約 1,126,940 件
https://w.atwiki.jp/it_certification/pages/85.html
目的 構成 検証1 I/F単位での認証の有効化(平文) 検証2 I/F単位での認証の有効化(MD5) 検証3 area単位での認証の有効化 検証4 virtual-linkの認証(失敗) 補足 area 0の認証有効化 目的 virtual-linkによって、OSPF area 1とarea 2を接続する方法を確認します。 構成 設定概要 OSPFによってルーティングします。 R1とR2をvirtual-linkによって接続します。 トップページ/動作検証 ネットワーク系/20100424 OSPF virtual-link 標準接続の検証終了時の設定と全く同じです。 構成図 netファイル ghostios = True sparsemem = True model = 3620 [localhost] [[3620]] image = C \Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin ram = 256 [[ROUTER R1]] e0/0 = R2 e0/0 [[ROUTER R2]] 初期設定 R1 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 full-duplex no keepalive ! interface Ethernet0/1 ip address 192.168.1.1 255.255.255.0 full-duplex no keepalive ! interface Ethernet0/2 no ip address shutdown half-duplex ! interface Ethernet0/3 no ip address shutdown half-duplex ! router ospf 1 log-adjacency-changes area 1 virtual-link 2.2.2.2 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 1 ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end 初期設定 R2 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 full-duplex ! interface Ethernet0/1 ip address 192.168.3.2 255.255.255.0 full-duplex no keepalive ! interface Ethernet0/2 no ip address shutdown half-duplex ! interface Ethernet0/3 no ip address shutdown half-duplex ! router ospf 1 log-adjacency-changes area 1 virtual-link 1.1.1.1 network 192.168.2.0 0.0.0.255 area 1 network 192.168.3.0 0.0.0.255 area 0 ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end 検証1 I/F単位での認証の有効化(平文) 認証の設定 R1に以下の設定を投入します。R1のみ認証を設定するとneighborが切断されるのが確認できます。 R1(config)#interface Ethernet 0/0 R1(config-if)#ip ospf authentication R1(config-if)#ip ospf authentication-key hoge *Mar 1 00 12 07.087 %OSPF-5-ADJCHG Process 1, Nbr 2.2.2.2 on Ethernet0/0 from FULL to DOWN, Neighbor Down Dead timer expired *Mar 1 00 12 12.591 %OSPF-5-ADJCHG Process 1, Nbr 2.2.2.2 on OSPF_VL2 from FULL to DOWN, Neighbor Down Interface down or detached R2に以下の設定を投入します。R1, R2の両方に認証が定義されることによって、neighborが再確立されるのが確認できます。 R2(config)#inter Ethernet 0/0 R2(config-if)#ip ospf authentication R2(config-if)#ip ospf authentication-key hoge *Mar 1 00 15 50.503 %OSPF-5-ADJCHG Process 1, Nbr 1.1.1.1 on Ethernet0/0 from LOADING to FULL, Loading Done *Mar 1 00 16 15.663 %OSPF-5-ADJCHG Process 1, Nbr 1.1.1.1 on OSPF_VL1 from LOADING to FULL, Loading Done パケットキャプチャ R1, R2間のパケットをキャプチャします。OSPF header内にパスワードが平文で記載されているのが確認できます。 設定削除 平文による認証設定を削除します。 R1(config)#interface Ethernet 0/0 R1(config-if)#no ip ospf authentication R1(config-if)#no ip ospf authentication-key hoge R2(config)#interface Ethernet 0/0 R2(config-if)#no ip ospf authentication R2(config-if)#no ip ospf authentication-key hoge 検証2 I/F単位での認証の有効化(MD5) 認証の設定 MD5による認証を設定します。なお、下記設定の10はkey-idと呼ばれる値で、認証をするルータ間で一致させる必要があります。 R1(config)#interface Ethernet 0/0 R1(config-if)#ip ospf authentication message-digest R1(config-if)#ip ospf message-digest-key 10 md5 hoge R2(config)#interface Ethernet 0/0 R2(config-if)#ip ospf authentication message-digest R2(config-if)#ip ospf message-digest-key 10 md5 hoge パケットキャプチャ R1, R2間のパケットをキャプチャします。OSPF header内にkey-idおよびハッシュ化されたパスワードが平文で記載されているのが確認できます。 設定の削除 MD5認証設定を削除します。 R1(config)#interface Ethernet 0/0 R1(config-if)#no ip ospf authentication ? cr R1(config-if)#no ip ospf authentication R1(config-if)#no ip ospf message-digest-key 10 md5 hoge R1(config-if)#do show run | begin Ethernet0/0 interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 full-duplex no keepalive R2(config)#interface Ethernet 0/0 R2(config-if)#no ip ospf authentication R2(config-if)#no ip ospf message-digest-key 10 md5 hoge 検証3 area単位での認証の有効化 認証の設定 検証1とは違い、area単位で認証を有効にする事もできます。以下の設定を投入します。 R1(config)#router ospf 1 R1(config-router)#area 1 authentication R1(config-router)#exit R1(config)#interface Ethernet 0/0 R1(config-if)#ip ospf authentication-key foo R2(config)#router ospf 1 R2(config-router)#area 1 authentication R2(config-router)#exit R2(config)#interface Ethernet 0/0 R2(config-if)#ip ospf authentication-key foo 設定の削除 認証の設定を削除します。 R1(config)#router ospf 1 R1(config-router)#no area 1 authentication R1(config-router)#exit R1(config)#interface Ethernet 0/0 R1(config-if)#no ip ospf authentication-key foo MD5認証 area単位で認証を有効にしても、検証2と同様の手順でMD5認証もれきます。 configについては省略します。 検証4 virtual-linkの認証(失敗) 認証の設定 virtual-link間の認証を定義します。下記、設定を投入します。 R1(config)#router ospf 1 R1(config-router)#area 0 authentication R1(config-router)#area 1 virtual-link 2.2.2.2 authentication-key baa R2(config)#router ospf 1 R2(config-router)#area 0 authentication R2(config-router)#area 1 virtual-link 1.1.1.1 authentication-key baa keyの変更 neighbor up/downやデバッグメッセージなどから、認証が設定された事が確認できませんでした。 認証が行われているかどうかを確認するために、R1とR2のkeyを異なる値にしてみます。 R2(config)#router ospf 1 R2(config-router)#no area 1 virtual-link 1.1.1.1 authentication-key R2(config-router)#area 1 virtual-link 1.1.1.1 authentication-key hoge キャプチャの確認 keyの値が異なっていても、neighborは確立されたままでした。 R1,R2間のパケットをキャプチャしても、認証されている様子は見当たりません。 試してみた設定 キャリアデザイン塾の記事(以下URL)を元に設定を行いましたが、認証はされませんでした。 http //www.careerdesign.co.jp/index.php?option=com_content view=article id=165 catid=46 R1(config)#router ospf 1 R1(config-router)#area 0 authentication R1(config-router)#area 1 virtual-link 2.2.2.2 authentication R1(config-router)#area 1 virtual-link 2.2.2.2 authentication-key baa R2(config)#router ospf 1 R2(config-router)#area 0 authentication R2(config-router)#area 1 virtual-link 1.1.1.1 authentication R2(config-router)#area 1 virtual-link 1.1.1.1 authentication-key baa MD5による設定も試みましたが、ダメでした。 R1(config)#router ospf 1 R1(config-router)#area 0 authentication R1(config-router)#area 1 virtual-link 2.2.2.2 authentication message-digest R1(config-router)#area 1 virtual-link 2.2.2.2 message-digest-key 1 md5 baa R2(config)#router ospf 1 R2(config-router)#area 0 authentication R1(config-router)#area 1 virtual-link 1.1.1.1 authentication message-digest R1(config-router)#area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 baa 補足 area 0の認証有効化 以下geneさんの記事の引用になりますが、area 0の認証を有効にした途端、virtual-linkが切れてしまうという落とし穴があるそうです。「virtual-linkはarea 0に所属するもの」と言えば当たり前の事になってしまいますが、この場合シナリオについても機会を見て検証したいと思います。 http //www.n-study.com/network/2005/09/0_for_ccie_ospf.html
https://w.atwiki.jp/it_certification/pages/235.html
1 概要 2 トラフィックの生成2.1 pingおよび拡張ping 2.2. policy-map の適用 2.3. HTTP 2.4. その他 TCP 2.5. Voice 3 テストトラフィックの測定3.1 ping 目視による確認 3.2 ping による送信速度確認 3.3 Interfaceレベル, PVCレベルでの確認 3.4 policy-mapによる確認 4 Marking の確認4.1 show mls qosによる確認 4.2 ACLによる確認 4.3 policy-mapによる確認 1 概要 QoS動作確認をする方法についてまとめます。 設定量が多く確認に時間のかかる方法や設定量は少ないが簡易的な確認しかできない方法など、さまざまな確認方法があります。CCIE試験は非常にスピードが求められる試験だと思いますので、極力手間を抑えて確認できるよう、様々な方法を例示します。 2 トラフィックの生成 2.1 pingおよび拡張ping 以下の通り、size repeatを指定する事で大量のトラフィックを発生される事ができます。 Router# ping 192.168.0.1 size 1500 repeat 99999 timeoutを0にする事でより大量のトラフィックを発生される事ができます。 Router# ping 192.168.0.1 size 1500 repeat 99999 timeout 0 拡張pingを使用するとより詳細な設定が可能です。主に、IP Precedence, DSCPをセットしたpingを送信したい時に使用します。 Router# ping Protocol [ip] Target IP address 192.168.0.1 Repeat count [5] 99999 Datagram size [100] 1500 Timeout in seconds [2] Extended commands [n] y Source address or interface Type of service [0] 184 Set DF bit in IP header? [no] Validate reply data? [no] Data pattern [0xABCD] Loose, Strict, Record, Timestamp, Verbose[none] Sweep range of sizes [n] 2.2. policy-map の適用 policy-mapをout方向に適用し、cos, IP Precedence, DSCPを設定したパケットを送信する事ができます。但し、上記の拡張pingの方が素早く確認ができるので、policy-mapをパケット生成用に使用するのは、主に以下の局面に限定されると思います。 cos値を設定したパケットを送信する IP Precedence, DSCPが設定されたICMP以外のパケットを送信する ( 例 precedence 2 のHTTPトラフィック ) 具体的な設定例は以下の通りです。 policy-map SET_PREC_2 class class-default set ip precedence 2 ! interface FastEthernet 0/0 service-policy output SET_PREC_2 2.3. HTTP 簡単にHTTPトラフィックを発生されるには、IOSイメージのダウンロード実行します。具体的な方法は以下の通りです。 まず、ダウンロードされる側の機器で、HTTP serverを有効にします。 ip http service ip http service path flash ダウンロードされる側でIOSイメージが存在するファイルパスを確認します。(show flashでは確認できない場合もあります) Rack18R6#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(24)T, RELEASE SOFTWARE (fc1) Technical Support http //www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Wed 25-Feb-09 15 36 by prod_rel_team ROM System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Rack18R6 uptime is 2 hours, 37 minutes System returned to ROM by reload at 15 02 36 UTC Mon Jul 11 2011 System restarted at 15 04 14 UTC Mon Jul 11 2011 System image file is flash c1841-adventerprisek9-mz.124-24.T.bin ダウンロードする側で、以下の要領でダウンロードを実施します(ユーザ名が設定されていない場合は、ユーザ名は任意の文字列で差し支えありません)。 copy http //user password@ip_address/file null なお、以下のようにパスワードを設定する事で、ユーザ名とパスワードを省略する事ができます。 ip http client password password ちなみに、少量のHTTPトラフィックで充分確認できる場合は、以下の方法が簡易的でお勧めです。 telnet 192.168.0.1 80 2.4. その他 TCP telnetコマンドでトラフィックを発生されます。compressionの設定を確認する時などに有効です。 telnet 192.168.0.1 Windows, Linuxなどと同様にポート番号を指定したtelnetも可能です。 telnet 192.168.0.1 80 2.5. Voice IP SLA機能によりVoiceのパケットを生成する事ができます。~ 但し、Cisco1814とCisco2610XMでは使用できる機能に違いがある事に注意して下さい。INEの動作確認例は、R1, R2, R3, R4, R5, R6が全てCisco2610XMである前提で動作確認していますが、現在のレンタルラボでCisco2610XMはR1, R2, R3のみです。 大量のVoiceパケットを送信するのはCisco1814では難しいです。そこで、"10.57 RSVP and WFQ"のような大量のパケットを送付して動作確認したい場合は、以下のように一部I/Fをshutdownして動作確認しやすい通信経路を作成します。 #ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%); IP SLAを使いこなすために、まずはtype jitter dest-ipaddrコマンドの使い方について確認します。構文は以下の通りです。 ip sla monitor num type jitter dest-ipaddr addr dest-port port source-ipaddr addr source-port port codec codec codec-numpackets num codec-size byte codec-interval msec control { enable | disable} 各optionの意味は以下の通りです。 option 意味 dest-port 宛先ポートを指定します。UDP jitter (codec)の場合、ポート番号は、16384 - 32766, 49152 - 65534 の偶数を指定する必要があります。 codec codecを指定し、ICPIF, MOS等の音声品質評価ができるようになります。また、このパラメータを指定すると、codec-numpacketsなどのデフォルト値が自動的に決定されます。 codec-numpackets 各動作で送信されるパケット数を指定します。有効範囲は1 - 6000パケットで、デフォルト値は1000パケットです。 codec-size RTP headerを含むサイズを指定します。例えば20byteを指定したとすると、パケットサイズは60byteになります(UDP header 20byte, IP header 20byteを加算するので) codec-interval パケット間の間隔です。デフォルトは20msecです。 control IP SLA responderへの制御メッセージ送付の有効・無効を指定します。無効にすると、jitter, lossなどの統計情報が正確に生成されなくなってしまいます。 指定可能なcodecとデフォルト値は以下の通りです。なお、codec-sizeのRTP headerを含む大きさです。pakect sizeに変換する場合は、40byteを加算して下さい。 codec-numpackets codec-size codec-interval 動作の頻度 g711ulaw 1000 160byte 20msec 60秒に1回 g711alaw 1000 160byte 20msec 60秒に1回 g729a 1000 20byte 20msec 60秒に1回 sender側の設定例は以下の通りです。codec-numpacket, codec-interval, frequency(timeoutより大きい必要あり)等をチューニングする事で、ある程度の大きさのVoiceトラフィックを送信させる事ができます。 ip sla monitor 1 type jitter dest-ipaddr 150.18.5.5 dest-port 16384 source-ipaddr 150.18.1.1 source-port 16384 codec g729a codec-interval 1 timeout 800 frequency 1 ip sla monitor schedule 1 life forever start-time now responder側の設定例です。 ip sla monitor responder 3 テストトラフィックの測定 3.1 ping 目視による確認 pingを送信した時に表示される" ! "が、どの程度早く表示されたかは非常に重要な情報です。policing, shapingを設定した後と前では、目視で分かるくらい明らかに" ! "が表示されるスピードが違います。また、"10.2 Weghited Fair Queue(WFQ)"のように、WFQが設定されたqueueに対しprecedenceの異なるpingを同時に送信すると、目視で分かるくらい送信速度に差が出ます。 Rack18R6#ping Protocol [ip] Target IP address 192.168.0.2 Repeat count [5] 99999999 Datagram size [100] 156 Timeout in seconds [2] 1 Extended commands [n] y Source address or interface Loopback0 Type of service [0] 224 Set DF bit in IP header? [no] Validate reply data? [no] Data pattern [0xABCD] Loose, Strict, Record, Timestamp, Verbose[none] Sweep range of sizes [n] Type escape sequence to abort. Sending 99999999, 156-byte ICMP Echos to 192.168.0.2, timeout is 1 seconds Packet sent with a source address of 1.1.1.1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 3.2 ping による送信速度確認 exceed-actionがdropであるpolicingの場合、pingがdropされる頻度から送信速度をある程度推測する事ができます。以下ping実行結果を例に挙げて、policingの確認方法について説明します。 Rack18R1#ping 150.18.6.6 repeat 99999999 timeout 1 size 1500 Type escape sequence to abort. Sending 99999999, 1500-byte ICMP Echos to 150.18.6.6, timeout is 1 seconds !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!! !!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!! !!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!! !!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!! !!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!! !!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!.!!!!!! !!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!.! !!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!. Success rate is 97 percent (795/817), round-trip min/avg/max = 1/4/8 ms Rack18R1# 上記は、256Kbpsを超過したトラフィックをdropするように設定された経路に対して、pingを送信した結果です。pingが23発に一度"応答なし"である事が読み取れます。timeoutが1秒に設定されている事から、ほぼ1秒間(実際は1秒よりも少し長い時間)に23回のpingが送信されているので、送信速度は以下のように計算する事ができます。 設定された256Kbpsにかなり近い値が算出された事が分かります。 23 x 1500 byte x 8 bit/byte = 276000 bit 3.3 Interfaceレベル, PVCレベルでの確認 showコマンドによりInterfaceレベル, PVCレベルでの送受信速度の確認が可能です。(但し、Catalystはこの方法による確認はできません。) Rack18R1#show interfaces FastEthernet 0/0 | include input rate 30 second input rate 15000 bits/sec, 11 packets/sec Rack18R1# Rack18R5#show frame-relay pvc 503 | i rate 30 second input rate 56000 bits/sec, 68 packets/sec 30 second output rate 58000 bits/sec, 68 packets/sec Queueing strategy fifo Rack18R5# デフォルト設定の送受信速度は5分間のtraffic counter増分を元に算出されますが、最短30秒間隔まで計測間隔を短くする事ができます。 interface FastEthernet 0/0 load-interval 30 ! interface Serial 0/0/0 frame-relay interface-dlci 502 load-interval 30 3.4 policy-mapによる確認 policy-mapにより送受信速度を測定する事もできます。Precedenceのような優先度毎やHTTPなどのプロトコル毎の送受信速度を計測する事ができますが、難点は設定に非常に時間がかかってしまう事です。また、Catalystなどのスイッチでは計測不能である事にも注意して下さい。 設定例は以下の通りです。policy-mapを作成しinterfaceに適用します。(極力input方向に対して設定して下さい。例えば、出力パケットを制限している場合ならば、対向I/Fのinput方向に対してpolicy-mapを適用します) access-list 100 permit tcp any eq www any access-list 101 permit icmp any any ! class-map match-all ICMP match access-group 101 class-map match-all HTTP match access-group 100 class-map match-all VOICE match packet length min 60 max 60 ! policy-map METER class VOICE class HTTP class ICMP ! interface Serial0/1/0 service-policy input METER 以下showコマンドにより送受信速度を確認できます。速度の計算間隔はload-intervalコマンドにより変更する事ができます。 Rack18R5#show policy-map interface Serial0/1/0 Service-policy input METER Class-map VOICE (match-all) 7022 packets, 449408 bytes 30 second offered rate 33000 bps Match packet length min 60 max 60 Class-map HTTP (match-all) 2014 packets, 1168120 bytes 30 second offered rate 77000 bps Match access-group 100 Class-map ICMP (match-all) 1167 packets, 186720 bytes 30 second offered rate 12000 bps Match access-group 101 Class-map class-default (match-any) 926818 packets, 68790385 bytes 30 second offered rate 0 bps, drop rate 0 bps Match any Rack18R5# 4 Marking の確認 4.1 show mls qosによる確認 show mls qos interface statisticsコマンドによりMarkingの結果を確認できます。 Rack7SW1#show mls qos interface FastEthernet 0/19 statistics FastEthernet0/19 (All statistics are in packets) dscp incoming ------------------------------- 0 - 4 14099 0 0 0 0 5 - 9 0 0 0 0 0 10 - 14 0 0 0 0 0 15 - 19 0 0 0 0 0 20 - 24 0 0 0 0 313 25 - 29 0 0 0 0 0 30 - 34 0 0 0 0 0 35 - 39 0 0 0 0 0 40 - 44 0 0 0 0 0 45 - 49 0 0 0 96 0 50 - 54 0 0 0 0 0 55 - 59 0 0 0 0 0 60 - 64 0 0 0 0 omitted Catalyst 3550 の場合は、全DSCPの統計情報が取得されるわけではありません。統計情報を取得したいDSCPを明示的に設定する必要があります。 interface FastEthernet0/13 mls qos monitor dscp 16 24 32 40 46 Rack7SW4#sho mls qos int f0/13 st FastEthernet0/13 Ingress dscp incoming no_change classified policed dropped (in pkts) 0 7472 7472 0 0 0 16 0 0 0 0 0 24 0 0 0 0 0 32 5 5 0 0 0 40 0 0 0 0 0 46 0 0 0 0 0 Others 3589 3589 0 0 0 Egress dscp incoming no_change classified policed dropped (in pkts) 0 15594 n/a n/a 0 0 16 10 n/a n/a 0 0 24 350 n/a n/a 0 0 32 0 n/a n/a 0 0 40 0 n/a n/a 0 0 46 0 n/a n/a 0 0 Others 613 n/a n/a 0 0 Rack7SW4# 4.2 ACLによる確認 ACLによって想定通りのMarkingがされているかどうかの確認もできます(但し、Catalyst Switchではこの確認方法が効きません)。 以下のように、precedence, dscpなどにマッチするかどうかをチェックするACLを作成します。 ip access-list extended CHECK_PREC permit ip any any precedence routine permit ip any any precedence priority permit ip any any ! interface Virtual-Template1 ip access-group CHECK_PREC out show access-listsコマンドのカウンタより、想定通りのMarkingがされている事を確認します。 Rack18R4#show access-lists CHECK_PREC Extended IP access list CHECK_PREC 10 permit ip any any precedence routine (55087 matches) 20 permit ip any any precedence priority (17834 matches) 99 permit ip any any Rack18R4# ACLのカウンタをリセットしたい場合は、以下のコマンドを使用します。 clear access-list counters 4.3 policy-mapによる確認 Markingと送受信速度を同時に確認したい場合は、policy-mapが有効です(但し、Catalyst Switchではこの確認方法が効きません)。 以下のように、precedence, dscp毎に分類したpolicy-mapを作成します。 class-map match-all CMAP_CS1 match dscp cs1 class-map match-all CMAP_CS3 match dscp cs3 ! policy-map PMAP_METER class CMAP_CS1 class CMAP_CS3 ! interface FastEthernet0/0 load-interval 30 ! interface FastEthernet0/0.146 service-policy input PMAP_METER 想定通りのMarkingがなされている事と、precedence, dscp毎の送受信速度を確認します。 Rack9R1#show policy-map interface FastEthernet0/0.146 Service-policy input PMAP_METER Class-map CMAP_CS1 (match-all) 42997 packets, 5073646 bytes 30 second offered rate 359000 bps Match dscp cs1 (8) Class-map CMAP_CS3 (match-all) 7947 packets, 937746 bytes 30 second offered rate 64000 bps Match dscp cs3 (24) Class-map class-default (match-any) 37 packets, 11950 bytes 30 second offered rate 0 bps, drop rate 0 bps Match any Rack9R1#
https://w.atwiki.jp/it_certification/pages/233.html
Tips 10.1. Hold-Queue and Tx-Ring hardware queueのsizeをチューニングするには、以下のコマンドを使用します。 Router(config-if)# tx-ring-limit num hardware queuのsizeを確認するためには、以下のコマンドを使用します。 Router#show controllers FastEthernet 0/0 | include tx_limit tx_limited=0(15) Router# software queueのsizeをチューニングするには、以下のコマンドを使用します。 Router(config-if)# hold-queu num [{ in | out }] 10.2. Weighted Fair Queue WFQは、IPアドレス, port番号を基にflowに分類し、各flow毎に帯域を割り当てる方法です。WFQはIP precendenceによって帯域を決定し、正確な重みづけの計算式は以下の通りです。。(例えば、IP precendece 1とIP precedence 2では、帯域の比率は2 3になります) Weight = 32384 / ( IP precedence + 1 ) WFQは、以下のパラメータでチューニングする事ができます。 Router(config-if)# fair-queue CDT N_flow_queue N_reserved_queue パラメータ 説明 CDT (congestion discard threthold) 各flowに割り当てられるqueueのsizeが閾値を超えた場合、discardします N_flow_queue flowに対するqueue数の上限を定義します N_reserved_queue RSVP用に予約されたqueueの数を定義します 10.3. Legacy RTP Reserved Queue Voice bearer trafficはIP Precedence 5なので、Precendence値が大きいflowが存在する場合や他のflow数が多い場合などは、WFQはそれほど多くの帯域を割り当てられません。しかし、ip rtp reserveを使用すると、Voice用の帯域を確保するので、Voiceが枯渇する事はありません。本機能を使用するためには、以下のコマンドを投入します。 Router(config-if)# ip rtp reserve start_upd_port port_range bandwidth デフォルトで帯域の75%までがWFQ, CBWFQとして使用する事ができます。75%までに制限するのは、残りの帯域をrouting update, L2 Keepaliveなどに使用させようとした配慮です。WFQ, CBWFQが使用できる最大帯域を変更するためには、以下のコマンドを投入します。#blockquote(){{Router(config-if)# max-reserved bandwidth percent }} 10.4. Legacy RTP Prioritization 本機能は、ip rtp reserveの後続の機能です。ip rtp reserveと異なり、Voice用のqueueはstrict priority queue (絶対優先queue)として扱われます。Voiceは真っ先に送信されるようになるので、jitter, letancyを軽減する事ができます。本機能を使用するためには、以下のコマンドを投入します。 Router(config-if)# ip rtp priority start_upd_port port_range bandwidth 10.5. Legacy Custom Queueing 以下のコマンドで、各queueに割り当てるパケットを定義する事ができます。queue_numは0から16までの17個が定義可能で、0を指定した場合は絶対優先されるsystem queueが使用されます。 Router(config)# queue-list list_num protocol ip queue_num tcp port Router(config)# queue-list list_num protocol ip queue_num udp port Router(config)# queue-list list_num protocol ip queue_num [{ lt | gt }] size Router(config)# queue-list list_num protocol ip queue_num list acl_num 以下のコマンドでデフォルトで使用されるqueueを定義する事ができます。 Router(config)# queue-list list_num default queue_num 以下のコマンドで、各queueに対するbyte count(送信権)を設定します。なお、byte countはL2 frameのsizeに基づいて計算されます。CCIE試験では、L2 header (HDLC, ethernetなど) sizeを考慮した上での設定が求められます。 Router(config)# queue-list list_num byte-count size 以下のコマンドで、各queueに対するqueue sizeを定義する事ができます。 Router(config)# queue-list list_num limit queue_num 以下のコマンドでsystem queueの次に絶対優先されるqueueを定義する事ができます。Voiceのようにjitter, letencyを軽減したいパケットに使用します。但し、lowest-customで定義されたパケットは全く制限されないので他flowが枯渇する恐れがある事に注意して下さい。 Router(config)# queue-list list_num lowest-custom queue_num 定義したcustom queueをI/Fに適用するには、以下のコマンドを使用します。 Router(config-if)# custom-queue-list list_num 10.7. Legacy Priority Queue Priorityは優先度が異なるhigh, midium, normal, lowの4種類のqueueで構成されるqueuingです。highの送信が完了すると、midiumに送信権が移ります。high, midiumの送信が完了すると、normalに送信権が移ります。high, midium, normalの送信が完了すると、lowに送信権が移ります。注意点は、優先度の低いflowが枯渇しやすい事です。 設定方法は以下の通りです。 Router(config-if)# priority-list list_num protocol ip [{ high | midium | normal | low }] tcp port Router(config-if)# priority-list list_num protocol ip [{ high | midium | normal | low }] udp port Router(config-if)# priority-list list_num protocol ip [{ high | midium | normal | low }] [{ lt | gt }] size Router(config-if)# priority-list list_num protocol ip [{ high | midium | normal | low }] list acl 各queueのsizeを定義します。 Router(config-if)# priority-list list_num queue-list high_size midium_size normal_size low_size 10.8. Legacy Random Early Detection precedenceまたはDSCPに基づいたWREDを有効にします。 Router(config-if)# random-detect { precedence-based | dscp-based } 優先度(precendence, dscp)に基づいたdropされる確立を定義します。 queueの長さがminになった時点でdropされはじめ(drop確率0%)ます。queueが長くなるとdropされる確率は線形で上昇し、queueの長さがmaxになるとdropされる確率はdrop%になります。queueの長さがmaxを超えると100%の確率でdropされます。 Router(config-if)# random-detect precedence precedence min max [ drop ] Router(config-if)# random-detect dscp dscp min max [ drop ] exponential-weight-constantを定義します。このパラメータは、AvgQueueSizeを計算する際に使用します。大きい値を設定すればするほど、AvgQueueの変化が緩やかになります。 Router(config-if)# random-detect exponential-weight-constant num AvgQueueSize = OldQueueSize * ( 1 - 1/2^N ) + NewQueueSize * 1/(2^N) }} 10.9. Legacy Flow-Based Random Early Detection フローベースのWREDを有効にします。 Router(config-if)# random-detect flow WREDのフロー数を定義します。 Router(config-if)# random-detect flow count num average-depth-factorを定義します。このパラメータは、dropのされやすさを定義します。2,4,8,16が設定可能でデフォルト値は4です。dropされるかどうかの判断基準は以下の式によって与えられ、値を大きくするとdropされずらくなりますがtail dropのリスクは大きくなります。言い換えれば、scaling-factorは各flowのキューサイズを定義するとも考えられます。(出典 Flow-based_WRED) Router(config-if)# random-detect flow average-depth-factor scaling-factor average-flow-depth * scaling-factor flow-depth 10.10. Selective Packet Discard Selective Packet Discard (SPD; 選択パケット破棄) とは、Routing Processor (RP; ルートプロセッサ) で入力キューを管理する仕組みです。この仕組みにより、入力キューの輻輳が発生した時に、ルーティングプロトコルなど重要なパケットを優先させる事ができます。 具体的には以下の3つのキューを用いて制御します。 general packet queue - 一般のパケット SPD headroom - BGP, IGP, L2 Keepalive extended SPD headroom - IGP, L2 Keepalive http //www.cisco.com/en/US/products/hw/routers/ps167/products_tech_note09186a008012fb87.shtml http //www.cisco.com/JP/support/public/ht/tac/100/1007059/spd-j.shtml RPはパケットをgeneral packet queueとpriority queueに格納します。ルーティングプロトコルなど優先度の高いパケットはpriority queueに格納しますが、その他のパケットはgeneral packet queueに格納します。 general packet queueに格納されたパケットは、以下のパラメータでdropされる確率を定義し、queue sizeによって以下の通りのdropが実行されます。 Router(config-if)# ip spd queue min-threshold max Router(config-if)# ip spd queue max-threshold min queue sizeがmin以下 - NORMAL (破棄しない) min以上 max以下 - RNADOM DROP (ランダムに破棄する) max以上 - FULL DROP (必ず破棄する) SPDにはnormal (default) modeとaggressive modeの2つのモードがあります。aggressive modeは無効なパケット(checksumによる破損発見, version不正, header長不正など)を破棄します。設定方法は以下の通りです。 TODO Router(config-if)# ip spd mode [ aggressive | xxx ] SPDは、ルーティングプロトコルやL2 Keepaliveなど優先度の高いパケット・フレームをpriority queue (SPD headroom) に格納します。SPDは、優先度が高いかどうかはIP preccedence値を見て判断します。ルーティングプロトコルは、IP precedenceが6に設定されているので、特別な設定を投入しなくてもpriority queueに格納されます。 SPD headroomのsizeは以下コマンドで定義する事ができます。 Router(config-if)# spd headroom size IGPとBGPは同一のIP precendence値が与えられます。そのため、BGPコンバージェンスなどの際は、IGPが破棄されてしまう事もあり得ます。IGPの安定性はBGPよりも優先されるべきですので、IGPやL2 Keep aliveにはExtended SPD headroomと呼ばれるキューが与えられます。SPD headroomが満杯の時は、Extended SPD headroomに格納する事で破棄を防ぎます。 Router(config-if)# spd extended-headroom size 10.11. Paylaod Compression on Serial Links Payload Compression on Serial Links Cisco IOSでは、stacker compression, predictor compressionをサポートします。それぞれの特徴をまとめると以下の通りです(CPU-insentiveは"CPU負荷が高い"の意味です。機会翻訳すると"CPU集約型"となってしまうので、日本語ドキュメントは充分な注意が必要です。)。 stac predictor カプセル化 ppp, hdlcなど多数 pppのみ CPU負荷 less CPU-insentive more CPU-intensive memory負荷 more memory-insentive less memory-intensive Payload Compressionを有効にする設定は以下の通りです。 {{Router(config-if)# compress [{ stac | predictor }] } Payload Compression on Frame-Relay PVC単位でもI/F単位でも設定可能。 one-way-negotiationなどのオプションの意味は要調査 TODO 10.12. Generic TCP/UDP Header Compression TCP/UDP header Compressionの設定は以下の通りです。また、passiveオプションを指定する事で、対向にCompressionの設定がなされている場合のみ、圧縮されたパケットを送信します。 Router(config-if)# ip tcp header-compression { passive } Router(config-if)# ip rtp header-compression { passive } TCP/UDP CompressionはCPU負荷が高い処理です。compressionするコネクション数を制限する事で、CPUを保護する機能も存在します。以下のコマンドで片方向コネクション数を制限する事ができます。( 例 "Allow for a maximum of 16 concurrent TCP session"と出題された場合は、片方向コネクション数は32で指定して下さい ) Router(config-if)# ip tcp compression-connections num Router(config-if)# ip rtp compression-connections num 10.13. MLP Link Fragmentation and Interleaving Muti Link PPP MLPPP(Multi Link PPP)とは複数の回線をまとめて、ひとつのPPP接続を実現する機能です。 以下の要領で、I/Fとvirtual templateを紐づける事で設定できます。 interface Serial0/0 ppp multilink ! interface Serial0/1 ppp multilink ! multilink virtual-template 1 ! interface Virtual-Tempalate1 ip address 192.168.0.1 255.255.255.0 Fragmentation and Interleave Cisco IOSでは、MLPPPに対してFragmentation and Interleaveを設定する事ができます。設定例は以下の通りです。なお、delayコマンドで、フラグメントする間隔を設定する事ができます。 interface Virtual-Tempalate1 ppp multilink interleave ppp multilink fragment delay 10 10.14. Legacy Generic Traffic Shaping Generic Traffic Shapingはトラフィックの送信量(Out方向のみ設定可)を制限する機能です。設定コマンドは以下の通りです。 Router(config-if)# traffic-shape rate cir bc be { queue_limit } Router(config-if)# traffic-shape group acl cir bc be { queue_limit } 10.15. Legacy CAR for Admission Control CARはトラフィックの送受信量(Out, Inの双方向設定可)を制限する機能です。 Router(config-if)# rate-limit [{ input | output }] cir bc be action Router(config-if)# rate-limit [{ input | output }] access-group acl cir bc be action 10.18. Legacy CAR Access-Lists CARはMACアドレスやIP Precedenceに基づいて帯域を制限する事ができます。これらの設定を使用するためには、以下の特殊なACLを定義する必要があります。 Router(config)# access-list rate-limit num mac_address Router(config)# access-list rate-limit num precedence_mask precedence_maskはIP precedence値を定義する16進数で2桁のマスクです。以下の書式で与えられるマスクで、例えば、precedence値が3, 7に合致するマスクは0x88 (10001000)と定義できます。 {{ [p7][p6][p5][p4][p3][p2][p1][p0] このACLを用いて帯域を制限する設定は以下の通りです。 Router(config-if)# rate-limit [{ input | output }] rate-limite acl cir bc be action 10.67 Catalyst QoS Port-Based Policing and Marking 個人的には、以下のように明示的にIPを拒否しないと気持ち悪いのですが、"deny any nay 0x0800 0x0"は投入しなくてもIP以外が合致するACLになるようです。また、0x0 0xFFFFは省略してしまうと、IPを含め全フレームが合致するACLになるようです(0x0 0xFFFFとすると、IP以外の全フレームの意味になるらしいです)。 mac access-list extended ACL_NON_IP deny any any 0x0800 0x0 permit any any 0x0 0xFFFF 10.68 Catalyst 3550 Per-Port Per-VLAN Policing INE模範解答を見ると、"なぜpoliceをparent policyに設定しないのか"など、若干の遠回りな印象を受けますが、INE模範解答で問題ありません。 若干の遠回りを感じるのは、Cat 3550の制約のせいです。制約に違反すると以下のようなエラーメッセージが出力されます。 Rack9SW2(config-if)#service-policy input PMAP_POLICE %QoS policy-map with police action at parent level not supported on Vlan146 interface. %QoS policy-map with police action at parent level not supported on Vlan146 interface. %QoS policy-map with police action at parent level not supported on Vlan146 interface. %QoS policy-map with police action at parent level not supported on Vlan146 interface. Rack9SW2(config-if)#^Z Rack9SW2(config-if)#service-policy input PMAP_VLAN146 set command is not supported in a 2nd level policymap Rack9SW2(config-if)#policy-map PMAP_POLICE
https://w.atwiki.jp/ucstudy/pages/13.html
1. CallManager Codecs/Regions Redundancy (CM Groups/Device Pool) Dial Plan Gatekeeper, SIP Proxy, Route Patterns, Route Groups, Route Lists, Digit Manipulation and Digit Analysis Music on Hold Conferencing (Audio and Video) Transcoding Media Termination Points CM Features Extension Mobility, IPMA, Attendant Console, Call Park, Pickup Phone Settings CTI, TAPI and JTAPI Interface 2. QoS Link Efficiency LFI, MLPPP, FRF.12, cRTP, VAD Classification and Marking Congestion Management Queuing CAC RSVP, GK Traffic Policing and Shaping LAN QoS CM CAC and GK. Hub and Spoke/Fully Meshed MPLS 3. Telephony Protocols SCCP RTP cRTP MGCP SIP H.323 Analog and TDM Signaling 4. Unity Integration MWI, SMDI DPA Call Handlers Unified Messaging VPIM 5. IOS IP Telephony Skills SRST CME CUE 6. IP IVR/IPCC Express Speech Recognition ICD Functions Database Lookups VXML 7. Security DHCP Snooping MCS OS Hardening Phone Authentication and Encryption TCP/UDP Port List Firewalls and Application Layer Gateways (ALG) NAT 8. Infrastructure Protocols DNS TFTP NTP Inline Power Cisco and 802.3af 9. Application Protocols IP Multicast Video Fax and Modem 10. Operations and Network Management
https://w.atwiki.jp/it_certification/pages/54.html
目的 IPv6 addressの設定方法を確認します。 構成 設定概要 ipv6アドレスを設定します staticルーティングを定義します。 R1, R2の間は1本がactive系で2本のstandby系です。 2本のstandby系は負荷分散するように設定します。 構成図 netファイル ghostios = True sparsemem = True model = 3620 [localhost] [[3620]] image = C \Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin ram = 256 [[ROUTER R1]] e1/0 = R2 e1/0 e1/1 = R2 e1/1 e1/2 = R2 e1/2 [[ROUTER R2]] f0/0 = R3 f0/0 [[ROUTER R3]] R1 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ipv6 unicast-routing ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback1 no ip address ipv6 address 2000 1 1 1/128 ! interface Ethernet1/0 no ip address half-duplex ipv6 address 2000 1 1/112 ipv6 address FE80 1 10 link-local ipv6 enable ! interface Ethernet1/1 no ip address half-duplex ipv6 address 2000 2 1/112 ipv6 enable ! interface Ethernet1/2 no ip address half-duplex ipv6 address 2000 3 1/112 ! interface Ethernet1/3 no ip address shutdown half-duplex ! ip http server ip classless ! ! ipv6 route /0 2000 3 2 10 ipv6 route /0 2000 2 2 10 ipv6 route /0 2000 1 2 ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end R2 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ipv6 unicast-routing ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ipv6 address 2000 4 2/112 ! interface Ethernet1/0 no ip address half-duplex ipv6 address 2000 1 2/112 ! interface Ethernet1/1 no ip address half-duplex ipv6 address 2000 2 2/112 ! interface Ethernet1/2 no ip address half-duplex ipv6 address 2000 3 2/122 ! interface Ethernet1/3 no ip address shutdown half-duplex ! ip http server ip classless ! ! ipv6 route /0 2000 3 1 10 ipv6 route /0 2000 2 1 10 ipv6 route /0 2000 1 1 ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end R3 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ipv6 unicast-routing ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ipv6 address 2000 4 3/112 ! ip http server ip classless ! ! ipv6 route /0 2000 4 2 ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 検証1 ipv6 設定 ipv6アドレスの設定 ipv6によるルーティングを有効にします。 R1(config)#ipv6 unicast-routing I/Fに対して、ipv6を有効にします。この時点で、EUI-64形式のインタフェースIDのリンクローカルアドレスが自動設定されます。 R1(config)#interface Ethernet 1/0 R1(config-if)#ipv6 enable R1(config-if)#do show ipv6 interface Ethernet 1/0 Ethernet1/0 is administratively down, line protocol is down IPv6 is enabled, link-local address is FE80 CE00 FFF FE20 10 [TENTATIVE] -EUI-64形式のipv6 address No global unicast address is configured Joined group address(es) FF02 1 FF02 2 FF02 1 FF20 10 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses. EUI-64形式のリンクローカルアドレスは分かりづらいので、リンクローカルアドレスを明示的に指定します。 以下のgeneさんの記事に読んだ限りでは、この方法が実践的であると思います。しかし、CCIE対策の動作確認が主な目的なので、リンクローカルアドレスの設定は以降省略します。 http //www.n-study.com/network/2005/08/ciscoipv6.html R1(config-if)#ipv6 address FE80 1 10 link-local R1(config-if)#do show ipv6 interface Ethernet 1/0 Ethernet1/0 is administratively down, line protocol is down IPv6 is enabled, link-local address is FE80 1 10 [TENTATIVE] No global unicast address is configured Joined group address(es) FF02 1 FF02 2 FF02 1 FF01 10 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses. グローバルユニキャストアドレスの設定を行います。 R1(config-if)#ipv6 address 2000 1 1/112 R1(config-if)#do show ipv6 interface Ethernet 1/0 Ethernet1/0 is administratively down, line protocol is down IPv6 is enabled, link-local address is FE80 1 10 [TENTATIVE] Global unicast address(es) 2000 1 1, subnet is 2000 1 0/112 [TENTATIVE] Joined group address(es) FF02 1 FF02 2 FF02 1 FF01 1 FF02 1 FF01 10 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses. ipv4と同様にno shutdownコマンドも入力します。 R1(config-if)#no shutdown 同様の手順で、構成図の通りipv6アドレスを全I/Fに対して設定します。 static routeの設定 R1に対し、以下の通りstatic routeを設定します。 R1(config)#ipv6 route /0 2000 1 2 R1(config)#ipv6 route /0 2000 2 2 10 R1(config)#ipv6 route /0 2000 3 2 10 R1(config)#do show ipv6 route IPv6 Routing Table - 12 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 S /0 [1/0] via 2000 1 2 - 表示されるのは2000 1 2のみです。floating staticは表示されません。 C 2000 1 0/112 [0/0] via , Ethernet1/0 L 2000 1 1/128 [0/0] via , Ethernet1/0 C 2000 2 0/112 [0/0] via , Ethernet1/1 L 2000 2 1/128 [0/0] via , Ethernet1/1 C 2000 3 0/112 [0/0] via , Ethernet1/2 L 2000 3 1/128 [0/0] via , Ethernet1/2 LC 2000 1 1 1/128 [0/0] via , Loopback1 L FE80 /10 [0/0] via , Null0 L FF00 /8 [0/0] via , Null0 R2に対し、以下の通りstatic routeを設定します。 R2(config)#ipv6 route /0 2000 1 1 R2(config)#ipv6 route /0 2000 2 1 10 R2(config)#ipv6 route /0 2000 3 1 10 R2(config)#do show ipv6 route - 略 - S /0 [1/0] via 2000 1 1 R3に対し、以下の通りstatic routeを設定します。 R3(config)#ipv6 route /0 2000 4 2 R3(config)#do show ipv6 route - 略 - S /0 [1/0] via 2000 4 2 検証2 正常系の疎通確認 疎通確認 R1からR3へのping応答を確認します。 R1#ping 2000 4 3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 4 3, timeout is 2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max R1#traceroute 2000 4 3 Type escape sequence to abort. Tracing the route to 2000 4 3 1 2000 1 2 52 msec 36 msec 20 msec 2 2000 4 3 32 msec 28 msec 24 msec R3からR1 loopback 1へのping応答を確認します。 R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/67/128 ms R3#traceroute 2000 1 1 1 Type escape sequence to abort. Tracing the route to 2000 1 1 1 1 2000 4 2 48 msec 8 msec 8 msec 2 2000 1 1 8 msec 28 msec 32 msec 検証3 経路切替の確認 I/Fのshutdown R1 e1/0をshutdownさせます。 R1(config)#interface Ethernet 1/0 R1(config-if)#shutdown 疎通確認 R1からR3へは疎通可能ですが、R3からR1へは疎通不可能になりました。 R1#ping 2000 4 3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 4 3, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/46/100 ms R1# R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds ..... Success rate is 0 percent (0/5) R3#traceroute 2000 1 1 1 Type escape sequence to abort. Tracing the route to 2000 1 1 1 1 2000 4 2 64 msec 16 msec 8 msec 2 2000 4 2 !H * !H shutdownおよび経路の確認 疎通負荷の原因を確かめます。R2を見ると、shutdownした対向のI/Fであるe/0/0が依然upしたままになっています。そのため、floating staticが機能せず疎通不可能になっている事が分かります。 (この症状がバグなのか仕様なのかは不明です。) R2#show ipv6 interface brief FastEthernet0/0 [up/up] FE80 CE01 DFF FE78 0 2000 4 2 Ethernet1/0 [up/up] FE80 CE01 DFF FE78 10 2000 1 2 Ethernet1/1 [up/up] FE80 CE01 DFF FE78 11 2000 2 2 Ethernet1/2 [up/up] FE80 CE01 DFF FE78 12 2000 3 2 Ethernet1/3 [administratively down/down] unassigned R2#show ipv6 route - 略 - S /0 [1/0] via 2000 1 1 検証4 負荷分散の確認 I/Fのshutdown R2 e1/0をshutdownさせます。 R2(config)#interface Ethernet 1/0 R2(config-if)#shutdown 経路の確認 今度は、floating staticが浮かび上がった事が確認できます。 R2#show ipv6 route - 略 - S /0 [10/0] via 2000 3 1 via 2000 2 1 疎通確認 R3, R1間のpingが可能になりました。tracerouteの結果が複数表示されているのは、「ttlが2で1回目に送信されたパケットは2000 2 1経由、ttlが2で2回目に送信されたパケットは2000 3 1経由、ttlが2で3回目に送信されたパケットは2000 2 1経由である」という意味です。 R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/32/68 ms R3#traceroute 2000 1 1 1 Type escape sequence to abort. Tracing the route to 2000 1 1 1 1 2000 4 2 84 msec 28 msec 24 msec 2 2000 2 1 28 msec 2000 3 1 36 msec 2000 2 1 24 msec 負荷分散の確認 etherchannelなどによる負荷分散は送信元IPアドレスと宛先IPアドレスに基づいて負荷分散されますが、今回のようにstatic routeで負荷分散する場合はパケット単位で負荷分散されるようです。 負荷分散の様子を確かめるために、大量のpingをR3からR1に送信します。 しかし、なぜか5回しかpingが送信されません。これも仕様でしょうか…。 R3#ping 2000 1 1 1 repeat 5000 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/28/48 ms pingコマンドを気合で連打した直後に、間髪おかずR2のカウンタを確かめます。 R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/20/28 ms R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/36/56 ms R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/41/80 ms R3#ping 2000 1 1 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000 1 1 1, timeout is 2 seconds !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/24/44 ms R3# R2#show interfaces summary * interface is up IHQ pkts in input hold queue IQD pkts dropped from input queue OHQ pkts in output hold queue OQD pkts dropped from output queue RXBS rx rate (bits/sec) RXPS rx rate (pkts/sec) TXBS tx rate (bits/sec) TXPS tx rate (pkts/sec) TRTL throttle count Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL ------------------------------------------------------------------------ * FastEthernet0/0 0 0 0 0 1000 1 1000 1 0 Ethernet1/0 0 0 0 0 0 0 0 0 0 * Ethernet1/1 0 0 0 0 1000 1 1000 1 0 * Ethernet1/2 0 0 0 0 1000 1 1000 1 0 Ethernet1/3 0 0 0 0 0 0 0 0 0 NOTE No separate counters are maintained for subinterfaces Hence Details of subinterface are not shown R2# 補足 CCOによると、「Cisco IOS ソフトウェア リリース 12.2(2)T または 12.0(21)ST 以降がサポートされているハードウェア プラットフォームでは、IPv6 もサポートされています。」とあります。 Dynagen上のc2621でIOS12.4(21)を使用した場合は、ipv6コマンドを入力する事ができませんでした。
https://w.atwiki.jp/it_certification/pages/64.html
目的 構成 検証1 RIPng設定方法の確認 検証2 等コストロードバランス 検証3 ロードバランス禁止設定 検証4 メトリックの調整 検証5 経路の集約 目的 RIPngの基本的な使い方を確認します。 構成 設定概要 RIPngでルーティングします。 構成図 netファイル ghostios = True sparsemem = True model = 3620 [localhost] [[3620]] image = C \Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin ram = 256 [[ROUTER R1]] e0/0 = R2 e0/0 e0/1 = R2 e0/1 [[ROUTER R2]] e0/2 = R3 e0/2 [[ROUTER R3]] 初期設定 R1 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ipv6 unicast-routing ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Ethernet0/0 no ip address full-duplex ipv6 address 2000 10 1/116 ! interface Ethernet0/1 no ip address full-duplex ipv6 address 2000 11 1/116 ! interface Ethernet0/2 no ip address shutdown half-duplex ! interface Ethernet0/3 no ip address shutdown half-duplex ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 初期設定 R2 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ipv6 unicast-routing ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Ethernet0/0 no ip address full-duplex ipv6 address 2000 10 2/116 ! interface Ethernet0/1 no ip address full-duplex ipv6 address 2000 11 2/116 ! interface Ethernet0/2 no ip address full-duplex ipv6 address 2000 20 2/116 ! interface Ethernet0/3 no ip address shutdown half-duplex ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 初期設定 R3 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ipv6 unicast-routing ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Ethernet0/1 no ip address shutdown half-duplex ! interface Ethernet0/2 no ip address full-duplex ipv6 address 2000 20 3/116 ! interface Ethernet0/3 no ip address shutdown half-duplex ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 検証1 RIPng設定方法の確認 RIPngの設定 各I/Fに対してRIPngの設定を行います。なお、HOGEというのはプロセス名です。OSPF等と同様に、RIPngは複数プロセスの起動も可能です。 R1(config)#interface Ethernet 0/0 R1(config-if)#ipv6 rip HOGE enable 「show ipv6 rip」で、RIPngの設定を確認します。 R1#show ipv6 rip RIP process "HOGE", port 521, multicast-group FF02 9, pid 107 Administrative distance is 120. Maximum paths is 16 Updates every 30 seconds, expire after 180 Holddown lasts 0 seconds, garbage collect after 120 Split horizon is on; poison reverse is off Default routes are not generated Periodic updates 3, trigger updates 0 Interfaces Ethernet0/0 Redistribution None running-configを確認します。RIPngをI/Fに対して有効にすると、自動的にRIPngプロセスの設定が加筆されます。 R1#show running-config | begin router ipv6 router rip HOGE ! 設定項目の確認 RIPngプロセスに対してどのような設定が可能かを確認します。従来のRIPv2のように、network文を用いて指定する事はできなくなっているようです。 R1(config)#ipv6 router rip HOGE R1(config-rtr)#? default Set a command to its defaults distance Administrative distance distribute-list Filter networks in routing updates exit Exit from IPv6 routing protocol configuration mode maximum-paths Forward packets over multiple paths no Negate a command or set its defaults poison-reverse Poison reverse updates port Port and multicast address redistribute Redistribute IPv6 prefixes from another routing protocol split-horizon Split horizon updates summary-prefix Configure IPv6 summary prefix timers Adjust routing timers ルーティングテーブルの確認 全I/Fに対しRIPngを有効にし、ルーティングテーブルを確認します。なお、show ipv6 routeの後にripと加筆すると、ripのみのルートを表示する事ができます。 R1#show ipv6 route rip IPv6 Routing Table - 7 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 20 0/116 [120/2] via FE80 CE01 AFF FE00 0, Ethernet0/0 via FE80 CE01 AFF FE00 1, Ethernet0/1 R1# R3#show ipv6 route rip IPv6 Routing Table - 6 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 10 0/116 [120/2] via FE80 CE01 AFF FE00 2, Ethernet0/2 R 2000 11 0/116 [120/2] via FE80 CE01 AFF FE00 2, Ethernet0/2 検証2 等コストロードバランス 経路確認 R1からR3に対し、tracerouteを実行します。ロードバランスされている事が確認できます。 R1#traceroute 2000 20 3 Type escape sequence to abort. Tracing the route to 2000 20 3 1 2000 11 2 48 msec - R2 e0/1 経由 2000 10 2 72 msec - R2 e0/0 経由 2000 11 2 56 msec - R2 e0/1 経由 2 2000 20 3 96 msec 60 msec 76 msec 検証3 ロードバランス禁止設定 ロードバランス禁止設定 ロードバランスを禁止する事もできます。RIPngプロセスに対し、maximum-pathsを設定します。maximum-pathsは最大何本までの経路でのロードバランスを許容するかの設定ですので、maximum-pathsに1を設定すると「ロードバランスしない」の意味になります。 R1(config)#ipv6 router rip HOGE R1(config-rtr)#maximum-paths 1 ルーティングテーブルの確認 検証2の時点では2本あった経路が1本になった事が確認できます。 R1#show ipv6 route rip IPv6 Routing Table - 7 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 20 0/116 [120/2] via FE80 CE01 AFF FE00 1, Ethernet0/1 検証4 メトリックの調整 メトリックの設定 R2, R3間のメトリックを加算します。 R2(config)#interface Ethernet 0/2 R2(config-if)#ipv6 rip HOGE metric-offset 10 R3(config)#interface Ethernet 0/2 R3(config-if)#ipv6 rip HOGE metric-offset 10 ルーティングテーブルの確認 ルーティングテーブルを確認します。どうやら、RIPv2のoffset-listのように、I/Fから送信or受信時にメトリックを加算する仕様ではないようです。R3のみメトリックが加算されている事から推測すると、「ルーティングテーブルに載せる直前にメトリックを加算する」仕様のようです。 R1#show ipv6 route rip IPv6 Routing Table - 7 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 20 0/116 [120/2] via FE80 CE01 AFF FE00 1, Ethernet0/1 R3#show ipv6 route rip IPv6 Routing Table - 6 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 10 0/116 [120/11] via FE80 CE01 AFF FE00 2, Ethernet0/2 R 2000 11 0/116 [120/11] via FE80 CE01 AFF FE00 2, Ethernet0/2 パケットキャプチャの確認 パケットキャプチャでも確認致しましたが、送受信時にメトリックが加算された様子は見られませんでした。やはりルーティングテーブルに載る直前にメトリックを加算しているようです。ちなみに、以下の画像は、R2 e0/2でキャプチャしたものです。 検証5 経路の集約 経路集約の設定 R2でR1への経路を集約してR3に伝えるよう設定します。 R2(config)#interface Ethernet 0/2 R2(config-if)#ipv6 rip HOGE summary-address 2000 10 0/115 ルーティングループの確認 R2のルーティングテーブルを確認します。OSPFやEIGRPと異なり、ルーティングループ防止用のNull0への経路は自動的に付加されないようです。 R2#show ipv6 route IPv6 Routing Table - 8 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2000 10 0/116 [0/0] via , Ethernet0/0 L 2000 10 2/128 [0/0] via , Ethernet0/0 C 2000 11 0/116 [0/0] via , Ethernet0/1 L 2000 11 2/128 [0/0] via , Ethernet0/1 C 2000 20 0/116 [0/0] via , Ethernet0/2 L 2000 20 2/128 [0/0] via , Ethernet0/2 L FE80 /10 [0/0] via , Null0 L FF00 /8 [0/0] via , Null0 ルーティングテーブルの確認 R3のルーティングテーブルを確認します。RIPv2と異なり、集約前の経路も通知されています・・・ R3#clear ipv6 route * R3#show ipv6 route rip IPv6 Routing Table - 7 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 10 0/115 [120/11] via FE80 CE01 AFF FE00 2, Ethernet0/2 R 2000 10 0/116 [120/11] via FE80 CE01 AFF FE00 2, Ethernet0/2 R 2000 11 0/116 [120/11] via FE80 CE01 AFF FE00 2, Ethernet0/2 しかし、しばらく経ってから、再度ルーティングテーブルを確認すると、なぜか2000 10 0/116のエントリのみ消えていました。 R3#show ipv6 route rip IPv6 Routing Table - 6 entries Codes C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2000 10 0/115 [120/11] via FE80 CE01 6FF FE20 2, Ethernet0/2 R 2000 11 0/116 [120/11] via FE80 CE01 6FF FE20 2, Ethernet0/2 R2 e0/2上でパケットキャプチャをしても、確かに2000 10 0/116のエントリは見られませんでした。 この現象がバグか仕様かは不明です。もしかしたら、4桁区切り(16bit)での経路集約しか認めないという仕様の可能性もあります。しかし、あまり深追いしすぎるとCCIEの試験対策が終わらない気がするので、このシナリオは以上で終了にします。
https://w.atwiki.jp/it_certification/pages/254.html
採点結果 所感 lab 02 1.1 Link Aggregationまとめ lab 02 1.2 802.1x Authenticationまとめ lab 02 1.3 Performance Optimizationまとめ lab02 2.3 RIP Filterring問題文解釈 別解答例 lab02 2.4 IGP Redistributionまとめ 受験テクニック lab 02 5.2 Multicast Traffic Controlまとめ lab02 6.1 Router Hardeningまとめ lab02 7.2 Remote Accessまとめ lab02 7.4 Syslogまとめ lab02 7.5 System Management lab02 8.4 Frame Relay Traffic Shaping計算ミス まとめ 受験テクニック 採点結果 トピック 正誤 備考 1.1 Link Aggregation × 知識不足 1.2 802.1x Authentication × 知識不足 1.3 Performance Optimization × 知識不足 2.1 OSPF ○ 2.2 EIGRP ○ 2.3 RIP Filtering ○ 問題文が複数の意味に読み取れましたが、模範解答の解答の可能性も考慮できたので正解とします。 2.4 IGP Redistribution ○ 模範解答と異なりますが、正解とします。 2.5 BGP Peering ○ 2.6 BGP Filtering ○ 問題文が複数の意味に読み取れましたが、模範解答の解答の可能性も考慮できたので正解とします。 2.7 BGP Summarization ○ 2.8 BGP Tuning × vol I 記憶漏れ 3.1 IPv6 Development ○ 4.1 L2 VPN × 知識不足 5.1 Multicast Testing ○ 5.2 Multicast Traffic Control × 知識不足 6.1 Router Hardening × 知識不足 6.2 Zone-Based Firewall ○ 6.3 Traffic Logging ○ 6.4 ICMP Filtering × ケアレスミス 7.1 RMON ○ 7.2 Remote Access ○ 7.3 Remote Access Security ○ 7.4 Syslog × vol I 記憶漏れ 7.5 System Management × 知識不足 8.1 Congestion Management ○ 8.2 Policy Routing ○ 8.3 Congestion Managemtn ○ 8.4 Frame Relay Traffic Shaping × 計算ミス 所感 全体的に"知らんがな"の問題が多かったです。"まだまだ覚える事が沢山ある"と思うと気が滅入ります。 lab 02 1.1 Link Aggregation まとめ LACPは最大16本までをLACPの候補として設定できますが、activeにできるのは8本までです。そのため、LACPには以下lacp priorityを用いてacitiveなポートを選出する機能が備わっています。 ┏━━━━━━━━━━┳━━━━━━┳━━━━━━━━━┳━━━━━━┓ ┃lacp system-priority┃ mac address┃lacp port-priority┃ port-number┃ ┗━━━━━━━━━━┻━━━━━━┻━━━━━━━━━┻━━━━━━┛ ---------------------------------- -------------------------------- system id port id -------------------------------------------------------------------- lacp priority まず、各スイッチのsystem idを比較し、system idが最も小さいスイッチをlacp dicision maker(LACPのactiveポートを選出するスイッチ)として選出します。次に、lacp dicision makerは各ポートのlacp priorityを比較し、lacp priorityが小さいポートをactiveポートとして選出します。 これらのパラメータをチューニングするには、以下のコマンドを使用します。 Router(config)# lacp system-priority priority Router(config-if)# lacp port-priority priority lab 02 1.2 802.1x Authentication まとめ dot1xの認証設定は以下の通りです。ヘルプストリングでは、認証名, 認証方式に多数の候補が表示されますが、サポートされるのはdefault group raduisのみです。 Router(config)# aaa new-model Router(config)# aaa authentication default group radius dot1xを使用するためには、グローバルにdot1xを有効化する設定を投入する必要があります。 Router(config)# dot1x system-auth-control dot1xを有効にしたいポートに対して以下のコマンドを投入します。dot1xが有効にできるのはaccess portのみです。 Router(config-if)# swtichport mode access Router(config-if)# dot1x port-control auto dot1xには、single host modeとmulti host modeが存在します。デフォルト設定は、1台のホストのみが接続可能なsingle host modeです。複数台のホストが接続可能なmulti host modeに変更するには以下のコマンドを入力します。 Router(config-if)# dot1x host-mode multi-host dot1xには再認証の機能が備わっています。再認証とは、一定間隔でホストを認証する設定で、デフォルトでは無効化されています。再認証の設定は以下の通りで、serverを指定した場合はRADIUSサーバで定義された認証間隔を使用します。 Router(config-if)# dot1x timeout reauth-period [ sec | server ] lab 02 1.3 Performance Optimization まとめ Catalyst SwitchはSDM templateを編集する事でルーティングまたはスイッチングに特化される事ができます。設定コマンドは以下の通りで、設定を反映させるには再起動が必要です。 Router(config-if)# sdm prefer [ default | vlan | routing ] 設定確認は以下の通りです。デフォルト設定では2000 prefixのルーティングがサポートされている事が読み取れます。 Rack12SW1#show sdm prefer The current template is desktop default template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses 6K number of IPv4 IGMP groups + multicast routes 1K number of IPv4 unicast routes 8K number of directly-connected IPv4 hosts 6K number of indirect IPv4 routes 2K number of IPv4 policy based routing aces 0 number of IPv4/MAC qos aces 0.75K number of IPv4/MAC security aces 1K Rack12SW1# ルーティングに特化した設定に変更すると、8000 prefixのルーティングがサポートされている事が読み取れます。 Rack12SW1#show sdm prefer The current template is desktop routing template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses 3K number of IPv4 IGMP groups + multicast routes 1K number of IPv4 unicast routes 11K number of directly-connected IPv4 hosts 3K number of indirect IPv4 routes 8K number of IPv4 policy based routing aces 0.5K number of IPv4/MAC qos aces 0.75K number of IPv4/MAC security aces 1K Rack12SW1# lab02 2.3 RIP Filterring 問題文解釈 深読みし過ぎて、問題文の赤字部分が気になりました。"単純にBB3からのルートを拒否すれば良いのか(一緒にSW2からのルートも拒否して構わないのか)" それとも"BB3からのルートを拒否しSW2からのルートは許可するのか"が分かりませんでした。後述の"2.4 IGP Redistribution"で"IGP domaiのreachabilityを保証しなさい"との指定があったので、SW2からのルートは拒否してはいけないものだと思ってしまいました。 Configure SW1 so that it does not accept routes with an even second octet from BB3 別解答例 私の解答 SW1 interface Tunnel0 ip unnumbered Vlan783 tunnel source Vlan783 tunnel destination 204.12.XX.8 router rip offset-list 1 in 16 Vlan783 SW2 interface Tunnel0 ip unnumbered Vlan783 tunnel source Vlan783 tunnel destination 204.12.XX.7 INE模範解答 SW1 router rip offset-list 1 in 16 Vlan783 lab02 2.4 IGP Redistribution まとめ 再配送は異なるルーティングドメイン間の疎通を可能にする機能ですが、"suboptimal routing", "routing loops"などの問題が発生しえます。これらの問題を解決するためには、以下を実装する必要があります。 Rule 1 Router should always prefer internal prefix information over any external information Rule 2 Sprit-Horizon Never redistribute a prefix injected from domai A into B back to domain A Rule 1について議論します。EIGRPは、AD値によりinternal EIGRPよりもexternal EIGRPの方が優先されます。OSPFは、inner, internal, externalの順で優先されます。しかし、RIPはinternal prefixが優先される機能は備わっていません。そこで、RIPは再配送する際にseed metricを8にする事でinternalが優先されるようになります(maximum hopsが16なので、再配送されたmetricが8とすれば、経験則としてinternal RIPが優先されれます。) Rule 2について議論します。RIP, EIGRPはsplit-horizonがデフォルトで有効になっています。OSPFに関しては、再配送を実施したルータは再配送したルートをOSPF databaseに格納しない事によって、"教えられたルートを教え返さない"ようにしています。 受験テクニック CCIE試験では、実践ではありえないくらい複雑な再配送処理を行います。そこで、まず以下のようなdistribution diagramを作成し、構成を整理します。 120/120 110/169 90/170 ┏━━━┓ ┏━━━┓ ┏━━━┓ ┃ ┃ ┃ ┃ ----R2---- ┃ ┃ ┃RIPv2 ┃ ---SW1---- ┃ OSPF ┃ ----R3---- ┃EIGRP ┃ ┃ ┃ ┃ ┃ ----R4---- ┃ ┃ ┗━━━┛ ┗━━━┛ ┗━━━┛ 以下の経験則に基づいて、AD値の調整やルートフィルタを実装します。(但し、経験則なので例外もあります。この規則で実装できないパターンについては、後述のシナリオで出題されます。) Rule 1 For every IGP, the distance for non-native (external) prefixes should be higher than any other native distance among other routing protocols. Rule 2 If there is a central routing domain providing transit services to other "edge" routing domains its external AD should be the lowest among other routing domain ADs. Rule 3 For every routing domain, check if its native prefixes loop back through the redistribution topology. Start with a given domain and follow along the arrows noticing if the routes may ever loop back. lab 02 5.2 Multicast Traffic Control まとめ pim nbma-modeは、frame relay網のハブルータに対して投入する設定です。この機能を有効にすると、教えられたルートを教え返す(split horizon無効化)ようになり、reachabilityを保証できるようになります(ここまでは vol Iで学習済みです)。 また、nbma-modeを有効にすると、マルチキャストパケットを全ルータにフラッディングするのではなく、必要なDLCI宛てのみをフラッディングするようになります。まずは、nbma-modeが未設定の状態のルーティングテーブルを確認します。特にDLCI(next-hop)を意識した制御がなされていない事が読み取れます。 Rack12R2#show ip mroute 228.28.28.28 IP Multicast Routing Table Flags D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected, L - Local, P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT, M - MSDP created entry, X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement, U - URD, I - Received Source Specific Host Report, Z - Multicast Tunnel, z - MDT-data group sender, Y - Joined MDT-data group, y - Sending to MDT-data group Outgoing interface flags H - Hardware switched, A - Assert winner Timers Uptime/Expires Interface state Interface, Next-Hop or VCD, State/Mode (*, 228.28.28.28), 00 12 42/00 02 35, RP 150.12.2.2, flags S Incoming interface Null, RPF nbr 0.0.0.0 Outgoing interface list Serial0/0, Prune/Sparse, 00 01 13/00 00 00 Serial0/0, Forward/Sparse, 00 00 55/00 02 35 (132.12.26.6, 228.28.28.28), 00 08 04/00 02 40, flags T Incoming interface FastEthernet0/0, RPF nbr 0.0.0.0 Outgoing interface list Serial0/0, Prune/Sparse, 00 01 14/00 00 00 Serial0/0, Forward/Sparse, 00 01 10/00 03 19 Rack12R2# まずは、nbma-mode設定後のルーティングテーブルを確認します。DLCI(next-hop)を意識した制御がなされている事が読み取れます。 Rack12R2#show ip mroute 228.28.28.28 IP Multicast Routing Table Flags D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected, L - Local, P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT, M - MSDP created entry, X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement, U - URD, I - Received Source Specific Host Report, Z - Multicast Tunnel, z - MDT-data group sender, Y - Joined MDT-data group, y - Sending to MDT-data group Outgoing interface flags H - Hardware switched, A - Assert winner Timers Uptime/Expires Interface state Interface, Next-Hop or VCD, State/Mode (*, 228.28.28.28), 00 16 13/stopped, RP 150.12.2.2, flags S Incoming interface Null, RPF nbr 0.0.0.0 Outgoing interface list Serial0/0, 132.12.0.1, Forward/Sparse, 00 01 27/00 03 01 (132.12.26.6, 228.28.28.28), 00 00 07/00 03 29, flags T Incoming interface FastEthernet0/0, RPF nbr 0.0.0.0 Outgoing interface list Serial0/0, 132.12.0.1, Forward/Sparse, 00 00 07/00 03 22 Rack12R2# lab02 6.1 Router Hardening まとめ Source routingを拒否する方法として以下の2通りが挙げられます。 まず1つ目の方法は以下のようなACLをinterfaceに適用する方法です(vol I 学習済み)。 ip access-list extended DROP_SOURCE_ROUTE 10 deny ip any any option ssr 20 deny ip any any option lsr 30 permit ip any any もうひとつの方法がルータ全体に対してSource routingを無効化する方法です。 Router(config)# no ip source-route lab02 7.2 Remote Access まとめ 以下のコマンドで、telnetログインしたユーザがabsolete-timeoutにより切断される前に、"間もなく切断される"旨の警告メッセージを表示させる事ができます。 Router(config-line)# logout-warning sec lab02 7.4 Syslog まとめ syslogの紛らわしい設定について復習します(vol I 学習済み)。 以下のコマンドでsyslogサーバに転送するログのlog levelを定義します(trapではありません) Router(config-line)# logging trap level 以下のコマンドでsyslogをSNMP trapとして転送する際のlog levelを定義します。 Router(config-line)# logging history level ethernet I/Fではlink up/downの際にログが出力されます。しかし、frame relay I/Fの場合は、以下のようにログ出力させる条件を変更する事ができます。 Rack12R3(config-if)#logging event ? dlci-status-change DLCICHANGE messages frame-relay Frame-relay messages link-status UPDOWN and CHANGE messages subif-link-status Sub-interface UPDOWN and CHANGE messages Rack12R3(config-if)#logging event lab02 7.5 System Management Cataylstスイッチのmodeボタンを長押しするとconfigが初期化され、スイッチが再起動します。その後、10.0.0.1にhttpアクセスするとGUIのセットアップができる機能がSETUP EXPRESSです。 セキュリティ上の観点から、この機能を無効化するには以下のコマンドを入力します。 Router(config)# no setup express lab02 8.4 Frame Relay Traffic Shaping 計算ミス Bcの算出方法は正しく理解していましたが、Bcの暗算を間違えてしまいました。 事故防止の図るために、今後は、電卓かExcelで計算をするようにしたいと思います。 まとめ また、bcの設定を漏らしてしまいました。私は、cir, tcのみを定義する設定を作成しましたが、cir, tcのみではintervalの設定が反映されないようです。 私の解答 SW2 map-class frame-relay DCLI_OTHER frame-relay cir 182000 ! map-class frame-relay DCLI204 frame-relay tc 10 frame-relay cir 128000 omitted Rack12R2#show traffic-shape Interface Se0/0 Access Target Byte Sustain Excess Interval Increment Adapt VC List Rate Limit bits/int bits/int (ms) (bytes) Active 213 56000 875 7000 0 125 875 - 205 56000 875 7000 0 125 875 - 204 128000 2000 128000 0 125 2000 - 201 182000 2843 182000 0 125 2843 - 203 182000 2843 182000 0 125 2843 - Rack12R2# INE模範解答 SW2 map-class frame-relay DCLI_OTHER frame-relay cir 182000 ! map-class frame-relay DCLI204 frame-relay cir 128000 frame-relay bc 1280 omitted Rack12R2#show traffic-shape Interface Se0/0 Access Target Byte Sustain Excess Interval Increment Adapt VC List Rate Limit bits/int bits/int (ms) (bytes) Active 213 56000 875 7000 0 125 875 - 205 56000 875 7000 0 125 875 - 204 128000 160 1280 0 10 160 - 201 182000 2843 182000 0 125 2843 - 203 182000 2843 182000 0 125 2843 - Rack12R2# 受験テクニック 問題文で、"Use the lowest interval(Tc)"との指定がありますが、Tcの最小値は暗記する必要はありません。ヘルプストリングから確認する事ができます。 Rack12R2(config)#map-class frame-relay DCLI204 Rack12R2(config-map-class)#frame-relay tc ? 10-10000 Tc, milliseconds Rack12R2(config-map-class)#frame-relay tc
https://w.atwiki.jp/it_certification/pages/17.html
試験概要 参考書 受験結果 学習過程 2008/08/25 2009/XX/XX 試験概要 TODO 参考書 各試験科目を参照 受験結果 各試験科目を参照 学習過程 2008/08/25 試験概要をいろいろなWebサイトから調査。global knowledge(2009/01/11時点では記事消滅?)の記事によると、ISCWはBSCIとBCMSNの知識が前提になっているそうです。 また、試験範囲について調べると、以下のような印象を受けました。 試験科目 前提知識 試験範囲 BSCI 特になし ルーティング(CCNAと一部重複?) BCMSN 特になし スイッチング(CCNAと一部重複?) ISCW BSCI, BCMSN セキュリティ ONT 特になし その他 前提知識が必要なく、CCNAの時の知識を有効活用できそうなBSCIとISCWを先に受ける事にしました。とりあえず、明日からはBSCIの取得に向けて頑張りたいと思います。 2009/XX/XX TODO 試験を終えての感想
https://w.atwiki.jp/it_certification/pages/69.html
目的 構成 検証1 不等コスト ロードバランス 検証2 maximum-pathsの設定 検証3 traffic-share balanced 目的 EIGRPのロードバランス設定方法を確認します。 構成 設定概要 EIGRPによってルーティングします。 検証の都合上、R3 loopback 0 に対して、複数のsecondary addressを割り当てます。 ルーティングテーブルを見やすくするため、上記seconday addressはR3で経路集約します。 構成図 netファイル ghostios = True sparsemem = True model = 2620 [localhost] [[2620]] image = C \Program Files\Dynamips\images\c2600-ipbasek9-mz.124-21.bin ram = 256 [[ROUTER R1]] f0/0 = R2 f0/0 e1/0 = R2 e1/0 e1/1 = R2 e1/1 [[ROUTER R2]] e1/2 = R3 e1/2 [[ROUTER R3]] 初期設定 R1 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model memory-size iomem 15 ip cef ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface Ethernet1/0 ip address 192.168.10.1 255.255.255.0 full-duplex ! interface Ethernet1/1 ip address 192.168.11.1 255.255.255.0 full-duplex ! interface Ethernet1/2 no ip address shutdown half-duplex ! interface Ethernet1/3 no ip address shutdown half-duplex ! router eigrp 1 network 1.1.1.1 0.0.0.0 network 192.168.0.0 network 192.168.10.0 network 192.168.11.0 no auto-summary ! ip forward-protocol nd ! ip http server no ip http secure-server ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! ! end 初期設定 R2 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model memory-size iomem 15 ip cef ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface FastEthernet0/0 ip address 192.168.0.2 255.255.255.0 duplex auto speed auto ! interface Ethernet1/0 ip address 192.168.10.2 255.255.255.0 full-duplex ! interface Ethernet1/1 ip address 192.168.11.2 255.255.255.0 full-duplex ! interface Ethernet1/2 ip address 192.168.12.2 255.255.255.0 full-duplex ! interface Ethernet1/3 no ip address shutdown half-duplex ! router eigrp 1 network 2.2.2.2 0.0.0.0 network 192.168.0.0 network 192.168.10.0 network 192.168.11.0 network 192.168.12.0 no auto-summary ! ip forward-protocol nd ! ip http server no ip http secure-server ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! ! end 初期設定 R3 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model memory-size iomem 15 ip cef ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 10.0.0.1 255.255.255.255 secondary ip address 10.0.0.2 255.255.255.255 secondary ip address 10.0.0.3 255.255.255.255 secondary ip address 10.0.0.4 255.255.255.255 secondary ip address 10.0.0.5 255.255.255.255 secondary ip address 10.0.0.6 255.255.255.255 secondary ip address 10.0.0.7 255.255.255.255 secondary ip address 10.0.0.8 255.255.255.255 secondary ip address 10.0.0.9 255.255.255.255 secondary ip address 10.0.0.10 255.255.255.255 secondary ip address 3.3.3.3 255.255.255.255 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface Ethernet1/0 no ip address shutdown half-duplex ! interface Ethernet1/1 no ip address shutdown half-duplex ! interface Ethernet1/2 ip address 192.168.12.3 255.255.255.0 ip summary-address eigrp 1 10.0.0.0 255.255.255.0 5 full-duplex ! interface Ethernet1/3 no ip address shutdown half-duplex ! router eigrp 1 network 3.3.3.3 0.0.0.0 network 10.0.0.0 network 192.168.12.0 no auto-summary ! ip forward-protocol nd ! ip http server no ip http secure-server ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! ! end 検証1 不等コスト ロードバランス ルーティングテーブル確認 R1のルーティングテーブルを表示します。R3へのルート(例:3.3.3.3/32)に着目すると、必ずf0/0を通りロードバランスされていない事が確認できます。 R1#show ip route - 略 - D 192.168.12.0/24 [90/284160] via 192.168.0.2, 00 14 01, FastEthernet0/0 1.0.0.0/32 is subnetted, 1 subnets C 1.1.1.1 is directly connected, Loopback0 2.0.0.0/32 is subnetted, 1 subnets D 2.2.2.2 [90/156160] via 192.168.0.2, 00 12 48, FastEthernet0/0 3.0.0.0/32 is subnetted, 1 subnets D 3.3.3.3 [90/412160] via 192.168.0.2, 00 11 28, FastEthernet0/0 - ロードバランスされていない C 192.168.10.0/24 is directly connected, Ethernet1/0 C 192.168.11.0/24 is directly connected, Ethernet1/1 10.0.0.0/24 is subnetted, 1 subnets D 10.0.0.0 [90/412160] via 192.168.0.2, 00 00 48, FastEthernet0/0 C 192.168.0.0/24 is directly connected, FastEthernet0/0 不等コスト ロードバランスの設定 R1, R2に対して、varianceコマンドで不等コスト ロードバランスの設定を行います。varianceは「最大何倍のコスト差のある経路をロードバランスの対象とするか」を意味する値です。例えば、varience 3ならば、「最小コストの3倍以下の経路を用いて、ロードバランスする」という意味になります。 設定が終わったら、ルーティングテーブルを確認します。先ほどと異なり、ロードバランスされている事が読み取れます。例えば、3.3.3.3/24に着目すると、f0/0, e1/0, e0/2の3本の経路を使っている事が確認できます。 R1(config)#router eigrp 1 R1(config-router)#variance 3 R1(config-router)#do show ip route - 略 - D 192.168.12.0/24 [90/307200] via 192.168.11.2, 00 00 03, Ethernet1/1 [90/307200] via 192.168.10.2, 00 00 03, Ethernet1/0 [90/284160] via 192.168.0.2, 00 00 03, FastEthernet0/0 1.0.0.0/32 is subnetted, 1 subnets C 1.1.1.1 is directly connected, Loopback0 2.0.0.0/32 is subnetted, 1 subnets D 2.2.2.2 [90/409600] via 192.168.11.2, 00 00 03, Ethernet1/1 [90/409600] via 192.168.10.2, 00 00 03, Ethernet1/0 [90/156160] via 192.168.0.2, 00 00 03, FastEthernet0/0 3.0.0.0/32 is subnetted, 1 subnets D 3.3.3.3 [90/435200] via 192.168.11.2, 00 00 03, Ethernet1/1 - ロードバランスされています。 [90/435200] via 192.168.10.2, 00 00 03, Ethernet1/0 [90/412160] via 192.168.0.2, 00 00 03, FastEthernet0/0 C 192.168.10.0/24 is directly connected, Ethernet1/0 C 192.168.11.0/24 is directly connected, Ethernet1/1 10.0.0.0/24 is subnetted, 1 subnets D 10.0.0.0 [90/435200] via 192.168.11.2, 00 00 04, Ethernet1/1 [90/435200] via 192.168.10.2, 00 00 04, Ethernet1/0 [90/412160] via 192.168.0.2, 00 00 04, FastEthernet0/0 C 192.168.0.0/24 is directly connected, FastEthernet0/0 経路の確認 R3からR1 loopback 0(1.1.1.1)に対してpingを大量に送信します。その後、R1でカウンタを確認します。 すると、カウンタからはロードバランスされている様子が読み取れません。これは、パケット単位でロードバランスするわけではなく、宛先IPアドレスと送信元IPアドレスのハッシュ値に基づいてロードバランスするからです。 R3#ping 1.1.1.1 repeat 500 Type escape sequence to abort. Sending 500, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!! Success rate is 100 percent (500/500), round-trip min/avg/max = 12/62/248 ms R3# R1#show interfaces summary * interface is up IHQ pkts in input hold queue IQD pkts dropped from input queue OHQ pkts in output hold queue OQD pkts dropped from output queue RXBS rx rate (bits/sec) RXPS rx rate (pkts/sec) TXBS tx rate (bits/sec) TXPS tx rate (pkts/sec) TRTL throttle count Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL ------------------------------------------------------------------------ * FastEthernet0/0 0 0 0 0 7000 7 0 0 0 * Ethernet1/0 0 0 0 0 0 0 7000 7 0 * Ethernet1/1 0 0 0 0 0 0 0 0 0 Ethernet1/2 0 0 0 0 0 0 0 0 0 Ethernet1/3 0 0 0 0 0 0 0 0 0 * Loopback0 0 0 0 0 0 0 0 0 0 送信元IPアドレスを変更し、再度pingを送信します。先ほどとは違う経路を通っている事が確認できます。 R3#ping 1.1.1.1 repeat 500 source 10.0.0.1 Type escape sequence to abort. Sending 500, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds Packet sent with a source address of 10.0.0.1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!! Success rate is 100 percent (500/500), round-trip min/avg/max = 1/62/184 ms R1#show interfaces summary * interface is up IHQ pkts in input hold queue IQD pkts dropped from input queue OHQ pkts in output hold queue OQD pkts dropped from output queue RXBS rx rate (bits/sec) RXPS rx rate (pkts/sec) TXBS tx rate (bits/sec) TXPS tx rate (pkts/sec) TRTL throttle count Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL ------------------------------------------------------------------------ * FastEthernet0/0 0 0 0 0 0 0 0 0 0 * Ethernet1/0 0 0 0 0 7000 7 0 0 0 * Ethernet1/1 0 0 0 0 0 0 7000 7 0 Ethernet1/2 0 0 0 0 0 0 0 0 0 Ethernet1/3 0 0 0 0 0 0 0 0 0 * Loopback0 0 0 0 0 0 0 0 0 0 検証2 maximum-pathsの設定 maximum-pathsは最大何本の経路まででロードバランスするかの設定です。以下のように最大2本まででロードバランスするような設定をR1, R2に投入します。 すると、ルーティングテーブルを確認すると、ロードバランスする経路が3本から2本に減っている事が確認できます。 R1(config)#router eigrp 1 R1(config-router)#maximum-paths 2 R1(config-router)#do show ip route - 略 - D 192.168.12.0/24 [90/307200] via 192.168.11.2, 00 00 02, Ethernet1/1 [90/284160] via 192.168.0.2, 00 00 02, FastEthernet0/0 1.0.0.0/32 is subnetted, 1 subnets C 1.1.1.1 is directly connected, Loopback0 2.0.0.0/32 is subnetted, 1 subnets D 2.2.2.2 [90/409600] via 192.168.11.2, 00 00 02, Ethernet1/1 [90/156160] via 192.168.0.2, 00 00 02, FastEthernet0/0 3.0.0.0/32 is subnetted, 1 subnets D 3.3.3.3 [90/435200] via 192.168.10.2, 00 00 02, Ethernet1/0 - 経路が3本から2本に減っています [90/412160] via 192.168.0.2, 00 00 02, FastEthernet0/0 C 192.168.10.0/24 is directly connected, Ethernet1/0 C 192.168.11.0/24 is directly connected, Ethernet1/1 10.0.0.0/24 is subnetted, 1 subnets D 10.0.0.0 [90/435200] via 192.168.11.2, 00 00 03, Ethernet1/1 [90/412160] via 192.168.0.2, 00 00 03, FastEthernet0/0 C 192.168.0.0/24 is directly connected, FastEthernet0/0 検証3 traffic-share balanced 先駆者の確認 先駆者の方々のブログを確認しますと、ロードバランスの設定は以下のように書かれています。 (config-router)#traffic-share balanced (config-router)#variance 倍率 http //www.n-study.com/kyo/archives/2005/01/_eigrp.html http //www.netagency.biz/ccie/modules/smartsection/item.php?itemid=3 traffic-share balancedの設定 R1, R2にtraffic-shareの設定を加えます。balancedは「ロードバランスする」の意味で、minは「最小コストを通る(ロードバランスしない)」の意味です。 R2(config-router)#traffic-share ? balanced Share inversely proportional to metric min All traffic shared among min metric paths R2(config-router)#traffic-share balanced runnning-configを確認します。traffic-shareの文字が見当たりません。 R2#show running-config | begin router router eigrp 1 variance 3 network 2.2.2.2 0.0.0.0 network 192.168.0.0 network 192.168.10.0 network 192.168.11.0 network 192.168.12.0 maximum-paths 2 no auto-summary ! 恐らく、私の使用したIOSでは、traffic-share balancedがデフォルトではないかと推測できます。 ちなみに、show versionの抜粋は以下の通りです。 R2#show version Cisco IOS Software, C2600 Software (C2600-IPBASEK9-M), Version 12.4(21), RELEASE SOFTWARE (fc1) Technical Support http //www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 01 21 by prod_rel_team ROM ROMMON Emulation Microcode ROM C2600 Software (C2600-IPBASEK9-M), Version 12.4(21), RELEASE SOFTWARE (fc1)
https://w.atwiki.jp/it_certification/pages/126.html
目的 構成 検証1 LOCPRFのような設定 検証2 MEDのような設定 検証3 AS_PATHによるフィルタ 目的 AS_PATH値によって経路を制御する方法を確認します。 CCIE lab対策が目的です。かなりトリッキーな方法なので、実践的ではないと思います。 構成 設定概要 R1, R2, R3の間でフルメッシュiBGP neighborを確立します。 R1, R2, R3はEIGRPを用いて、Loopback I/Fへのルーティングを定義します。 トップページ/動作検証 ネットワーク系/20100610 BGP ポリシーベースルーティング MEDの設定の検証1終了時点の設定と全く同じです。 構成図 netファイル model = 3620 [localhost] [[3620]] image = C \Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin ram = 128 [[ROUTER R1]] f0/0 = R2 f0/0 f1/0 = R3 f0/0 [[ROUTER R2]] f1/0 = LAN 1 [[ROUTER R3]] f1/0 = LAN 1 [[ROUTER ISP10]] f1/0 = LAN 1 初期設定 R1 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 172.16.0.1 255.255.255.0 secondary ip address 172.16.1.1 255.255.255.0 secondary ip address 172.16.2.1 255.255.255.0 secondary ip address 172.16.3.1 255.255.255.0 secondary ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.13.1 255.255.255.0 duplex auto speed auto ! router eigrp 1 network 1.1.1.1 0.0.0.0 network 172.16.0.0 network 192.168.12.0 network 192.168.13.0 no auto-summary ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 初期設定 R2 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface FastEthernet0/0 ip address 192.168.12.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.100.2 255.255.255.0 duplex auto speed auto ! router eigrp 1 network 2.2.2.2 0.0.0.0 network 192.168.12.0 no auto-summary ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 初期設定 R3 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface FastEthernet0/0 ip address 192.168.13.3 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.100.3 255.255.255.0 duplex auto speed auto ! router eigrp 1 network 3.3.3.3 0.0.0.0 network 192.168.13.0 no auto-summary ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 初期設定 ISP10 ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP10 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 10.10.10.10 255.255.255.255 ! interface FastEthernet1/0 ip address 192.168.100.10 255.255.255.0 duplex auto speed auto ! ip http server ip classless ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 検証1 LOCPRFのような設定 BGPテーブルの確認 設定投入前のR1のBGPテーブルを確認します。10.10.10.10/32へのベストパスが2.2.2.2経由になっています。 R1#show ip bgp BGP table version is 6, local router ID is 1.1.1.1 Status codes s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S Stale Origin codes i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * i10.10.10.10/32 3.3.3.3 0 100 0 2 i * i 2.2.2.2 0 100 0 2 i - ルータIDが小さい方が優先されます * 172.16.0.0/24 0.0.0.0 0 32768 i * 172.16.1.0/24 0.0.0.0 0 32768 i * 172.16.2.0/24 0.0.0.0 0 32768 i * 172.16.3.0/24 0.0.0.0 0 32768 i R1# AS_PATHの設定 AS_PATHを調整する事で、LOCPRFのようにASの出口を制御する事ができます。以下のようにR2から受信するルートにASをプリペンドする事でR3の方が優先されます。 R2(config)#ip as-path access-list 1 permit ^2 R2(config)# R2(config)# R2(config)#route-map LOCPRF permit 10 R2(config-route-map)#match as-path 1 R2(config-route-map)#set as-path prepend 100 200 R2(config-route-map)#exit R2(config)#route-map LOCPRF permit 1000 R2(config-route-map)#exit R2(config)# R2(config)# R2(config)#router bgp 1 R2(config-router)#neighbor 192.168.100.10 route-map LOCPRF in R2(config-router)#^Z R2# *Mar 1 00 10 32.155 %SYS-5-CONFIG_I Configured from console by console R2# R2#clear ip bgp 192.168.100.10 in R1 BGPテーブルの確認 R1のBGPテーブルを確認します。10.10.10.10/32のベストパスが3.3.3.3経由に変わっています。また、10.10.10.10/32へのルートで2.2.2.2経由のものが消えているのはスプリットホライズンの影響です。スプリットホライズンの詳細はトップページ/動作検証 ネットワーク系/20100609 BGP ポリシーベースルーティング LocPrfを参照して下さい。 R1#show ip bgp BGP table version is 7, local router ID is 1.1.1.1 Status codes s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S Stale Origin codes i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * i10.10.10.10/32 3.3.3.3 0 100 0 2 i * 172.16.0.0/24 0.0.0.0 0 32768 i * 172.16.1.0/24 0.0.0.0 0 32768 i * 172.16.2.0/24 0.0.0.0 0 32768 i * 172.16.3.0/24 0.0.0.0 0 32768 i R1# R2 BGPテーブルの確認 R2のBGPテーブルを確認します。確かにAS_PATHがプリペンドされている事が分かります。 R2#show ip bgp BGP table version is 11, local router ID is 2.2.2.2 Status codes s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S Stale Origin codes i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * i10.10.10.10/32 3.3.3.3 0 100 0 2 i * 192.168.100.10 0 0 100 200 2 i - AS_PATHがプリペンドされた事が分かります r i172.16.0.0/24 1.1.1.1 0 100 0 i r i172.16.1.0/24 1.1.1.1 0 100 0 i r i172.16.2.0/24 1.1.1.1 0 100 0 i r i172.16.3.0/24 1.1.1.1 0 100 0 i R2# 検証2 MEDのような設定 BGPテーブルの確認 設定投入前のISP10のBGPテーブルを確認します。172.16.X.0/24へのベストパスが2.2.2.2経由になっています。 ISP10#show ip bgp BGP table version is 6, local router ID is 10.10.10.10 Status codes s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S Stale Origin codes i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 10.10.10.10/32 0.0.0.0 0 32768 i * 172.16.0.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i * 172.16.1.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i * 172.16.2.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i * 172.16.3.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i ISP10# AS_PATHの設定 AS_PATHを調整する事で、MEDのようにASの入口を制御する事ができます。以下のようにISP10へ送信するルートにASをプリペンドする事でR3の方が優先されます。 R2(config)#access-list 100 permit ip 172.16.0.0 0.0.1.0 255.255.255.0 0.0.0.0 R2(config)# R2(config)#route-map MED permit 10 R2(config-route-map)#match ip address 100 R2(config-route-map)#set as-path prepend 300 400 R2(config-route-map)#exit R2(config)#route-map MED permit 1000 R2(config-route-map)#exit R2(config)# R2(config)# R2(config)#router bgp 1 R2(config-router)#neighbor 192.168.100.10 route-map MED out R2(config-router)#^Z R2# *Mar 1 00 22 57.751 %SYS-5-CONFIG_I Configured from console by console R2# R2# R2#clear ip bgp 192.168.100.10 out BGP テーブルの確認 AS_PATHがプリペンドされた事によって、192.168.100.3経由のルートの方が優先されるようになりました。 ISP10#show ip bgp BGP table version is 8, local router ID is 10.10.10.10 Status codes s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S Stale Origin codes i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 10.10.10.10/32 0.0.0.0 0 32768 i * 172.16.0.0/24 192.168.100.2 0 1 300 400 i * 192.168.100.3 0 1 i - ASがプリペンドされていないルートの方が優先されます * 172.16.1.0/24 192.168.100.2 0 1 300 400 i * 192.168.100.3 0 1 i - ASがプリペンドされていないルートの方が優先されます * 172.16.2.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i * 172.16.3.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i ISP10# 検証3 AS_PATHによるフィルタ AS_PATHの設定 AS_PATHに2をプリペンドしたルートをAS2に送信する事でルートをフィルタする事ができます。ISP10はAS_PATHに2を含んでいるルートはループしているものであると判断するため、ルートは破棄されます。 設定例は以下の通りです。 R2(config)#access-list 101 permit ip 172.16.0.0 0.0.2.0 255.255.255.0 0.0.0.0 R2(config)# R2(config)# R2(config)#route-map FILTER permit 10 R2(config-route-map)#match ip address 101 R2(config-route-map)#set as-path prepend 2 R2(config-route-map)#exit R2(config)#route-map FILTER permit 1000 R2(config-route-map)#exit R2(config)# R2(config)#router bgp 1 R2(config-router)#neighbor 192.168.100.10 route-map FILTER out R2(config-router)#^Z R2# *Mar 1 00 26 02.571 %SYS-5-CONFIG_I Configured from console by console R2# R2# R2#clear ip bgp 192.168.100.10 out R3(config)#access-list 101 permit ip 172.16.0.0 0.0.2.0 255.255.255.0 0.0.0.0 R3(config)# R3(config)# R3(config)#route-map FILTER permit 10 R3(config-route-map)#match ip address 101 R3(config-route-map)#set as-path prepend 2 R3(config-route-map)#exit R3(config)#route-map FILTER permit 1000 R3(config-route-map)#exit R3(config)# R3(config)# R3(config)#router bgp 1 R3(config-router)#neighbor 192.168.100.10 route-map FILTER out R3(config-router)#^Z R3# *Mar 1 00 27 25.475 %SYS-5-CONFIG_I Configured from console by console R3# R3# R3#clear ip bgp 192.168.100.10 out BGPテーブルの確認 フィルタされたルートがBGPテーブルから消えている事が確認できます。試験対策用のトリッキーな設定になっていますが、172.16.0.0/24の第3オクテッドのワイルドカードが2(=000000010)であるので、フィルタされるルートは172.16.0.0/24, 172.16.2.0/24です。 ISP10#show ip bgp BGP table version is 11, local router ID is 10.10.10.10 Status codes s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S Stale Origin codes i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 10.10.10.10/32 0.0.0.0 0 32768 i * 172.16.1.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i * 172.16.3.0/24 192.168.100.2 0 1 i * 192.168.100.3 0 1 i ISP10# ループの確認 ISP10がループしていると判断したルートを破棄している様子は、debug ip bgp updateで確認できます。 ISP10#debug ip bgp updates BGP updates debugging is on ISP10# *Mar 1 00 20 35.771 BGP(0) 192.168.100.3 rcvd UPDATE w/ attr nexthop 192.168.100.3, origin i, path 1 *Mar 1 00 20 35.775 BGP(0) 192.168.100.3 rcvd 172.16.1.0/24...duplicate ignored *Mar 1 00 20 35.775 BGP(0) 192.168.100.3 rcvd 172.16.3.0/24...duplicate ignored *Mar 1 00 20 35.779 BGP(0) 192.168.100.3 rcv UPDATE w/ attr nexthop 192.168.100.3, origin i, originator 0.0.0.0, path 1 2, community , extended community *Mar 1 00 20 35.783 BGP(0) 192.168.100.3 rcv UPDATE about 172.16.0.0/24 -- DENIED due to AS-PATH contains our own AS; - ループしていると判断します。 *Mar 1 00 20 35.787 BGP(0) 192.168.100.3 rcv UPDATE about 172.16.2.0/24 -- DENIED due to AS-PATH contains our own AS; - ループしていると判断します。 ISP10#