yuu_nkjm blog


2010-11-02(Tue) 編集

[Cisco] Ciscoルータの設定の見直し

admin内でコピペが繰り返されているので,"#show running-config"した結果を検討してみる.

Current configuration : 11785 bytes
!
version 12.4
service timestamps debug datetime msec # ログのタイムスタンプ指定.もっと下に登録できる?
service timestamps log datetime msec   
service password-encryption
!
hostname hoge_router #ホスト名の設定
!
boot-start-marker
boot-end-marker
!
no logging console #コンソールにログを表示しない.
enable secret 5 xxxxxxxxxxxxxxxxx
!
no aaa new-model
clock timezone JST 9
ip cef
no ip domain lookup #typoしたときにdnsを引きにいくのがうざいと聞いた.

一時的にコンソールにログを表示したい場合は,"terminal monitor"と入力する.

ネットワークインタフェース

interface FastEthernet0/0 #インターネット側
 ip address xxx.xx.xx.188 255.255.255.224
 ip access-group 110 in  # アクセスグループ110は,eth0/0のインバウンドインタフェース
 ip access-group 100 out # アクセスグループ100は,eth0/0のアウトバウンドインタフェース
 duplex auto
 speed auto
!
interface FastEthernet0/1 #ローカル側
 ip address xxx.xx.xx.129 255.255.255.224
 ip access-group 120 out # アクセスグループ120は,eth0/1のアウトバウンドインタフェース.
 duplex auto
 speed auto

インバウンドは入ってくるとき,アウトバウンドは出るときという事でいいのかな. eth0/0側から入ってeht0/1に出たいパケット(インターネット側からローカル側へのアクセス)が到着すると,110でフィルタリングされたあと,120でもフィルタリングされる. eth0/1側から入ってeht0/0に出たいパケット(ローカル側からインターネット側へのアクセス)が到着すると,100でフィルタリングされる.

ip default-gateway xxx.xx.xx.190 #デフォルトゲートウェイ
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.190 #こっちはいらない?
!
no ip http server
no ip http secure-server

1行目だけでなく,3行目もデフォルトゲートウェイの指定に見える.要るのか?

ロギング

logging trap debugging  # ログレベル
logging facility local0 # syslogのファシリティ設定
logging source-interface FastEthernet0/1  #監視するインタフェース
logging xxx.xx.xx.142 # ログの送り先

"configure terminal"として"logging on"とすると,ロギングがオンになる.

(snip)
access-list 100 remark From Internet to Local (eth0/0 in) #コメントが入れられる
access-list 100 permit tcp host xxx.xx.xxx.xx any eq smtp
access-list 120 permit tcp any xxx.xx.xx.128 0.0.0.31 established #TCPでハンドシェイクが確立したあとのパケットは許可
access-list 120 permit tcp any host xxx.xx.xx.132 range 8080 8081 log # ポートの範囲指定が可能.また,logと書くとロギングの対象となる.
(snip)

establishedは,コネクションの確立を見ている.TCPにおける通信のやり取りでは,SYN,ACKを使ってコネクションを確立する.最初はSYNだけだが,それ以降には,全てACKがつく.(ACL(established) Cisco実機で学ぶより)

access-list(ステートメント?)は先頭行からチェックされ,あるaccess-listが発火した時点で「拒否」または「許可」が確定される.それ以降のaccess-listはチェックされない.また,最後の行までチェックしても発火するaccess-listがなかった場合は「拒否」される.(IPアドレス編 第3回 標準ACLを使う - シスコ資格:CCNAへの道:ITpro参照)

セキュリティ上重要な部分なので,詳細はカット.

!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 access-class 12 in
 password 7 xxxxxxxxxxxxxxxxxxx
 login
 transport input telnet ssh
!
scheduler allocate 20000 1000
end

参考ページ


トップ «前の日(11-01) 最新 次の日(11-03)» 追記 設定
2006|01|06|12|
2007|06|09|
2008|01|03|04|06|07|08|09|10|12|
2009|01|02|05|06|07|08|10|11|12|
2010|03|04|05|06|07|08|09|10|11|
2011|01|02|03|04|05|06|07|08|09|11|12|
2012|01|02|04|06|07|08|10|11|12|
2013|01|02|03|07|08|10|11|12|
2014|01|02|04|05|06|07|08|09|10|11|
2015|01|02|07|11|12|
2016|01|03|05|07|08|09|