goo blog サービス終了のお知らせ 

のんびり・ゆっくりCCIE

CCIEラボにゆっくり一歩、ゆっくり前進で挑戦するブログ(覚書)です。

etherchannel設定

2008-10-04 12:00:42 | Switching-その3【Etherchannel】
etherchannelは設定する順序にも注意。
(CCOの順序とおりに投入する。)

いきなりinterface port-channelコマンドから
投入したりしない。

例:
int range fa0/XX-XX
channel-group 1 mode on
interface port-channel 1 ★channel-groupで設定した番号で自動作成される。
(対向機も同様に設定)


確認:
⇒show etherchannel port-channel1
⇒show etherchannel 1 summary

参考:
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/
release/12.1_8_ea1/configuration/guide/swethchl.html#wp1042006

・EtherChannel を設定するための条件は以下になります。
 ・すべてのポートを同じ VLAN か、同じネイティブ VLAN のトランクにする
 ・トランクの場合、双方のスイッチで同じトランクモードにする
 ・ダイナミック VLAN でない
 ・すべてのリンクは同じモード(半二重・全二重)で、同じ速度にする
 ・すべてのリンクで BroadCastポート制限を同じにする
 ・すべてのリンクでポートセキュリティを無効にする
 ・チャネル内の全てのポートを有効にする。
 ・ひとつでも無効にすると、リンク障害が発生する。


switchport trunk allowed コマンドについて

2008-10-04 08:53:14 | Switching-その4【その他】
デフォルトではトランクリンク上ですべてのVLANが転送される為、
トランクリンク上で流れるVLANを指定するコマンドです。

(config-if)#switchport trunk allowed <vlan-id>

※vlan-idはカンマやハイフンで複数指定可能

clear frame-relay-inarpコマンドについて

2008-10-04 08:07:09 | Frame-Relay
「clear frame-relay-inarp」コマンドで
Inverse ARPにより自動的に作成されたマップエントリをクリアする。

OSPFのMD5認証

2008-10-04 02:57:19 | OSPF
■ospfの場合
router ospf 1
 area 0 authentication message-digest ★パスワードにMD使用

■ospfv3の場合
ipv6 router ospf 1
area 0 authentication ipsec spi 1000 md5 <password>
!
interface FastEthernet X/X
 ip ospf message-digest-key 1 md5 <password>

※OSPFの認証は、MD5認証と平文認証の2つをサポートしている。

参考:http://www.cisco.com/JP/support/public/ht/tac/100/1007924/25-j.shtml#authentication

ebgp-multihop コマンドについて

2008-10-04 02:10:14 | BGP
ebgpピアは、原則として直結していなければいけないが
対向でループバックアドレスをebgpのneighborとしている場合は、
下記★によりTTLを増やしてあげる。

router bgp YY
neighbor YY.YY.1.1 remote-as YY
neighbor XX.XX.XX.XX ebgp-multihop ★(TTLはデフォルト255)
neighbor XX.XX.XX.XX update-source loopback 0 

※ibgpピアの場合は不要

TCP Interceptについて

2008-10-01 15:06:36 | Security
「TCP Intercept」はDoS攻撃の一種である、「TCP SYN-flooding attacks」
を防ぐ為の手法です。

#「TCP SYN-flooding attacks」は3wayハンドシェイクのSYNパケットだけを
#投げ、ACKを返さないことで不完全な接続要求を大量に送り、接続要求を
#行えなくする攻撃方法です。

・TCP Interceptモードの設定
(config)#ip tcp intercept mode {intercept | watch}
「ip tcp intercept」コマンドでパラーメーターを設定
※デフォルトでは「Intercept」モードになっています。

■Interceptモード
3wayハンドシェイクのサーバーとのコネクションをルーターが変わりに
実施し、SYN-ACKをルーターがクライアントへ送ります。
そこでSYN ACKが帰ってきたらサーバーにSYNを送り、クライアント・サーバ
間でのセッションに戻します。

Interceptモードはルータがクライアントとサーバ間の3way handshakeを
仲介するので、ルータに処理負荷がかかります。
動作モードをWatchモードに変えればルータは3way handshakeを仲介しなく
なりますので、処理負荷は小さくなります。

■watchモード
ルーターはクライアント・サーバ間での3wayハンドシェイクを監視し、
ある時間(デフォルト30秒)待ってセッションか確立されなければ、
ルーターはサーバにセッションのリセットを要求します。

Router(config)# ip tcp intercept mode watch
Wachモードにすると、ルータはクライアントからのSYN+ACKが返ってくるかを
監視します。デフォルトでは30秒応答が無い場合サーバに対してRSTを送ります。
例えば、15秒応答が無い場合にRSTを返す設定をするとなると以下のように
なります。

(config)#ip tcp intercept mode watch
Router(config)# ip tcp intercept watch-timeout 15

参考:
http://www.n-study.com/network/2006/08/configuring_tcp_2.html
http://www.netagency.biz/ccie/modules/smartsection/item.php?itemid=80


class-defaultについて

2008-10-01 13:54:29 | Qos

管理者が設定したどのクラスにも分類されないパケットは、
class-defaultというデフォルトで作成されているクラスに
分類されます。

このクラスに入ったトラフィックはデフォルトではFIFOで
送信します。これをうまく使えば条件を指定するACLの数
とか減らせます!

参考:
http://www.cisco.com/JP/support/public/ht/tac/100/1007005/7200_per-vc-cbwfq-j.shtml

ip cef コマンドの概要について

2008-10-01 13:17:15 | Qos
ip cef コマンドは、CEF をグローバルに有効にします。

CEF とは、ルータの高度なレイヤ 3 スイッチング テクノロジーです。
CEF では、シスコのルータが入力インターフェイスから
出力インターフェイスへパケットを転送するための、最も高速な方法を
定義しています。

C3600では、CEF と、MQC で設定する QoS ポリシーがサポート
されてます。

mls qosコマンドについて

2008-10-01 11:56:33 | Qos
「mls qos」は、SWでQoSを使用するためのコマンドです。

これによりパケットをクラシファイ(分類)が有効になります。
※デフォルトでは無効になっています。

この分類中、スイッチはパケットにCoS値またはDSCP値(QoSラベル)を
割り当てます。この割り当てられたQoSラベルによってキューイングや
スケジューリングの動作を決定します。

着信トラフィックの分類に、フレームまたはパケットのどのフィールドを
使用するかはコンフィグ設定で指定できます。

mls qosを有効にすることによってキューが4つできる。
※実はauto qosを設定したときに連動してmls qosが設定される
 なのでauto qos入れないときは,mls qosいれる点に注意する。



MQCの設定例について

2008-10-01 11:48:01 | Qos
Modular QoS CLI Configuration Examples
(モジュール化して設定)

1.Defining Traffic Classes(クラス分け)
class-map class1
match access-group 101
class-map class2
match access-group 102

2.Creating a Service Policy(ポリシーの適用)
policy-map policy1
class class1
  bandwidth 3000
  queue-limit 30
class class2
bandwidth 2000

3.Attaching a Service Policy to an Interface
(インターフェースに関連付け)
interface e1/1
service-policy output policy1
interface fa1/0/0
service-policy output policy1

プロクタへの質問について整理(その2)

2008-10-01 07:00:30 | ENGLISH
プロクタがペラペラ英語しゃべってきて、
速くてよく分からなかったら。。
Could you say that again.
と言って、もう一度聞いてみます。

それでも分からなくて
「(何度聞いても)分からないので、違う言い方をしてくれませんか?」
と、聞いてみたい場合は。。’’mean’’が 使えます

I'm sorry, I don't know. (もしくは I can't understand.)のあとに、
What do you mean? (どういう意味ですか?) または、
Could you explain what you mean?(どういうことなのか説明してくれますか?)
と言えば、簡単な言葉や表現に 置き換えてくれると思います。

大体は分かったんだけど・・・っていうときは、
You mean that 主語 動詞~.
(つまり、あなたが言いたいのは~ということですね?)
と確認することも出来ます(●^o^●)

OSPFでLoopbackを/32以外でアドバタイズしたい場合

2008-09-30 21:16:52 | OSPF
「interface Loopback0(例)」から
「ip address」コマンドで
せっかくサブネットを「/24」に設定しても。。
OSPFでは、ループバックインタフェースでは
「/32」としてアドバタイズされてしまいます。

これは
「interface Loopback0(例)」から
「ip ospf network point-to-point」を設定して
あげることで「/24」でアドバタイズされるように
なります。

※確認は対向機で「clear ip route *」してから
 「show ip route」すると、すぐに確認できる。

NBMAについて(ハブアンドスポーク編)

2008-09-30 20:45:42 | OSPF
3台のルータをFR接続したハブアンドスポーク構成の場合

●デフォルトのNBMA(Non-broadcast MultiAccess)でブロード
 キャストはできないので、neighborコマンドを手入力します。
 →これで「ハブ⇔スポーク」でHelloをユニキャストで送信。
  ※Helloの間隔は30秒

●NBMAではLANを擬似る為にDR/BDRを選出する必要が
 あります。
 これはスポーク側(2台)で「ip ospf priority 0」にすればOK
 ※priorityのデフォルトは1

route-mapを使用した再配信(eigrp→ospf)

2008-09-28 15:58:47 | 再配信
EIGRP100からOSPFへ10.10.10.0/24のルート以外を
再配送するけれどdistribute-listを使っては
いけませんときたらroute-mapを使ってみようかな。

router ospf 1
redistribute eigrp 100 subnets route-map EIGRP-TO-OSPF

route-map EIGRP-TO-OSPF permit 10
match ip address 1

route-map EIGRP-TO-OSPF permit 20

access-list 1 deny 10.10.10.0/24
access-list 1 permit any

⇒show route-mapで確認

ripにredistributeする場合

2008-09-25 21:23:37 | 再配信
ripにredistributeする場合は
hopカウントを「default-metric」コマンド等で
適当な値を入れてあげることを忘れない!

例)
router rip
 redistribute ospf 100
 default-metric 1 ★

※hopカウント14とかはきわどいメトリックなので、
 わかりやすいものを入れてあげる。