無料ブログはココログ

Ciscoの歴史

http://www.cisco.com/jp/news/timeline/index.shtml

【Cisco Tips】 Ciscoのフラッシュメモリ種別

PCMCIA Filesystem Compatibility Matrix and Filesystem Informationを参照。

クラスA

slot0で認識。 クラスAはdeleteした後、squeezeしないといけない。squeezeはしこたま時間かかるので要注意。 Cisco7000, 7500, GSRあたりはクラスAを使う。

クラスB

slot0で認識。partitionコマンドで分割する。deleteした後、本当に消すならeraseコマンドを使う。 Cisco1600, 3600あたりはクラスBを使う。

クラスC

disk0で認識。dos形式のATAフラッシュディスク。squeezeしなくてもいい。 最近はこれが多い。Cisco7200、Cat6500のSupあたりがこれ。

【Cisco Tips】 Ciscoで使うURL指定

tftp:[[//location]/directory]/filename
ftp:[[[//username [:password]@]location]/directory]/filename

slot0・・・PCMCIAのフラッシュメモリ。CiscoフォーマットなのでPCでは読めない。
disk0・・・ATAフラッシュディスク。DOSフォーマットなのでPCでも読める。
flash・・・slot0のエイリアス
bootflash・・・緊急時に立ち上げるIOSを格納するフラッシュ。ROMを持たない機種のみ。
system:running-config・・・running-configの正式な書き方。
nvram:startup-config・・・startup-configの正式な書き方。

【Cisco Tips】 RADIUSでアカウンティング情報を取るには

設定するのを忘れがち。 自動ではアカウンティングは飛んでかない。
!
aaa accounting network default start-stop group radius

【Cisco Tips】 コマンド一覧を得るには

show parser dumpコマンドを使えばよい。

【Cisco Tips】 余ってるAUXを使ってコンソールサーバにする

こんな設定を入れる。
line aux 0
 transport input telnet

待ち受けのTCPポート番号は、2000 + line番号、になるが、line番号はshow lineコマンドで調べないと分からない。 非同期シリアルを積んでなければAUXは2001になるかな。

show userで見ると、AUXにネットワーク経由で接続しているように見えるので、 知らない人が見るとびっくりするかも。

R6c7206>show user
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00
   1 aux 0     lantc      idle                 00:00:47 172.16.2.15

  Interface    User               Mode         Idle     Peer Address

【Cisco Tips】 デバッグするときには

あらかじめ undebug all を打っておく。 debug xxx を打ったあと、メッセージが大量に出てきて「ヤバ」っと思ったらCtrl-Pを2回押してリターン。

【Cisco Tips】 アクセスリストにコメントを入れるには

access-list 1 remark "コメント"

【Cisco Tips】 よく使うコンフィグのテンプレート

よく使うコンフィグのテンプレート
!
! セキュリティを高めるための設定ガイドラインを参照
!http://www.cisco.com/warp/public/707/21.html

!ホスト名は任意で。
hostname myHostname
!
!ルータへのログインにユーザ名を付けられるので、aaaを使った方がベター
aaa new-model
aaa authentication login default local enable
!
!ルータのログインに使うアカウント
username root password 7 020A05551F05
username cisco password 7 05080F1C2243
!
! 必ずsecretを使うこと。
enable secret xxx
no enable password
!
service password-encryption
service timestamps log datetime msec
service timestamps debug datetime msec
service tcp-keepalives-in 
no service finger
no service tcp-small-servers
no service udp-small-servers
!
ip subnet-zero
ip classless
ip cef
!
no ip bootp server
no ip source-route

! DNS設定
ip domain-name myDomain.Name
ip name-server x.x.x.x
! DNSを使わないなら次の設定を入れる
! no ip domain-lookup

!
! パケットフィルタを設定したときに、ログが残る(入らないバージョンあり)
ip accounting access-violations
!
!CPU高負荷時でもコマンドの応答レスポンスを良くする(引数は自動で付与)
scheduler allocate

!
! ログはSYSLOGに転送しつつ、ローカルにも保存。コンソールにはログメッセージを出さない。
logging buffered
logging x.x.x.x
no logging console

!
! 特定のホストをSYN Floodから守る。機種依存あり。
! http://www.cisco.com/warp/public/cc/pd/iosw/iore/prodlit/576_pp.htm
! http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800d9818.html
access-list 101 permit tcp any x.x.x.x m.m.m.m
ip tcp intercept list 101

!インタフェース設定
interface XXX
 !外部向きにインタフェースにはこれらを設定して、DoS攻撃から防御
 ip verify unicast reverse-path
 no ip directed-broadcast 

 !外部向きインタフェースはCDPを止める
 no cdp enable
!

! NTP関連設定
ntp server x.x.x.x
clock timezone JST 9
! NTP使わないなら次の設定に置き換え
!ntp disable

! SNMPアクセスは必ずアクセスリストで制限すること
snmp-server community myCommunity ro 11
snmp-server ifindex persist
snmp-server location "my location here"
snmp-server contact "my address here"
access-list 11 permit x.x.x.x

!
! デフォルトルートを使っていないなら、これを必ず入れること。
ip route 0.0.0.0 0.0.0.0 null 0 255

!
line con 0
 ! これは微妙。show techを取るときにタイムアウトしないようにするためのもの。
 exec-timeout 0
!
line vty 0 4
 ! telnetとsshだけにする。sshは入らないバージョンもあり
 transport input telnet ssh
 access-class 12 in
 exec-time 5 0
 login
 password myPassword
! アクセスリストでtelnetできるホストを制限する
access-list 12 permit x.x.x.x
!

!
!-------以下、便利なアクセスリスト--------
!180 ・・・もともとIP Precedenceが0のパケット
!181 ・・・もともとIP Precedenceが1のパケット
!182 ・・・もともとIP Precedenceが2のパケット
!183 ・・・もともとIP Precedenceが3のパケット
!184 ・・・もともとIP Precedenceが4のパケット
!185 ・・・もともとIP Precedenceが5のパケット
!186 ・・・もともとIP Precedenceが6のパケット
!187 ・・・もともとIP Precedenceが7のパケット
!
!190 ・・・任意のIPパケット
!191 ・・・VoIP関連
!192 ・・・汎用UDP
!193 ・・・汎用TCP
!194 ・・・ICMP全て
!
no access-list 180
no access-list 181
no access-list 182
no access-list 183
no access-list 184
no access-list 185
no access-list 186
no access-list 187
no access-list 190
no access-list 191
no access-list 192
no access-list 193
no access-list 194
!
access-list 180 permit ip any any precedence routine
access-list 181 permit ip any any precedence priority
access-list 182 permit ip any any precedence priority
access-list 182 permit ip any any precedence immediate
access-list 183 permit ip any any precedence flash
access-list 184 permit ip any any precedence flash-override
access-list 185 permit ip any any precedence critical
access-list 186 permit ip any any precedence internet
access-list 187 permit ip any any precedence network
!
access-list 190 permit ip any any
!
!---------------------------
!191・・・VoIP関連のアクセスリスト
!
!H.245による能力交換はTCPを使用した通信ですが、ポート番号は不
!定のため、指定できません。従って以下のフィルタは万能ではあり
!ません。
!Ciscoの場合、VoIPパケットに任意のIP Precedenceを指定できるの
!で、その機能を利用します。一般には、VoIPパケットはIP
!Precedence 5に設定します。
!
!ゲートキーパ通信(H.323/H.225.0)
access-list 191 permit udp any range 1718 1719 any
access-list 191 permit udp any any range 1718 1719
!
!呼制御通信(H.323/Q.931)
access-list 191 permit tcp any eq 1720 any
access-list 191 permit tcp any any eq 1720
!
!RTP通信パケット
access-list 191 permit udp any range 16384 16483 any range 16384 16483
access-list 191 permit udp any any range 16384 16483
!
!
!---------------------------
!192・・・汎用UDPフィルタ
!
!DNS検索
access-list 192 permit udp any eq domain any
access-list 192 permit udp any any eq domain
!
!ISAKMP別名IKE
access-list 192 permit udp any eq isakmp any
access-list 192 permit udp any any eq isakmp
!
!Windows 系の名前解決NetBIOS Name Service
access-list 192 permit udp any eq netbios-ns any
access-list 192 permit udp any any eq netbios-ns
!
!NetBIOS Session Service
access-list 192 permit udp any eq netbios-ss any
access-list 192 permit udp any any eq netbios-ss
!
!SNMPとSNMPトラップ
access-list 192 permit udp any eq snmp any
access-list 192 permit udp any any eq snmp
access-list 191 permit udp any eq snmptrap any
access-list 191 permit udp any any eq snmptrap
!
!SYSLOG
access-list 192 permit udp any eq syslog any
access-list 192 permit udp any any eq syslog
!
!RADIUS
access-list 192 permit udp any eq 1812 any
access-list 192 permit udp any any eq 1812
!

!---------------------------
!193・・・汎用TCPフィルタ
!
!BGP
access-list 193 permit tcp any eq bgp any
access-list 193 permit tcp any any eq bgp
!
!DNS検索
access-list 193 permit tcp any eq domain any
access-list 193 permit tcp any any eq domain
!
!SYSLOG
access-list 193 permit tcp any eq syslog any
access-list 193 permit tcp any any eq syslog
!
!telnet
access-list 193 permit tcp any eq telnet any
access-list 193 permit tcp any any eq telnet
!
!---------------------------
!194・・・ICMP指定
access-list 194 permit icmp any any

【Cisco Tips】 Q. コンソールにメッセージが出るのを抑止するには?

次のコマンドで止まります。 no logging console