技術的な情報を発信しています。間違いや不適切な記述にお気付きの際はご指摘をお願いします。気まぐれに英語で記事を書いたりもします。
「next-hop-self」はiBGPでこそ必要なコマンドとも言える。 通常BGPでは、eBGPで学習した経路情報について、ネクストホップ(NEXT_HOPアトリビュート)を自身のIPアドレスに修正してからピアに広告し、その経路情報を受け取ったルーターは、自身の所属するAS内部にて、受け取った経路情報のネクストホップを修正せずにiBGPで広告する。つまり、AS内においてiBGPで広告されたネイバーからすれば、最初にeBGPで他ASから学習した経路情報におけるnext-hopへの到達性がない場合、ルーティングテーブルにインストールされない。そこで「next-hop-self」を設定しておけば、iBGPで広告する際にも、他ルーターから受け取った経路情報について、ネクストホップを修正してから他のiBGPルーターに広告する動作になる。
ASAでL2TP/IPSECを終端する際に証明書を使用した端末認証をしたいことがある。 1. ASAにSSH接続し、下記コマンドを実行 2. 証明書内容の文字列をターミナルにコピペ 3. “quit” 実行 4. “Certificate successfully imported” と表示されれば成功 これでASAにリモートアクセスVPNで接続する際に、証明書を選択することが可能になる。
Ciscoルータにおいて仮想回線(line-vty)にACLを設定する場合、注意すること。 ASR等ではManagementポートには管理用VRF(VRF:Mgmt-intf)がデフォルトで設定されていたりする。 この管理ポートにアサインしたIPアドレスに対してTelnet接続する際にACL制御をする場合はアクセスクラスに in vrf-also オプションを付与する必要がある。 例: vrf-alsoを忘れると、show access-lists で表示されるマッチカウンタに許可エントリでマッチしたように表示されるがtelnetアクセスは拒否されるという状況に陥る。
以下コンフィグを投入すること。
ASA5512X(ver9.42)に初期セットップでSSH接続できるようにするまでの道のり。以下設定を投入すればリモートネットワークからASAに対してSSH接続することは可能になるはず。 管理インターフェースのセキュリティレベルとIPアドレスを設定 SSH接続を許可する送信元IPアドレスの設定 以下は全てのIPアドレスからのSSH接続を許可する例 SSHバージョンの設定 もはやcisco機器では定番の設定。 ローカル認証でSSH接続を許可する設定 管理インターフェースからのデフォルトルート設定 管理インターフェース(interface management 0/0)初期状態で「name management」が設定されている前提。
ASAで使用するASDMのバージョンを指定する手順。 ブートする ASDM イメージを設定するには、次のコマンドを入力すればOK。
ASAにRADIUS認証の設定と、その確認をする手順。 RADIUSサーバーを設定 同一のグループに複数にRADIUSサーバーを登録した場合、1番目のRADIUSサーバーに対して3回認証エラーが発生すると2番めのRADIUSサーバーに対して認証を試みる。 状態確認コマンド
ヤマハルーター(RTXシリーズ)でNAT設定をする。 NATルールの設定 ソースIPをIPマスカレードで変換する。変換後のIPはプロバイダから取得したグローバルIPアドレス。 インターフェースにNATルールを適用 PP1に適用。 以上。軽くお絵かきとかすればよかったか。
YAMAHAルーターでも、IPフィルタをいい感じに使うとPBRを実現可能。公式ではフィルタ型ルーティングと呼んでいるようなので正しくはフィルタ型ルーティングか。これにより、RTXルーターに着信したパケットについて、「予めIPフィルタで指定したIPアドレスやプロトコルにマッチしたら任意のネクストホップへ転送する」といった処理が可能。複数プロバイダとインターネット接続契約をしていて、用途によってプロバイダを使い分ける場合などに使うといい。 IPフィルタでルールを作成 スタティックルート設定 送信元が192.168.10.1のパケットはPP1(プロバイダA)へ、192.168.20.2のパケットはPP2(プロバイダB)へ送信する例。 以上。
訪問先で急遽ルーターが必要になり、手持ちのPCをルータ化することになった。 UCB-NICでネットワークアダプターを増設して対応。 必要な作業 レジストリ修正 PC再起動 現状確認 コマンドプロンプトを管理者権限で起動して「ipconfig /all」を実行する。 「IPルーティング有効」の行が「いいえ」になっていると、PC(Windows)がルーティングしてくれない状態。 レジストリ修正 「Windowsキー」+「R」押下 レジストリパス「HKEY_LOCAL_MACHINE\SYSTEM¥CurrentControlSet¥Services¥Tcpip¥Parameters」と辿る キー:IPEnableRouter(種類:REG_DWORD)の値を「1」にする PC再起動 変更したレジストリを再読み込みするためにPCを再起動する。 再度現状確認 この状態であれば成功。 「IPルーティング有効」の行が「はい」になっていることを確認。 ちなみに、状況によってはPC自身に設定するデフォルトルートをどちらかのNICに指定してあげる必要がある場合もある。その辺は少し考えればわかるかと。