TCP Interceptについて

「TCP Intercept」はDoS攻撃の一種である、「TCP SYN-flooding attacks」
を防ぐ為の手法です。

＃「TCP SYN-flooding attacks」は3wayハンドシェイクのSYNパケットだけを
＃投げ、ACKを返さないことで不完全な接続要求を大量に送り、接続要求を
＃行えなくする攻撃方法です。

・TCP Interceptモードの設定
(config)#ip tcp intercept mode {intercept | watch}
「ip tcp intercept」コマンドでパラーメーターを設定
※デフォルトでは「Intercept」モードになっています。

■Interceptモード
3wayハンドシェイクのサーバーとのコネクションをルーターが変わりに
実施し、SYN-ACKをルーターがクライアントへ送ります。
そこでSYN ACKが帰ってきたらサーバーにSYNを送り、クライアント・サーバ
間でのセッションに戻します。

Interceptモードはルータがクライアントとサーバ間の3way handshakeを
仲介するので、ルータに処理負荷がかかります。
動作モードをWatchモードに変えればルータは3way handshakeを仲介しなく
なりますので、処理負荷は小さくなります。

■watchモード
ルーターはクライアント・サーバ間での3wayハンドシェイクを監視し、
ある時間（デフォルト30秒）待ってセッションか確立されなければ、
ルーターはサーバにセッションのリセットを要求します。

Router(config)# ip tcp intercept mode watch
Wachモードにすると、ルータはクライアントからのSYN+ACKが返ってくるかを
監視します。デフォルトでは30秒応答が無い場合サーバに対してRSTを送ります。
例えば、15秒応答が無い場合にRSTを返す設定をするとなると以下のように
なります。

(config)#ip tcp intercept mode watch
Router(config)# ip tcp intercept watch-timeout 15

参考：
http://www.n-study.com/network/2006/08/configuring_tcp_2.html
http://www.netagency.biz/ccie/modules/smartsection/item.php?itemid=80

class-defaultについて

管理者が設定したどのクラスにも分類されないパケットは、
class-defaultというデフォルトで作成されているクラスに
分類されます。

このクラスに入ったトラフィックはデフォルトではFIFOで
送信します。これをうまく使えば条件を指定するACLの数
とか減らせます！

参考：
http://www.cisco.com/JP/support/public/ht/tac/100/1007005/7200_per-vc-cbwfq-j.shtml

ip cef コマンドの概要について

ip cef コマンドは、CEF をグローバルに有効にします。

CEF とは、ルータの高度なレイヤ 3 スイッチング テクノロジーです。
CEF では、シスコのルータが入力インターフェイスから
出力インターフェイスへパケットを転送するための、最も高速な方法を
定義しています。

C3600では、CEF と、MQC で設定する QoS ポリシーがサポート
されてます。

mls qosコマンドについて

「mls qos」は、SWでQoSを使用するためのコマンドです。

これによりパケットをクラシファイ（分類）が有効になります。
※デフォルトでは無効になっています。

この分類中、スイッチはパケットにCoS値またはDSCP値（QoSラベル）を
割り当てます。この割り当てられたQoSラベルによってキューイングや
スケジューリングの動作を決定します。

着信トラフィックの分類に、フレームまたはパケットのどのフィールドを
使用するかはコンフィグ設定で指定できます。

mls　qosを有効にすることによってキューが4つできる。
※実はauto　qosを設定したときに連動してmls qosが設定される
　なのでauto qos入れないときは,mls qosいれる点に注意する。

MQCの設定例について

Modular QoS CLI Configuration Examples
(モジュール化して設定）

１．Defining Traffic Classes（クラス分け）
class-map class1
match access-group 101
class-map class2
match access-group 102

２．Creating a Service Policy（ポリシーの適用）
policy-map policy1
class class1
　 bandwidth 3000
　 queue-limit 30
class class2
bandwidth 2000

３．Attaching a Service Policy to an Interface
（インターフェースに関連付け）
interface e1/1
service-policy output policy1
interface fa1/0/0
service-policy output policy1

プロクタへの質問について整理（その２）

プロクタがペラペラ英語しゃべってきて、
速くてよく分からなかったら。。
Could you say that again.
と言って、もう一度聞いてみます。

それでも分からなくて
「（何度聞いても）分からないので、違う言い方をしてくれませんか？」
と、聞いてみたい場合は。。’’mean’’が　使えます

I'm sorry, I don't know.　（もしくは I can't understand.）のあとに、
What do you mean?　（どういう意味ですか？）　または、
Could　you explain wｈat you mean？（どういうことなのか説明してくれますか？）
と言えば、簡単な言葉や表現に　置き換えてくれると思います。

大体は分かったんだけど・・・っていうときは、
Ｙou mean that　主語　動詞～．
（つまり、あなたが言いたいのは～ということですね？）
と確認することも出来ます（●＾o＾●）