なんかてきとうに

わりと個人的な忘備録的ですよ。

CCNP

お勉強

CCNP TSHOOT

なんとなくCCNP TSHOOTを。

新試験になって問題の形式がSWITChやROOTと同じような感じになったようです。

試験範囲も SPAN RSPAN などのツール、AAAが含まれるようになったり。

SPAN

SPAN はいわゆるトラフィックモニタ機能ですね。スイッチングしてくれるおかげでHUBと違って余分なポートにパケットが流れないので SPANを利用してパケットキャプチャしてみたり。

RSPANはリモートSPANということで、特定のスイッチからキャプチャしたいものをSPAN用VLANを通して別のスイッチに運搬してそこでキャプチャするという。

設定はいたって簡単で、どこのインターフェースのパケットをキャプチャしたいか、どのインターフェースでキャプチャするかという設定だけです。

monitor session 1 source interface FastEthernet 0/0

monitor session 1 destination interface FastEthernet 0/1

みたいな。

ちなみにインターフェースは物理ポートだけでなくVLANも指定できるので

monitor session 1 source interface VLAN 100

monitor session 1 destination interface FastEthernet 0/1

とかもできます。

RSPANの場合はVLANをtrunkで搬送しなければならないので少し面倒ですが

キャプチャしたいパケットが流れるスイッチで

vlan 300

  remote-span

monitor session 1 source interface FastEthernet 0/0

monitor session 1 destination remote vlan 300

キャプチャする場所のスイッチで

vlan 300

  remote-span

monitor session 1 source remote vlan 300

monitor session 1 destination FastEthernet 0/0

みたいな感じで設定して、該当VLANを互いのスイッチ間でtrunkで搬送してあげればOKです。

あとは destination に指定した物理ポートにPCつないでWiresharkとかでキャプチャするとみられます。

しかし、ググってみるとRSPANはバグが結構あるみたいに書いてあるので(今はどうか知りませんが)使うときは気をつけた方がよさそうです。

AAA

no aaa newmodel

とかで無効にしてあるアレです。

Authentication Authorization Accounting の頭をとってAAAです。

ユーザ認証、権限管理なんかをする機能です。

認証するからには認証用のデータベースが必要なのですが、Ciscoのデバイスでは ローカルデータベース、Radius、TACACS+の3つがサポートされているようです。 TACACS+はCisco独自のもののようです、Radiusより高機能をうたっています。

とりあえず、ローカルデータベースにマスターアカウントを作っておかないとひどい目にあうのでお気を付けを。

具体的にはRadiusに頼り切っていたけれど、Radiusとスイッチの疎通がとれなくなった!スイッチにログインできない!みたいなことです。

ローカルデータベースの作成ですが、グローバルコンフィグレーションモードでおもむろに

user USERNAME password PASSWORD

とかやると作れます。ユーザは何人くらい作れるのだろうか。デバイスにもよるだろうし試していませんが、10人やそこらではパンクしないのでスイッチの管理としては十分なのかなぁと。

RadiusやTACACS+サーバの指定は

radius-server host IPADDRESS key RADIUSKEY

tacacs-server host IPADDRESS key TACACSKEY

みたいな。RADIUSKEYとかTACACSKEYはそれぞれサーバと接続するときに使うのでサーバ側に合わせる必要があります。

前置きはこの辺で。

設定方法ですが

user root password cisco

などとやってまずはユーザとパスワードを1つ以上作っておきます。(ここでは便宜上、わかりやすいユーザ名とパスワードにしてます)

ちなみにここでもpasswordでなくsecretと書けばパスワードが暗号化されて保存されます。

user root secret cisco

こんな感じで。

ユーザを作成したら

aaa new model

でとりあえずaaaを有効にします。

aaa authentication login default local

とやると、すべてのログイン時にローカルデータベースのユーザ名とパスワードが求められるようになります

個別に指定したい場合は

aaa authentication login VTYLOGIN group radius local

とやると VTYLOGIN という名称に login時にはradiusかローカルデータベースでの認証が必要という情報がセットされます。

これを

line vty 0 4

  login authentication VTYLOGIN

などとやるとtelnet接続の時に VTYLOGIN すなわち radiusかローカルデータベースでの認証が必要となります。