CCNA対策 10回目 [ダイナミックルーティング]
7回目のスタティックルーティングは手動での設定でしたが、
今回はルーティングテーブルを自動で更新してくれるダイナミックルーティングについて記述します。
ただ、この状況は最適なルートを計算するためにルータのCPUに負荷が掛ります。
また、情報交換を常に行うのでネットワークの帯域を消費してしまいます。
・ルーティングプロトコルの種類
[IGP-Interior Gateway Protocol-]
AS[Autonomous System](自律システム。簡単に言うと1つの管理されているNW領域のこと。ISP-Internet Service Provider-という個人や企業などに対してインターネットに接続するためのサービスを提供する事業など)
内にあるルータ同士の通信プロトコル。
主にRIP、IGRP、OSPF、EIGRPのルーティングプロトコルが該当します。
RIPとIGRPはディスタンスベクタ型(IGRPはCisco独自)
OSPFはリンクステート型、
EIGRPはハイブリッド型(Cisco独自)と分類されます。
それぞれの特徴として
ディスタンスベクタ型は
コンバージェンス速度(ネットワークの更新情報がすべてのルーターにいきわたる速度)が遅く、
ルータ負荷が低く、帯域消費が高く、ルーティングループが唯一発生します。
リングステート型は
コンバージェンス速度が速く、ルータ負荷が高く、帯域消費が低いです。
ハイブリッド型は
コンバージェンス速度が速く、ルータ負荷が高く、帯域消費が低いです。
・アドミニストレーティブディスタンス
Cisco製ルータは複数のルーティングプロトコルに対応しており、一台のルータに複数のルーティングプロトコルを有効にすることが可能です。
その場合、それぞれの最適経路が異なる場合があります。その経路を優先させるか決定する基準値を「アドミニストレーティブディスタンス値」といいます。
例
経路情報源ーアドミニストレーティブディスタンス値
直接接続 - 0
スタティックルート - 1
BGP - 20
EIGRP - 90
IGRP - 100
OSPF - 110
IS-IS - 115
RIPv1,v2 - 120
EIGRP - 170
BGP - 200
不明 - 255
この値が小さいほど信頼度が高く、優先されます。
上記の赤太文字は覚えます。
優先順位として
直接続 > スタティックルート(手動設定のため)> ダイナミックルート
となります。
[EGP-Exterior Gateway Protocol-]
AS外にあるルータ同士の通信プロトコル。
主にBGP、EGPのルーティングプロトコルが該当します。
この内容はCCNPの内容なので今回は省略します。
参考
CCNA対策から学ぶネットワーク運用ガイド3 ほか
CCNA対策 9回目 [アクセスリストについて]
・アクセスリスト(ACL[Access Control List])
特定のトラフィック(データ通信)を抽出します。
送信元のIPアドレスなどからリストの作成をします。
これを元に受信するか破棄するかを「パケットフィルタリング機能」で選択します。
また、NATはNAT変換の前後で活用されます。
そのほかにVPN(暗号通信の対象パケットの判断など)、QoS、ダイナミックルーティングなどでも組み合わせて活用されています。
<種類>
例)
アクセスリスト番号 アクセスリスト種類
1~99/1,300~1,999(IOS12.0以降) 標準IP
100~199/2,000~2,699(IOS12.0以降) 拡張IP
600~699 AppleTalk
800~899 標準IPX
900~999 拡張IPX
1,000~1,099 IPX-SAP
*名前* 名前付きIP
上記で、赤太字のリストはCCNAで主に出題される内容になります。
・標準アクセスリスト
送信元IPアドレスのみを使用します。
上記例で記載したIPXも併用できますが、現在はIPX([Internetwork Packet eXchange]Novell社のプロトコル)自体の使用が少ないです。
ex)
Router> enable
Router# config t
Router(config)# access-list *リスト番号* *注1)許可の有無* *送信元IPアドレス* *ワイルドカードマスク*
注1)permit:許可 deny:否定
ワイルドカードの設定により、NWアドレスが一致しているIPアドレスのパケットを登録します。
また、送信元IPアドレスとワイルドカードマスクを使用することで一部のIPアドレスのみ登録することもできます。
ex)
Router(config)# access-list 1 deny XXX.XXX.XXX.39 0.0.0.216
上記の場合、ホストアドレスは216ですので11011000となります。
ですのでこの「1」のある桁を除いたIPアドレス(39、47、55)のパケットを拒否します。
特定のホストを指定する場合は、その送信元のIPアドレスを入力したのちワイルドカードマスクに[0.0.0.0]を入力します。また、ホストアドレスのため
access-list *リスト番号* *許可の有無* host *送信元IPアドレス*
と入力することもできます。
すべてを表す場合は
access-list *リスト番号* *許可の有無* any
と入力します。
また、条件の設定されていないIPアドレスは拒否されます。
(条件以外は自動で「deny」が設定されているのと同義)
そのため、これを「暗黙のdeny any」と呼びます。
これらのリストをそれぞれのインターフェイスに適応することによって
パケットフィルタリングを機能させます。
ex)
Router> enable
Router# config t
Router(config)# interface
Router# interface ethernet 0
Router(config-if)# ip access-group *リスト番号* *注2)インアウトの設定*
注2)in:インバウンド側 out:アウトバウンド側
内側NWに接するEthernetポートをインバウンド、外側をアウトバウンドとしてパケットの通過拒否の判断をしています。
インバウンド側は送信前に判断するのに対してアウトバウンド側はパケットが一度ルータを通じて宛先確認などの処理(ルーティング処理)をした後に判断します。
よってインバウンド側で設定するほうが効率は良くなりますが、条件によってはアウトバウンド側で設定する必要も出てきます。
<アクセスリストの確認>
[show ip access-listsコマンド]を使用します。
ex)
Router> enable
Router# show ip access-lists
Standard IP access list 1
10 deny XXX.XXX.XXX.XXX
20 permit XXX.XXX.XXX.XXX
Standard IP access list 2
~省略~
<インターフェイスのアクセスリストの確認>
[show ip interfaceコマンド]を使用します。
ex)
Router# show ip interface *ethernet*
Ethernet is up, line protocol is down
~省略~
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is *リスト番号*
Proxy ARP is enabled
~省略~
・拡張アクセスリスト
ex)
Router> enable
Router# config t
Router(config)# access-list *リスト番号* *注3)許可の有無* *注4)プロトコル* *送信元IPアドレス* *送信元ポート* *宛先IP* *宛先ポート* *オプション*
注3)permit:許可 deny:否定
注4)
プロトコルとポート番号の指定方法例
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
object-group Service object group
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
sctp Stream Control Transmission Protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
で、オプション部分にポート番号の指定等を行います。
例
IP → any
ICMP → echo(要求)、echo-reply(応答)
TCP,UDP → eq(=)、neq(≠)、lt( less than )、gt( greater than )、range
ex)eq 80 , lt 1024 , range 1024 65535
また、一部のポート番号はキーワードに変換ができます。
例
20→ftp-data
21→ftp
23→telnet
25→smtp[Simple Mail Transfer Protocol]
80→www
110→pop3
送信元ポート、宛先ポート、オプションは省略が可能です。
上記を加味して何文か例示します。
ex1)
Router(config)# access-list 100 deny tcp host XXX.XXX.XXX.XXX host XXX.XXX.XXX.XXX eq www
(host は、サブネットマスク0.0.0.0を省略する場合に使用できます)
ex2)
Router(config)# access-list 100 permit udp any eq 123 host XXX.XXX.XXX.XXX eq 123
ex3)
Router(config)# access-list 100 deny ip any any
同様に、インターフェイスに適用します。
コマンドは[ip access-group コマンド書式]で同様に適応します。
<アクセスリストの確認>
同様に[show ip access-listsコマンド]を使用します。
<インターフェイスのアクセスリストの確認>
同様に[show ip interfaceコマンド]を使用します。
・iperfツールによる設定の確認
iperfサーバをWEB SVに立てます。
ex)
C : \Users> iperf -s -p 80
--------------------------------------------
Server listening on TCP port 80
TCP window size: 8.00 KByte (default)
--------------------------------------------
iperfのクライアントを実行します。
ex)
$ iperf -c XXX.XXX.XXX.XXX -p 80
---------------------------------------------------------
Client connecting to XXX.XXX.XXX.XXX, TCP port 80
TCP window size: 129 KByte (default)
---------------------------------------------------------
[ 3] local XXX.XXX.XXX.XXX port 45678 connected with XXX.XXX.XXX.XXX port 80
[ ID] Interval Transfer Bendwidth
[ 3] 0.0-10.0 sec 10.0 MBytes n.n Mbits/sec
上記から、80番での通信はできています。
・名前付きアクセスリスト
標準アクセスリスト、拡張アクセスリスト共に番号で認識しています。
これを文字列で認識させることができます。
(IOS 11.2以降から可能)
<特徴>
標準アクセスリスト、拡張アクセスリストでは一度設定してしまうと特定の行が削除できません(例:リストであるIPを拒否した→これを削除したいけど消せない)。一から作りなおす必要があります。
名前付きアクセスリストにすると、この特定の行の削除が可能になります。
作成していきます。
[ ip access-list standard コマンド]で作成して名前付き標準IPアクセスリスト設定モードに遷移します。[exitコマンド]で退出します。
ex)
Router> enable
Router# config t
Router(config)# ip access-list standard *名前*
Router(config-std-nacl)#
設定例
Router(config-std-nacl)# deny XXX.XXX.XXX.XXX 0.0.0.255
Router(config-std-nacl)# permit any
同様にアクセスリストに設定されていないIPアドレスは暗黙のdeny anyが適用されています。
インターフェイスに適用します。
コマンドは[ip access-group コマンド書式]で同様に適応します。
名前付き拡張IPアクセスリストを設定する場合は
[ ip access-list extended コマンド]を使用します。
名前付き拡張IPアクセスリスト設定モードに遷移します。[exitコマンド]で退出します。
Router> enable
Router# config t
Router(config)# ip access-list extended *名前*
Router(config-ext-nacl)#
設定例
Router(config-ext-nacl)# deny tcp host XXX.XXX.XXX.XXX host XXX.XXX.XXX.XXX eq www
Router(config-ext-nacl)# permit ip any any
特定の行を削除したい場合は、行頭に[no]を付けてその行と同じ内容を入力します。
設定例
Router(config-ext-nacl)# no deny tcp host XXX.XXX.XXX.XXX host XXX.XXX.XXX.XXX eq www
<アクセスリストの確認>
同様に[show ip access-listsコマンド]を使用します。
<インターフェイスのアクセスリストの確認>
同様に[show ip interfaceコマンド]を使用します。
参考
CCNA対策から学ぶネットワーク運用ガイド2 ほか
CCNA対策 8回目 [NATについて]
・NAT
NAT[Network Address Translation]は、プライベートIPアドレス(内部のNWで使用)をグローバルIPアドレス(外部、インターネット上で使用)に変換します。
NATテーブル(変換前と後を記録したもの)は[show ip nat translationコマンド]で確認ができます。リアルタイムで確認したい場合は[drbug ip natコマンド]を使用します。
ex)
Router> enable
Router# show ip nat translation
Pro Inside global Inside local Outside local Outside global
--- X.0.0.X XXX.XXX.XXX.X --- ---
<NATの種類>
①スタティックNAT(SNAT)
変換するプライベートIPアドレスと対応するグローバルIPアドレスをあらかじめNATテーブルに登録しておく方法。
[ip nat inside source staticコマンド]で設定できます。
ex)
Router> enable
Router# config t
Router(config)# ip nat inside source static *内部ローカルIP* *内部グローバルIP*
※ローカルアドレスとグローバルアドレスについて
Ciscoの用語です。
内部NWに現れるアドレスをローカルアドレスといいます。外部NWに現れるアドレスをグローバルアドレスといいます。
こちらから送信する場合
送信元アドレスで内部NW側を内部ローカルアドレスといいます。これは内部NWのホストに割り当てられるIPアドレスです。
外部NW側で受け取った送信元アドレスを内部グローバルアドレスといいます。サービスブロバイダなどによって割り当てられるIPアドレスです。
ex)
Router(config)# ip nat inside source static *内部ローカルアドレス* *内部グローバルアドレス*
!--- Inside host is known to the outside host as *内部グローバルアドレス*
受信する場合
外部NW側から送信する宛先用のアドレスを外部ローカルアドレスといいます。内部NWからみた外部ホストのIPアドレスです。
こちらで受信したときの外部NWの送信元アドレスを外部グローバルアドレスといいます。ホスト所有者によって外部NWのホストに割り当てられるIPアドレスです。
NATの仕組みは、ローカルアドレスとグローバルアドレスを変換している
ともとらえることができます。
ex)
Router(config)# ip nat outside source static *外部グローバルアドレス* *外部ローカルアドレス*
!--- Outside host is known to the inside host as *外部ローカルアドレス*
ルータのいずれかを内部ローカル、グローバル側として設定します。
ex)
Router(config)# interface *内部ローカル名。Ethetnetなど*
Router(config-if)# ip nat inside
ex)
Router(config)# interface *内部グローバル名。Ethernetなど*
Router(config-if)# ip nat outside
②ダイナミックNAT(DNAT)
グローバルIPアドレスをあらかじめ複数用意し、その中から選んでプライベートIPアドレスと対応させる方法。グローバルIPアドレスの個数が接続しているプライベートIPアドレスよりも少ない場合、インターネットに接続ができないことがあります。
まず、[ip nat poolコマンド]で変換用アドレスのプール作成してから
[access-listコマンド]で交換の対象を指定します。
ex)
Router> enable
Router# config t
Router(config)# ip nat pool *プール名* *開始IPアドレス* *終了IPアドレス* netmask *サブネットマスク*
Router(config)# access-list *番号* *注1)許可の有無* *送信元IP* *ワイルドカードマスク*
Router(config)# ip nat inside source list *番号* pool *プール名*
注1)許可の有無で、[permit](か[deny])を入力します。
最後のコマンドは、変換するとき使用するアクセスリストとプールを指定しています。
アクセスリストとは、送信元のIPアドレス情報から通信を許可するかどうかを判断している機能です。
許可をすることで、
①同様にルータのいずれかを内部ローカル、グローバル側として設定します。
③PAT[Port Address Translation](Ciscoでの呼び方。一般にはIPマスカレード、NAPT[Network Address Post Translation]と呼ばれる)
インターネットへパケットを送信するとき、グローバルIPアドレスに
変換するのに加えて送信元ポート番号も書き換えます。
そしてこの時、変換前と変換後のIPアドレスとポート番号を変換テーブルに記録しておきます。
変換テーブルからポート番号を基にどのPC宛のパケットなのかを判断し、その宛先のIPアドレスに変換します。
そのため、複数のプライベートIPアドレスを1つのグローバルIPアドレスに変換できます。
設定方法は②と同様ですが、最終コマンドのアクセスリストとプールを指定するコマンドに[overload]を追加します。
ex)
Router(config)# ip nat pool *プール名* *開始IPアドレス* *終了IPアドレス* netmask *サブネットマスク*
Router(config)# ip nat inside source list *アクセス番号* pool *プール名* overload
また、プールを設定せずに
Router(config)# ip nat inside source list *アクセス番号* interface *内部ローカルアドレス* overload
とコマンドを入力しても設定できます。
参考
CCNA対策から学ぶネットワーク運用ガイド2 ほか
CCNA対策 7回目 [ルーティングの設定~スタティックルーティング~]
「2回目のルータの設定」の記事の
「ルータコンフィギュレーションモード遷移」
のところでダイナミックルーティングについて記載しました。
そのルーティングについて、より詳細に学習します。
・スタティックルーティング
スタティックルーティングは、手動でルーティングテーブルを作成する方法です。
例)
ルータA→ルータB→PC1
↳→→→→ルータC→PC2
のNWを構築します。
ルータAのルーティングテーブルを[show ip route]で確認します
ex)
RouterA> enable
RouterA# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP,...~省略~
Gateway of last resort is not set
C *ルータBのIPアドレス* is directly connected, FastEthernet0
C *ルータCのIPアドレス* is directly connected, FastEthernet0
上記で、ルータBやCは直接繋がっています、と表示されています。
先頭のCは、Codesの説明から「接続済み」と読み取れます。
ただ、それぞれのPCまでのルートまではわかっていません。
指定されたPC宛てにパケットを送信しようとしてもルートがわからないためパケットが破棄されてしまいます(パケットロス)
そこで、[ip routeコマンド]を使用して設定します。
ex)
RouterA> enable
RouterA# config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)# ip route *PCIP(NWアドレス)* *サブネットマスク* *B/CIP(インターフェイス)*
B/CIP:ルータAと接続している側のルータB/CのイーサネットポートのIPアドレス
PCIP:PCと接続している側のルータB/CのイーサネットポートのIPアドレス
のことを私が代入しました。
簡単に説明すると下図のようになります。
ルータA→B/CIP|ルータB/C→PCIP→PC
これによって
ex)
RouterA> enable
RouterA# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP,...~省略~
Gateway of last resort is not set
C *ルータBのIPアドレス* is directly connected, FastEthernet0
C *ルータCのIPアドレス* is directly connected, FastEthernet0
S *ルータ-PC間のNWアドレス* [1/0] via *ルータA側のルータBのポートIP*
S *ルータ-PC間のNWアドレス* [1/0] via *ルータA側のルータCのポートIP*
と表示されるようになり、「スタティックルーティング」でPCまでのルーティングテーブルが登録されました。
同様に、ルータB,ルータCにも設定することで通信ができるようになります。
・デフォルトルーティング
パケットの転送先がわからない場合、すべてのルートということにしてから隣のルータなどへ転送します。
この時の転送先のルータをデフォルトゲートウェイといいます。デフォルトゲートウェイは、更に別のNWへの出入り口としても機能します。
(イメージとして、同じNW内での転送先がわからない→他のNWでも転送先がわからないのでデフォルトゲートウェイに渡してその先をお願いする、と考えるとNWの出入り口としての機能も持つといえます)
ルーティングテーブルに、IPv4アドレスでは0.0.0.0/0、IPv6アドレスでは::/0と特殊なネットワークアドレスを記載します。そして、転送先のある方向の隣接ルータ(次に転送する先のこと。ネクストホップという)のIPアドレスなどを記載します。
ex)
RouterA(config)# ip route 0.0.0.0 0.0.0.0 *ネクストホップのポートIP*
すると、[show ip routeコマンド]で確認すると
Gateway of last resort is *デフォルトゲートウェイIP* to network 0.0.0.0
の表記になっています。
・クラスレスルータ
昔、クラスフルルータ(クラスA、B、CとNWアドレスの大きさで分類していたもの)で動作していました。その設定のままですと現在使用されているクラスレス(クラスA、B、Cという決まった区切りでなくホストアドレスとして確保したい分などでIPアドレスを決めること)をそのまま使おうとしても使えず
転送先が見つからない→パケット破棄=パケットロスになってしまいます。
[ip classlessコマンド]でクラスレスルータに、[no ip classlessコマンド]でクラスフルルータの設定になります。
参考
CCNA対策から学ぶネットワーク運用ガイド2 ほか
CCNA対策 6回目 [ネットワーク設定について]
・IPアドレスの設定
NWの構築のため、ルータ本体だけでなくインターフェイスにもIPアドレスを設定します。
[ip addressコマンド]を使用します。
設定しただけですと管理者権限によって無効化されている場合があります。有効化するには[no shutdownコマンド]を使用します。
ex)
Router> enable
Router# config t ←[configure terminal]の省略形
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# int f0 ←[interface fastethernet 0]の省略形
Router(config-if)# ip address XXX.XXX.XXX.XXX 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# end
インターフェイス状態を[show interfaceコマンド]で確認ができます。
有効化しなかった場合
ex)
Router# show int f0
FastEthernet0 is administratively down, line protocol is down
~省略~
「管理者権限によってこのインターフェイスは無効になっている」と書いてあり、無効化されています。
また、下線部の後ろの文章は「イーサネットやPPPなどが何かの要因によって通信できない状態」を意味しています。通信相手側のインターフェイスが無効になっている場合や各種設定などが要因となっています。
down→不通、up→開通 になっています。
このコマンドでは、OSI参照モデルでいう物理層(下線部)やデータリング層(下線部の後ろの文章)の通信状況の他、IPアドレスやMTU(Maximum Transmission Unit。一度に送れるデータの最大量)、
BW(BandWidth、帯域幅。対応している周波数の範囲のことで、幅が広い=周波数も複数用意できるので、通信速度も速くなる)、
データ送受信量、パケットロス(データを送信する際数回に分けます。これをパケットといい、これが欠損して通信してしまうこと)
も確認ができます。
[show protocolコマンド]でも同様な情報を確認できます。
参考
CCNA対策から学ぶネットワーク運用ガイド2 ほか
CCNA対策 5回目 [ルータのパスワード設定とバックアップ]
・パスワードの設定
①特権モードのパスワード
暗号化なし:enable password *****
暗号化あり:enable secret *****
両コードでパスワード設定した場合、暗号化ありのパスワードが優先
されます。
②コンソールパスワード
ルータとロールオーバーケーブルで接続する際に使用するPW
ex)
Router(config)# line console 0
Router(config-line)# login
Router(config-line)# password *****
③Telnetパスワード
ルータにLANを介してTelnet接続する際に使用するPW
PW以外にIPアドレスの設定も必要になります。
ex)
Router(config)# line vty 0 4
Router(config-line)# login
Router(config-line)# password *****
※vtyとは、Virtual TeletYpe の略で「仮想ポート」を意味します。
ルータとの接続にはロールオーバーケーブルが必要で、接続する端末同士
が近くにないと接続できませんでした。しかし、LANで接続している場合
にこの接続を利用する、とした技術がTelnetやSSHです。
そして仮想的に接続しているので仮想ポートといいます。
基本的にポート数は0~4の5つなので、例では5つすべてに設定しました。
④SSHパスワード
設定の流れ
ホスト名設定[hostnameコマンド]
DNSドメイン名設定 [ip domain-nameコマンド]
認証用ユーザアカウント設定[usernameコマンド]
…[password]か[secret]を続けて入力し、暗号化の有無を設定します。
公開鍵暗号化のためのペアキー作成[crypto key generate rsaコマンド]
…RSA公開鍵暗号のペアキーを作成します。この時キー長さを設定します。
初期値が512ですが、SSHのバージョン2を選択する場合は768以上が必要
になります。セキュリティ上1024以上が好ましいとされています。
公開鍵は[show crypto key mypubkey rsa]で確認できます。
SSHバージョン指定[ip ssh versionコマンド]
…1と2があり、2は1に比べてセキュリティが高いバージョンになります。
ローカル認証有効化とSSHの選択
…vty回線に対して[login localコマンド]でローカル認証(ルータ内部で
行う認証)を有効化し、[transport inputコマンド]で[ssh]を
続けて入力することでSSHを選択します。[telnet]や、もしくは両方
[telnet ssh]を入力することでほかのプロトコルを選択できます。
ex)
Router(config)# hostname *ホスト名*
Router(config)# ip domain-name *ドメイン名*
Router(config)# username *ユーザ名* password(もしくはsecret) *PW*
Router(config)# crypto key generate rsa
The name for the keys will be : *ドメイン名*
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose keys.Choosing a key modulus greater then 512 may take
a few minutes.
How many bits in the modulus [ 512 ] : 1024
%Generating 1024 bits RSA keys ... [ OK ]
Router(config)# ip ssh version 2
Router(config)# line vty *接続している回線の番号*
Router(config-line)# login local
Router(config-line)# transport input ssh
⑤補助パスワード
現在はほとんど使用されていませんが、モデムを使用して接続する際に使用
します。auxポート[AUxiliary Port]を使用しますが、誤用すると故障して
しまいますので注意が必要になります。
Router(config)# line aux 0
Router(config-line)# login
Router(config-line)# password *PW*
・パスワードの暗号化
ヴィジュネル暗号化の方法を使用します。1500年ごろからある暗号のため、脆弱性がすでに発見されています。
service password-encryption コマンドを使用することで、一括で暗号化されます。
・パスワードの復旧手順
①ROMモニタモードにアクセスします。
②コンフィグレーションレジスタ値を変更します。[confregコマンド]を使用します。
③再起動します。[resetコマンド]を使用します。
④無設定状態から特権モードに遷移して、startup-configをコピーします。
⑤グローバルコンフィギュレーションモードに遷移してから新しいパスワードを設定します。
⑥コンフィグレーションレジスタ値を元に戻します。
⑦再起動します。[reloadコマンド]を使用します。
ex)
System Boostrap, Version XX.X,RELEASE SOFTWARE
TAC Spport: http://www.cisco.com/tac
Copyright (c) 1999 by cisco Systems, Inc
program load complete, entry point: 0x00000000, size:0x000000
Self decompressing the image : ##########
<ここで Alt + b 、ハイパーターミナルでは Ctrl + Break でブートを中止します>
rommon 1 > confreg 0x2142
You must reset or power cycle for new config to take effect
rommon 2 > reset
--------------------------------------------------------------------
Router> enable
Router# copy startup-config running-config
Destination filename [running-config]?
888 bytes copied in 0.567 secs
Router# configure terminal
Router(config)# enable secret *NewPW*
Router(config)# config-register 0x2102
Router(config)# exit
Router# reload
・バックアップについて
<IOSイメージファイルの確認>
[show flash コマンド]を使用して、binファイルを確認します。このコマンドで、空き容量も確認できます。
空き容量のみを確認したい場合は[show flash | include bytes]で絞り込めます
ex)
Router# show flash
-#- --length--- -----date/time----- path
1 2147483649 jun 1 2000 00:01:01 c9xx-adventerprisek9-mz.xxx.xx.bin
2 2049 jun 1 2000 00:01:51 sdmconfig-9xx-xxx.cfg
3
~省略~
10 2097153 jun 00:10:01 xxx.tar
67108865 bytes available (3154116607 bytes used)
<バックアップ>
このファイルをバックアップ先のサーバへ転送します。
[copy flash *サーバプロトコル名*]で転送します。サーバはTFTPサーバであれば、*サーバプロトコル名*を[TFTP]にします。
ソースファイル名が表示されたもので間違いなければEnterで次へ進みます。
アドレス名を聞かれるので送信先のサーバIPアドレスを入力します。
ex)
Router# copy flash tftp
Source filename [c9xx-adventerprisek9-mz.xxx.xx.bin] ?
Address or name of remote host [ ] ? *IPアドレス*
Destination filename [c9xx-adventerprisek9-mz.xxx.xx.bin] ?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2147483649 bytes copied
また、コンフィグレーションファイルも同様に転送ができます。
[copy running-config *サーバプロトコル名*]で転送ができます。
コンフィグレーションファイルのデータは、ターミナルソフトのログをテキストファイルであらかじめ記録することでもバックアップになります。
・ルータ設定の初期化
startup-configファイルを削除することで初期化します。
[erase startup-configコマンド]でコンフィグレーションファイルが削除されます。
起動中のためrunning-configが読み込まれていますが、再起動するとセットアップモードが起動します。
ex)
Router# erase startup-config
Erasing the nvram filesystem will remove all configuration files!
Continue? [confirm]
[OK]
Erase of nvram : complete
参考
CCNA対策から学ぶネットワーク運用ガイド1 ほか
CCNA対策 4回目 [ルータのメモリについて]
・ルータのメモリ構成について
ルータは大まかに4つの部屋があります。
RAM [Random Access Memory]
書換が可能な揮発性のメモリ。電源切るとこの中にある情報は消えます。
→running-config , ルーティングテーブル
NVRAM [Non-Volatile RAM]
書換が可能な不揮発性のメモリ。電源を切ってもこの中の情報は消えません。
→startup-config , コンフィグレーションレジスタ
書換が可能な不揮発メモリ。SSDやHDDなどの総称。
→IOS
ROM [Read Only Memory]
読込専用のメモリ。書換ができないが電源を切ってもこの中の情報は消えません。
→POST , Mini IOS , ブーストラップ , ROMモニタ
[ メモリ内の情報 ]
・running-config と startup-config
両者ともに設定ファイルのことを指します。電源が入っているときはrunning-config に設定の変更などを保存します。
ただ、このままだと電源を切ったときにその情報が消えてしまうため、startup-configに保存してから電源を切ります。
保存方法:copyコマンドを使用します(設定はコマンドを使用しなくても反映されます)
ex)
Router> enable
Router# copy running-config startup-config
Destination filename [startup-config] ?
Building configuration...
[ OK ]
copyコマンドは、copy 「コピー元」 「コピー先」で行います。
コピー先はFTPサーバ(TCPで、パスワード認証のあるファイル送受信サーバ)やTFTPサーバ(UDPで、パスワード認証のないファイル送受信サーバ。32MB以上の転送はできない)、RCPサーバ(UNIXなどのOSで、NWを通じたファイル送受信サーバ)などにも送信ができるコマンドです。
・ルーティングテーブル
ルータ内での経路情報を示す経路表のこと。通過するヘッダ情報を参照して次にどの経路で行くと効率が良いか、などがわかります。
・コンフィグレーションレジスタ
ルータの起動(ブート)方法を保存しておくソフトウェアレジスタのことです。
基本16進数表記で、デフォルトは0x2102となっている。
<レジスタ値>
0x2100 ... ROMモニタをブート。パスワード復旧時などに使用。
0x2101 ... Mini IOS でブート。IOSバージョンアップ時などに使用。
0x2102 ... フラッシュメモリからIOSをロードして、NVRAMからstartup-config
をロードしてブート。デフォルトの設定。
0x2103 ... 0x2102と同じ。
0x2142 ... stratup-configをロードせずブート。無設定で起動する。パスワード
復旧時などに使用。
レジスタ値の確認…show version コマンドの最終行で確認できます。
レジスタ値の変更…config-register コマンドで変更できます。
・IOS [Internetwork Operating System]
Ciscoルータの基本ソフトウェア(OS)
・POST [Power Onm SelfTest]
ハードウェアをテストして障害を検知するプログラム。ブートして最初に実行されます。
・Mini IOS
IOSの機能縮小版。IOSのアップグレード時などに使います。
・ブートスラップ
IOSをロードするプログラム。コンフィグレーションレジスタを読取ってブート方法を決定します。
<ブートについて>
起動のことを言います。またBIOS [Basic Input Output System] がフラッシュ
メモリなどにアクセスし、OSを起動することをブートスラップといいます。
・ROMモニタ
IOSの機能縮小版。パスワード復旧時などに使用します。
・ルータ起動の流れ
①ROMに格納されているPOSTを実行します。ハードウェアチェックや各インターフェースの認識などを行います。
②ブートスラップがROMに格納されているCisco IOS をロードします。コンフィグレーションレジスタ値を参照して起動方法/探索順序を変更します。
③Cisco IOSが有効なコンフィグレーションファイル(startup-config)をロードします。このデータをrunning-configへ反映させて、ルータを運用します。
参考
CCNA対策から学ぶネットワーク運用ガイド1 ほか
