再配送時のデフォルトシードメトリックは
下記のとおり
・RIP:アドバタイズしないので必ず設定要
・EIGRP:アドバタイズしないので必ず設定要
・OSPF:20(※BGPからの再配送時は1)
・BGP:IGPのメトリック値をそのまま使用
下記のとおり
・RIP:アドバタイズしないので必ず設定要
・EIGRP:アドバタイズしないので必ず設定要
・OSPF:20(※BGPからの再配送時は1)
・BGP:IGPのメトリック値をそのまま使用
OSPF Hello/Deadインターバルのデフォルト値は下記のとおり
Hello dead
BROADCAST 10 40
POINT_TO_POINT 10 40
NON_BROADCAST 30 120
POINT_TO_MULTIPOINT 30 120
・Helloインターバルの設定
(config-if)#ip ospf hello-interval [second]
・Deadインターバルの設定
(config-if)#ip ospf dead-interval [second]
※Hell設定するとdeadはその4倍になるが
Dead変更してもHelloは変更されない点に注意
Hello dead
BROADCAST 10 40
POINT_TO_POINT 10 40
NON_BROADCAST 30 120
POINT_TO_MULTIPOINT 30 120
・Helloインターバルの設定
(config-if)#ip ospf hello-interval [second]
・Deadインターバルの設定
(config-if)#ip ospf dead-interval [second]
※Hell設定するとdeadはその4倍になるが
Dead変更してもHelloは変更されない点に注意
●スタブエリア
外部LSA(LSAタイプ5)を受け取らず
デフォルトルートを使用してルーティングテーブルのエントリ数を減らす
ためのエリア(※ASBRを配置できない)
例)
router ospf 1
area 1 stub
※対向も同様に設定
●トータリースタブエリア(Cisco独自)
上気スタブエリアに加えて集約LSA(LSAタイプ3,4)も受け取らず
デフォルトルートを使用してルーティングテーブルのエントリ数を
更に減らすためのエリア(※ASBRを配置できない)
例)
router ospf 1
area 1 stub no-summary
※対向も同様に設定
外部LSA(LSAタイプ5)を受け取らず
デフォルトルートを使用してルーティングテーブルのエントリ数を減らす
ためのエリア(※ASBRを配置できない)
例)
router ospf 1
area 1 stub
※対向も同様に設定
●トータリースタブエリア(Cisco独自)
上気スタブエリアに加えて集約LSA(LSAタイプ3,4)も受け取らず
デフォルトルートを使用してルーティングテーブルのエントリ数を
更に減らすためのエリア(※ASBRを配置できない)
例)
router ospf 1
area 1 stub no-summary
※対向も同様に設定
NSSA(Not-So-Stubby Area)について
スタブエリア内には、ASBRを配置できないという制限をなくし外部ネットワークを
接続できるようにしたスタブエリア。
NSSA内に配置されたASBRはLSAタイプ5ではなく、LSAタイプ7を送信しますが、
LSAタイプ7だと別のエリアには流れない為、NSSA内のABRがタイプ7のLSAを
タイプ5のLSAに変換して外部エリアに伝播されます。
スタブ エリアと同様、NSSA にも 2 つの種類があります。
1)タイプ5LSA をブロックし、タイプ3,4LSAを受け入れるNSSA
router ospf 1
area 1 nssa
2)サマリー デフォルト ルートだけを受け入れ、それ以外をすべて遮断する
NSSA 完全スタブエリア
router ospf 1
area 1 nssa no-summary
スタブエリア内には、ASBRを配置できないという制限をなくし外部ネットワークを
接続できるようにしたスタブエリア。
NSSA内に配置されたASBRはLSAタイプ5ではなく、LSAタイプ7を送信しますが、
LSAタイプ7だと別のエリアには流れない為、NSSA内のABRがタイプ7のLSAを
タイプ5のLSAに変換して外部エリアに伝播されます。
スタブ エリアと同様、NSSA にも 2 つの種類があります。
1)タイプ5LSA をブロックし、タイプ3,4LSAを受け入れるNSSA
router ospf 1
area 1 nssa
2)サマリー デフォルト ルートだけを受け入れ、それ以外をすべて遮断する
NSSA 完全スタブエリア
router ospf 1
area 1 nssa no-summary
BGPのベストパスは,1つですが
ロードバランス(複数のルートをベストパスとしたい
場合)は「maximum-paths」コマンドを使います。
R1(config-router)#maximum-paths ?
<1-16> Number of paths
ibgp iBGP-multipath
(config-router)#maximum-paths 2
とすればベストパスを2つまで選んでくれます。
ロードバランス(複数のルートをベストパスとしたい
場合)は「maximum-paths」コマンドを使います。
R1(config-router)#maximum-paths ?
<1-16> Number of paths
ibgp iBGP-multipath
(config-router)#maximum-paths 2
とすればベストパスを2つまで選んでくれます。
コミュニティにより複数のルートにタグを付けてグループ化して
取り扱うことができます。
受け取ったルータが認識できる場合は、これによりフィルタリングや
アトリビュートの属性を変更することができます。
手順は下記のとおりです。
1.コミュニティ属性をネイバーに伝達するために以下を設定
(config)# router bgp 1
(config-router)# neighbor 172.16.1.1 send-community
特定経路に対してコミュニティ値を定義したい場合は、
neighbor route-mapコマンドとともに、以下の設定をすることで、
ルートマップをアップデートに適用することが出来ます。
(config)# route-map R-com
(config-router)# set community [ community-number | no-export |
no-advertise | local-AS ]
参考:
http://www.infraexpert.com/study/rp5bgp17.htm
取り扱うことができます。
受け取ったルータが認識できる場合は、これによりフィルタリングや
アトリビュートの属性を変更することができます。
手順は下記のとおりです。
1.コミュニティ属性をネイバーに伝達するために以下を設定
(config)# router bgp 1
(config-router)# neighbor 172.16.1.1 send-community
特定経路に対してコミュニティ値を定義したい場合は、
neighbor route-mapコマンドとともに、以下の設定をすることで、
ルートマップをアップデートに適用することが出来ます。
(config)# route-map R-com
(config-router)# set community [ community-number | no-export |
no-advertise | local-AS ]
参考:
http://www.infraexpert.com/study/rp5bgp17.htm
IPv6のフレームリレー設定(例)
ipv6 unicast-routing
!
interface Serial0/0
ip address 192.168.1.1 255.255.255.0
encapsulation frame-relay
ipv6 address 2000:1::1/96
frame-relay map ipv6 2000:1::2 211 broadcast
frame-relay map ip 192.168.1.2 211 broadcast
frame-relay map ip 192.168.1.3 223 broadcast
frame-relay map ip 192.168.1.4 224 broadcast
no frame-relay inverse-arp
!
※もしLink-local使うなら再起動すると変わるから
固定にした方がいいかな。
参考:
http://www.netagency.biz/ccie/modules/smartsection/item.php?itemid=84
ipv6 unicast-routing
!
interface Serial0/0
ip address 192.168.1.1 255.255.255.0
encapsulation frame-relay
ipv6 address 2000:1::1/96
frame-relay map ipv6 2000:1::2 211 broadcast
frame-relay map ip 192.168.1.2 211 broadcast
frame-relay map ip 192.168.1.3 223 broadcast
frame-relay map ip 192.168.1.4 224 broadcast
no frame-relay inverse-arp
!
※もしLink-local使うなら再起動すると変わるから
固定にした方がいいかな。
参考:
http://www.netagency.biz/ccie/modules/smartsection/item.php?itemid=84
AS番号は16ビットなので、範囲は「1~65535」まで
・グローバルASは、「1~64511」の範囲が予約されている
・プライベートASは「64512~65535」の範囲が予約されている
・グローバルASは、「1~64511」の範囲が予約されている
・プライベートASは「64512~65535」の範囲が予約されている
ユーザーが独自に設定できるWFQであるCBWFQ(class-based WFQ)と
特定のアプリに帯域を割り当てて最優先に転送するPQ(priority queuing)を
組み合わせたもの。
シスコ独自方式の優先制御アルゴリズム。
特定のアプリに帯域を割り当てて最優先に転送するPQ(priority queuing)を
組み合わせたもの。
シスコ独自方式の優先制御アルゴリズム。
QosのアーキテクチャのIntServ は、
Resource Reservation Protocol(RSVP; リソース予約プロトコル)を使用して、
ネットワークにわたるエンドツーエンドのパス上にあるデバイスに対して、
アプリケーション トラフィックに QoS を行う必要があることを信号で示します。
経路上にあるすべてのネットワーク デバイスで必要な帯域幅が予約できると、
送信元のアプリケーションは送信を開始します。Request for Comments
(RFC; コメント要求)2205 では RSVP を定義し、また RFC 1633 では
IntServ を定義しています。
参考:
http://www.cisco.com/JP/support/public/ht/q_a/100/1006398/qos_faq-j.shtml
Resource Reservation Protocol(RSVP; リソース予約プロトコル)を使用して、
ネットワークにわたるエンドツーエンドのパス上にあるデバイスに対して、
アプリケーション トラフィックに QoS を行う必要があることを信号で示します。
経路上にあるすべてのネットワーク デバイスで必要な帯域幅が予約できると、
送信元のアプリケーションは送信を開始します。Request for Comments
(RFC; コメント要求)2205 では RSVP を定義し、また RFC 1633 では
IntServ を定義しています。
参考:
http://www.cisco.com/JP/support/public/ht/q_a/100/1006398/qos_faq-j.shtml
ルーティングプロトコルが複数ある場合
AD値 0~255の範囲で小さいほうが優先されます。
ルートの情報源 デフォルト値
==============================
ルータに直接接続: 0
スタティックルート: 1
EIGRP集約経路: 5
BGP(外部ルート): 20
EIGRP(内部ルート): 90
IGRP: 100
OSPF: 110
RIPv1/v2: 120
EIGRP(外部ルート): 170
BGP(内部ルート): 200
未知のルート: 255
AD値 0~255の範囲で小さいほうが優先されます。
ルートの情報源 デフォルト値
==============================
ルータに直接接続: 0
スタティックルート: 1
EIGRP集約経路: 5
BGP(外部ルート): 20
EIGRP(内部ルート): 90
IGRP: 100
OSPF: 110
RIPv1/v2: 120
EIGRP(外部ルート): 170
BGP(内部ルート): 200
未知のルート: 255
Communityアトリビュートにより複数のルートにタグを付け、
グループ化して取り扱うことができる。
受け取ったルータが認識できる場合、Communityによって
フィルタリングやアトリビュートの変更を行うことができる。
※community属性の一つであるno-export属性を使って,
他ASに経路情報を通知しないようにすることができる。
グループ化して取り扱うことができる。
受け取ったルータが認識できる場合、Communityによって
フィルタリングやアトリビュートの変更を行うことができる。
※community属性の一つであるno-export属性を使って,
他ASに経路情報を通知しないようにすることができる。
SSH(Secure Shell)は、セキュアなリモート アクセス接続をネットワーク
デバイスに提供するプロトコルです。SSH バージョン 1 と SSH バージョン 2 の
どちらでも、クライアントとサーバの間の通信は暗号化されます。
より拡張されたセキュリティ暗号化アルゴリズムを使用するため、可能な場合は
SSH バージョン 2 を実装してください。
※ip ssh versionコマンドでVersionの設定をしなければ、デフォルトで
Version1,2の両方をサポートする
⇒show sshコマンドでVersion確認
参考:
http://www.cisco.com/JP/support/public/ht/tac/100/1007844/ssh-j.shtml
デバイスに提供するプロトコルです。SSH バージョン 1 と SSH バージョン 2 の
どちらでも、クライアントとサーバの間の通信は暗号化されます。
より拡張されたセキュリティ暗号化アルゴリズムを使用するため、可能な場合は
SSH バージョン 2 を実装してください。
※ip ssh versionコマンドでVersionの設定をしなければ、デフォルトで
Version1,2の両方をサポートする
⇒show sshコマンドでVersion確認
参考:
http://www.cisco.com/JP/support/public/ht/tac/100/1007844/ssh-j.shtml
Guest VLANとは、
米シスコ・システムズのLANスイッチが備えるセキュリティ機能。
LANに接続するための認証方法を定めた標準仕様「IEEE802.1X」に対応した
LANスイッチが持つ。
本来はLANへの接続を許可できないユーザーでも,インターネット接続だけは
利用できるようにするもの。
例えば,社外のユーザーやWindows MeのようなIEEE802.1Xに対応しない端末が
LANポートに接続してきた場合,端末またはユーザーに対してインターネット
接続だけを許可し,LAN内部には入れないようにする。
参考:
http://itpro.nikkeibp.co.jp/word/page/10009643/
米シスコ・システムズのLANスイッチが備えるセキュリティ機能。
LANに接続するための認証方法を定めた標準仕様「IEEE802.1X」に対応した
LANスイッチが持つ。
本来はLANへの接続を許可できないユーザーでも,インターネット接続だけは
利用できるようにするもの。
例えば,社外のユーザーやWindows MeのようなIEEE802.1Xに対応しない端末が
LANポートに接続してきた場合,端末またはユーザーに対してインターネット
接続だけを許可し,LAN内部には入れないようにする。
参考:
http://itpro.nikkeibp.co.jp/word/page/10009643/
例:)ip accounting access-violationsコマンド
access-list 100 deny tcp host X.X.X.1 X.X.X.2 eq 23
access-list 100 deny tcp host X.X.X.1 X.X.Y.2 eq 80
access-list 100 permit ip any any
interface gi0/0
ip access-group 100 in
ip accounting access-violations
アクセス リスト違反の IP アカウンティングを有効にします。
これにより、ユーザは送信元と宛先のペアのアクセスリストに反して
セキュリティ侵犯を試みた単一ソースからのバイト数とパケット数を
表示できます。デフォルトでは、IP アカウンティングはアクセス
リストによって許可され、ルーティングされたパケットの数を表示します。
