Ciscoルータの設定の見直し - yuu

2010-11-02(Tue) [長年日記]

[Cisco] Ciscoルータの設定の見直し

admin内でコピペが繰り返されているので，"#show running-config"した結果を検討してみる．

Current configuration : 11785 bytes
!
version 12.4
service timestamps debug datetime msec # ログのタイムスタンプ指定．もっと下に登録できる？
service timestamps log datetime msec   
service password-encryption
!
hostname hoge_router #ホスト名の設定
!
boot-start-marker
boot-end-marker
!
no logging console #コンソールにログを表示しない．
enable secret 5 xxxxxxxxxxxxxxxxx
!
no aaa new-model
clock timezone JST 9
ip cef
no ip domain lookup #typoしたときにdnsを引きにいくのがうざいと聞いた．

一時的にコンソールにログを表示したい場合は，"terminal monitor"と入力する．

ネットワークインタフェース

interface FastEthernet0/0 #インターネット側
 ip address xxx.xx.xx.188 255.255.255.224
 ip access-group 110 in  # アクセスグループ110は，eth0/0のインバウンドインタフェース
 ip access-group 100 out # アクセスグループ100は，eth0/0のアウトバウンドインタフェース
 duplex auto
 speed auto
!
interface FastEthernet0/1 #ローカル側
 ip address xxx.xx.xx.129 255.255.255.224
 ip access-group 120 out # アクセスグループ120は，eth0/1のアウトバウンドインタフェース．
 duplex auto
 speed auto

インバウンドは入ってくるとき，アウトバウンドは出るときという事でいいのかな． eth0/0側から入ってeht0/1に出たいパケット(インターネット側からローカル側へのアクセス)が到着すると，110でフィルタリングされたあと，120でもフィルタリングされる． eth0/1側から入ってeht0/0に出たいパケット(ローカル側からインターネット側へのアクセス)が到着すると，100でフィルタリングされる．

ip default-gateway xxx.xx.xx.190 #デフォルトゲートウェイ
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.190 #こっちはいらない？
!
no ip http server
no ip http secure-server

1行目だけでなく，3行目もデフォルトゲートウェイの指定に見える．要るのか？

ロギング

logging trap debugging  # ログレベル
logging facility local0 # syslogのファシリティ設定
logging source-interface FastEthernet0/1  #監視するインタフェース
logging xxx.xx.xx.142 # ログの送り先

"configure terminal"として"logging on"とすると，ロギングがオンになる．

(snip)
access-list 100 remark From Internet to Local (eth0/0 in) #コメントが入れられる
access-list 100 permit tcp host xxx.xx.xxx.xx any eq smtp
access-list 120 permit tcp any xxx.xx.xx.128 0.0.0.31 established #TCPでハンドシェイクが確立したあとのパケットは許可
access-list 120 permit tcp any host xxx.xx.xx.132 range 8080 8081 log # ポートの範囲指定が可能．また，logと書くとロギングの対象となる．
(snip)

establishedは，コネクションの確立を見ている．TCPにおける通信のやり取りでは，SYN，ACKを使ってコネクションを確立する．最初はSYNだけだが，それ以降には，全てACKがつく．(ACL（established）　Cisco実機で学ぶより)

access-list(ステートメント？)は先頭行からチェックされ，あるaccess-listが発火した時点で「拒否」または「許可」が確定される．それ以降のaccess-listはチェックされない．また，最後の行までチェックしても発火するaccess-listがなかった場合は「拒否」される．(IPアドレス編第3回標準ACLを使う - シスコ資格：CCNAへの道：ITpro参照)

セキュリティ上重要な部分なので，詳細はカット．

!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 access-class 12 in
 password 7 xxxxxxxxxxxxxxxxxxx
 login
 transport input telnet ssh
!
scheduler allocate 20000 1000
end

参考ページ

[ツッコミを入れる]

本日のリンク元

その他のリンク元

検索

scheduler allocate 20000 1000 ×90 / cisco established ×12 / scheduler allocate ×8 / ip forward-protocol nd ×7 / established cisco ×6 / cisco scheduler allocate 20000 1000 ×4 / cisco scheduler allocate ×4 / establish cisco ×4 / cisco access-list established ×3 / ブートステートメント cisco ×2 / ip forward-protocol nd デフォルト ×2 / permit tcp host range 範囲 ×2 / cisco df ×2 / ip forward-protocol ndとは ×2 / transport input telnet ×2 / acl established cisco ×2 / "boot-start-marker" ×2 / "ip forward-protocol nd" ×2 / established cisco in ×2 / シスコ copy harddisk: ×2 / cisco ip forward-protocol nd ×2 / boot-start-marker 設定 ×2 / cisco clock timezone JST 9 ×1 / eth0/1 cisco ×1 / logging facility cisco ×1 / cisco access-list 途中の行を削除 ×1 / access-list 120 permit tcp any eq 8081 any established ×1 / cisco syn ack debug ×1 / eth0 cisco ×1 / cisco access-list 編集 ×1 / acl established syn ×1 / cisco インターネット設定 ×1 / logging source-interface 設定 ×1 / ip forward-protocol nd 設定 ×1 / ルータの設定の見直し ×1 / ip access-group 120 out! ×1 / cicsco 設定コピペ ×1 / Cisco established 設定 ×1 / ip forward-protocol ×1 / ip forward-protocol nd とは ×1 / "ip default-gateway" "ip route 0.0.0.0 0.0.0.0" ×1 / cisco router scheduler allocate 20000 1000 ×1 / cisco log レベル ×1 / cisco acl 確立したtcp ×1 / ip access-group 100 out ×1 / cisco acl アウトバウンド設定位置 ×1 / cisco ルータ established ×1 / ルータ設定 cisco "scheduler allocate 20000 1000" ×1 / cisco scheduler コマンド ×1 / cisco logging trap debugging ×1 / ciso ルータ 100人 ×1 / IXルータとpolycom ×1 / TCP.OUT.OF.RANGE.TIMESTAMP ×1 / ip default-gateway 動かない ×1 / アクセスリスト established Syn/ACK ×1 / ルータバッチファイル ×1 / remark cisco 削除 ×1 / cisco ルータログリアルタイム ×1 / access-list established CISCO ×1 / "scheduler allocate 20000 1000" ×1 / cisco access list established ×1 / permit tcp any any established ×1 / スカイプ acl 許可 cisco ×1 / 12.4 scheduler allocate ×1 / ルータログ通信確立 ×1 / cisco establish ×1 / アクセスリスト remarkコメントを修正 ×1 / no ip forward-protocol nd ×1 / ciscoルータ eth0 ×1 / コンソール接続ログ表示しない cisco ×1 / cisco ルータ ip forward-protocol ×1 / scheduler allocate default ×1 / cisco ACL SYN 拒否 ×1 / CISCO DNS コピペ ×1 / コンソールログルータ ×1 / logging host transport tcp ×1 / scheduler allocate 20000 1000 csico ×1 / tcp established シスコ ×1 / cisco syslog ファシリティレベルデフォルト ×1 / ルータ eht0 ×1 / cisco ログ設定パケット ×1 / ciscoルータ trap ×1 / cisco router logging ×1 / ip forward-protocol cisco ×1 / cisco ルータログ出力拒否 ×1 / scheduler allocate デフォルト ×1 / ACL remark コメントを修正 ×1 / CISCO access-list ×1 / Polycom Cisco 設定 ×1 / CISCO clock timezone JST 9 no ip domain-lookup ×1 / cisco access-group 120 ×1 / syslog ファシリティ local0 Cisco ×1 / cisco logging facility local ×1 / tv会議システム Cisco アクセスリスト ×1 / cisco established syn ×1 / アウトバウンド TCP Linux ログ ×1 / accesslist established ×1 / router cisco cef ×1 / cisco ロギング設定 ×1 / cisco syslog レベル ×1

yuu_nkjm blog

2010-11-02(Tue) [長年日記]

[Cisco] Ciscoルータの設定の見直し

ネットワークインタフェース

ロギング

参考ページ