cisco ASAにルート証明書をインストールする方法
CLIで実行するなら以下。 SSL-VPN証明書認証 – Cisco ASA – ルート証明書 / サーバ証明書のインストール
cisco
BGP next-hop-self
「next-hop-self」はiBGPでこそ必要なコマンドとも言える。 通常BGPでは、eBGPで学習した経路情報について、ネクストホップ(NEXT_HOPアトリビュート)を自身のIPアドレスに修正してからピアに広告し、その経路情報を受け取ったルーターは、自身の所属するAS内部にて、受け取った経路情報のネクストホップを修正せずにiBGPで広告する。つまり、AS内においてiBGPで広告されたネイバーからすれば、最初にeBGPで他ASから学習した経路情報におけるnext-hopへの到達性がない場合、ルーティングテーブルにインストールされない。そこで「next-hop-self」を設定しておけば、iBGPで広告する際にも、他ルーターから受け取った経路情報について、ネクストホップを修正してから他のiBGPルーターに広告する動作になる。
Cisco ASAでBase64形式で記述されたルートCA証明書をCLIでインポート
ASAでL2TP/IPSECを終端する際に証明書を使用した端末認証をしたいことがある。 1. ASAにSSH接続し、下記コマンドを実行 2. 証明書内容の文字列をターミナルにコピペ 3. “quit” 実行 4. “Certificate successfully imported” と表示されれば成功 これでASAにリモートアクセスVPNで接続する際に、証明書を選択することが可能になる。
Cisco ISE パスワードリカバリ
Cisco ISE でWebUIのパスワードリカバリを実施する方法。adminユーザーのパスワードを変更する方法。 CLIログインが可能な場合 1. ISEにCLIログイン 2. “application reset-passwd ise admin” コマンド実行 3. 新パスワードを入力 即時反映される。 CLIログインが不可能な場合 1. OSのISOファイルを読み込める状態にして再起動 2. ISOファイルを読み込む 3. 最初に表示されるメニュー画面で “Recover Administrator Password” を選択 4. 新パスワードを入力 再起動後反映される
vrf経由のline-vtyにACLを使う方法
Ciscoルータにおいて仮想回線(line-vty)にACLを設定する場合、注意すること。 ASR等ではManagementポートには管理用VRF(VRF:Mgmt-intf)がデフォルトで設定されていたりする。 この管理ポートにアサインしたIPアドレスに対してTelnet接続する際にACL制御をする場合はアクセスクラスに in vrf-also オプションを付与する必要がある。 例: vrf-alsoを忘れると、show access-lists で表示されるマッチカウンタに許可エントリでマッチしたように表示されるがtelnetアクセスは拒否されるという状況に陥る。
CiscoルータでNatトラバーサルを無効にする方法
以下コンフィグを投入すること。
ASA 初期セットアップ
ASA5512X(ver9.42)に初期セットップでSSH接続できるようにするまでの道のり。以下設定を投入すればリモートネットワークからASAに対してSSH接続することは可能になるはず。 管理インターフェースのセキュリティレベルとIPアドレスを設定 SSH接続を許可する送信元IPアドレスの設定 以下は全てのIPアドレスからのSSH接続を許可する例 SSHバージョンの設定 もはやcisco機器では定番の設定。 ローカル認証でSSH接続を許可する設定 管理インターフェースからのデフォルトルート設定 管理インターフェース(interface management 0/0)初期状態で「name management」が設定されている前提。
Cisco ASA ASDM 指定
ASAで使用するASDMのバージョンを指定する手順。 ブートする ASDM イメージを設定するには、次のコマンドを入力すればOK。
(cisco ASA)RADIUSサーバーの設定
ASAにRADIUS認証の設定と、その確認をする手順。 RADIUSサーバーを設定 同一のグループに複数にRADIUSサーバーを登録した場合、1番目のRADIUSサーバーに対して3回認証エラーが発生すると2番めのRADIUSサーバーに対して認証を試みる。 状態確認コマンド
CatOSとNativeIOS
以前CCNPとった時に、BSMSNでCatOSのコマンドについて登場した。 今日はCatOSを入れている機器をいじくらなきゃいけなかった。 CatOSとNativeIOSってコマンドの打ち方が違う。 例えば、IOSではsh int statusとか打つところをCatOSではsh portと打ったりする。 今まで気にならなかったし、BCMSNの教科書にもその辺の裏事情的な記述はなかったから問題意識というものが芽生えなかった。 今日はなぜかそんな気分になったからちょこっとググった。 どこぞのyahoo教えて掲示板かだったけど、 元々、Catalystという商標はCiscoがCrescendo Communications社を買収(1994)して手に入れたものなので、CatOSというのは、その名残だそう。 その差異を統一しようとして、CatalystにもIOSを導入するように動いているみたい。 少し気が晴れたな。