Network/Cisco

#amazon(4797317264)

基本設定 †

パスワード †

ログイン パスワード †

rt(config-line)# login コンソール、Telnet パスワードを有効にする
rt(config-line)# password パスワード

• デフォルトでは平文で保存される

特権パスワード †

rt(config)# enable password パスワード

• デフォルトでは平文で保存される
• 現在は使うべきではなく、必ず enable sercret を使う

特権パスワード (ハッシュ) †

rt(config)# enable sercret パスワード

• 設定には MD5 のハッシュ値のみが保存されるため安全

パスワードの暗号化 †

rt(config)# service password-encryption

• デフォルトで平文で保存されるパスワードを暗号化する
• password, enable password, username...
• 容易に復号化が可能なため、暗号化した場合でも平文同様に扱う必要がある

Hosts ファイル †

rt(config)#ip host [ドメイン名] [ポート番号(省略OK)] [IPアドレス]
rt(config)#^Z
rt#show hosts 情報を確認

DNS †

rt(config)# ip domain-lookup 名前解決を行う (デフォルトで有効)
rt(config)# ip name-server ip-addr  DNSアドレスを設定
rt(config)# ip domain-name domain-name  所属ドメインを設定

• ip-addr
  • DNS サーバの IP アドレス
  • デフォルトは 255.255.255.255

ホスト名 †

rt(config)# hostname hostname

リソース情報 †

CPU 使用率 †

• 最新データ

  rt# show processes cpu
  CPU utilization for five seconds: 1%/0%; one minute: 1%; five minutes: 0%
                                  5秒平均         1分平均           5分平均
  

• 履歴データ

  rt#show processes cpu history
  
  
       22221111111111                                   33333
  100
   90
   80
   70
   60
   50
   40
   30
   20
   10
      0....5....1....1....2....2....3....3....4....4....5....5....
                0    5    0    5    0    5    0    5    0    5
  
                 CPU% per second (last 60 seconds) 1秒平均
  
  
  
       3423336232352224533237232253233523246233353235543466533443
  100
   90
   80
   70
   60
   50
   40
   30
   20
   10        *    *    *    *    *    *    *    *   **   ***
      0....5....1....1....2....2....3....3....4....4....5....5....
                0    5    0    5    0    5    0    5    0    5
  
                 CPU% per minute (last 60 minutes) 1分平均
                * = maximum CPU%   # = average CPU%
  
  
                                                                     1
       6677877799987777766966899676676777679876665967678867887776777709666966
  100
   90
   80
   70
   60
   50
   40
   30
   20
   10  **********************************************************************
      0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
                0    5    0    5    0    5    0    5    0    5    0    5    0
  
                     CPU% per hour (last 72 hours) 1時間平均
                    * = maximum CPU%   # = average CPU%
  

メモリ使用率 †

rt# show memory
                Head    Total(b)     Used(b)     Free(b)   Lowest(b)  Largest(b)
Processor   620F4700    82884864    16367324    66517540    66364920    65260656
      I/O   E7000000    16777216     4065512    12711704    12708832    12711676

ソケットの状態 †

• TCP

  router# show tcp brief
  TCB       Local Address               Foreign Address             (state)
  848B74F8  192.168.0.1.23              192.168.0.128.49422         ESTAB
  

• UDP

  router# show udp
  Proto    Remote      Port      Local       Port  In Out Stat TTY OutputIF
   17   --listen--          192.168.0.1      1985   0   0 1001   0
   17 192.168.0.2     60493 192.168.0.1       161   0   0 1001   0
   17   --listen--          192.168.0.1       162   0   0 1011   0
   17   --listen--          192.168.0.1     55287   0   0 1011   0
   17   --listen--          --any--           161   0   0 20001   0
   17   --listen--          --any--           162   0   0 20011   0
   17   --listen--          --any--         56959   0   0 20011   0
   17   --listen--          192.168.0.1       123   0   0    1   0
   17   --listen--          192.168.0.1       500   0   0 1011   0
   17   --listen--          --any--           500   0   0 20011   0
   17   --listen--          192.168.0.1      4500   0   0 1011   0
   17   --listen--          --any--          4500   0   0 20011   0
  

ログイン回線 †

設定 †

1. ログイン方法

   rt(config)# line type num
   

   • type num
     • console 0 … シリアル コンソール ポート
     • aux 0 … AUX ポート
     • vty num … 仮想コンソール (Telnet, SSH)、num はセッション番号で 0~15
2. パスワード

   rt(config-line)# password passwd
   

3. パスワードの有効化

   rt(config-line)# login
   

   • no login はパスワードなしでログインできてしまうので注意
   • パスワードが設定されていないと、ログインが拒否される

表示行数 †

rt# terminal length num

• num
  • 1 ページに表示可能な行数
  • 0 だと無制限

タイム アウト †

• 時間を変更

  rt(config-line)# exec-timeout min sec
  

  • min、sec
    • 自動ログアウトまでの時間
    • デフォルトは 10 分

• 無期限化

  rt(config-line)# exec-timeout 0 0
  rt(config-line)# no exec-timeout
  

  • どちらも同じ効果

確認 †

rt# clear line num

• 回線の状態

  rt# show line
     Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
       0 CTY              -    -      -    -    -      0       0     0/0       -
  *    1 VTY              -    -      -    -   10     13       0     0/0       -
       2 VTY              -    -      -    -   10      0       0     0/0       -
       3 VTY              -    -      -    -   10      0       0     0/0       -
       4 VTY              -    -      -    -   10      0       0     0/0       -
       5 VTY              -    -      -    -   10      0       0     0/0       -
       6 VTY              -    -      -    -    -      0       0     0/0       -
       7 VTY              -    -      -    -    -      0       0     0/0       -
       8 VTY              -    -      -    -    -      0       0     0/0       -
       9 VTY              -    -      -    -    -      0       0     0/0       -
      10 VTY              -    -      -    -    -      0       0     0/0       -
      11 VTY              -    -      -    -    -      0       0     0/0       -
      12 VTY              -    -      -    -    -      0       0     0/0       -
      13 VTY              -    -      -    -    -      0       0     0/0       -
      14 VTY              -    -      -    -    -      0       0     0/0       -
      15 VTY              -    -      -    -    -      0       0     0/0       -
      16 VTY              -    -      -    -    -      0       0     0/0       -
  

• ログイン ユーザ

  rt# show user (= who)
      Line       User       Host(s)              Idle       Location
  *  1 vty 0                idle                 00:00:00 XXX.XXX.XXX.XXX
  
    Interface      User        Mode                     Idle     Peer Address
  

• 現在の権限

  rt# show privilege
  Current privilege level is 15
  

バナー †

rt(config)# banner motd # 
========================= 
 xxx-rt00 
 S/N: XXXXXXXX 
========================= 
# 
rt(config)#

• motd = Message Of The Day の略

AUX ポートのコンソール サーバ化 †

設定 †

rt1(config)# line aux 0
rt1(config-if)# transport input telnet

利用 †

# telnet ip-addr 2001
Trying ip-addr...
Connected to ip-addr.
Escape character is '^]'.


User Access Verification

Password:
rt2# sh user
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00

• ip-addr
  • rt1 の IP アドレス

確認 †

rt1# sh user
    Line       User       Host(s)              Idle       Location
   1 aux 0                idle                 00:00:12 192.168.0.1
*194 vty 0                idle                 00:00:00 192.168.0.1

• rt1 上では、AUX ポートに Telnet で接続しているように見える
• VTY セッションは、このコマンドを打っている Telnet セッション

Telnet の使用 †

接続 †

rt1# telnet ip-addr
Trying ip-addr ... Open

セッション操作 †

• 一時的にセッションを中断する

  rt2# Ctrl+Shift+6→x
  

• セッションを切断する

  rt2# ex
  rt1#
  

• セッションに戻る

  rt1#  直前のセッションに戻る
  [Resuming connection 1 to 192.168.1.1 ... ]
  

rt1# resume session-num 
[Resuming connection 1 to 192.168.1.1 ... ]

確認 †

rt1# show sessions

Conn Host                Address             Byte  Idle Conn Name
*  1 192.168.1.1         192.168.1.1          0      1  192.168.1.1

ログイン時の権限 †

rt(config)# line vty 0 4
rt(config-line)# privilege level level

• level
  • 1 がユーザ モード、15 が特権モード (デフォルトは 1)
  • 0 は disable、enable、exit、help、logout が使用可能

AAA [Authentication, Authorization, Accounting] †

• 認証、認可、アカウンティングを行う

認証 †

1. AAA の有効化

   rt(config)# aaa new-model
   

2. 認証リストの作成

   rt(config)# aaa authentication login list method [method...]
   

   • list
     • 認証リストの名前
     • 任意の文字列、もしくは default
   • method
     • 認証方法
     • ネットワークが利用できない場合に備え、最後は必ず local にするべき
     • line … Line パスワードでログインする
     • enable … Enable パスワードでログインする
     • local … ローカル データベースで認証する
     • group radius … RADIUS サーバで認証する
     • group tacacs+ … TACACS+ サーバで認証する
3. ログイン方法

   rt(config)# line type num
   

4. 認証リストの適用

   rt(config)# login authentication list
   

   • list
     • 使用する認証リストの名前
     • デフォルトは default

ローカル認証 †

rt(config)# username user [] passwd

RADIUS 認証 †

1. IP アドレス

   rt(config)# radius-server host ip-addr
   

   • ip-addr
     • RADIUS サーバの IP アドレス
2. ポート番号

   rt(config)# radius-server auth-port num
   rt(config)# radius-server acct-port num
   

   • num
     • 認証とアカウンティングのポート番号
     • デフォルトは認証が 1645、アカウンティングが 1646
3. タイムアウト

   rt(config)# radius-server timeout time
   

   • time
     • デフォルトは X 秒
4. 再送回数

   rt(config)# radius-server retransmit num
   

   • num
     • デフォルトは X 回
5. 共通鍵

   rt(config)# radius-server key key
   

   • key
     • RADIUS サーバの共通鍵

TACACS+ 認証 †

1. IP アドレス

   rt(config)# tacacs-server host ip-addr
   

   • ip-addr
     • TACACS+ サーバの IP アドレス
2. 共通鍵

   rt(config)# tacacs-server key key
   

   • key
     • TACACS+ サーバの共通鍵
3. NAT

   rt(config)# tacacs-server nat
   

4. ポート番号

   rt(config)# tacacs-server port num
   

   • num
     • デフォルトは 49
5. セッション

   rt(config)# tacacs-server single-connection
   

6. タイムアウト

   rt(config)# tacacs-server timeout time
   

   • time
     • デフォルトは 5 秒

認可 †

アカウンティング †

デバッグ †

rt# debug aaa authentication

rt# debug aaa authorization

rt# debug aaa accounting

SNMP †

設定 †

外部からの SNMP アクセスを許可する

rt(config)# snmp-server community comm-name RO [acl-num]

SNMP サーバに Trap を送信する

rt(config)# snmp-server host ip-addr comm-name
rt(config)# snmp-server enable traps

確認 †

rt# show snmp
Chassis: Processor board ID
0 SNMP packets input
    0 Bad SNMP version errors
    0 Unknown community name
    0 Illegal operation for community name supplied
    0 Encoding errors
    0 Number of requested variables
    0 Number of altered variables
    0 Get-request PDUs
    0 Get-next PDUs
    0 Set-request PDUs
0 SNMP packets output
    0 Too big errors (Maximum packet size 1500)
    0 No such name errors
    0 Bad values errors
    0 General errors
    0 Response PDUs
    0 Trap PDUs

SNMP logging: enabled
    Logging to ip-addr.162, 0/10, 0 sent, 0 dropped.

デバッグ †

1. SNMP 全パケットの情報

   rt# debug snmp packet
   Jan 1 00:00:00: SNMP: Packet received via UDP from ip-addr on # FastEthernet0
   Jan 1 00:00:00: SNMP: Get request, reqid 175767837, errstat 0, erridx 0
    ifInOctets.1 = NULL TYPE/VALUE
    ifOutOctets.1 = NULL TYPE/VALUE
    ifInErrors.1 = NULL TYPE/VALUE
    ifOutErrors.1 = NULL TYPE/VALUE
    ifInUcastPkts.1 = NULL TYPE/VALUE
    ifOutUcastPkts.1 = NULL TYPE/VALUE
    ifDescr.1 = NULL TYPE/VALUE
   Jan 1 00:00:00: SNMP: Response, reqid 175767837, errstat 0, erridx 0
    ifInOctets.1 = 152023807
    ifOutOctets.1 = 96175296
    ifInErrors.1 = 0
    ifOutErrors.1 = 0
    ifInUcastPkts.1 = 678904
    ifOutUcastPkts.1 = 859502
    ifDescr.1 = FastEthernet0
   Jan 1 00:00:00: SNMP: Packet sent via UDP to ip-addr
   

1. SNMP マネージャからの要求情報

   rt# debug snmp requests
   

CDP [Cisco Discovery Protocol] †

設定 †

rt# cdp enable

• デフォルトで有効になっている
• L2 で動作する

確認 †

rt# show cdp

rt# show cdp neighbors

rt# show cdp neighbors detail

デバッグ †

rt# debug cdp packets

rt# debug cdp events

時刻関連 †

タイムゾーン †

rt(config)# clock timezone JST 9

時刻設定 †

rt(config)# clock set hh:mm:ss dd month yyyy

NTP †

設定 †

上位サーバに同期する場合 †

rt(config)# ntp server ntp-server

同位サーバと同期する場合 †

rt(config)# ntp peer ntp-server

※ ntp clock-period は手動で入れてはいけない

ローカル クロックへの同期 †

• 他 NTP サーバへの同期を行わない (行えない) 場合でも、サーバ機能を維持する
• ローカル クロックを配信する

  rt(config)# ntp master stratum
  

  • stratum
    • NTP サーバの階層
    • 1~15 (デフォルトは 7)

ハードウェア クロックへの同期 †

rt(config)# clock save interval time

• time
  • ハードウェア クロックへの同期間隔 (時間)

rt(config)# ntp update-calendar

アクセス制限 †

rt(config)# ntp access-group type acl-num

• type
  • query-only … NTP クライアントからのクエリのみ許可、同期は不許可
  • serve-only … NTP クライアントからの時刻同期のみ許可、クエリは不許可
  • serve … NTP クライアントからのクエリと時刻同期を許可、Cisco 機器からの同期は不許可
  • peer … NTP クライアントからのクエリと時刻同期を許可、Cisco 機器からの同期も許可
• acl-num
  • 標準 ACL 番号

確認 †

rt# show ntp associations

      address         ref clock     st  when  poll reach  delay  offset    disp
*~XXX.XXX.XXX.XXX  XXX.XXX.XXX.XXX   3     4   128  377    39.6    0.06     0.1
+~XXX.XXX.XXX.XXX  XXX.XXX.XXX.XXX   3    17   128  377    39.6   -0.00     0.3
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

rt# show ntp status
Clock is synchronized, stratum 4, reference is XXX.XXX.XXX.XXX
nominal freq is 250.0000 Hz, actual freq is 250.0021 Hz, precision is 2**18
reference time is C914EDD5.7E6335E4 (13:53:41.493 JST Mon Nov 27 2006)
clock offset is 0.0891 msec, root delay is 49.13 msec
root dispersion is 35.40 msec, peer dispersion is 0.18 msec

デバッグ †

rt# debug ntp packets

rt# debug ntp events

その他の確認コマンド †

バージョン †

rt# show version
Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(15)T4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 13-Mar-08 01:22 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T5, RELEASE SOFTWARE (fc1)

hostname uptime is 2 days, 22 hours, 2 minutes
System returned to ROM by reload at 04:29:19 UTC Fri Jul 4 2008
System image file is "flash:c1841-ipbase-mz.124-15.T4.bin"

Cisco 1841 (revision 7.0) with 115712K/15360K bytes of memory.
Processor board ID serial-num
2 FastEthernet interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31808K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

物理デバイス †

rt# show inventory
NAME: "chassis", DESCR: "1841 chassis"
PID: CISCO1841         , VID: V05 , SN: serial-num

NAME: "WIC/HWIC 0", DESCR: "One-Port Fast Ethernet High Speed WAN Interface Card"
PID: HWIC-1FE          , VID: V01 , SN: serial-num

sw# show inventory
NAME: "1", DESCR: "WS-C2960-24TC-L"
PID: WS-C2960-24TC-L   , VID: V02, SN: serial-num

NAME: "GigabitEthernet0/1", DESCR: "1000BaseSX SFP"
PID:                     , VID:     , SN: serial-num

NAME: "GigabitEthernet0/2", DESCR: "1000BaseSX SFP"
PID:                     , VID:     , SN: serial-num

暗号化タイプ †

タイプ 0 †

• 非暗号

ex)

enable password P@SSW0RD
username USER password P@SSW0RD

タイプ 7 †

• 古いタイプの暗号化方式
• service password-encryption コマンドを使用することで、平文のパスワードを全て暗号化する
• 非常に脆弱で、現在は容易に復号化する方法が確立している
• 鍵の管理が不要で、扱いが容易であることから、現在も使われている

ex)

enable password 7 0236246838315F1368
username USER password 7 0236246838315F1368
line con 0
 password 7 0236246838315F1368

タイプ 5 †

• MD5 によるハッシュ値をコンフィグに保存する
• enable secret, username secret を使用すると自動でハッシュ化される

ex)

enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
username USER secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX

タイプ 4 †

• SHA256 によるハッシュ値をコンフィグに保存する

ex)

enable secret 4 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX

タイプ 6 †

• AES による暗号化
• マスター キーの設定が必要
• password encryption aes コマンドを使用することで、IKE のパスワードを暗号化する
• マスター キーはコンフィグには保存されず、設定後に参照することも出来ない

ex)

crypto isakmp key 6 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX

タイプ 8 †

• SHA256 (PBKDF2) ハッシュアルゴリズム
• Cisco IOS XR ソフトウェア Release 7.0.1 以降

タイプ 9 †

• SCRYPT ハッシュアルゴリズム
• Cisco IOS XR ソフトウェア Release 7.0.1 以降

タイプ 10 †

• SHA512 暗号化アルゴリズム
• Cisco IOS XR ソフトウェア Release 7.0.1 以降のデフォルト

名前解決 †

その他 †

rt# show controllers

rt# show processes cpu

rt# show processes memory

rt# show system

rt# show module

rt# show tech-support

Menu

+ Operating System
　- Linux
　- FreeBSD
　- Solaris
　- Windows
　- Macintosh
　- Virtualization
+ Middleware
　- High Availability
　- Web
　- Mail
　- Database
　- FileTransfer
　- Management
　- Other Software
　- Library
　- Tool
+ Application
+ Network
+ Storage
+ Cloud
+ Protocol
+ Program
+ Others

AND検索 OR検索  

#amazon(B01NBDY5L2)

最新の10件

#amazon(4774185787)

Advertisement

Counter

Today: 1
Yesterday: 1
Total: 21042

MenuEdit