスドライバを用いてハイパーバイザコールを行い、ハイパーバイザを介して物理的なハードウェアにアクセスする
服装管理
FIFO 順番通りに転送
PQ 優先度の高いパケットの転送を完全に優先させる方式
CBWFQ プロトコルなどをもとに決定する。最低保証帯域幅を決めることができる。
LLQ PQとCBWFQの特徴を併せもつ
マルチキャストの必要性 L3を超えるため。同時に転送したい場合
マルチキャストルーティングの有効化( Catalystスイッチの場合、機種により ip multicast-routing distributed と設定 )
(config)# ip multicast-routing
PIM-DM マルチキャストルーティングプロトコル。隣接するルータにマルチキャストを転送する。
拡散方式伝言ゲーム
◆ マルチキャストパケットを転送させたいインターフェースでPIM-DMを有効化
(config-if)# ip pim dense-mode
PIM-SM Join要求があったルータのみにマルチキャストを転送する。
IGMPスヌーピング スイッチがマルチキャストを送信するポートを選別することができる。
IGMP ルータとホスト間でマルチキャストグループへの参加と離脱のやり取りをするためのプロトコル。
IGMPクリア マルチキャストグループに参加し続けるかの確認。定期的に送信するルータ。
PIM 道路整備
IGMP 交通手段。マルチキャストグループに参加したい場合に送信するプロトコル
FHR FirstHopRouter 送信元サーバーの最寄りルーター
CoPP Dos攻撃を受けたくないので設定する。その際にACLを使用する。段階があって設定めんどくさい
1,ACLの作成
2,クラスマップ作成
(config)# class-map 名前
(config-cmap)# match access-group [ACL番号]
3,ポリシーマップ作成
(config)# policy-map 名前
(config)# classd クラスマップ名
(config)# police 制限レート confirm-aciton transmit exceed-action drop
確認
#show policy-map control-plane
TrustSeC ユーザーグループによるアクセス制御を行う。ユーザーグループAはサーバーグループBに通信することができる
NAC ユーザーやデバイスの認証を行い、アクセス制御を行う。その際にTrustSecを用いる。無線LANで使われる。推奨されていている認証(左から順)IEEE802.1x → MAB → Web認証
MAB デバイスのMACアドレスを使用する認証方法
ISE ユーザー認証やTrustSecなどのセキュリティを提供する機器。RADIUSサーバーとして
AAAを一元管理する。
PCを接続した際に一度ISE(認証機器)にて認証を行い、TrustSecドメインに参加する
SG 特定の条件によって分類されたグループ。
SGT SGのタグ
REST APIの特徴
・クライアント・サーバー型 要求を行うクライアントと要求を処理して応答するさサーバーで構成される
・ステートレス 認証情報などのを保持しない。毎回リクエストする
・キャッシュの制御 レスポンスの情報を一定期間キャッシュすることができる。
・統一したインターフェース リクエストの方法やデータ形式など統一されている。
・階層構造 データや処理ごとに階層構造をとり、それぞれが独立する。
◎OSPFではエリア間ルートやルーティングアップデートのフィルタリングを行うためにip prefix-listを使用する。
エリア間のフィルタリングを行う。
(config)# ip prefix-list AOYAGI permit 192.168.1.0/24
(config)# router ospf 1
(config-router)#area 1 filter-list prefix AOYAGI in
◎ルーティングループの確認
traceroute
aaaによるアカウンティング
アカウントごとのコマンド履歴を残せる。
aaa accounting commands
SNR 無線信号の品質を示す値。算出方法...RSSI(受信信号強度)- ノイズ
EIRP 送信電波の強さを示す値。算出方法...TransmiteerPower + Attenna Ganin - Cable Loss
(config)#event manager applet AOYAGI
(config-applet)#event イベント
(config-applet)#action 名前 イベント(main,puts,syslog)
フィルタリングすると、ほかのルーターからのルーティング情報も消える
モビリティグループ WLCのグループ。管理しているAPの情報を共有できる。「先生同士の連絡網」
スムーズなローミングを行うことができる。
EIGRPはネイバーから受け取ったルートをすべてトポロジテーブルに格納します。
xTR LISPでカプセル化・非カプセル化を行えるスイッチのこと。
Intra-xTRローミング 同じアクセススイッチのAP間で移動する
Inter-xTRローミング 異なるアクセススイッチのAP間で移動する
OSPF
ネイバーテーブル sh ip ospf neighbor
ネイバーのテーブルを確認できる
トポロジテーブル sh ip ospf database
LSDBが参照される
ルーティングテーブル sh ip route
ASBR 意味のBoundaryはborderより強い隔離
エリア内のルータはすべて同じLSDBを保持する。
helloには確認応答がない
DBD、LSR、LSUには確認応答がある (各項目については後で調べる)
LSU ネットワークの変更があった場合に送信される。トリガードアップデート
スタブエリアフラグ ほかのエリアの情報を無視してしまう。
EIRGPの場合はHellowが一致しなくてもネイバーを確立する。
Hellowを送っただけだとDown状態
OSPFは2種類のマルチキャストをつかっている。
プロセスIDと一致させる必要はない。ふつうはやらないが、一つのルーターで同時にOSPFを起動させる場合に行う。
show ip ospf neighbor detail ネイバーの詳細情報が確認できる。隣のルーターのだけ確認できる。BDRとかわかるよ。相手の状態がわかるFULLとかね
OSPFのルーターIDは立ち上がった状態で一番大きいIPアドレスが選択される。(ループバックを作成したら上書きされる)
ループバックインターフェースをpingの宛先にして、死活監視ができる?
router-id アドレス //ルーターIDを設定する
ルーターIDを変更したい場合は、めんどくさく、clear ip ospf をしなくてはいけない
OSPFでコストを変更したい場合
(config-if)# ip ospf cost [value]
OSPFはなぜエリアを使うのか? 異なるエリアと同じエリアに分ける。異なるネットワークなら、ABRに送る。トポロジの変更の影響を最小限にできる。
集約コマンド
・エリアで集約する場合 area area-id range アドレス マスク //2番のエリアのアドレスを集約することができる。
。外部のルートを集約する summary-address アドレス マスク
デフォルトルートの配布(ネットの方向をすべてのルーターに配布したい)defoult-route originate
プライオリティをつける
ip ospf priority 110 //デフォルトは110なのでDRになる。
passive-interface gi0/0
DFS レーダーとの干渉を検知した場合に自動的にチャネルを変更する可能性がある。通信断が頻発する場合、DFSの設定を疑ったほうが良い。
BGPの状態
Idle 初期状態。ルーティングテーブルを探している。TCPを開始するとConnect状態になる
Connect TCP接続の完了を待っている状態
Open
Active TCP接続を開始して待っている状態
Open Sent BGPピアからのOPENメッセージを待っている状態
最適パス選択アルゴリズム
Weight ローカルルータ内だけで有効な属性。大きいほうが優先
Local Preference ASからの出口を示す属性。大きいほうが優先
AS Path 通貨数rAS番号を表示
Origin ルートの生成元を示す属性
MED 外部ASへの入り口を示す属性。小さいほうが優先される。
NTP
・認証が行える
・IOSのデフォのストラタムは8
・ポート番号は123
ntpサーバーに対するアクセス制御
(config)#ntp access-group [下記] [ACL]
◎NTP認証
NTPサーバー側
ntp authenticate
ntp authentication-key 1 md5 pass //NTP認証で使用できる鍵を作成する
ntp trusted-key 1 // NTPでNTP認証を使用できるように有効化
ntp master 3
NTPクライアント側
ntp authenticate
ntp authentication-key 1 md5 pass
ntp truest-key 1
ntp server 10.1.1.1 key 1
Cisco SAFE ネットワークを安全に運用するため、セキュリティの概念であるセキュアドメインを用いる
ISE ネットワークのセキュリティーポリシーを一元的に行うプラットフォーム
CoPP
(config)#class-map match-all class-control //両方に一致しているものが対象となる
(config-cmap)# match access-group name AAACL
(config-map)# match access-group name CCCACL
APのモード
FlexConnect WAN経由でWLCと接続するときに使用するモード
Monitor 不正なAPの検出、侵入検地をするモード
Rougue Detector 有線ネットワーク上で不正なAPやクライアントを検出する、モード
Sniffer 特定のチャネル上のすべてのパケットを収集して、指定したデバイスに送信するモード
Bridge APがブリッジとして動作するモード
SE-Connect スペクトラムアナライザ専用モード
Sensor リアルタイムでネットワーク内のクライアント接続性に関する問題を解決するモード
in/out inが内側からの通信に対するパケットに効果を働かせる。outは外側からやってくるパケットに効果を働かせる
しかし、インバウンドとアウトバウンドは逆。
SaltStack 構成ツール。ステートというファイル(SLS)を使用する。
PUSH型 SSHで対象機器に通信を行う。構成管理側にエージェントが必要
PULL型 対象機器が構成管理サーバーにとりに行く
Ansible Playbookとよばれるファイルを記述したものを対象機器に送り込む。エージェントレスの構成管理ツール。SSHやNETCONFで通信する。
スパニングツリー作成
(config)#spanning-tree mode {pvst | rapid-pvst | mst }
STP = PVST // VLANごとに一つ
RSTP = Rapid PVST+ // VLANごとに一つ
MST //複数のVLANで一つ
CST //全体でひとつ
インターフェースでデバック情報を指定する
debug condition interface Fa0/1
Syslog
discriminator 重要度などでフィルタリング
logging discriminator [名前] [何を条件とするのか] [dorops | includes] [フィルタリング条件]
例 logging discriminator AOYAGI severity drops 1
何を条件とするのか
facility ファシリティーをフィルタリングの対象とする
severity 重大度レベルをフィルタリングの対象とする
mnemonics Syslogのmnemonicsの部分をフィルタリングの対象とする。(項目?)
msg-body メッセージ部分をフィルタリングの対象とする
includes
drops
syslogの先頭に「*」がついている場合には、システムクロックの同期が行われていないことを表す。
フィルタリング条件 フィルタリング死体syslogの文字列や重大度レベルを指定する。
アグレッシブロードバランシング 無線LANクライアントの接続が特定のLAPに集中しないようにする機能。
音声トラフィックの場合は、ロードバランシング処理の負荷が大きくなってしまうので、その機能を無効にしたほうがいい。
インテントAPI Northbound側のAPI。ネットワークの構築や管理、監視などを行う。自作プログラムを利用してネットワーク情報を収集することができる。
データパケットのプライオリティ設定
(conifg-if)#switchport priority extend cos コス値
natをnaptにしたい
(config)# ip nat inside source list 1 pool YAGIPOOL overload
コマンド練習場
aaaサーバーによる認証を行いたい
aaa authentication login default group T gruop A local //Tサーバーによる認証→Aサーバーによる認証→local認証
aaa authentication login default group tactics group radius local //Tacticsサーバーによる認証→Radiusサーバーによる認証→ローカル認証
リスト名をdefaultにした場合はコンソールポートも含んだすべてのポートに適応されるが、リスト名を指定している場合には、リストが優先される。
BGP パスペクター型ルーティングプロトコル
一番規模の大ききなルーティングプロトコル
拡張ディスタンスペクター型ともいわれる
BGPはASとASをつなぐだけに使用される。
以下の条件が一つでも満たされて入ればBGP最適とされる
ASに対して複数のコネクションを持つ(マルチホーム)
ASを経由してほかのASにパケットに送信する
ASへのトラフィック入出力のためのルーティングポリシーとルート選択
TCPポート(179)
差分アップデート
キープアライブ
BGPのメッセージタイプ
・OPEN ホールドタイムとBGPルータIDが含まれる
・KEEPALIVE
・UPDATE
・NOTIFICATION エラー通知
IGPピアとEGPピアが存在する。
IGPピアは直接接続している必要はない。
IBGPスプリットホライゾンルール
IBGPから学習したルートは、ほかのIBGPネイバーに転送されない。(外部と通信するためのネットワークなので)→IBGPではフルメッシュが必要
ネイバーを管理的に無効化する
ルートフラッピングを防ぐためにメンテナンスとポリシーを変更するときに使用する。
(config-router)# neighbor IPアド| ピアグループ shutdown
再起動
(config-router)# no neighbor IPアド| ピアグループ shutdown
ピアグループ 同じアウトバウンドポリシーを適用するピアをグループ化する機能
ピアグループの特徴
・ローカルのみ有効
・設定をグループごとにまとめることができる
・UPDATEメッセージがグループごとに生成されるようになるのでルータの負荷が減る。
ピアグループの作成
(config)#router bgp [AS番号]
(config-router)# neighbor グループ名 peer-group
BGPピア問題
ループバックインターフェースを使って解決
neigbhor 3.3.3.3 update-source loopback0
BGP冗長コマンド
neighbor ebgp-multihop 2
どのネットーワークをアドバタイズすべきか(テーブルを伝える)
ピアとは構造がことなるので注意する
BGPはnetworkコマンドで指定したネットワークのみ転送する(ほかのルーティングプロトコルと異なる)
ネクストホップはEGBPが対象とな
BGP同期
no synchronization
BGPはIBGPだとルート情報を配布しない
AS内でルート情報を一貫させるため
ORIGIN 発信元の情報
ネットワーク集約
no auto-summary // クラスレスに集約することができる(/23みたいな細かい値にできる)
auto-summary // 1個のルーティングアドレスにする
集約アドレッシング
aggregate-address ip-addressw mask
詳細ルートではなく、集約だけ通知するためには summary-onlyコマンドを指定する。
BGPセッションのリセット
clear ip bgp *
ルータのすべてのBGP接続をリセットする(非推奨)
リセットはせずに更新を行う。
clear ip bgp 192.168.1.1 soft out
IBGPはフルメッシュが必要
→100台とかあったらヤバイ。
→ハブ&スポークしない?
→ルートリフレクターで反射する。
は、MSSを変更するコマンドです。GREヘッダがつくことにより、オーバーヘッドしてしまうのを避ける。
ip nat inside static source 192.168.1.1 100.1.1.2 80 // 100..から来た80番ポートへの通信は192に流される。
毎週木曜日の5時半にNoShutdownを実行
(config)#event manager applet NoShutdown
(config-applet)#event time cron cron-entry "30 17 * * 4"
(confgi-applet)#action 1.0 "no shutdown"
NSF(Non Stop Forwarding)はネットワークレベルの冗長化技術です。SSO(Stateful Switch Over)と併用することで、冗長化したスーパーバイザエンジンに障害が発生しても、転送処理に影響が出ないようになっています。
DCA(Dynamic Channel Assignment)はWLCが持つ動的にチャネルを割り当てる機能です。 複数のAPを配置する際に、各APでオーバーラップしないようにチャネルの割り当てを行います。DCAによるチャネルの切り替えが発生すると、一時的に通信が中断されます。DCAはデフォルトで10分間隔に設定されており、この間隔を長くすると頻発している通信断の発生を抑えられる可能性があります。 DCAの間隔は以下のようにGUI画面で設定できます。WIRELESSで「802.11a/n/ac/ax」または「802.11b/g/n/ax」から「RRM」⇒「DCA」を選択します。
RPC remote Procedure call あるコンピュータで動作するソフトウェアから通信回線やコンピュータネットワークを通じて別のコンピュータ上で動作するソフトウェアへ処理を依頼したり、結果を返したりするため規約。
tunnel destinationコマンドでは、相手方のIPアドレスか、ホスト名を指定する。正しい値が入っていないと、up/down状態になる。
自動ログアウト
(config)#line console 0
(config-line)# exec-timeout 1 20 //80秒の間何も操作しなかったらログアウトする。
QoSプロファイル WLCのGUIで操作することができる
Platinum(Voice)
Gold (video)
Silver(bestEfort)
Bronze(background)
LACP
#show lacp internal
VSS 2台のスイッチを1つのスイッチとして動作させる仮想化技術。
FHRPを使用せずにデフォルトゲートウェイ冗長化ができる。
VSSは2台の仮想スイッチメンバーとVSL(Virtual Switch Link)で構成されます。このVSLのリンクは
EtherChannelを使用して最大8本の10Gbpsで構成されます。VSLのリンクでは「コントロールプレーン間
のトラフィック」だけでなく「通常のデータトラフィック」も伝送されます。2台の仮想スイッチメンバー
のうち1台がコントロールプレーンでアクティブになり、データプレーンは2台ともアクティブになります。
内部ローカルアドレス、外部ローカルアドレスの違いを理解する。
(config)# ip nat inside source static tcp 内部ローカル 内部での宛先ポート番号 内部グローバル 外部からの宛先ポート番号
WLCには、プライマリ、セカンダリ、ターシャリがある。マスターコントローラーというのもあり、新しく追加されたLAPがすべてマスターに追加される。
ip ospf priority 1000
router-id 1000
WebAuthは、ブラウザを使用してIDとパスワードを入力させてユーザを認証する機能
スパイン&リーフ 2層構造のモデル。SDNとかで採用されている。
HTTPヘッダでデータ形式を指定する。
送信側:HTTPの「Content-Typeヘッダ」で指定
受信側:HTTPの「Acceptヘッダ」で指定
ログインした際に自動的に実行するコマンドを指定するには「username autocommand」を使用します。
VTPドメインとVTPパスワードが同一のServer/Clientモードのスイッチは、リビジョン番号の大きいスイッチにVLAN情報を同期します。(Clientモードのスイッチのリビジョン番号が大きければ、ServerモードのスイッチもClientモードのスイッチに同期することになります)
使用していたVLANが同期により削除されると、各ホスト間での疎通がとれなくなるということにつながります。アクセスポートで使用しているVLANが削除されると、そのポートは使用できなくなります。
なお、この現象は「VTP同期問題」と呼ばれています。
ポリシーマップをコントロールプレーンに適用するには以下のコマンドを使用します。
(config)# control-plane
(config-cp)#service-policy {input | output} {ポリシーマップ名}
input:コントロールプレーンで受信されるパケットに適用
output:コントロールプレーンから送信されるパケットに適用
StackWise Virtualは、2台のスイッチを1つの仮想的なスイッチとして動作させる仮想化技術で、Catalyst3850(主にアクセス層やディストリビューション層で使われるスイッチ)で利用できます。
ダミーのAS_PATHを追加するコマンド(ASプリペンド)set as-path prepend
MEDは外部ASへの入り口を示す属性。小さい値が優先される。
【StackWise Virtualの前提条件】
・2台のスイッチの IOSバージョンとライセンスは同じにする必要がある
・SVLには「10Gbps」または「40Gbps」のEthernetインターフェースを使用する
【StackWise Virtualの主な特徴】
・コントロールプレーンと管理プレーンが論理的に1つになる
・アクティブスイッチ、スタンバイスイッチがそれぞれ独立したデータ転送処理を行う
【NGFW】(NGFW:Next-Generation FireWall:次世代ファイアウォール)
これまで使われていた従来型のファイアウォールよりも高度な機能を備えたファイアウォールを「次世代ファイアウォール」と呼びます。
次世代ファイアウォールが持つ主な機能は以下の通りです。
・従来型ファイアウォールの機能:IPアドレスやポート番号を基にしたフィルタリング
・AVC(Application Visibility and Control:アプリケーションの識別と制御):アプリケーションの情報を基にしたフィルタリング(同じポート番号80のHTTP通信でも、Googleは許可するがTwitterは許可しないなどが可能)
・URLフィルタリング:悪意のあるWEBサイトにアクセスしてしまうことを防ぐ
【IDSとIPS】
不正アクセスへの対策として用いられるセキュリティシステムにIDSとIPSがあります。
・IDS(Intrusion Detection System:侵入検知システム):ネットワークを監視して不正アクセスを検知し通知する
・IPS(Intrusion Prevention System:侵入防御システム):IDSの不正アクセスを検知する機能と、検知した不正アクセスをブロックする機能をあわせ持つ
【NGIPS】(NGIPS:Next-Generation Intrusion Prevention System:次世代の侵入防止システム)
これまで使われていた従来型のIPSよりも高度な機能を備えたIPSを「次世代IPS」と呼びます。
次世代IPSが持つ主な機能は以下の通りです。
・従来型IPSの機能:シグネチャ(悪意の攻撃を識別するための情報)を参照し、悪意のあるパケットの受信やネットワークへの侵入行為を防ぐ
・マルウェアの防御:マルウェア(コンピュータウイルスなど)が仕込まれたファイルのダウンロードを防ぐ
・データの収集:IPSを通過するデータのIPアドレスや使用しているアプリケーションなどの情報を収集
・自動化:収集した情報を基に、検知ルールなどの設定を自動的に最適化する
【ファイアウォールとIPS】
ファイアウォールとIPSはどちらも、社内ネットワークとインターネットの間に配置するセキュリティ製品です。
主な違いは、ファイアウォールは社内のポリシーに従ってセキュリティを行うのに対して、IPSはセキュリティ会社などが集めた情報(シグネチャ)を基にセキュリティを行う点などがあります。しかし現在はどちらの機能も統合されてきており、Ciscoでは「Cisco Firepower NGFW」というセキュリティ製品にNGFWとNGIPSの両方を搭載しています。
【Cisco Firepower NGFW】
Cisco Firepower NGFWは、NGFWとNGIPSの両方を搭載したCiscoのセキュリティ製品です。
NGFWとNGIPSの両方の搭載を実現するには、以下のように2つの方法があります。
・従来型ファイアウォールのソフトウェアとFirepower用のソフトウェアの2つを同時に使用する
・従来型ファイアウォールのソフトウェアとFirepower用のソフトウェアを統合したFTD(Firewall Threat Defense)を使用する
【WSA】(Web Security Appliance)
WSAはWebサイト経由でマルウェアが侵入するのをブロックするCiscoのセキュリティ製品で、オンプレミスやクラウドなど様々な環境に展開可能です。
Cisco Talos(セキュリティ関連の研究を行っているCiscoのチーム)などが持つ脅威インテリジェンス(サイバー攻撃に関する情報)を活用して、日々進化するマルウェアがネットワークに侵入するのを防ぎます。
WSAでは攻撃前(Before)、攻撃中(During)、攻撃後(After)の各段階でセキュリティ対策を行います。
・攻撃前対策:最新の脅威インテリジェンスをもとに定義した疑わしいWebサイトへのアクセスをブロックする
・攻撃中対策:ネットワークに侵入した脅威を特定してブロックする
・攻撃後対策:未知のマルウェアを特定してブロックしたり、ネットワーク上のどのデバイスが感染しているか調査を行う
【StealthWatch】
StealthWatchはネットワークセキュリティの監視と分析を行い、脅威を自動検出するセキュリティ製品です。高度なセキュリティ分析により、ランサムウェア、DDoS攻撃、不正な暗号化、未知のマルウェアなど様々な脅威を迅速に検出します。
ルータやスイッチのNetFlowを収集することで、ネットワーク上のデバイス、ユーザ、トラフィックをリアルタイムで認識し、ネットワークを可視化できます。これにより、従来の内外対策(社外から社内、社内から社外の通信に対するセキュリティ対策)に加えて、内部間通信の監視が可能です。
【ISE】(Identity Services Engine)
ISEはネットワーク上のセキュリティポリシーの管理を一元的に行うプラットフォームです。
ISEが持つ主な機能は以下の通りです。
・ゲストポータルを提供しユーザ認証を行う
・ユーザのグループ分けを行うためのSGT(セキュリティグループタグ)を一元管理する
・pxGrid(プラットフォームのネットワーク システムを連携させるための規格)でセキュリティ製品の統合を行い、脅威の軽減、修復、封じ込めを行う
【EDR】(Endpoint Detection and Response )
EDRはエンドポイント(ネットワークの末端にあるサーバやPCなど)で脅威を封じ込めて排除することで、ネットワーク全体に脅威が拡散するのを防ぐ機能です。
Ciscoでは「Cisco Secure Endpoint(旧称 AMP for Endpoints)」というセキュリティ製品にEDRが搭載されています。
【Cisco Secure Endpoint】
「Cisco Secure Endpoint」はEDRを搭載しているCiscoのセキュリティ製品です。旧称は「AMP for Endpoints」で、「AMP4E」と略されることもあります。
Cisco Talos(セキュリティ関連の研究を行っているCiscoのチーム)などが持つ脅威インテリジェンス(サイバー攻撃に関する情報)を活⽤して、脅威のブロックを行い、高いセキュリティ効果を実現しています。
例えば、AMP4Eの「MAP engine(Malicious Activity Protection engine)」という機能では、実行中のプログラムからランサムウェアのような異常な動作を検出してブロックできます。
脅威の封じ込めを行った後は、機械学習により悪意のあるファイルについて学習し、脅威インテリジェンスとその情報を共有し今後のマルウェア対策に備えます。
【Cisco ESA】(Cisco Email Security Appliance)
Cisco ESAはEメールのセキュリティ対策に用いられるCiscoのセキュリティ製品です。ESAの主な機能としてメールからの脅威を検出してブロックすることなどが挙げられます。スパムメールのブロックやメールからのマルウェア感染を防ぎメールの脅威からユーザやネットワークを保護します。
【Cisco Umbrella】
Cisco Umbrellaは外部DNSの参照先をCiscoのクラウドDNSに向けることにより、Ciscoが安全であると判断した接続先にしかアクセスできないようにするクラウド型のセキュリティサービスです。クラウド型であるため導入が容易なのが特徴で、Cisco Talos(セキュリティ関連の研究を行っているCiscoのチーム)の脅威インテリジェンス(サイバー攻撃に関する情報)を活⽤して、高水準な脅威ブロックを提供しています。
【Cisco aWIPS】(Cisco Advanced Wireless Intrusion Prevention System)
Cisco aWIPSは、有線およびワイヤレスネットワークにおけるL1~L3の脅威を検出し、封じ込めを行うワイヤレスセキュリティソリューションです。不正なAPや無線LANデバイスを特定し、排除することができます。
高い精度で不正なAPや無線LANデバイスの物理的な位置の特定を行うために、Cisco DNA Spaces(WLAN環境においてデバイスの位置情報を取得するロケーションサービス)を併せて使用することも可能です。
Cisco aWIPSは、「AP」、「WLC」、「Cisco DNA Center」で構成されます。
Cisco aWIPSの管理機能はCisco DNA Centerに統合されており、Cisco DNA Center上で定義したセキュリティポリシーに従って脅威を検出することができます。
管理機能を統合することで「ワイヤレスネットワークの管理」と「ワイヤレスセキュリティの管理」の両方をCisco DNA Center上で行うことができ、運用が簡素化されます。
MACsec イーサネットフレームの暗号化。チェックサムにあたるICVをデータに付与しているので受信側がICVを確認することにより、送信元が信頼できる相手かどうか認証することができま。
◎名前付きACL
(config)#ip access-list extended AOYAGI
(config-ext-nacl)# permit udp any any range 161 514(ポート番号の範囲指定)
neighbor 10.1.1,1 shutdownでBGPピアを無効化した場合はIdle(Admin)が出力される。
NETCONF/RESTCONFは外部から接続して設定変更を行うため、AAAによるユーザー名とパスワード認証が必須。
◎RESTCONFを有効化する設定
(config)# restconf
(config)# ip http secure-server
(config)# ip http secure-port ポート番号
◎SSH接続のポート番号を変更するためのコマンド
(config)# ip ssh port 100 rotary 100
・インテントAPI
インテントAPIはNorthbound側のAPIです。ポリシーベースの抽象化によって、過程よりも結果に焦点をあてることで、効率的にネットワークの構築や管理、監視などを行います。
インテントAPIを利用することで、各企業のビジネスポリシーに従ったアプリケーションの開発や、自作プログラムや構成管理ツールなどを利用したCisco DNA Centerの操作のほか、情報の収集やネットワークの分析などが可能になっています。
・マルチベンダSDK(Software Development Kit:ソフトウェア開発キット)
マルチベンダSDKは、非Cisco機器をCisco DNA Centerから扱えるようにするためのツール群です。
Cisco DNA CenterはマルチベンダSDKで定義したデバイスパッケージ(Cisco DNA Centerで管理したい非Cisco機器に接続するためのSBIプロトコルや、管理に必要な部分の指定など)の情報に基づいて、非Cisco機器を制御します。
これにより、複数メーカーの機器を使用する「マルチベンダ環境」においても、Cisco DNA Centerから非Cisco機器を制御できるようになります。we
RPC remoteProcedureCall 手続き型プログラミングの要領と同じなので、Procedureという言葉が入る。
NETCONFはRPCに基づいて処理を行う。データと実行してほしい処理の情報を渡すことで、期待する処理を相手に実行させる。
RPF マルチキャストルーティングで、ルーティングループを避けるための技術。転送されてきたパケットが最短経路を通っているか確認し、最短経路でない場合は破棄する。
GREインターフェースはTunnelインタフェースだけでなく、Tunnelインターフェースの端末同士で到達可能な物理インターフェースやLoopbackインターフェースの名前かIPアドレスを書く
(config)#interface Tunnel0
(config-if)# ip address 相手と同じネットワークのIPアドレス
(config-if)# tunnel source FastEthernet0/0
(config-if)# tunnel destination 物理インターフェースのIPアドレス
RSTPはブロッキングポートに「代替ポート」か「バックアップポート」という役割を与える
ポートIDが最小のFa0/1がバックアップポートになる。
(config)# ip prefix-list 名前 permit 192.1.1.1/24
(config)# router ospf 1
(config-router)# area 10 filter-list prefix プレフィックスリスト in|out
【GRE over IPsecの処理】
GRE over IPsecトンネルを経由する通信は以下の順に処理されます
1. ルーティングにより、パケットがGRE over IPsecトンネルを通るかを決定する
2. パケットをGREトンネルインターフェースに送る
3. GREトンネルインターフェースに送られたパケットはGREでカプセル化される
4. 暗号マップにマッチするGREパケットをIPsecで暗号化する
5. 暗号化後のパケットの送信に使用する物理インターフェースをルーティングによって決定する
6. 物理インターフェースからトンネルの対向となる宛先へパケットを送信する
OSPFのネットワークタイプはインターフェースの種類によって自動的に選択される。
VLANコンフィギュレーションコマンドでremote-spanを設定したVLANがRSPAN用のVLANとして動作する。
RSPAN用のVLANはshow vlan remote-spanコマンドで確認できる。
(config)# vlan 10
(config-vlan)# remote-span
(config)# interface gigabitEthernet 0/0
(config-if)# switchport aceess vlan 10
【VTPによるVLAN情報の同期の条件】
1. トランクポートによる接続
2. VTPドメイン名の一致(VTPドメイン名が設定されている場合)
3. VTPモードはサーバもしくはクライアント
4. VTPパスワードの一致(VTPパスワードが設定されている場合)
5. VTPバージョンの一致
<コマンド構文:VTPドメイン名の設定>
Switch(config)#vtp domain {VTPドメイン名}
<コマンド構文:VTPモードの変更>
Switch(config)#vtp mode {server | client | transparent | off}
<コマンド構文:VTPパスワードの設定>
Switch(config)#vtp password {パスワード}
【主なVTPアドバタイズメント】
VLAN情報を同期するにあたり VTPでは以下のような通知を使用します。
・VTP要約アドバタイズメント
VTPを同期する条件となる情報(バージョン、ドメイン名、リビジョン番号など)を通知するメッセージです。
サーバモードのスイッチが5分毎に送信するほか、VLANの作成や削除を行った際にも送信します。
・VTPサブセットアドバタイズメント
同期対象となるVLANの情報を載せたメッセージです。
VTP要約アドバタイズメントに続けて送信します。
・VTPアドバタイズメント要求
VTP要約アドバタイズメントとサブセットアドバタイズメントを要求するためのメッセージです。
サーバモードやクライアントモードのスイッチを再起動した場合や、VTPドメイン名を変更した場合に送信します。
【VTPのバージョン】
VTPバージョンはバージョン1~3まで存在し、デフォルトではバージョン1が動作します。
■バージョン2で追加された主な機能
・トークンリングのサポート
・認識不能なTLVの伝搬
・バージョンに依存しないトランスペアレントモードの動作
・情報(VLAN名、値)の整合性チェック ※CLI、SNMPからの入力情報が対象
■バージョン3で追加された主な機能
・拡張VLAN情報の伝搬
・プライベートVLANのサポート
・複数のデータベース(「VLAN情報、MST設定情報、不明」の3つをサポート)
・サーバモードの役割(プライマリ、セカンダリ) ※プライマリサーバしかVLAN情報を変更できない
・ポート単位でのVTP有効、無効化
<コマンド構文:VTPバージョンの変更>
【ISE】(Identity Services Engine)
ISEはネットワーク上のセキュリティポリシーの管理を一元的に行うプラットフォームです。
ISEが持つ主な機能は以下の通りです。
・ゲストポータルを提供しユーザ認証を行う
・ユーザのグループ分けを行うためのSGT(セキュリティグループタグ)を一元管理する
・pxGrid(プラットフォームのネットワーク システムを連携させるための規格)でセキュリティ製品の統合を行い、脅威の軽減、修復、封じ込めを行う
ルートポートは、受信したBPDUに含まれる以下の情報を元に選出されます。
1.ルートパスコスト
2.送信元ブリッジID
3.送信元ポートの優先度(ポートプライオリティとポート番号)
1から順に比較し、スイッチの中で最も小さいポートがルートポートに選出されます。
SMB(Server Message Block)は、NFSと同じくファイル共有などの際に使用するファイルサーバー機能で、主にWindowsで使用されている通信プロトコルです。とはいえ、SMBもNFSと同様にほとんどすべてのOSでサポートされています。
WLCの冗長化ではSSO(stateful switchover)がサポートされています。アクティブWLCとスタンバイWLCでAPやクライアントの状態などが同期されており、スムーズにスイッチオーバーが行われるため、高い可用性を実現します。
モビリティMACアドレスはWLC(アクセスポイントを集中管理するデバイス)に対して設定されるMACアドレスです。冗長構成がとられているWLCでスイッチオーバーによりWLCが切り替わっても、MACアドレスが変わらないようにアクティブWLCとスタンバイWLCは同じモビリティMACアドレスを持ちます。デフォルトではアクティブWLCのMACアドレスがモビリティMACアドレスとしてスタンバイWLCに同期されます。これにより、元々はアクティブWLCによって管理されていたアクセスポイントが、スイッチオーバー発生時に自動的にスタンバイWLCに引き継がれます。そのため、アクセスポイントに接続している無線クライアントはスイッチオーバーを意識することなく継続してネットワークを利用できます。
Local_Preference の設定
bgp default local-Preference 170
デバッグを取りたいときは、コンソールポートに流れないようにする。
no logging console
→VTYポートにデバックを表示させる。
terminal monitor
VNI VXLANのネットワークを識別する番号
EAP 認証用のプロトコル。さまざまな種類がある。
LEAP IDとパスワードを使用して相互に認証を行う。
EAP-FAST PACを使用して認証をする。
EAP-TLS 電子署名によって認証
PEAP クライアントはIDとパスワード、サーバーは電子署名によって相互に認証する。
EAP-MSHAPv2 クライアントはユーザーIDとハッシュ化したパスを使用。サーバーは電子署名によって認証する。
EAP-GTC クライアントはユーザーIDとクリアテキストのパスワードで認証。サーバーは電子証明書によって認証する
OSPFでは自動で経路集約を行わないので、手動で行う必要がある。
経路集約できるのは、ABRとASBR
(config)# area AreaID range まとめるIP サブネット
(config)# router ospf 10
(config-router)# area 10 range 192.0.0.1 255.255.255.0
RESTNETCONFのHTTPメソッド
GET リソースの取得
POST リソースの更新
PUT リソースの更新
DELETE リソース
Postman APIリクエストを行うツール
RESTCONFで使えるよ。これをつかってインターフェースの情報を取得したりするよ
StealWatch ネットワークセキュリティの監視と分析を行い、脅威を自動検出する製品。リアルタイムでユーザーを認知できる。
上位BPDU 現在のルートブリッジよりも優先度の高いブリッジIDを持つBPDU
BPDUガードは、ポートファストを設定したポートに、BPDUを送信する機器が接続されるのを防ぐ機能です。BPDUガードが有効になっているポートでBPDUを受信すると、そのポートはエラーディセーブルとなります。そのため、PCやサーバを接続する予定で、ポートファストを設定しているポート(スイッチを接続することを想定していないポート)に誤ってスイッチが接続されてもSTPトポロジは変化せず、既存のSTPトポロジを保護できます。
OSPFの再配送
(config)# router ospf 1
(config-router)# redistribute eigrp 100
デフォルトメトリックは20である。
デフォルトメトリックはタイプ2
方向を意識する。下から上。(コマンド情報)(EIGRPのルート情報をOSPFに伝ええる。)
EIGRPの番号は組織内で統一する必要がある。
EIGRPの再配送
(config)# router eigrp
(config-router)# redistribute ospf 1 metric 100000 100 255 1 1500
上から順に
・キロバイト単位の帯域幅
・遅延
・信頼性 1~255 大きいほうが優先
・負荷 1~255 小さいほうが有利
・MTU
passive-interface ルーティング情報がださなくなる。
隣接ルーターからみえなくなる。
ルートフィルタ
ルーティングアップデートの制御を行う。データの通信は行う。
送信するアップデートをフィルタリングする。
distribute-list ACL (標準のみ) out
受信するアップデートをフィルタリング
distribute-list ACL(標準のみ) in
route-map 条件文で利用する。
ルートマップの用途
再配送ルートフィルタリング:ディストリビュートリストより高性能。
ポリシーベースルーティング:宛先ネットワークだけでなく、様々な要素に基づいたルーティングを実行する。
BGPポリシー実装;BGPのルーティングを決定する要素。
route-map my_bgp permit 10(シーケンス番号)
match いろいろあるよ。
set
route-map my_bgp permit 20(シーケンス番号)
match いろいろあるよ。
set
//条件が一致したらその時点ですべて抜ける。(20を実行しない)
アドミニストれーてぃぶディスタンスの変更方法
distance AD値 [IP|wildcard]
→EIGRPの再配送の時
distance eigrp [Internal] [extenal]
PBR ルーティングテーブルによらずに、強制的にルートを変えるときに使う。ルートマップを使用する。
送信元ベースの通貨プロバイダーの選択。(異なるユーザーが異なるルートを使用する)
QoSが設定できる。
ロードシェアリング 負荷分散のため。
(config-if)# ip policy route-map map-tag //着信するインターフェースで打つ必要がある。
(config-if)# ip route-cache policy //ファーストスイッチングの有効化を行う。(高速化)
# debug ip policy .. ポリシーベースルーティングのデバックが取れる。
中央認証・中央スイッチング WLCでクライアント認証を行い、WLCを経由してデータがやり取りされる接続モードの状態
認証ダウン・ローカルスイッチング 新規クライアントの認証を行わず、既存のクライアントのデータ転送のみをAP側で行うスタンドアロンモード。
IP SLAのオブジェクトトラッキング
(config)# track トラッキング番号 ip sla SLAオペレーション番号
→(config)# ip route 0.0.0.0 0.0.0.0 192.1.1.1 track トラッキング番号
設問の情報はshow crypto isakmp saコマンドで表示可能。
ローカルデータベース認証
username ユーザー名 priviledge password
ログインした後に自動的に実行するコマンドにしてい
(config)#username ユーザー名 autocommand コマンド
→ローカルデータベースに登録されたユーザー情報はAAAでの認証に使える。
BGPの設定
(config)# router bgp 1200
(config-router)# network BGPピアのIP mask サブネット
(config-router)# network 自分のIP remote-as 1201 //相手のASを選択する
IP SLAにようるオブジェクトトラッキング
(config)# track トラッキング番号 ip sla IPオペレーション番号 //オブジェクトの作成
(config)# ip route 宛先IP サブね ネクストホップ track トラッキング番号
syslogについて
(config)# logging console //コンソールへの出力を有効化する。
(config)# logging monitor //VTYポートの出力を有効化する
(config)# logging buffered //デバイス自身のRAMへの出力を有効化する。
(config)# logging host //Syslogサーバへの出力を有効化する
(config)# logging trap レベル // 出力するsyslogメッセージの重大度レベルを変更
LACP 最大16ポートのリンクを候補にできるが、実際アクティブなポートになるのは8つのポート。プライオリティ値の低いポートが選定される。
ME CiscoMobilityExpress WLCの機能をAP統合したもの。
暗号マップを用いたGRE over IP VPN
・IPSecの対象となるトラフィックの定義にACLを使用する。
・物理インターフェースに対して暗号マップを適応する。
EDR エンドポイントでセキュリティ対策を行う。
・機械学習により悪意のあるファイルの性質を学習する。
・Ciscoの脅威インテリジェンスを活用できる
・エンドポイントで驚異の封じ込めを行う。
1024~49151のポート番号は登録済みポート番号
Ansibleで設定されるほうが、SSHサーバーとなる。(逆っぽいけどな)
SD-WAN
・転送VPN 制御用トラフィック用VPN
・サービスVPN 拠点間のデータトラフィック用VPN。別拠点で同一セグメントの仮想ネットワークを利用することができる。
・管理VPN 各コンポーネントに対するSSH接続などの管理トラフィック用VPN
EIGRPで使用するパケット
Hello ネイバーの検出と隣接関係の維持で使用
Request ネイバーから特定の情報を取得するために使用
Update ルートの通知で使用、ルートの変更時に送信
Query ルートの問い合わせで使用。サクセサがダウンし、フィージブルサクセサがない場合送信
Reply Queryに対する返答で使用。
仮想化
・VM型 物理サーバー上にスーパーバイザの上でゲストOSを乗せる
・コンテナ型 VM型より処理が速い
仮想サーバーごとにIPアドレスが必要。
vNICにIPアドレスとMACアドレスが必要。
WGB LAPとWLCを単一の無線で繋ぐことで複数の無線LANと繋ぐことができる。
スイッチスーパーバイザオン冗長化 一つのシャーシの中にスーパーバイザエンジンを入れて冗長化を行う。
ローカル認証を行う際には、ユーザー名とパスワードを設定しておく必要がある。
username ユーザー名 priviledge 15 common-criteria-policy password パス
オーバーレイの構成要素
・データプレーン:VXLANを使用してトンネル構築を行う。
・コントロールプレーン:LISPを使用してトンネルの相手側のアドレスの解決を行う。
・ポリシープレーン:TrustSecを使用して通信の許可や拒否などのアクセス制御を行う。
SSIDステルス Wi-Fiアクセスポイントの識別子であるSSIDを見えなくするもの。
ip access-list
ip access group でoutに設定したら、外側から来る通信を遮断する。inは自分から出る通信を遮断する。
ループバックインターフェースを設定したサブネットマスクでアドバタイズしたい場合は、ネットワークタイプをポイントツーポイントにする。
ip ospf network point-to-point
インターフェースとVRFの関連付け
(config-if)# ip vrf forwarding VRF10
IP SLAの確認
show ip sla configuration
トランクポートを通過できるVLANを変更する。
(config-if)# switport trunk allowed vlan [add | remove | except] VLAN番号
◎VLAN3のアドバタイズを拒否したい
(config)# interface FastEthernet 0/2
(config-if)# switchport trunk allowed vlan remove 3
QoSの信頼境界 QoS対象となるパケットがネットワークに入ってくるエッジのこと。アクセス層のスイッチのPC側のポート
CoSの値をスイッチで変更(信頼しない)する場合
(config-if)#switchport prioritu extend 値|trust(変更しない)
OMP
ルーティング情報や暗号鍵の配布などを行うプロトコル。
Base64変換問題
$ echo "cGljb0NURnt0aGVfbTN0YWRhdGFfMXNfbW9kaWZpZWR9" | base64 -d
OSPFのルート集約(ABRで行う)
area 10 range 192.0.0.0 255.255.25
APを配置するときに重要なこと
・カバレッジホールがないように配置する
・オーバーラップ(周波数)を重ならないようにする
show crypto iskamp sa
ルートマップの用途
再配送ルートフィルタリング:ディストリビューションリストより高性能である。
ポリシーベースルーティング:宛先ネットワークだけでなく、要素に基づいたルーティングを実行する。
NAT::アドレス変換に使用する、グローバル、プライベートアドレスプールを定義する。
BGPポリシー実装:BGPのルーティングポリシーを決定するプライマリツールである。
(config)# route-map map-tag [permit | deny]
(config-route-map)# match [condition]
(config-route-map)# set [actions]
適用
(confif-router)# redistribute protocol 10 routemap map-tag
ADの変更
(config)# distance weight
ネイバールータがEXSTARTやEXCHANGEの場合
・MTUが一致していない場合がある。
スムーズなローミングを実現させるためには、CCKMやアダプティブ802.11rが必要となる。
BGPアトリビュートを変更するようにする
route-map route-map 名前
match ip address ACL
set local-pref 150
neighbor 10,1,1,1 route-map 名前 in
権限レベル15のアカウンティング情報をTacticsサーバーに転送する。
aaa accounting commands 15 default start-stop group tactics
ポリシーベースルーティング
IPルーティングは宛先ベースだが、ポリシーベースルーティングは送信元ベースになる。
ip policy ルートマップ マップタグ
→上記のものを高速化したい
ip route-cache policy
顎
サイト間VPN
VPNを実装した拠点ルータ同士で企業の拠点間を接続する構成。
トンネリングや暗号化は、拠点ルータですべて実施するため、拠点内の
端末などの機器にVPNクライアントなどのソフトウェアをインストールする必要がない。
リモートアクセスVPN
VPNゲートウェイとVPNクライアントソフトをインストールしたPCとを接続する構成。VPNゲートウェイとVPNクライアントソフトとの間で、パケットの暗号化、号、カプセル化、非カプセル化を行う。
SSL-VPN
WebブラウザのSSLを利用して暗号化された通信が可能、できることに制限がある場合が多い。
IP SLAの閾値を設定するコマンド
(config)# threshold 値
この値をこえると、Over thresholdが流れる。5
コメントや要望があれば、下記のツイッターにDMをください。
Tweets by wallofmind2
-
CCNA メモ4
参考サイト
ネットワークエンジニアとして
TCP/IPとは?通信プロトコルの階層モデルを図解で解説
3分ネットワーキング
CCNA学習
CCNA 本まとめCCNA メモ 0
CCNAメモ 1
CCNAメモ 2
CCNAメモ 3
CCNAメモ 4
CCNAメモ 5
他のサイト
AWS クラウドプラクティショナー
クラウドプラクティショナー 自宅受験(PSI)AWS ソリューションアーキテクト アソシエイト
ソリューションアーキテクト(SAA) メモ1
ソリューションアーキテクト(SAA) メモ2
AWS アドミニストレーター アソシエイト
アドミニストレータ メモ1
アドミニストレータ メモ2
アドミニストレータ オリジナルテスト01 10問
アドミニストレータ オリジナルテスト02 10問
アドミニストレータ オリジナルテスト03 10問
アドミニストレータ オリジナルテスト04 10問
アドミニストレータ オリジナルテスト05 10問
アドミニストレータ サンプル問題2
AWS デベロッパー アソシエイト
デベロッパー メモ1
デベロッパー メモ2
デベロッパー メモ3
デベロッパー範囲 Code〇〇
デベロッパー範囲 ElasticBeantalk
デベロッパー範囲 X-Ray
デベロッパー範囲 Cognito
デベロッパー範囲 Lambda
デベロッパー オリジナルテスト01 10問
デベロッパー オリジナルテスト02 10問
デベロッパー オリジナルテスト03 10問
デベロッパー オリジナルテスト04 10問
デベロッパー オリジナルテスト05 10問
デベロッパー オリジナルテスト06 10問
デベロッパー オリジナルテスト07 10問
デベロッパー オリジナルテスト08 10問
デベロッパー オリジナルテスト09 10問
その他
Route53 独自ドメイン購入 エラー独自ドメイン CloudFront エラー
著者の他のサイト
駆け出しインフラエンジニアおすすめサイト
DynamoDBのキーをわかりやすく。育児の合間に認定デベロッパー アソシエイト