yuu_nkjm blog

今後はhttps://scrapbox.io/yuunkjm/
トップ «前の日(11-01) 最新 次の日(11-03)»    追記 設定
メニュー
検索
タグクラウド
全カテゴリ
全カテゴリ | .htaccess | 32bit-64bit | AWS | Acrobat | Android | Ant | Apache | Aptana | B4課題 | BenchMark | Buffalo | C/C++ | CMS | CSS | CakePHP | Chef | Chrome | Cisco | CitySim | DF | DNS | DTD | EaseUS | Eclipse | Excel | FTP | Fedora 6-7 | Firefox | FreeSoft | GDocs | Ghostscript | GitHub | Google | Gparted | H2 | HTML5 | HW | Hatena | IntelliJ | JMeter | JSON-RPC | JVM | Java | Java8 | JavaScript | Jenkins | KVM | Kawa | Kindle | Knoppix | LVM | Langrid | Language | Links | Linkstation | Linux | LinuxDesktop | LinuxLanguage | Linuxお引っ越し | Lucene | MABS | MATSim | MSOffice | Maven | Monit | MySQL | NLP | Network | Nexus | OSM | PDF | PDIC | PHP | POSIX | PhpStorm | Polycom | Postfix | Postgress | PowerDirector | Profiler | Programming | PuTTY | Pukiwiki | Python | RDBMS | RHEL | Research | Ruby | R言語 | SQL | SQLite | SSD | SSL | SUMO | SVN | Samba | ScanSnap | Scheme | Scrap | Script | Servlet | Shell | Skype | SoftwareDevelopment | Spring | Stone | SugarSync | Swing | TFTP | TeX | Tomcat | Troubleshooting | Tweet | UPS | UWSC | Vagrant | VirtualBox | WebDav | WebSite | Webアプリ | Wikipedia | Windows | Windows 7 (64bit) | Windows 8 | Windows10 | WindowsServer2003 | Windowsお引っ越し | Windowsまとめ | WishList | WordPress | X10 | X11 | XAMPP | XML | Xming | YOLP | YaST | apply | arp | awk | backup | bash | bat | bcdedit | bind | blog | book | boot | bootrec | bundler | coLinux | command | cron | curl | dd | diskpart | dropbox | dviout | fail2ban | find | fml | gdb | gem | git | grep | grub | https | iPad/iPodTouch/iPhone | iptables | jQuery | jad | joomla | letsencrypt | locate | log4j | logrotate | logwatch | lsof | man | misc | mod_rewrite | mount | netstat | nkf | nmb | ntldr | nyaos | openSUSE | perl | pgrep | php | ping | pkill | python | route | rsync | sakura | sed | squid | ssh | sudo | svn | syslog | tDiary | tail | taskkill | tcpdump | telnet | update-alternatives | w2box | wget | wmic | xargs | xdebug | zypper | お友達 | お名前.com VPS (KVM) | お引っ越し | サーバまとめ | ネタ | フレンチ | プロファイラ | リフレクション | リンク | レビュー | 人文 | 例外 | 先斗町 | 出張 | 助成 | 動画編集 | 吉田さかみち | 和食 | 岩波書店 | 技術書 | 料理 | 新潮社 | 物語 | 生活 | 百万遍 | 研究 | 読書ログ | 講談社 | 電子書籍 | 食べログ
カレンダー
2006|01|06|12|
2007|06|09|
2008|01|03|04|06|07|08|09|10|12|
2009|01|02|05|06|07|08|10|11|12|
2010|03|04|05|06|07|08|09|10|11|
2011|01|02|03|04|05|06|07|08|09|11|12|
2012|01|02|04|06|07|08|10|11|12|
2013|01|02|03|07|08|10|11|12|
2014|01|02|04|05|06|07|08|09|10|11|
2015|01|02|07|11|12|
2016|01|03|05|07|08|09|
更新情報
Lab RSS Google+

2010-11-02(Tue) 編集

[Cisco] Ciscoルータの設定の見直し

admin内でコピペが繰り返されているので,"#show running-config"した結果を検討してみる.

Current configuration : 11785 bytes
!
version 12.4
service timestamps debug datetime msec # ログのタイムスタンプ指定.もっと下に登録できる?
service timestamps log datetime msec   
service password-encryption
!
hostname hoge_router #ホスト名の設定
!
boot-start-marker
boot-end-marker
!
no logging console #コンソールにログを表示しない.
enable secret 5 xxxxxxxxxxxxxxxxx
!
no aaa new-model
clock timezone JST 9
ip cef
no ip domain lookup #typoしたときにdnsを引きにいくのがうざいと聞いた.

一時的にコンソールにログを表示したい場合は,"terminal monitor"と入力する.

ネットワークインタフェース

interface FastEthernet0/0 #インターネット側
 ip address xxx.xx.xx.188 255.255.255.224
 ip access-group 110 in  # アクセスグループ110は,eth0/0のインバウンドインタフェース
 ip access-group 100 out # アクセスグループ100は,eth0/0のアウトバウンドインタフェース
 duplex auto
 speed auto
!
interface FastEthernet0/1 #ローカル側
 ip address xxx.xx.xx.129 255.255.255.224
 ip access-group 120 out # アクセスグループ120は,eth0/1のアウトバウンドインタフェース.
 duplex auto
 speed auto

インバウンドは入ってくるとき,アウトバウンドは出るときという事でいいのかな. eth0/0側から入ってeht0/1に出たいパケット(インターネット側からローカル側へのアクセス)が到着すると,110でフィルタリングされたあと,120でもフィルタリングされる. eth0/1側から入ってeht0/0に出たいパケット(ローカル側からインターネット側へのアクセス)が到着すると,100でフィルタリングされる. 

ip default-gateway xxx.xx.xx.190 #デフォルトゲートウェイ
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.190 #こっちはいらない?
!
no ip http server
no ip http secure-server

1行目だけでなく,3行目もデフォルトゲートウェイの指定に見える.要るのか?

ロギング

logging trap debugging  # ログレベル
logging facility local0 # syslogのファシリティ設定
logging source-interface FastEthernet0/1  #監視するインタフェース
logging xxx.xx.xx.142 # ログの送り先

"configure terminal"として"logging on"とすると,ロギングがオンになる.

(snip)
access-list 100 remark From Internet to Local (eth0/0 in) #コメントが入れられる
access-list 100 permit tcp host xxx.xx.xxx.xx any eq smtp
access-list 120 permit tcp any xxx.xx.xx.128 0.0.0.31 established #TCPでハンドシェイクが確立したあとのパケットは許可
access-list 120 permit tcp any host xxx.xx.xx.132 range 8080 8081 log # ポートの範囲指定が可能.また,logと書くとロギングの対象となる.
(snip)

establishedは,コネクションの確立を見ている.TCPにおける通信のやり取りでは,SYN,ACKを使ってコネクションを確立する.最初はSYNだけだが,それ以降には,全てACKがつく.(ACL(established) Cisco実機で学ぶより)

access-list(ステートメント?)は先頭行からチェックされ,あるaccess-listが発火した時点で「拒否」または「許可」が確定される.それ以降のaccess-listはチェックされない.また,最後の行までチェックしても発火するaccess-listがなかった場合は「拒否」される.(IPアドレス編 第3回 標準ACLを使う - シスコ資格:CCNAへの道:ITpro参照)

セキュリティ上重要な部分なので,詳細はカット.

!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 access-class 12 in
 password 7 xxxxxxxxxxxxxxxxxxx
 login
 transport input telnet ssh
!
scheduler allocate 20000 1000
end

参考ページ

[ツッコミを入れる]
トップ «前の日(11-01) 最新 次の日(11-03)» 追記 設定
2006|01|06|12|
2007|06|09|
2008|01|03|04|06|07|08|09|10|12|
2009|01|02|05|06|07|08|10|11|12|
2010|03|04|05|06|07|08|09|10|11|
2011|01|02|03|04|05|06|07|08|09|11|12|
2012|01|02|04|06|07|08|10|11|12|
2013|01|02|03|07|08|10|11|12|
2014|01|02|04|05|06|07|08|09|10|11|
2015|01|02|07|11|12|
2016|01|03|05|07|08|09|
Generated by tDiary version 3.2.0
Powered by Ruby version 1.8.7-p371