技術的な情報を発信しています。間違いや不適切な記述にお気付きの際はご指摘をお願いします。気まぐれに英語で記事を書いたりもします。
「next-hop-self」はiBGPでこそ必要なコマンドとも言える。 通常BGPでは、eBGPで学習した経路情報について、ネクストホップ(NEXT_HOPアトリビュート)を自身のIPアドレスに修正してからピアに広告し、その経路情報を受け取ったルーターは、自身の所属するAS内部にて、受け取った経路情報のネクストホップを修正せずにiBGPで広告する。つまり、AS内においてiBGPで広告されたネイバーからすれば、最初にeBGPで他ASから学習した経路情報におけるnext-hopへの到達性がない場合、ルーティングテーブルにインストールされない。そこで「next-hop-self」を設定しておけば、iBGPで広告する際にも、他ルーターから受け取った経路情報について、ネクストホップを修正してから他のiBGPルーターに広告する動作になる。
ASAでL2TP/IPSECを終端する際に証明書を使用した端末認証をしたいことがある。 1. ASAにSSH接続し、下記コマンドを実行 2. 証明書内容の文字列をターミナルにコピペ 3. “quit” 実行 4. “Certificate successfully imported” と表示されれば成功 これでASAにリモートアクセスVPNで接続する際に、証明書を選択することが可能になる。
Cisco ISE でWebUIのパスワードリカバリを実施する方法。adminユーザーのパスワードを変更する方法。 CLIログインが可能な場合 1. ISEにCLIログイン 2. “application reset-passwd ise admin” コマンド実行 3. 新パスワードを入力 即時反映される。 CLIログインが不可能な場合 1. OSのISOファイルを読み込める状態にして再起動 2. ISOファイルを読み込む 3. 最初に表示されるメニュー画面で “Recover Administrator Password” を選択 4. 新パスワードを入力 再起動後反映される
Ciscoルータにおいて仮想回線(line-vty)にACLを設定する場合、注意すること。 ASR等ではManagementポートには管理用VRF(VRF:Mgmt-intf)がデフォルトで設定されていたりする。 この管理ポートにアサインしたIPアドレスに対してTelnet接続する際にACL制御をする場合はアクセスクラスに in vrf-also オプションを付与する必要がある。 例: vrf-alsoを忘れると、show access-lists で表示されるマッチカウンタに許可エントリでマッチしたように表示されるがtelnetアクセスは拒否されるという状況に陥る。
以下コンフィグを投入すること。
Windowsの証明書ストアには「現在のユーザー」に関する証明書ストアと「ローカルコンピューター」に関する証明書ストアが存在する。それぞれの管理ツールを呼び出すショートカット。 「現在のユーザー」証明書マネージャーを呼び出すショートカット 「Windowsキー」 + 「R」 を押下(ファイル名を指定して実行)。 「certmgr.msc」と入力してEnterキーを押下。 「ローカルコンピューター」証明書マネージャーを呼び出すショートカット 「Windowsキー」 + 「R」 を押下(ファイル名を指定して実行)。 「certlm.msc」と入力してEnterキーを押下。 以上。
ASA5512X(ver9.42)に初期セットップでSSH接続できるようにするまでの道のり。以下設定を投入すればリモートネットワークからASAに対してSSH接続することは可能になるはず。 管理インターフェースのセキュリティレベルとIPアドレスを設定 SSH接続を許可する送信元IPアドレスの設定 以下は全てのIPアドレスからのSSH接続を許可する例 SSHバージョンの設定 もはやcisco機器では定番の設定。 ローカル認証でSSH接続を許可する設定 管理インターフェースからのデフォルトルート設定 管理インターフェース(interface management 0/0)初期状態で「name management」が設定されている前提。
ASAで使用するASDMのバージョンを指定する手順。 ブートする ASDM イメージを設定するには、次のコマンドを入力すればOK。
ASAにRADIUS認証の設定と、その確認をする手順。 RADIUSサーバーを設定 同一のグループに複数にRADIUSサーバーを登録した場合、1番目のRADIUSサーバーに対して3回認証エラーが発生すると2番めのRADIUSサーバーに対して認証を試みる。 状態確認コマンド
無線アダプタ(WiFiアダプタ)を2個搭載したWindows端末で、片方の無線アダプタで部屋内に存在する正規の無線アクセスポイントに接続(アソシエート)して、もう片方の無線アダプタから電波を吹かせて、その他のパソコンやスマホのアクセスポイントを接続させる、ということがやりたくて、やってみた。なぜそんなことをする必要があるのかというと、Windows端末が吹く電波を使って通信するスマホのトラフィクをモニタリングしたかった。 準備するもの USB型無線アダプタ(Windows端末の無線アダプタ増設用) 正規の無線アクセスポイント(インターネット通信用) Windows端末(無線アダプタを1つ搭載している) スマホ(iPhone5) 設定手順 1. USB型無線アダプタを使用して、正規の無線アクセスポイント側の無線にWindows端末を接続する。 2. USB型無線アダプタを使用して、正規の無線アクセスポイント側の無線にWindows端末を接続する。Windows端末のコマンドプロンプトで以下を実行する。 上記はSSIDを「hoge」、そのパスワードを「password」としている(パラメータ “ssid”、”key”の部分)。 デバイス名の項目にWindows7環境では「MicrosoftVirtualWifiMiniportAdapter」、Windows10環境では「MicrosoftHostedNetworkVirtualAdapter」というネットワークアダプタが出現するが無視してOK。 3. アダプターの共有設定 以下手順でインターネットに接続している無線アダプターを他のアダプターと共有可能な状態にする。 「コントロールパネル」をクリックする 「ネットワークと共有センター」をクリックする 「アダプター設定の変更」をクリックする USB型無線アダプターを示すアイコンを右クリックする メニューにて「プロパティ」をクリックする 「共有」タブをクリックする 「このネットワークをほかのユーザーに~」にチェックをいれる 「OK」をクリック 4. スマホから接続 スマホで無線検索をするとSSID「hoge」が認識されるので、パスワード「password」で無線接続すると、インターネットに接続が可能になる。