CCNP
お勉強
CCNP TSHOOT
なんとなくCCNP TSHOOTを。
新試験になって問題の形式がSWITChやROOTと同じような感じになったようです。
試験範囲も SPAN RSPAN などのツール、AAAが含まれるようになったり。
SPAN
SPAN はいわゆるトラフィックモニタ機能ですね。スイッチングしてくれるおかげでHUBと違って余分なポートにパケットが流れないので SPANを利用してパケットキャプチャしてみたり。
RSPANはリモートSPANということで、特定のスイッチからキャプチャしたいものをSPAN用VLANを通して別のスイッチに運搬してそこでキャプチャするという。
設定はいたって簡単で、どこのインターフェースのパケットをキャプチャしたいか、どのインターフェースでキャプチャするかという設定だけです。
monitor session 1 source interface FastEthernet 0/0
monitor session 1 destination interface FastEthernet 0/1
みたいな。
ちなみにインターフェースは物理ポートだけでなくVLANも指定できるので
monitor session 1 source interface VLAN 100
monitor session 1 destination interface FastEthernet 0/1
とかもできます。
RSPANの場合はVLANをtrunkで搬送しなければならないので少し面倒ですが
キャプチャしたいパケットが流れるスイッチで
vlan 300
remote-span
monitor session 1 source interface FastEthernet 0/0
monitor session 1 destination remote vlan 300
キャプチャする場所のスイッチで
vlan 300
remote-span
monitor session 1 source remote vlan 300
monitor session 1 destination FastEthernet 0/0
みたいな感じで設定して、該当VLANを互いのスイッチ間でtrunkで搬送してあげればOKです。
あとは destination に指定した物理ポートにPCつないでWiresharkとかでキャプチャするとみられます。
しかし、ググってみるとRSPANはバグが結構あるみたいに書いてあるので(今はどうか知りませんが)使うときは気をつけた方がよさそうです。
AAA
no aaa newmodel
とかで無効にしてあるアレです。
Authentication Authorization Accounting の頭をとってAAAです。
ユーザ認証、権限管理なんかをする機能です。
認証するからには認証用のデータベースが必要なのですが、Ciscoのデバイスでは ローカルデータベース、Radius、TACACS+の3つがサポートされているようです。 TACACS+はCisco独自のもののようです、Radiusより高機能をうたっています。
とりあえず、ローカルデータベースにマスターアカウントを作っておかないとひどい目にあうのでお気を付けを。
具体的にはRadiusに頼り切っていたけれど、Radiusとスイッチの疎通がとれなくなった!スイッチにログインできない!みたいなことです。
ローカルデータベースの作成ですが、グローバルコンフィグレーションモードでおもむろに
user USERNAME password PASSWORD
とかやると作れます。ユーザは何人くらい作れるのだろうか。デバイスにもよるだろうし試していませんが、10人やそこらではパンクしないのでスイッチの管理としては十分なのかなぁと。
RadiusやTACACS+サーバの指定は
radius-server host IPADDRESS key RADIUSKEY
tacacs-server host IPADDRESS key TACACSKEY
みたいな。RADIUSKEYとかTACACSKEYはそれぞれサーバと接続するときに使うのでサーバ側に合わせる必要があります。
前置きはこの辺で。
設定方法ですが
user root password cisco
などとやってまずはユーザとパスワードを1つ以上作っておきます。(ここでは便宜上、わかりやすいユーザ名とパスワードにしてます)
ちなみにここでもpasswordでなくsecretと書けばパスワードが暗号化されて保存されます。
user root secret cisco
こんな感じで。
ユーザを作成したら
aaa new model
でとりあえずaaaを有効にします。
aaa authentication login default local
とやると、すべてのログイン時にローカルデータベースのユーザ名とパスワードが求められるようになります
個別に指定したい場合は
aaa authentication login VTYLOGIN group radius local
とやると VTYLOGIN という名称に login時にはradiusかローカルデータベースでの認証が必要という情報がセットされます。
これを
line vty 0 4
login authentication VTYLOGIN
などとやるとtelnet接続の時に VTYLOGIN すなわち radiusかローカルデータベースでの認証が必要となります。