goo blog サービス終了のお知らせ 

のんびり・ゆっくりCCIE

CCIEラボにゆっくり一歩、ゆっくり前進で挑戦するブログ(覚書)です。

RIPでoffset-listコマンドの経路優先が使えない場合

2008-07-05 11:36:18 | RIP
ripでoffset-listの経路優先が使えない場合は、AD値を変更しちゃう。
(フツーは違うプロトコルの場合に使うけど、同じプロトコルにも使える)
今回はR2からR1(169.254.0.0/24)宛のRIPの経路が2つある場合、183.1.1.0/24のNWを通るようにAD値変更

●R2
router rip
distance 110 183.1.1.0 0.0.0.0 255 2★ADデフォルト120だけど110にして優先度高にする(2は下のACL)
 #もし上記で、0.0.0.0 255.255.255.255にすればルーティングインフォメーションを考慮しないという扱いになる。
access-list 2 permit 169.254.0.0 0.0.0.255 ★適用する宛先のNWアドレスを指定

RIPでpassive-interface使えない場合

2008-07-05 10:15:06 | RIP
RIPの余計なルーティングupdateとめるのにpassive-interfaceを指定するけど、このコマンド使っちゃダメよときたら、
passive-interface default(★)でガンと指定しておいてRIPしゃべらせたいIFだけno passive-interface(●)で指定すればOK。
●R3
router rip
version 2
passive-interface default ★基本RIP-updateいらないを設定して。
no passive-interface s1/2.2 ●RIP-updateさせたいIFをコレで指定
network 169.254.1.0
なるほどと。

GREによるトンネル設定でローカル以外も監視!

2008-07-05 05:10:05 | PPP
R1~R2でFRがdownしたとき(※ローカル以外も監視)だけPPPを使用し、最も早いコンバージェンスとなるように設定する。

●普段はPPP経由でtunnelがアップしないようACLをかける(対向も同様に設定)
 (トンネルはgreでカプセル化されているので、これをdeny)
access-list 100 deny gre host 151.2.2.2(★src:相手のlo) host 151.1.1.1(★dst:自分のlo)
access-list 100 permit ip any any
●PPP向けインタフェースに上のACLを適用(対向も同様に設定)
int s1/4
ip access-group 100 in
●ローカル以外も監視したいのでトンネル設定(対向も同様に設定)
int Tunnel 0
no ip address
backup interface s1/4 ★ppp向けをバックアップIFに指定(※対象はローカルIFのみ)
keepalive 1 3 ★コンバージェンス早くなるよう設定
tunnel source loopback 0 ★greカプセル化におけるsrc設定
tunnel destination 151.2.2.2 ★greカプセル化におけるdst設定

最近は、いろんなところでトンネル設定使う。。(障害時の動作は実機で確認中)

offset-list(ディスタンスベクター型対応)を使いこなす。

2008-07-04 19:43:47 | RIP
お互いのloアドレスから1ホップで相手のloアドレスに到達できる環境で、
系はFRの系とPPPの系がありますと。そこでFRの系を優先させたい場合
ですが、ココでoffset-listコマンドを使ってPPPのホップ数1に2を足し
3ホップにすると、PPPの系は優先度が落ちて、FRの系が優先されると。。
●R1
router rip
offset-list 1 out 2 s1/4 ★PPPのIFにホップ数を2足して3にする
access-list 1 permit 151.1.1.0 0.0.0.255 ★自分のloアドレスのNW
●R2
router rip
offset-list 1 out 2 s1/4 ★PPPのIFにホップ数を2足して3にする
access-list 1 permit 151.2.2.0 0.0.0.255 ★自分のloアドレスのNW

PPP(認証)のお決まりConfigを整理

2008-07-04 18:46:44 | PPP
●R1→R2のみの認証設定
###################################################################
hostname R1
username Router2 password 0 CISCO ★ココでは相手(Router2)の情報を設定
int s1/1
clockrate 128000
ppp authentication chap  ★R1からのみCHAP-Challengeを送出(認証開始)
ppp chap hostname Router1 ★ココでは自分(Router1)の情報を設定
no shutdown
###################################################################
hostname R2
username Router1 password 0 CISCO ★ココでは相手(Router1)の情報を指定
int s1/1
encapsulation ppp
ppp chap hohst name Router2 ★ココでは自分(Router2)の情報を設定
no shutdown

#相手の設定なのか自分の設定なのか、こんがらがんない様にしなきゃ。。

DTP(Dynamic Trunking Protocol)流しちゃダメとよきたら。

2008-07-04 12:39:35 | Switching-その4【その他】
int fa1/11
switch trunc encapsulation dot1q
switch port mode trunk
switchport nonegotiate ★これでDTP流さないようにする。
なるほどと。

switchport port-security mac-addressコマンド(手動と自動)

2008-07-04 12:05:19 | Switching-その4【その他】
●手動の場合(相手もmac-address入れる!)
int fa1/2
switchport port-security
switchport port-security mac-address 000f.907d.1111

●自動の場合(相手のmac-addressを
 ダイナミックに学習してきてアドレス情報をConfig上に残す!)
int fa1/2
switchport port-security
switchport port-security mac-address ★sticky
switchport port-security 000f.907d.1111
#上の★を入れると、show runではちゃんとMAC-Address(000f.907d.1111)が
#表示されるとおもっていたけど、実機確認ではなぜか表示されなかった。。
# ⇒継続確認中

switchport port-security violationコマンドについて

2008-07-04 08:39:32 | Switching-その4【その他】
安いswitchでポートふやしたいとかいう場合、余計なトラヒック受け取らないように高いswitchg側でport-security使ったりするけど(絵1参照)、
violation(違反)counterが増えないようにとか問題分に条件があったら迷わずprotect(下記●)を選ぶべし!

(config-if)# switchport port-security violation [ restrict | restrict | shutdown]
 protect : 違反したらパケットDrop,アラーム出力なし,●violation counter増ない
 restrict : 違反したらパケットDrop,アラーム出力あり,★violation counter増える
 shutdown : 違反パケットが来たら、インタフェースをおとす,アラーム出力あり、★violation counter増える

■確認コマンド
show port-security address
show port-security interface


BGPでLoopbackを使ってピアはるとき

2008-07-03 23:34:01 | BGP
BGPで対向ルータとLoopbackを使ってピアはるときは、
「ebgp-multihop(直結じゃありませんよの意)」、
「update-source loopback」も忘れず入れとかなきゃ。。

router bgp 100
nei 10.1.1.1【loアドレス】 remote-as 100
nei 10.1.1.1 ebgp-multihop ★
nei 10.1.1.1 update-source loopback 0 ★
nei 10.1.1.1 route-reflector-client ★相手をルートリフレクタクライアントにしたい場合はコレ入れる。

※BGPで冗長するときはloを指定

bgpのno synchronization コマンドについて

2008-07-03 22:55:21 | BGP
ルートはIGP使ってAS内のみんな(Router)が学習するまでは、BGPはルートをアドバタイズしちゃダメだけど、
IBGP経由でルートを学習が済んでいたらAS内のみんなに教えた後、外のピアにも教えてあげられるよ。
(ルートは知ってるのに送れないよという状態を予め防ぐため)

というように、BGPテーブル内に格納されたプレフックスは上記のBGP同期規則(中のみんなが知らなければ
外にアドバタイズしちゃダメ)があるけど、OSPFとかのIGPに頼らなくてもBGPがAS内のRouterすべてで
動いていれば(本当にフルメッシュの場合)、この機能をOFFにできるため、no synchronization打つべし!打つべし!

※中継するルータも含めてIBGPピアが確立されているならば、同期の必要なし。

ospfでのsummary-addressコマンドについて

2008-07-03 22:03:28 | OSPF
ASBR(Autonomous System Boundary Router)で,
外部ネットワークの経路情報を集約して送信!
##################################################
router ospf 1
redistribute connected subnet route-map CON->OSPF
redistribute rip subnets
summary-address 10.0.0.0 255.252.0.0
→★外部ネットワークの経路情報を/14で相手にサマリして渡す。
##################################################
なるほどと。

route-mapについて整理

2008-07-03 21:50:16 | その他
route-mapは複合ACL。

「match」でパケットやルート条件を指定して
「set」でそのときの動作を決められる。

フツーのACLとの違いは、フィルタリングだけでなくルートも変更も
できちゃうこと。

今回は、OSPFへの再配信時
redistributeコマンドの中で「route-map」を適用して、
「prefix-list」で192.1.1.0/24(VLAN110)だけ絞り込んでみる。

##########################################################

router ospf 1
redistribute eigrp 200 subnets route-map <EIGRP_TO_OSPF>

ip prefix-list <VLAN110> seq 5 permit 192.1.1.0/24
route-map <EIGRP_TO_OSPF> permit 10
match ip address prefix-list <VLAN110>

※<>はWORD

##########################################################

channel-groupコマンドについて

2008-07-03 21:32:04 | Switching-その3【Etherchannel】
channel-groupコマンドは、デフォルトの設定はないので
どれか指定しなきゃ。。モードの違いを整理。

・LACP(Link Aggregation Control Protocol):IEEEE802.3adのLAG
・PAgP(Port Aggregation Protocol):Cisco独自のポートチャネル
※LACPとPAgPは互換性なし

###############################################################################################
SW3(config-if)#channel-group 34 mode ?
active :Enable LACP unconditionally ★無条件にLACPを有効にする
auto :Enable PAgP only if a PAgP device is detected ★対向がPAgP装置なら自分もPAgPを有効にする。
desirable :Enable PAgP unconditionally ★無条件にPAgPを有効にする
on :Enable Etherchannel only ★Etherchannelだけを有効にする
passive :Enable LACP only if a LACP device is detected ★対向がLACP装置なら自分もLACPを有効にする
###############################################################################################


実家ラボ構築!

2008-07-03 21:12:03 | その他
やっと実家ラボ構築!さぁやるぞ~。
●ルータ
Cisco3640 (IOS12.4 フルメモリ Serialx4、FEx2) 2台
Cisco3640 (IOS12.4 フルメモリ Serialx4、FEx1) 2台
Cisco3640 (IOS12.4 フルメモリ Serialx4、Ethx3)
Cisco1841(IOS12.4 FEx2、Serialx2)
Cisco1841(IOS12.4 FEx2、Serialx1)
●スイッチ
Catalyst3550が2台 (IOSはAdvanced-IP-Servicesの12.2(25)SEE)
Catalyst3560が1台(IOSはAdvanced-IP-Servicesの12.2(25)SEE2)
Catalyst3750が1台(IOSはAdvanced-IP-Servicesの12.2(25)SEE2)
●フレームリレースイッチ
Cisco2522(Serialx10)
●バックボーンルータ
Cisco2514(Serialx2、Ethx2)2台
●アクセスサーバ
Cisco2511(Asyncx16)