NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Cisco

プロキシ ARP について

プロキシ ARP とは プロキシ ARP とは、ホスト(通常はルータ)が、別のマシンに宛てられた ARP 要求に応答する技法です。 ルータは自分の ID を「偽装する」ことによって、「実際の」送信先にパケットをルーティングする責任を引き受けます。 プロキシ ARP …

YAMAHA RTX の BGP 設定例

概要 YAMAHA の RTX1200 における BGP の基本的な設定例です。 対向は、Cisco の CSR1000V を使用し、動作確認を行いました。 RTX の BGP 設定 基本設定 直接接続しているネットワークを広告 ip loopback1 address 192.168.100.101/24 ip loopback2 address …

Cross-Stack Etherchannel について

StackWise 機能とは StackWise 機能は、2台以上の Catalyst を1台の論理スイッチとして運用するクラスタ技術です。最大で9台のスイッチから構成され、そのうち1台がマスターとなり全体の管理を行います。マスター以外のスイッチはメンバーと呼ばれます。詳細…

ASA と VyOS で IPsec

VyOS は Vyattaの無償版である Vyatta Core よりフォークされたオープンソースのネットワーク OS です。 Cisco の ASA(HA 構成)と VyOS 間で IPsec を確立する際の設定例になります。 検証環境 VyOS1.1.7 及び、CentOS6.8 を VMware Workstation 上に構築 …

Catalyst4500-X VSS 設定例

VSS(Virtual Switching System)とは VSS は、2台の Catalyst を1台の論理スイッチとして運用するクラスタ技術です。 以前は Catalyst6500シリーズでのみ対応していた技術なのですが、Catalyst4500シリーズでもサポートするようになりました。以下、Catalys…

STP PVID/Type 不一致による予期せぬポートブロックについて

Cisco 社製のスイッチで予期せぬポートブロックが発生した際、下記のエラーが出力されている場合は、STP PVID/Type の不一致が考えられます。 %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk GigabitEthernet0/1 VLAN100. %SPANTREE-7-B…

セカンダリアドレスで HSRP

セカンダリアドレスで HSRP が可能か試してみました。環境は下記のとおりです。 ルータは、CSR1000V IOS XE Version: 03.09.02.S を使用しました。結論から言えば、上記の環境では、セカンダリアドレスで HSRP は可能でした。 アドレス不足により、同一のブ…

Multi-VRF 環境での OSPF について

Multi-VRF 環境での OSPF について、標準エリア上で受信した LSA Type-3 の情報を(データベース上には存在するが)ルーティングテーブル上に反映できない事象を確認しました。通常、DN Bit が付与された LSA を受信した場合は、ルーティングループを防止す…

Cisco ASR で再起動を繰り返すスクリプト

使い道があるかわかりませんが、任意の間隔で再起動を繰り返すスクリプトを作成しました。 使用方法 event timer countdown time に任意の時間(秒)を設定する。 スクリプトを開始する際は、特権モードで[start]と入力し実行する。 次に特権モードで[res…

Python で Cisco のログを取得

Python で Cisco のログを収集する際のスクリプト例です。 Exscript で上手くいかずハマってしまったため、とりあえず Paramiko を使用しました。 "ssh.exec_command" で複数のコマンドを実行できないため、少し不便です。(方法があるかもですが。。) impo…

Cisco ASA 設定覚書

検証環境 リモートアクセス設定 SSH 接続設定 ciscoasa(config)# username admin password cisco privilege 15 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# ssh 0 0 management ciscoasa(config)# ssh timeout 10 ciscoasa(c…

OSPF で Neighbor を確立できない原因

OSPF で Neighbor を確立できない要因は様々ですが、その中に「パラメータのミスマッチ」があります。 Neighbor を確立するために、対向で合わせる必要があるパラメータをいくつか紹介致します。 Network Type Cisco は下記の Network type をサポートしてい…

Cisco L2TPv3 の冗長化

L2TPv3 の Peer に Loopback インターフェースを指定し、当該ネットワークを OSPF 等のダイナミックルーティングで解決させる事で冗長化が可能です。切替時間は、ダイナミックルーティングの収束時間に依存します。 検証環境 設定例 メイン及び、バックアッ…

Cisco L2TPv3 を不定アドレスで構築

例えばインターネット上で、L2TPv3 を使用したい場合、対向がダイナミックなアドレス(以下、不定アドレス)を使用している可能性があります。Cisco の L2TPv3 では、Peer のアドレスに固定アドレスを要求するため、通常の設定では対応できません。ですが、…

Windows Azure 仮想ネットワーク接続方法

はじめに Cisco1812J を Windows Azure 仮想ネットワーク の VPN ゲートウェイと IPsec 接続する設定例です。Windows Azure とは マイクロソフトのデータセンターでご提供する PaaS および IaaS で、使い慣れた OS、開発言語、データベース、開発や管理ツー…

Cisco Shared Services について

例えば、VRF-Lite でネットワークを分離したとして、共通でアクセスする必要があるサービスがいくつかあります。仮想ネットワーク毎にサービスを用意するのは、費用的な問題等、現実的ではない場合があります。 Cisco の Route Replication は、異なる VRF …

Cisco1812J PPPoE Server 設定例

Cisco1812J に PPPoE Server を設定し、PPPoE Client から接続する事が可能です。 想定環境及び、設定の概要は下記のとおりです。 VRF を使用して USER-A と USER-B のネットワークを分離します。 aaa atribute list を使用して、client が使用する username…

ASR1001 Evaluation ライセンスインストール手順

Cisco ASR1001 へ Evaluation ラインセスをインストールする際の手順になります。"show license"コマンドで、現在有効になっているライセンスを確認します。 ASR#show license License Store: Primary License Storage StoreIndex: 0 Feature: ipbase Versio…

Cisco Nexus 5000 virtual PortChannel(vPC)設定例

Virtual Port Channels(vPC)機能概要 1つのデバイスが2つの上位スイッチに渡って1つのポートチャネルを使用。 STP でブロックされるポートを排除。 全てのアップリンクの帯域を使用可能。 デュアルホームサーバーはアクティブ-アクティブモードで動作可能…

Cisco1812J Radius 認証設定例

Cisco1812J へのログイン認証に FreeRadius2 を使用する際の設定例です 基本的な環境は「Cisco Nexus Radius 認証設定例」と同様になります。 FreeRadius 関連設定 Radius クライアントを登録します。 # cat /etc/raddb/clients.conf 最終行に追記 client 19…

Cisco Zone-Based Firewall 設定例

Cisco の Zone-Based Firewall(ZBF)を設定してみました。目的は下記のとおりです。 インターネットから、ルーターへの DOS アタックを防止する。 インターネットから、WebVPN アクセスを行う。 プライベートから、インターネットへの通信は制限しない。 ゾ…

Nexus1000V VXLAN 設定例

VXLAN とは 2012年8月、米 Cisco、VMware、Citrix、Red Hat、Arista などにより、IETF へドラフトが提出された新たな論理ネットワークに関する規格です。VXLAN の特徴は下記のとおりです。 VXLAN の特徴 L3 ネットワーク上にオーバーレイする仮想 L2 ネット…

GALAXY S III で Cisco1812J に SSL-VPN フルトンネルアクセス

GALAXY S III(SP モード経由)で、自宅の BUFFALO(WZR-HP-G301NH)へ PPTP アクセスができない事が判明*1したため、Cisco1812J を思い切って購入しました。Cisco では、WebVPN(SSL-VPN)機能がサポートされており、Android(Galaxy)向けの AnyConnect Cl…

Nexus と Netapp 間で LAG を構成する際の注意点

LACP*1の制御パケットを送信する間隔は、メーカー・機種によって異なり、デフォルトでは以下のとおりとなっています。 Nexus 5000 シリーズ: 30秒 Netapp FAS シリーズ: 90秒 これに伴い、Nexus(vPC)と Netapp 間で LACP を有効にした場合、Nexus の片側…

Cisco WebVPN (SSL-VPN) 設定例

想定する環境の条件は、以下のとおりです。 Infranet から Internet[192.168.1.0→100.1.1.0]への通信は許可します。 Internet から Infranet[100.1.1.0→192.168.1.0]への通信は拒否します。 Internet から DMZ[100.1.1.0→1.1.1.0] への SSL 通信は許可…

Nexus 5000 ライセンス投入手順

アップグレードライセンスを追加購入した場合のアクティベーション手順です。 ライセンス取得手順 PAK コード及び Host ID をオンラインライセンスポータルに登録します。 PAK(Product Authorization Key)はライセンス証書に記載されています。 Host ID は…

Cisco Nexus Radius 認証設定例

Cisco Nexus へのログイン認証に FreeRadius2 を使用する際の設定例です。 詳細については、末尾の参考リンクをご参照ください。 Samba + Windbind 関連設定 Samba インストール # yum install -y samba-common samba-clientAuthconfig による Winbind 認証…

Cisco Nexus1000v アンインストール

VSM をアンインストールしたい場合は、以下の手順で行います。(vCenter では削除できません。) Nexus dvSwitch から、ホストを削除します。 VSM にログインし、以下を実行します。事前に VM から Port-Profile を切断する必要があります。 VSM(config)# svs …

Cisco Nexus1000v インストール

Nexus1000v は、Cicso 社と Vmware 社が共同で開発したソフトウェアベースの仮想スイッチです。 Cisco CLI を利用し、仮想ネットワークの管理、ポートプロファイルの割り当てが可能となっています。 以下、インストールからセットアップについて紹介します。…

ロードバランサーの配置デザインについて

一般的なロードバランサーの配置方法として、以下の2通りが考えられます。 Two-Arm(inline) 通信経路上にロードバランサーを配置するため、通信経路がわかりやすく構成がシンプルな事がメリットです。一方で、拡張に乏しく、ロードバランサーがボトルネック…

Cisco で NTP 同期が取れない問題

Cisco で NTP 同期が取れない主な原因は、以下のとおりです。 http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080a23d02.shtml Access control lists that do not permit UDP port 123 packets to come through. Misconfigurati…

Cisco のシリアルナンバー確認方法について

Cisco 社製品における Serial number の確認方法として、主に以下の3とおりがあります。 シャーシに添付されているラベルを見る。 show コマンドを使用する。 SNMP による取得する。 Serial number を得られる主な show コマンドは、以下のとおりです。 show…