IOS/Router
Router†
VLAN関連†
Switchの設定†
VLAN間ルーティング†
- Switchからのトランクリンク先ルータの設定
- VLANごとにサブインタフェイスを割り当てる
- サブインタフェイスのIDとVLANのIDは一致させたほうが管理が楽
(config-if)#encapsulation dot1q <vlan-id>
OSPF†
基本設定†
- クラスレスのリンクステートルーティングプロトコル
! ospfの有効化 (config)#router ospf <process-id> ! ospfを動作させるネットワークの指定 (config-router)#network <address> <wildcard-mask> area <area-id> ! 確認 #show ip protocols #show ip route #show ip ospf #show ip ospf [interface <interface>|neighbor <neighbor-id>] ! デバッグ #debug ip ospf events
- process-idはルータ内での識別のみに用いる。他ルータとの一致は不問
- area-idは他ルータと一致しないとネイバが確立しない
ルータID†
- 任意の文字列、またはループバックアドレス、インタフェイスのIPアドレスが採用される
! 任意の文字列を採用(非推奨) (config-router)#router-id <router-id> ! ループバックアドレスを採用(推奨) !! ループバックつくってアドレス設定するだけ (config)#interface loopback <loopback-id>
ロードバランス†
! 等コストパスの上限 (config-router)#maximum-paths <value> ! コストの固定 (config-if)#ip ospf cost <value>
認証†
- プレーンテキスト認証とMD5認証がサポートされる
! インタフェイス単位でパスワードを割り当て (config-if)#ip ospf authentication-key <password> ! インタフェイス単位またはエリア単位で認証を有効化する(下記のどちらかを実行) (config-if)#ip ospf authentication [message-digest|null] (config-router)#area <area-id> authentication [message-digest] ! デバッグ #debug ip ospf adj
EIGRP†
- クラスレス拡張ディスタンスベクタルーティングプロトコル。あるいはハイブリッドルーティングプロトコル
基本†
! eigrpの有効化 (config)#router eigrp <as-number> ! eigrpを動作させるネットワークの指定 (config-router)#network <address> ! 自動集約切るなら(不連続ネットワーク対応) (config-router)#no auto-summary ! 確認 #show ip route eigrp #show ip protocols #show ip eigrp [interfaces|neighbors [detail]|topology [all]|traffic] ! デバッグ #debug ip eigrp
- as-numberは同じeigrpを動かしたいルータ間で一致させる
- address以下にマスク入れてもいい(ワイルドカード)
ロードバランス†
! 等コストロードバランスの等コストパスの上限 (config-router)#maximum-paths <value> ! 不等コストロードバランスのバリアンスの設定 (config-router)#valiance <value>
認証†
- MD5認証のみサポート
! キーチェーンをつくる (config)#key chain <key-chain-name> ! キーチェーンにキーを追加する (config-keychain)#key <key-id> ! 追加したキーの設定をする !! パスワードの設定 (config-keychain-key)#key-string <password> !! 必要なら時間制限を設ける (config-keychain-key)#accept-lifetime <hh:mm:ss month date year> {infinitie|<end-time>|duration <seconds>} (config-keychain-key)#send-lifetime <hh:mm:ss month date year> {infinitie|<end-time>|duration <seconds>} ! MD5認証を有効化 (config-if)#ip authentication mode eigrp <as-number> md5 ! 認証で使うキーチェーンの指定 (config-if)#ip authentication key-chain eigrp <as-number> <key-chain-name>
ACL†
標準ACL†
! つくり方
!! 番号を同じにすると番号にぶら下がる複数のエントリがつくれる
(config)#access-list <access-list-number> {permit|deny|remark} <source-address> [wildcard-mask]
! 消し方
!! 番号単位でまるごと消す
(config)#no access-list <access-list-number>
!! エントリごとに消す
(config-std-nacl)#no <seq-number>
- access-list-numberは1-99
拡張ACL†
! つくり方
!! 番号を同じにすると番号にぶら下がる複数のエントリがつくれる
(config)#access-list <access-list-number> {permit|deny} <protocol> <source-address> <wildcard-mask> [<operator> {<app-name>|<port-number>}] <destination-address> <wildcard-mask> [<operator> {<app-name>|<port-number>}] [established] [log]
! 消し方
!! 番号単位でまるごと消す
(config)#no access-list <access-list-number>
!! エントリごとに消す
(config-ext-nacl)#no <seq-number>
- protocolはip、tcp、udp、icmpとか
- establishedはACK=1とRST=1なパケットだけ通す
- 通信の最初の一手はSYN=1のみだから、このオプションで方向制御が可能
名前付きACL†
- 番号ではなく名前で管理するACL。標準も拡張もどっちもつくれる
- 名前の部分を番号にすれば既存ACLエントリを編集可能
! つくり方 !! まずは名前を確保、その後具体的なエントリを追加する (config)#ip access-list {standard|extended} <access-list-name> !! 標準ACLをつくるとき (config-std-nacl)#[seq-number] {permit|deny} <source-address> [wildcard-mask] !! 拡張ACLをつくるとき (config-ext-nacl)#[sec-number] {permit|deny} <protocol> <source-address> <wildcard-mask> <destination-address> <wildcard-mask> [precedence <precedence>] [tos <tos>] ! 消し方 !! 名前単位でまるごと消す (config)#no access-list {standard|extended} <access-list-name> !! エントリごとに消す (config-{std|ext}-nacl)#no <seq-number>
コメントをつける†
! 番号付きACLの場合
(config)#access-list <access-list-number> remark <comment>
! 名前付きACLの場合
(config-{std|ext}-nacl)#remark <comment>
確認†
#show ip access-list
パケットフィルタ†
- aclをインタフェイスに適用する
! インタフェイスにACLを適用する (config-if)#ip access-group <access-list-number> {in|out} ! vtyへのアクセスを制限する !! 標準ACLのみ (config-line)#access-class <access-list-number> {in|out} ! 確認 #show ip interface <interface>- access-list-numberは名前付きACLを適用する場合はaccess-list-nameにする
NATとPAT†
IPv6†
PPP†
フレームリレー†
Last-modified: 2011-09-03 (土) 21:51:36