約 1,127,024 件
https://w.atwiki.jp/keikei1228/pages/7.html
アーカイブ @wikiのwikiモードでは #archive_log() と入力することで、特定のウェブページを保存しておくことができます。 詳しくはこちらをご覧ください。 =>http //atwiki.jp/guide/25_171_ja.html たとえば、#archive_log()と入力すると以下のように表示されます。 保存したいURLとサイト名を入力して"アーカイブログ"をクリックしてみよう サイト名 URL
https://w.atwiki.jp/keikei1228/pages/10.html
関連ブログ @wikiのwikiモードでは #bf(興味のある単語) と入力することで、あるキーワードに関連するブログ一覧を表示することができます 詳しくはこちらをご覧ください。 =>http //atwiki.jp/guide/17_161_ja.html たとえば、#bf(ゲーム)と入力すると以下のように表示されます。 #bf
https://w.atwiki.jp/keikei1228/pages/9.html
@wikiにはいくつかの便利なプラグインがあります。 アーカイブ コメント ニュース 人気商品一覧 動画(Youtube) 編集履歴 関連ブログ これ以外のプラグインについては@wikiガイドをご覧ください = http //atwiki.jp/guide/
https://w.atwiki.jp/keikei1228/pages/5.html
まとめサイト作成支援ツールについて @wikiにはまとめサイト作成を支援するツールがあります。 また、 #matome_list と入力することで、注目の掲示板が一覧表示されます。 利用例)#matome_listと入力すると下記のように表示されます #matome_list
https://w.atwiki.jp/keikei1228/pages/6.html
更新履歴 @wikiのwikiモードでは #recent(数字) と入力することで、wikiのページ更新履歴を表示することができます。 詳しくはこちらをご覧ください。 =>http //atwiki.jp/guide/17_117_ja.html たとえば、#recent(20)と入力すると以下のように表示されます。 取得中です。
https://w.atwiki.jp/keikei1228/pages/12.html
人気商品一覧 @wikiのwikiモードでは #price_list(カテゴリ名) と入力することで、あるカテゴリの売れ筋商品のリストを表示することができます。 カテゴリには以下のキーワードがご利用できます。 キーワード 表示される内容 ps3 PlayStation3 ps2 PlayStation3 psp PSP wii Wii xbox XBOX nds Nintendo DS desctop-pc デスクトップパソコン note-pc ノートパソコン mp3player デジタルオーディオプレイヤー kaden 家電 aircon エアコン camera カメラ game-toy ゲーム・おもちゃ全般 all 指定無し 空白の場合はランダムな商品が表示されます。 ※このプラグインは価格比較サイト@PRICEのデータを利用しています。 たとえば、 #price_list(game-toy) と入力すると以下のように表示されます。 ゲーム・おもちゃ全般の売れ筋商品 #price_list ノートパソコンの売れ筋商品 #price_list 人気商品リスト #price_list
https://w.atwiki.jp/keikei1228/pages/11.html
コメントプラグイン @wikiのwikiモードでは #comment() と入力することでコメントフォームを簡単に作成することができます。 詳しくはこちらをご覧ください。 =>http //atwiki.jp/guide/17_60_ja.html たとえば、#comment() と入力すると以下のように表示されます。 名前 コメント
https://w.atwiki.jp/it_certification/pages/268.html
採点結果 トピック 正誤 備考 1.1 Packet Sniffing ○ 1.2 Configuration Management × 知識不足 1.3 Traffic Filtering × 問題文誤読 1.4 Spanning Tree × 思いつきませんでした 1.5 Switch Features × 思いつきませんでした 1.6 Hub-and-Spoke ○ 1.7 Point-to-Point Addressing × 思いつきませんでした 2.1 RIP ○ 2.2 OSPF ○ 2.3 EIGRP ○ 2.4 EIGRP ○ 2.5 EIGRP ○ 2.6 IGP Redistribution ○ 2.6 BGP Peering ○ 2.7 BGP Peering ○ 2.8 BGP Peering ○ 2.9 AS-Path Manipulation ○ 2.10 BGP Bestpath Selection ○ 2.11 BGP Summarization ○ 2.12 AS-Path Manipulation ○ 2.13 BGP Route Injection ○ 3.1 IPv6 Addressing ○ 3.2 IPv6 Tunneling ○ 3.3 EIGRP ○ 5.1 RP Assignment × 知識不足 5.2 MBONE Connection × 捨て 5.3 DVRP Interoperability × 捨て 6.1 Dos Protection ○ 6.2 Attack Mitigation × 知識不足 6.3 Infrastructure Security ○ 6.4 Traffic Monitoring × 知識不足 7.1 Configuration Management ○ 7.2 NAT on a Stick × 知識不足 7.3 ICMP Error Reporting ○ 7.4 Gateway Redundancy ○ 8.1 Priority Queueing ○ 8.2 Congestion Managenet ○ 1.2 Configuration Management まとめ 以下のコマンドで、起動時のIOSやconfigファイルを指定する事ができます。 Router(config)# boot config-file file_path Router(config)# boot system file_path 確認方法は以下の通りです。 Rack15SW1#show boot BOOT path-list flash /dummy Config file flash /archived/backup.config Private Config file flash /private-config.text Enable Break yes Manual Boot no HELPER path-list Auto upgrade yes Auto upgrade path Timeout for Config Download 0 seconds Config Download via DHCP disabled (next boot disabled) Rack15SW1# 1.3 Traffic Filtering 問題文誤読 問題文を以下のように誤読してしまいました。 私の解答は間違えとは言い切れませんが、"do not use the command switchport port-security mac-address 0000.0c12.3456 to accomplish this"との指示なので"switchport port-security"は使って良いようです。私はこの問題文を見た瞬間にport-security以外の方法を考えてしまいました。 "switchport port-security mac-address"は使うなと言われたら、何か違うport-secyrityの実装方法がないか考えるようにしたいと思います。 私の解答 R5 interface FastEthernet0/0 mac-address 0000.0c12.3456 SW1 mac access-list extended ACL_F05_IN permit host 0000.0c12.3456 any ! interface FastEthernet0/5 mac access-group ACL_F05_IN in INE模範解答 R5 interface FastEthernet0/0 mac-address 0000.0c12.3456 SW1 interface FastEthernet0/5 switchport mode access switchport port-security switchport port-security mac-address sticky 1.5 Switch Features まとめ 正直、この問題は酷過ぎると思います。 こんなトリッキーな設定は、実践では使用厳禁です。 しかも、(CCIE試験は注意書きで禁止されていない事は何をやっても良い試験ですが)初期設定でshutdown状態であったI/Fを勝手にno shutして良いなんて発想は思いつかないし、余っているVLAN4, VLAN42を使うなんて発想は思いつくはずもありません。 正直、この問題を初見で解ける人が居るとは思えません。 模範解答のようなaccess vlan割当を実施する事でSW3経由にする事ができます。 恐らく出題意図は、access port, trunk portの仕様をちゃんと理解しているかどうかの確認であると思います。access portに割り当てるVLANは対向のスイッチ間で異なっていても疎通は問題ありません(保守性としては大問題ですが…)。なお、VLANが異なると以下のような警告メッセージが表示されます。警告メッセージを表示させたくない場合は、CDPを無効化して下さい。 Rack15SW3# *Mar 1 03 40 52.315 %CDP-4-NATIVE_VLAN_MISMATCH Native VLAN mismatch discovered on FastEthernet0/14 (1363), with Rack15SW1 FastEthernet0/17 (4). Rack15SW3# 1.7 Point-to-Point Addressing まとめ subnet maskが/32で互いに疎通可能にするためには、pppで接続するしかありません。 この問題は"peer default ip address"コマンドが禁止されているので、ppp multilinkを定義し、multilinkにLoopbackアドレスを割り当てるという特殊な設定方法を用います。 R4 interface Loopback45 ip address 167.15.45.4 255.255.255.255 ! interface Multilink1 ip unnumbered Loopback45 ! interface Serial0/1/0 encapsulation ppp ppp multilink ppp multilink group 1 R5 interface Loopback45 ip address 167.15.45.5 255.255.255.255 ! interface Multilink1 ip unnumbered Loopback45 ! interface Serial0/1/0 encapsulation ppp ppp multilink ppp multilink group 1 2.3 EIGRP まとめ 以下模範解答の赤字部分が漏れてしまいました。赤字部分がないと、R1, R3などからBB3へのEIGRP updateが可能になってしまいます。 なお、EIGRPが使用するマルチキャストアドレス224.0.0.10に対応するMACアドレスは0100.5e00.000です。 SW3 no ip igmp snooping vlan 1363 ! interface FastEthernet 0/24 ip access-group DENY_EIGRP in ! ip access-list extended DENY_EIGRP 10 deny eigrp any any 20 permit ip any any ! mac-address-table static 0100.5e00.000 vlan 1363 int f0/14 f0/15 f0/20 f0/21 2.4 EIGRP まとめ この問題は"1.6 Hub-and-Spoke"とセットで考える必要があります。 1つのinterfaceには1つのEIGRP keyしかセットできません。しかし、subinterfaceの使用は"1.6 Hub-and-Spoke"で禁止されています。そこで、以下のようにppp over frame-relayを設定し、Virtual-Template毎にkeyを設定する手法を採用します。 R1 interface Serial0/0 frame-relay interface-dlci 103 ppp Virtual-Template13 ! interface Virtual-Template13 ip address 167.15.135.1 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO13 R3 interface Serial1/0 frame-relay interface-dlci 301 ppp Virtual-Template13 frame-relay interface-dlci 305 ppp Virtual-Template35 ! interface Virtual-Template13 ip address 167.15.135.3 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO13 ! interface Virtual-Template35 ip address 167.15.135.3 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO35 R5 interface Serial0/0/0 frame-relay interface-dlci 503 ppp Virtual-Template35 ! interface Virtual-Template35 ip address 167.15.135.5 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO35 2.7 BGP Peering 問題文誤読 "do not allow R3 to attempt to initiate the BGP session"の意味が理解できませんでした。この指示の意味は以下の通りです。恐らく、接続の準備が整ったら"no neighrbor XX.XX.XX.XX shutdown"コマンドを投入するのが、現実的なBGPの運用なのかもしれません。実務経験がないので、BGPの暗黙の常識が読み取れずに苦戦しています。 R3 router bgp 100 neighbor 150.15.9.9 shutdown neighbor 150.15.10.10 shutdown omitted 2.11 BGP Summarization まとめ 経路集約時に自動生成されるNull 0へのルートによって、reachabilityが保証されなくなってしまう事が稀にあります。IGPの場合はAD値を255に設定する方法をvol Iで学習しました。BGPも同様にAD値を255にする方法は有効です。BGPでAD値を255にする場合は、以下のようにdistanceコマンドを用いて、"local routes BGP"を255に設定します。 SW2 router bgp 65078 aggregate-address 150.15.0.0 255.255.240.0 summary-only distance bgp 20 200 255 以下のようにdiscardしたくないルートのみを255に設定する方法でも差し支えありません。 SW2 ip access-list standard ACL_NO_DISCARD 10 permit 150.15.0.0 0.0.15.255 ! router bgp 65078 aggregate-address 150.15.0.0 255.255.240.0 summary-only distance 255 0.0.0.0 255.255.255.255 ACL_NO_DISCARD 5.1 RP Assignment まとめ 通常、staticに設定されたRPよりもAuto-RPの設定の方が優先されます。仮に、static RPを使用したい場合は、以下のようにoverrideキーワードを使用します。false Auto-RP messageによる攻撃を受けた場合などに有効です。 Router(config)# ip pim rp-address addr override 6.2 Attack Mitigation ケアレスミス 初めて見る設定でしたが、ヘルプストリングを慎重に眺めれば解けた問題でした。 以下のようにany-optionを指定すると、option付きのIPを全て拒否する事ができます。 Rack15R6(config-ext-nacl)#10 deny ip any any option ? 0-255 IP Options value add-ext Match packets with Address Extension Option (147) any-options Match packets with ANY Option com-security Match packets with Commercial Security Option (134) dps Match packets with Dynamic Packet State Option (151) encode Match packets with Encode Option (15) eool Match packets with End of Options (0) ext-ip Match packets with Extended IP Option (145) ext-security Match packets with Extended Security Option (133) finn Match packets with Experimental Flow Control Option (205) imitd Match packets with IMI Traffic Desriptor Option (144) lsr Match packets with Loose Source Route Option (131) mtup Match packets with MTU Probe Option (11) mtur Match packets with MTU Reply Option (12) no-op Match packets with No Operation Option (1) nsapa Match packets with NSAP Addresses Option (150) record-route Match packets with Record Route Option (7) router-alert Match packets with Router Alert Option (148) sdb Match packets with Selective Directed Broadcast Option (149) security Match packets with Basic Security Option (130) ssr Match packets with Strict Source Routing Option (137) stream-id Match packets with Stream ID Option (136) timestamp Match packets with Time Stamp Option (68) traceroute Match packets with Trace Route Option (82) ump Match packets with Upstream Multicast Packet Option (152) visa Match packets with Experimental Access Control Option (142) zsu Match packets with Experimental Measurement Option (10) Rack15R6(config-ext-nacl)# 6.4 Traffic Monitoring まとめ 以下URLにまとめました http //www41375u.sakura.ne.jp/network/cisco_security/traffic_export.html 7.2 NAT on a Stick まとめ 以下URLにまとめました http //www41375u.sakura.ne.jp/network/ip_service/nat_on_a_stick.html なお、模範解答通りの設定で題意を満たすかどうかは怪しいので、 2週目の学習時に慎重に動作確認する予定です。
https://w.atwiki.jp/keikei1228/pages/3.html
更新履歴 取得中です。 ここを編集
https://w.atwiki.jp/it_certification/pages/250.html
Tips11.5 Traffic Filtering using Extended Access-Lists 11.11 Preventing Packet Spoofing with uRPF 11.12 Using NBAR for Content-Based Filtering 11.21 Port Security 11.23 DHCP Snooping 11.24 DHCP Snooping and the Information Option 11.35 Control Plane Protection (CPPr) 11.38 Flexible Packet Matching Tips 11.5 Traffic Filtering using Extended Access-Lists tracerouteが使用しているUDP portを暗記しても、CCIE試験会場でど忘れするリスクは避ける事ができません。以下の方法を使用すれば、仮にど忘れしたとしても、port番号を調べる事ができます。 R4 access-list 100 permit udp an range 3000 65535 any logging buffered 4096 ! debug ip packet detail 100 Rack22R4#traceroute 155.22.45.5 Type escape sequence to abort. Tracing the route to 155.22.45.5 1 155.22.45.5 8 msec * 8 msec Rack22R4# Sep 9 04 30 17.511 FIBipv4-packet-proc route packet from (local) src 155.22.45.4 dst 155.22.45.5 Sep 9 04 30 17.511 FIBipv4-packet-proc packet routing succeeded Sep 9 04 30 17.511 IP s=155.22.45.4 (local), d=155.22.45.5 (Serial0/1/0), len 28, sending Sep 9 04 30 17.511 UDP src=49161, dst=33434 Sep 9 04 30 17.511 IP s=155.22.45.4 (local), d=155.22.45.5 (Serial0/1/0), len 28, sending full packet Sep 9 04 30 17.511 UDP src=49161, dst=33434 Sep 9 04 30 17.519 FIBipv4-packet-proc route packet from (local) src 155.22.45.4 dst 155.22.45.5 Sep 9 04 30 17.519 FIBipv4-packet-proc packet routing succeeded Sep 9 04 30 17.519 IP s=155.22.45.4 (local), d=155.22.45.5 (Serial0/1/0), len 28, sending Sep 9 04 30 17.519 UDP src=49162, dst=33435 Sep 9 04 30 17.519 IP s=155.22.45.4 (local), d=155.22.45.5 (Serial0/1/0), len 28, sending full packet Sep 9 04 30 17.519 UDP src=49162, dst=33435 Rack22R4# Sep 9 04 30 20.519 FIBipv4-packet-proc route packet from (local) src 155.22.45.4 dst 155.22.45.5 Sep 9 04 30 20.519 FIBipv4-packet-proc packet routing succeeded Sep 9 04 30 20.519 IP s=155.22.45.4 (local), d=155.22.45.5 (Serial0/1/0), len 28, sending Sep 9 04 30 20.519 UDP src=49163, dst=33436 Sep 9 04 30 20.519 IP s=155.22.45.4 (local), d=155.22.45.5 (Serial0/1/0), len 28, sending full packet Sep 9 04 30 20.519 UDP src=49163, dst=33436 Rack22R4# 11.11 Preventing Packet Spoofing with uRPF uRPFは、送信元IPアドレスをチェックし、送信元アドレスが偽装されている可能性があるパケットを破棄する機能です。設定コマンドは以下の通りです。 {{ pre class="simple" Routetr(config-if)# b ip verify unicast source reachability-via /b { b rx /b | b any /b } [ b acl /b ] [ b self-ping /b ] [ b default-route /b ] /pre パラメタ 意味 rx strict modeで動作します。strict modeは、ルーティングテーブルと送信元IPアドレスを付け合わせ、最短ルートとなるI/Fから入ってきた場合のみ、パケットを受信します。 any loose modeで動作します。loose modeは、ルーティングテーブルに存在する(default route, Null0へのルートは除く)IPアドレスの場合、パケットを受信します。マルチホーミング環境でasymmetric routingが発生しうる場合は、このmodeを選択します。 acl uRPFチェックの結果が不適合と判断された場合、ACLに合致したパケットは例外的に転送を許可する事ができます。また、全拒否ログ出力のACLを定義すれば、uRPFチェック不適合のパケットをログ出力する事もできます。 self-ping DOS攻撃を防止する観点から、デフォルトではルータ自身へのpingは許可されていませんが、このオプションを投入する事でルータ自身へのpingを許可するようになります。 default-route default-routeも含めて、uRPFチェックの対象とします。 動作確認には、ある程度コツが必要です。 uRPFを設定したR4でACLによるログ出力を可能にするため、以下を投入します。 R4 ip access-list log-update threshold 1 ! interface FastEthernet0/1 no ip route-cache R1からR4へ送信元IPアドレスを偽装して、pingを送信します。以下のようにLoopbackアドレスに適当なIPアドレスを設定する事で送信元IPアドレスを偽装します。 R1 interface Loopback1 ip address 1.1.1.1 255.255.255.255 Rack16R1#ping 155.16.146.4 source Loopback 1 repeat 2 timeout 1 Type escape sequence to abort. Sending 2, 100-byte ICMP Echos to 155.16.146.4, timeout is 1 seconds Packet sent with a source address of 1.1.1.1 .. Success rate is 0 percent (0/2) Rack16R1# R4において、送信元を偽装したパケットについてログ出力されている事を確認します。 R4 Rack16R4#show logging omitted Sep 9 15 47 20.739 %SEC-6-IPACCESSLOGNP list 34 denied 0 1.1.1.1 - 155.16.146.4, 1 packet Sep 9 15 47 21.739 %SEC-6-IPACCESSLOGNP list 34 denied 0 1.1.1.1 - 155.16.146.4, 1 packet Rack16R4# 11.12 Using NBAR for Content-Based Filtering CBACが使用可能な正規表現は以下の通りです。Linuxで使用される正規表現と異なるので、注意が必要です。( "."には任意の一文字という意味はないので注意。癖で".*"と書きたくなるので、要注意です。) * - matches any sequence of characters (non-empty) ? - matched any single character (you need to oress Ctrl-V in order to enter ? ) | - alternative, logical OR [] - range, e.g. [ab] matches either a or b () - grouping; delimit the logical end of patter; or you can use *.(exe|bin) as equivalent to *.exe|*.bin 11.21 Port Security 本問題は、error disableの自動復旧を設定しなければなりませんが、cause名を暗記するのは難しいです。また、ヘルプメッセージから設定を探しても、尤もらしい設定が複数あり、混乱を招きます。 Rack16SW1(config)#errdisable recovery cause ? all Enable timer to recover from all error causes arp-inspection Enable timer to recover from arp inspection error disable state bpduguard Enable timer to recover from BPDU Guard error channel-misconfig Enable timer to recover from channel misconfig error dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error dtp-flap Enable timer to recover from dtp-flap error gbic-invalid Enable timer to recover from invalid GBIC error inline-power Enable timer to recover from inline-power error l2ptguard Enable timer to recover from l2protocol-tunnel error link-flap Enable timer to recover from link-flap error loopback Enable timer to recover from loopback error mac-limit Enable timer to recover from mac limit disable state pagp-flap Enable timer to recover from pagp-flap error port-mode-failure Enable timer to recover from port mode change failure psecure-violation Enable timer to recover from psecure violation error security-violation Enable timer to recover from 802.1x violation error sfp-config-mismatch Enable timer to recover from SFP config mismatch error small-frame Enable timer to recover from small frame error storm-control Enable timer to recover from storm-control error udld Enable timer to recover from udld error vmps Enable timer to recover from vmps shutdown error Rack16SW1(config)#errdisable recovery cause そこで、cause名を調べる事ができないかを考えます。R1に以下の設定を投入し、HSRPによる仮想IPアドレス, 仮想MACアドレスを定義する事によって、意図的にport-security違反を発生させます。 この方法を使用すれば、cause名をど忘れしたとしても、何とか設定を投入する事ができます。 R1 interface FastEthernet0/0 standby ip 155.16.146.111 SW1 Rack16SW1#show interfaces status err-disabled Port Name Status Reason Err-disabled Vlans Fa0/1 err-disabled psecure-violation Rack16SW1# 11.23 DHCP Snooping DHCP SnoopingはDHCPのパケットを覗き見する事で、不正なDHCP packetを遮断する機能です。本機能を有効にするには、以下を投入します。 Router(config)# ip dhcp snooping Router(config)# ip dhcp snooping vlan vlan 以下の要領で、覗き見した情報を保存するデータベースを定義する事ができます。 Router(config)# ip dhcp snooping data-base url Router(config)# ip dhcp snooping data-base write-delay sec ポートに対してtrust, untrustを定義します。trustであるポートからのみDHCPサーバからのパケット(OFFER, ACKなど)を許可する事で、不正なDHCPサーバからのパケットを遮断します。デフォルトで全てのポートはuntrustに設定されており、untrustからtrustに変更するには以下の設定を投入します。通常は、uplink portに対して投入するコマンドです。 Router(config-if)# ip dhcp snooping trust DHCP Snoopingを設定すると、自動的にOption 82フィールを挿入の設定も有効になります。Option 82フィールを挿入を無効化したい場合は以下の設定を投入します。 Router(config)# no ip dhcp snooping information option Option 82はDHCPに関する追加情報を付与するフィールドです。このフィールドの中で、特に注意しなければならないのが、giaddrです。giaddrはDHCPを転送したルータのIPアドレスが格納されます。具体的に言えば、DHCP relay agentのIPアドレスが格納されるフィールドです。 ところで、DHCP SnoopingはデフォルトでOption 82の挿入を行う事を思い出して下さい。エッジスイッチで、DHCP Snoopingを行うと、Option 82のgiaddrには0.0.0.0が格納されます(オンラインドキュメントでは、この値を"zero giaddr"と記載されています)。 IOS DHCP Serverは、デフォルトでzero giaddrが設定されたDHCPを破棄してしまいます。つまり、DHCP Snoopingが設定されている環境では明示的に"zero giaddr"を許可する設定を投入しないとDHCPを受信できないという事です。zero giaddrを許可するには、以下のいずれかのコマンドを投入します。 Router(config)# ip dhcp relay information trust-all Router(config-if)# ip dhcp relay information trusted 11.24 DHCP Snooping and the Information Option DHCP Snoopingの過程で、Options 82フィールドに明示的な値を挿入する事ができます。設定は以下の通りです。 Router(config)# ip dhcp snooping information option format remote-id string string Router(config-if)# ip dhcp snooping information option allow-untrusted Catalyst Switchは、untrust portでOption 82が付与されたDHCPパケットを受信するとそのパケットを破棄します(untrust port配下にはDHCP Serverが存在しない事が多いので)。もし、この挙動を打ち消したい場合は、以下のコマンドを投入します。 Router(config)# ip dhcp snooping information option allow-untrusted Option 82はベンダーやプラットフォーム毎にフォーマットが異なるので、showコマンド等でOption 82を確認する方法は提供されていません。 Option 82を確認するには、以下の通りdumpを取得するしか方法がありません。なお、dumpオプションは入力補完が効かない隠しコマンドです。 R4 access-list 100 permit udp any any bootpc access-list 100 permit udp any any bootps ! debug ip packet dump 100 Rack14R4# EEE95C40 FFFF FFFFFFFF ...... EEE95C50 0019AA1D 48A00800 4500014D 05A40000 ..*.H ..E..M.$.. EEE95C60 FE11B5FC 00000000 FFFFFFFF 00440043 ~.5|.........D.C EEE95C70 01391CAA 01010600 000023E6 00008000 .9.*......#f.... EEE95C80 00000000 00000000 00000000 00000000 ................ EEE95C90 0019AA1D 48A00000 00000000 00000000 ..*.H .......... EEE95CA0 00000000 00000000 00000000 00000000 ................ EEE95CB0 00000000 00000000 00000000 00000000 ................ EEE95CC0 00000000 00000000 00000000 00000000 ................ EEE95CD0 00000000 00000000 00000000 00000000 ................ EEE95CE0 00000000 00000000 00000000 00000000 ................ EEE95CF0 00000000 00000000 00000000 00000000 ................ EEE95D00 00000000 00000000 00000000 00000000 ................ EEE95D10 00000000 00000000 00000000 00000000 ................ EEE95D20 00000000 00000000 00000000 00000000 ................ EEE95D30 00000000 00000000 00000000 00000000 ................ EEE95D40 00000000 00000000 00000000 00000000 ................ EEE95D50 00000000 00000000 00000000 00000000 ................ EEE95D60 63825363 35010139 0204803D 07010019 c.Sc5..9...=.... EEE95D70 AA1D48A0 0C085261 636B3134 52363708 *.H ..Rack14R67. EEE95D80 01060F2C 0321962B 521A010B 01092252 ...,.!.+R..... R EEE95D90 4F555445 52362202 0B010922 53574954 OUTER6 .... SWIT EEE95DA0 43483222 FF CH2 . 11.35 Control Plane Protection (CPPr) Control Plane Protection (CPPr)は、control plane policingの拡張機能です。CPPrは、Routing Process(RP)を以下3つの仮想的なsub I/Fに分類し、sub I/F毎のより詳細な制御が可能になる機能です。 sub interface 説明 host ルータ宛てのトラフィックがこのI/Fに分類されます。但し、非IPは除きます。 transit ルータを経由するトラフィックがこのI/Fに分類されます。 sef exception 非IPのルータ宛てトラフィックがこのI/Fに分類されます。CDP, arp, L2 keepaaliveなどが該当します。 CPPrは、policing以外にport-filtering, per protocol queueingが可能です。 port-filteringはFirewallのような機能で、host sub interfaceに対してポート単位の制御をする事が可能です。設定例は以下の通りです。 class-map type port-filter CMAP_FILTER_CLOSED match closed-port match not port 3020 ! policy-map type port-filter PMAP_FILTER_CLOSED class CMAP_FILTER_HOST drop ! control-plane host service-policy type port-filter input PMAP_FILTER_CLOSED per protocol queueingは、host, transit, cef exceptionの全てのsub interfaceに対して設定可能な機能で、プロトコル毎のqueueuingを定義できます。設定例は以下の通りです。 class-map type queue-threshold CMAP_QUEUE_HTTP match protocl http ! policy-map type queue-threshold PMAP_QUEUE_HTTP class CMAP_QUEUE_HTTP queue-limit 100 ! control-plane host service-policy type queue-threshold input PMAP_QUEUE_HTTP 11.38 Flexible Packet Matching Flexible Packet Matchingは、かなり詳細な条件(例えば、ペイロードに"AAA"を含む)に基づいたパケットの制御ができる機能です。 注意事項として、正規表現を使用する時は、Cisco流の正規表現ではなくLinux流の正規表現を使用するように注意して下さい。例えば、"AAA"を含む文字列を表現したいならば、".*AAA.*"と記載します。具体例は以下の通りです。 class-map type access-control match-all ICMP_ECHO_STRING match field icmp type eq 8 match start icmp payload offset 0 size 256 regexp .*AAA.*