goo blog サービス終了のお知らせ 

のんびり・ゆっくりCCIE

CCIEラボにゆっくり一歩、ゆっくり前進で挑戦するブログ(覚書)です。

OSPFでのredistributeはsubnetを忘れずに。

2008-07-14 22:42:58 | OSPF
サブネット化されたメジャー ネットがある場合、OSPF にプロトコルを
再配送するには、キーワードとして「subnet」を使用する必要があります。

このキーワードを指定しないと、OSPF はサブネット化されていない
メジャー ネットしか再配送を行いません。

例)
router osfp 100
redistribute eigrp 100 subnet ★redistributeのときは必ずsubnetつける!

route-map使うときも忘れずに。。
例)
redistribute connected route-map CONN->OSPF subnet

OSPFをイーサネットで走らせる(対向1つ)

2008-07-14 22:33:08 | OSPF
OSPFをイーサネットで走らせるなら、
ネットワークタイプはBROADCASTで、HELLOはマルチキャストだけど、
対向1つしか無いんで、
ネットワークタイプをNON_BROADCASTにして、HELLOをユニキャストとしたい場合は、

int fa0/0
ip ospf network non-broadcast

router ospf 1
network 182.1.1.1 0.0.0.0 area 10
neighbor 182.1.1.9 ★対向をDRにさせたい場合はコレで指定


NBMA対策 その2 (ip ospf network broadcast コマンド)

2008-07-14 21:50:43 | OSPF
FRなどのNBMAではマルチキャストでHelloPacket送れないので手動でneighbor設定して
ユニキャストでHelloPacketを送信するのがフツー(?)だけど、neighborコマンドが
使えないという条件がある場合は?

⇒関連Routerのインタフェースでip ospf network broadcastを設定してネットワークタイプを
 NON_BROADCASTからBROADCASTに変更させる。
 また、この場合はDRとBDRの選出が必要となり、ハブはDRにする必要があるため
 スポーク(対向側)でip ospf priority 0を指定してあげる。


spanning-tree guard loop コマンドについて

2008-07-10 22:50:48 | Switching-その2【STP】
UTPは1,2,3,6ピンで送信するが、
送信ピンに異常があり
RXだけつながるとか、逆にTXだけ
つながるとかの状況が発生した場合は
DPが移行してしまい、ループ問題に
つながる可能性がある。

spanning-tree guard loopコマンドで
これを防止する。

interface GigabitEthernet0/12
spanning-tree guard loop

※これでloop-inconsistentという状態になり
  FW状態にならない。(ループ状態にならない)

spanning-tree guard root コマンドについて

2008-07-10 22:15:48 | Switching-その2【STP】
DistributionSW(priority 100)は、
NW上にどんな悪いSW(Priority 0)が
新しくつながれても、

自分のRootBrigeは変更されないように
spanning-tree guard rootコマンドを
使ってガードをかける。

●DistributionSW
interface GigabitEthernet0/1
spanning-tree guard root

MAC-AddressのベンダーIDをフィルタする。

2008-07-10 21:57:01 | Switching-その4【その他】
SW2のG0/3で送信元MAC-Address
ベンダーID(0000a1)をフィルタする。

mac access-list extend MAC-DENY
deny 0000.a1 00.0000 0000.00 ff.ffff
    (固定)  (可変) (固定) (可変)
permit any any

interface GigabitEthernet0/7
mac access-group MAC-DENY in

補足1:
あて先をフィルタ:ブロードキャスト、マルチキャストも含まれる。
送信元をフィルタ:こっちをなるべく使う。(8割がた)
          ユニキャストなので確実にフィルタできる。

補足2:
sw2(config)#mac address-table static <mac address>
で、mac addressは自由に変えられる


vlan10上のホストでipv6通信できないようにする。

2008-07-10 21:31:07 | Switching-その4【その他】
ルータで設定する場合はIF上でipv6 traffic-filterコマンドを
使用して設定できるが、2つのルータ間のVLAN上のホスト同士は
通信できてしまうそのため、今回はL2レベル(SW1)で下記の設定を行う。

●SW1
mac access-list extended PERMIT-IPV6
permit any any 0x86DD 0x0
#Type「0x86DD」でIPv6を許容(IPv4なら0x08DD,ARPなら0x0806)

vlan access-map DENY-IPV6 10 
action drop
match mac address PERMIT-IPV6

vlan access-map DENY-IPV6 20
action forward

vlan filter denyipv6 vlan-list 10

※確認:Ipv4のpingはとぶことを確認した方がいい。

PPP over FRの設定

2008-07-10 20:20:04 | その他
FRは、何のためにPPP使うの?
→FRは認証するための機能はないので
 PPPを使用して、これをFRにのっける!

<例:r1(対向r2も同様設定)>
hostname r1
username r2 password 0 cisco
!
interface Virtual-Template1 ★Ⅰ
ip address 161.254.2.1 255.255.255.0
ppp authentication chap
!
interface Serial1/0
encapsulation frame-relay
!
interface Serial1/0.2 point-to-point
frame-relay interface-dlci 151 ppp Virtual-Template1
★Ⅱ:上記★Ⅰと関連付ける(DLCI 151に対して
 PPPをのっけるイメージ)


NBMA対策 その1(ip ospf network non-broadcast コマンド)

2008-07-10 04:28:36 | OSPF
NBMA(FRなどの非ブロードキャスト)のネットワークタイプを
手動で設定する場合は「ip ospf network non-broadcast」
(※Helloをユニキャストで流せる)を設定する。

この場合、hello:30s,Dead:120sだが、
対向がpoint-to-pointで「ip ospf network」コマンドが使えない
という条件の場合は、hello:10s,Dead:40sに合わせてあげる。

補足
・「ip ospf network point-to-point(hello:10s,Dead:40s)」は、
  Helloでマルチキャスト使うのでNBMAではNG
・「ip ospf network point-to-multipoint(hello:30s,Dead:120s)」は、
  Helloでマルチキャスト使うのでNBMAではNG


プロクタへの質問について整理

2008-07-09 21:54:26 | ENGLISH
プロクタへの質問について整理

● I am having problems AAA 【私はAAAの問題を抱えております】

● Do you want me to configure BBB 【あなたはBBBをさせたいのですか?】

● I want to use CCC 【CCCを使用したいと思います。】

● Could I use CCC ? 【CCC使ってもイイですか?】
#「Can I 動詞」を過去形にすると、丁寧な言い方になります。

● Could I use CCC to BBB? 【BBBするためにCCC使ってもイイですか?】

※質問できても、返事が聞き取れるかな。。(汗)

上級編としては、
”Would you mind 動詞ING?”
 (~しても、お気に触りませんでしょうか?)

 ※mind=いやだと思う、気にする なので、
 ”Yes.”は「いやだ!やめて!」って意味になる。
 ”No,problem.”または ”No,not at all.”を使うと
  「どうぞ、いいですよ。」ってことになる。

RIP→OSPF再配信時に外部ルートのtypeをE1に変更

2008-07-08 22:05:20 | OSPF
外部ルートであるRIPを、OSPFに再配信する際に
LSAアドバタイズするのと一緒に指定のNW「10.254.0.0/16」の分
だけcostをインクリメントしなさいという場合は、
route-mapの中で「E1(set metric-type 1)」を指定してあげる。
※OSPF外部ルートはデフォルト「E2」

●例:
access-list 3 permit 10.254.0.0 0.0.255.255

route-map RIP->OSPF permit 10
match ip address 3
set metric-type 1

route-map RIP->OSPF permit 20
★↑コレで、その他全部をpermit。
  忘れると「10.254.0.0/16」だけ流しこまれてあとはdenyされちゃうので注意!

router ospf 10
redistribute rip subnets route-map rip->OSPF

OSPFの認証有効にしたらバーチャルリンク切れちゃった

2008-07-08 21:08:43 | OSPF
router ospf
area <id> authentication <password>
とかで、認証有効にすると、バーチャルリンクで
自動的に認証が有効化されてしまい、今まで使用
していたバーチャルリンクのリンクがきれちゃう。
(バーチャルリンク対向機の認証設定ないので。。)

特定のバーチャルリンクで認証有効にしたい場合は
個別に
router ospf
area <id> virtual-link
<router-id> authentication <password>
とかで設定すれば、OKかな。


ospfアドバタイズにnetworkコマンド使っちゃダメなら。。

2008-07-08 20:56:12 | OSPF
R1のOSPF上にある169.254.1.0/28をアドバタイズしたいけど。。
networkコマンド使っちゃダメよという場合は?

access-list 1 permit 169.254.1.0 0.0.0.15
route-map <word> permit 10 ※
match ip address 1

router ospf 10
redistribute connected subnets route-map <word>

※全部流れないようにroute-mapで指定してあげる。
(#12.3以降ならip ospf networkコマンド使えるんだけど。。)

virtual-linkは言われなくても設定する

2008-07-07 23:31:24 | OSPF
r4から191.1.1.0/24のネットワークが見れて、191.1.5.0/24ネットワークの冗長も可能となるよう考える。

■例:R3のConfig
router ospf 1
area 13 virtual-link 2.2.2.2 ★対向(R2も同様に設定)
area 13 virtual-link 5.5.5.5 ★対向(R5も同様に設定)

※問題には書いてなくても、バックボーンと離れていたら自分でvirtual-link設定する。(アドレスではなくroute-idを使う点に注意)

※確認は、
 show ospf virtual-linkでvirtual-linkはれているか確認
 show ip ospf neighbor でネイバー確認

FRのハブ&スポーク+OSPF(条件付き)

2008-07-07 22:36:42 | OSPF
FRのハブ&スポークで、OSPF Area20を構築する際に、スポーク側はip ospf networkコマンドで
ネットワークタイプを変更できない時は、ip ospf hello-interval 10でハブ側のネットワークタイプ
(broadcast)に合わせてあげる。またip ospf priority 0にすることでハブ側をDRにしてあげられる。

※NWタイプが一致しなくれもネイバーになれちゃうけど、そのあとSPF計算するのにDR/BDRがあってないとNG!