DynagenでCCIEを目指す
INE Workbook Volume I EIGRP
最終更新:
it_certification
-
view
- 進捗確認
- 誤植
- まとめ
進捗確認
正答率 チェック
| 2週目 | 3週目 | 4週目 | 5週目 | |
|---|---|---|---|---|
| 5.1. EIGRP Network Statement | ||||
| 5.2. EIGRP Auto-Summary | ||||
| 5.3. EIGRP Split Horizon | ||||
| 5.4. EIGRP MD5 Authentication | ||||
| 5.5. EIGRP Key Chain Rotation | ||||
| 5.6. EIGRP Unicat Updates | ||||
| 5.7. EIGRP Default Network | ||||
| 5.8. EIGRP Summarization | ||||
| 5.9. EIGRP Summarization with Default Routing | ||||
| 5.10. EIGRP Summarization with Leak Map | ||||
| 5.11. EIGRP Floating Summarization | ||||
| 5.12. EIGRP Poisoned Floating Summarization | ||||
| 5.13. EIGRP Metric Weight | ||||
| 5.14. EIGRP Traffic Engineering with Metric | ||||
| 5.15. EIGRP Unequal Cost Load Balancing | ||||
| 5.16. EIGRP Convergence Timers | x | |||
| 5.17. EIGRP Stub Routing | ||||
| 5.18. EIGRP Stub Routing with Leak Map | ||||
| 5.19. EIGRP Filtering with Passive Interface | ||||
| 5.20. EIGRP Filtering with Prefix-Lists | ||||
| 5.21. EIGRP Filtering with Standard Access-Lists | ||||
| 5.22. EIGRP Filtering with Extended Access-Lists | ||||
| 5.23. EIGRP Filtering with Offset Lists | ||||
| 5.24. EIGRP Filtering with Administrative Distance | ||||
| 5.25. EIGRP Filtering with Per Neighbor AD | ||||
| 5.26. EIGRP Filtering with Route Maps | x | |||
| 5.27. EIGRP Bandwidth Pacing | x | |||
| 5.28. EIGRP Default Metric | ||||
| 5.29. EIGRP Neighbor Logging | ||||
| 5.30. EIGRP Router-ID | ||||
| 5.31. EIGRP Maximum Hops | x | x | ||
| 正答率 | 90% | 93% |
所感
2週目 2011/08/12
- 5.16 確認方法がよく分からなかったため、設定漏れを見落としてしまいました。
- 5.27 ど忘れ。オンラインドキュメントから素早く調べられるようにしましょう。
- 5.31 ど忘れ。オンラインドキュメントから素早く調べられるようにしましょう。
3週目 2011/10/19
- 5.26 単純な設定ミスに気がつけませんでした。以下のパターンの設定ミスorヒヤリが多いので、distribute-listの定義には、とりわけ気をつけたいと思います。
router eigrp 100distribute-list RMAP_METRIC indistribute-list route-map RMAP_METRIC indistribute-list PREFIX_DENY_R1distribute-list prefix PREFIX_DENY_R1
- 5.31 また間違えてしまいました。
誤植
5.1 EIGRP Network Statement
tclshを使用して疎通確認を行います。tclshについては、"4.1 Basic RIP Configuration"を参照下さい。
5.5 EIGRP Key Chain Rotation
問題のセクションと解答のセクションで、問題文が一致しません。問題のセクションの問題文を以下の通り訂正します。
- Authenticate the EIGRP adjacencies on the Frame Relay network between R1, R2, R3, R4 and R5 using key 10 and the password CISCO10.
- Key 10 should be sent until
midnight on Dec 31st 203012:05 AM on Jan 1st 2030 and should be accepted for 15 minutes past this time. - Configure a new key with 20 the password CISCO 20 that is sent starting 12:00 AM on Jan 1st 2030, and is accepted any time after this time.
- Use a key-chain named KEY_ROTATION.
問題文にAM 12:05と記載されているのにも関わらず、解答は00:05になっています。解答を以下の通り修正します。
R1, R2, R4: key chain KEY_ROTATION key 10 key-string CISCO10 accept-lifetime 00:00:00 Jan 1 199300:15:0012:15:00 Jan 1 2030 send-lifetime 00:00:00 Jan 1 199300:05:0012:05:00 Jan 1 2030 key 20 key-string CISCO20 accept-lifetime00:00:0012:00:00 Jan 1 2030 infinite send-lifetime00:00:0012:00:00 Jan 1 2030 infinite omitted
5.22 EIGRP Filtering with Extended Access-Lists
以下のACLの方が模範解答よりもシンプルで分かりやすいと思います。
R5: access-list 100 permit ip host 155.11.0.1 host 150.11.7.0 access-list 100 permit ip host 155.11.0.1 host 150.11.9.0 access-list 100 permit ip host 155.11.0.2 host 150.11.4.0 access-list 100 permit ip host 155.11.0.2 host 150.11.6.0 access-list 100 permit ip host 155.11.0.3 host 150.11.1.0 access-list 100 permit ip host 155.11.0.3 host 150.11.2.0 access-list 100 deny ip any host 150.11.1.0 access-list 100 deny ip any host 150.11.2.0 access-list 100 deny ip any host 150.11.4.0 access-list 100 deny ip any host 150.11.6.0 access-list 100 deny ip any host 150.11.7.0 access-list 100 deny ip any host 150.11.9.0 access-list 100 permit ip any any ! router eigrp 100 distribute-list 100 in Serial0/0/0
まとめ
5.6 EIGRP Unicat Update
ルーティングプロトコルをBroadcast, Multicast, Unicastなどに変換する時の挙動については、"4.19. RIPv2 Unicast Update"でまとめました。しかし、この挙動を暗記するのは非常に難しいので、恐らく動作確認するコツが求められると思います。
INEの解説では全パケットをログ出力させる確認例が掲載されていますが、この方法では関係ない情報が非常に多く見落とし, 見間違えのリスクが非常に高いです。そこで、以下の方法を用いてログ出力を絞り込む方法の方が有用と思われます。
Router(config)# access-list 100 permit eigrp any any Router(config)# exit Router# debug ip packet 100
コンソールに大量のログが出力されるとコマンドを入力しづらくなるので、一時的にコンソールへのログ出力を抑制し、バッファに格納されたログから確認するのも有効な方法です。(no logging consoleでもログ出力を抑制できますが、万が一の戻し忘れの危険性を考え、せめてinformationレベル以上は出力させるようにした方が無難です)
Router(config)# logging buffer 4096 Router(config)# logging console informational
Rack11SW2#show logging | include Vlan58 *Mar 1 01:09:52.340: IP: s=155.11.58.8 (local), d=155.11.58.5 (Vlan58), len 60, sending *Mar 1 01:09:52.340: IP: s=155.11.58.8 (local), d=155.11.58.5 (Vlan58), len 60, output feature, Check hwidb(63), rtype 1, forus FALSE, sendself FALSE, mtu 0 *Mar 1 01:09:52.340: IP: s=155.11.58.8 (local), d=155.11.58.5 (Vlan58), len 60, sending full packet *Mar 1 01:09:53.288: IP: s=155.11.58.5 (Vlan58), d=155.11.58.8, len 60, rcvd 2 *Mar 1 01:09:53.288: IP: s=155.11.58.5 (Vlan58), d=155.11.58.8, len 60, stop process pak for forus packet *Mar 1 01:10:48.854: IP: s=155.11.58.5 (Vlan58), d=155.11.58.8 *Mar 1 01:10:53.410: IP: s=155.11.58.5 (Vlan58), d=155.11.58.8 Rack11SW2#
確認が終わりましたら、忘れずに元の設定に戻しておきましょう。(これを忘れると重要な情報を見落とし、ドツボにはまりそうな予感がします)
Router(config)# logging console debugging
5.12 EIGRP Poisoned Floating Summarization
通常、EIGRPは経路集約設定時に、feed back防止用のNull0へのルートを自動的に生成します。しかし、以下のようにAD値を255に設定した集約ルートを作成すると、Null0へのルートが自動生成されないようになります。
Router(config-if)# ip summary- address eigrp as address mask 255
5.13 EIGRP Metric Weight
K値をチューニングする事で、EIGRP metricの算出方法を変更する事ができます。K3のみを1に設定するとdelayのみでmetircを算出するので、管理者が意図した通りに負荷分散しやすくなります(例えば、"1:2でロードバランスする"など)。
K値とmetricの算出についてまとめると以下の通りです。
| 設定意図 | K値 | metric |
| デフォルト | K = ( 1, 0, 1, 0, 0 ) | metric = ( 10^7 / bandwidth + delay ) * 256 |
| delayのみで算出 | K = ( 0, 0, 1, 0, 0 ) | metric = delay * 256 |
| bandwidthのみで算出 | K = ( 1, 0, 0, 0, 0 ) | metric = 10^7 / bandwidth * 256 |
なお、bandwidthはkbps単位でdelayは10usec単位で算出します。delayは目的地までのdelay値の合計を用いて算出します。
5.15. EIGRP Unequal Cost Load Balancing
想定通りのmetricが設定されているかどうかは、show ip routeよりもshow ip eigrpの方が便利です。
Rack11R6#show ip eigrp 100 topology 155.11.9.0/24
IP-EIGRP (AS 100): Topology entry for 155.11.9.0/24
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 1280
Routing Descriptor Blocks:
155.11.67.7 (FastEthernet0/0.67), from 155.11.67.7, Send flag is 0x0
Composite metric is (1280/512), Route is Internal
Vector metric:
Minimum bandwidth is 100000 Kbit
Total delay is 50 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 2
155.11.146.1 (FastEthernet0/0.146), from 155.11.146.1, Send flag is 0x0
Composite metric is (6400/1024Total delay is 250 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 4
Rack11R6#
想定通りの比率でload badanceされているかどうかは、show ip routeで確認する事ができます。
Rack11R6#show ip route 155.11.9.0
Routing entry for 155.11.9.0/24
Known via "eigrp 100", distance 90, metric 1280, type internal
Redistributing via eigrp 10, eigrp 100
Advertised by eigrp 10
Last update from 155.11.146.1 on FastEthernet0/0.146, 00:00:30 ago
Routing Descriptor Blocks:
* 155.11.146.1, from 155.11.146.1, 00:00:30 ago, via FastEthernet0/0.146
Route metric is 6400, traffic share count is 1
Total delay is 250 microseconds, minimum bandwidth is 1544 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 4
155.11.67.7, from 155.11.67.7, 00:00:30 ago, via FastEthernet0/0.67
Route metric is 1280, traffic share count is 5
Total delay is 50 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 2
Rack11R6#
INE模範解答では、SW1のACL counterによる確認を試みていますが、実機ではハードウェア処理されるためカウンタが上昇しません。どうしてもACLで確認したい場合は、ハードウェア処理されないようなping(例:Timestampの付加)を強引に作成する必要があります。
Rack11R6#ping
Protocol [ip]:
Target IP address: 155.11.9.9
Repeat count [5]: 30
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]: Timestamp
Number of timestamps [ 9 ]:
Loose, Strict, Record, Timestamp, Verbose[TV]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 30, 100-byte ICMP Echos to 155.11.9.9, timeout is 2 seconds:
Packet has IP options: Total option bytes= 40, padded length=40
Timestamp: Type 0. Overflows: 0 length 40, ptr 5
>>Current pointer<<
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
Time= 00:00:00.000 UTC (00000000)
omitted
Success rate is 100 percent (30/30), round-trip min/avg/max = 1/9/36 ms
Rack11R6#
Rack11R1#show access-lists
Extended IP access list 100
10 permit icmp any any (5 matches)
20 permit ip any any (198 matches)
Rack11R1#
Rack11SW1#show access-lists
Extended IP access list 100
10 permit icmp any any (25 matches)
20 permit ip any any (44 matches)
Rack11SW1#
また、別の確認方法としてR6にACLを設定する手法も挙げる事ができます。通常、ルータから発信されたパケットはACLによる評価が実施されませんが、以下のようなip local policy route-mapを定義する事でACLによる評価を実施させる事ができます(ip local policy route-mapについては"11.6 Traffic Filtering using Reflexive Access-Lists"を参照下さい)。
ip access-list extended ACL_COUNT_VLAN146
10 permit icmp host 150.XX.6.6 any
20 permit ip any any
ip access-list extended ACL_COUNT_VLAN67
10 permit icmp host 150.XX.6.6 any
20 permit ip any any
!
interface FastEthernet0/0.67
ip access-group ACL_COUNT_VLAN67 out
!
interface FastEthernet0/0.146
ip access-group ACL_COUNT_VLAN146 out
route-map RMAP_LOCAL permit 10
set ip next-hop 150.XX.6.6
!
ip local policy route-map RMAP_LOCAL
Rack9R6#ping 155.9.9.9 source Loopback 0 repeat 120
Type escape sequence to abort.
Sending 120, 100-byte ICMP Echos to 155.9.9.9, timeout is 2 seconds:
Packet sent with a source address of 150.9.6.6
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (120/120), round-trip min/avg/max = 16/18/32 ms
Rack9R6#
Rack9R6#
Rack9R6#
Rack9R6#
Rack9R6#show access-lists
Extended IP access list ACL_COUNT_VLAN146
10 permit icmp host 150.9.6.6 any (20 matches)
20 permit ip any any
Extended IP access list ACL_COUNT_VLAN67
10 permit icmp host 150.9.6.6 any (100 matches)
20 permit ip any any
Rack9R6#
5.16 EIGRP Convergence Timers
SIA ( Stuck In Active )
Dualアルゴリズムはsuccessorに対するルートを失った場合は、feasible successorが存在する場合は、そのルートをそのままsuccessorに昇格されますが、feasible successorが存在しない場合は、他のルータに代替経路が存在するかどうかqueryを送信して問い合わせます。
このような代替経路の問い合わせ待ち(代替経路の計算待ち)状態の事を、Activeと呼びます。ルータは代替経路の問い合わせ(query)に対してreplyを返せばActive状態が終了しますが、何らかの理由によってreplyが返らない場合は、Active状態が続いてしまいます。
このようにActive状態が続き、いつまで待っても代替経路が見つからない状態の事をSIA ( Stuck In Active )と呼びます。
このような代替経路の問い合わせ待ち(代替経路の計算待ち)状態の事を、Activeと呼びます。ルータは代替経路の問い合わせ(query)に対してreplyを返せばActive状態が終了しますが、何らかの理由によってreplyが返らない場合は、Active状態が続いてしまいます。
このようにActive状態が続き、いつまで待っても代替経路が見つからない状態の事をSIA ( Stuck In Active )と呼びます。
active timer
SIA ( Stuck In Active )の回避策として、active timerのチューニングが挙げられます。ルータはactive timerが超過すると、replyを返さないルータとのneighborを切断し、active状態を終了させます。但し、timerを短く設定しすぎると、想定外のneighbor断が発生する危険性がある事に注意して下さい。
active timerを設定するコマンドは以下の通りです。
active timerを設定するコマンドは以下の通りです。
Router(config-rotuer)# timers active-time { minute | disabled }
hello-timer, hold-timer
RIP, OSPF等と異なり、EIGRPはtimerがneighbor間で一致していなくてもadjacencyを確立する事ができます。なお、hello-timer, hold-timerの設定方法は以下の通りです。
Router(config-if)# ip hello-interval eigrp as second Router(config-if)# ip hold-time eigrp as second
確認方法
以下のようにneighborの情報を表示させ、"Hold"からhello-interval, hold-timeが想定通りに設定されている事を確認する事ができます。例えば、hello, holdが10秒, 30秒に設定されているとすれば、Holdは必ず20秒から30秒までの数値をとるはずです。
Rack11R6#show ip eigrp neighbors 100
IP-EIGRP neighbors for process 100
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
2 155.11.146.4 Fa0/0.146 2 00:22:00 4 200 0 300
1 155.11.146.1 Fa0/0.146 2 00:22:00 4 200 0 236
0 155.11.67.7 Fa0/0.67 24 00:22:00 7 200 0 206
Rack11R6#
5.26 EIGRP FIltering with Route Maps
EIGRPルートに対してタグを挿入する事で、特定のルートを許可したり拒否したりする事ができます。
RIPから再配送されたルートの一部にタグを挿入する設定例は以下の通りです。
RIPから再配送されたルートの一部にタグを挿入する設定例は以下の通りです。
route-map map_name permit 10 match ip address acl set tag tag route-map map_name permit 9999 ! router eigrp as redistribute rip metric 10000 100 255 1 1500 route-map map_name
タグを基に特定のルートのみを拒否する設定例は以下の通りです。
route-map map_name deny 10 match tag tag route-map map_name permit 9999 ! router eigrp as distribution-list route-map map_name in
タグが挿入されたかどうかは以下のコマンドにより確認する事ができます。
Rack11R4#show ip eigrp topology 204.12.11.0/24
IP-EIGRP (AS 100): Topology entry for 204.12.11.0/24
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 25600
Routing Descriptor Blocks:
0.0.0.0, from Redistributed, Send flag is 0x0
Composite metric is (25600/0), Route is External
Vector metric:
Minimum bandwidth is 100000 Kbit
Total delay is 1000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 0
External data:
Originating router is 150.11.4.4 (this system)
AS number of route is 0
External protocol is RIP, external metric is 0
Administrator tag is 4 (0x00000004)
Rack11R4#
5.27 EIGRP Bandwidth Pacing
通常EIGPRは管理パケット(Hello, Updateなど)を帯域の50%までしか使用しませんが、以下のコマンドで使用可能な帯域を変更する事がdけいます。
Router(config-if)# ip bandwidth-percent eigrp as percent
5.29 EIGRP Neighbor Logging
EIGRP neighborの変化をログ出力しないようにします。
Router(config-router)# no eigrp log-neighor-changes
1秒あたりのEIGRP warningのログ出力件数を制限する事ができます。
Router(config-router)# eigrp log-neighbor-warning num
5.30 EIGRP Router-ID
Router-IDをわざと重複させる事で、重複したルータからのexternal EIGRPルートを無視する事ができます。
5.31 EIGRP Maximun Hops
EIGRPデータベース内で、指定したHop数を超えるルートをルーティングテーブルに載せないようにします。
Router(config-router)# metric maximum-hops hop_count
