DynagenでCCIEを目指す
INE Workbook Volume I IP Service
最終更新:
it_certification
-
view
- 進捗確認
- 誤植 および 問題文補足
- 13.5 DHCP Host Pools
- 13.6 DHCP on-Demand Pool
- 13.16 IRDP
- 13.20 NAT with Route Maps
- 13.21 Static NAT
- 13.22 Static PAT
- 13.25 NAT with Overlapping Subnet
- 13.26 TCP Load Distribution with NAT
- 13.31 Reversible NAT
- 13.39 Direct Broadcast & UDP Forwarding
- 13.43 SLB Directed Mode
- 13.44 SLB Dispatched Mode
- 13.45 NBAR Protocol Discovery
- 13.46 Netflow Ingress & Egress
- 13.47 Netflow Top Talkers
- 13.49 Netflow Random Sampling
- 13.50 Netflow Input Filter
- 13.51 IOS Authoritative DNS Server
- Tips
- 13.3 DHCP Client
- 13.7 DHCP Proxy
- 13.8 DHCP Information Option
- 13.9 DHCP Authorized ARP
- 13.10 IP SLA
- 13.13 VRRP
- 13.15 Router Redundancy and Object Tracking
- 13.16 IRDP
- 13.24 Static Policy NAT
- 13.33 IP Precedence Accounting
- 13.34 IP Output Packet Accounting
- 13.35 IP Access Violation Accounting
- 13.36 MAC Address Accounting
- 13.37 TCP Optimization
- 13.39 Directed Broadcasts & UDP Forwarding
- 13.45 NBAR Protocol Discovery
- 13.46 Netflow Ingress & Egress
- 13.48 Netflow Aggregation Cache
進捗確認
正答率 チェック
| 2週目 | 3週目 | 4週目 | 5週目 | |
|---|---|---|---|---|
| 13.1 Proxy ARP | ||||
| 13.2 DHCP Server | ||||
| 13.3 DHCP Client | ||||
| 13.4 DHCP Relay | ||||
| 13.5 DHCP Host Pools | ||||
| 13.6 DHCP on-Demand Pool | ||||
| 13.7 DHCP Proxy | ||||
| 13.9 DHCP Authorized ARP | ||||
| 13.10 IP SLA | ||||
| 13.11 Object Tracking | ||||
| 13.12 HSRP | ||||
| 13.13 VRRP | ||||
| 13.14 GLBP | ||||
| 13.15 Router Redundancy and Object Tracking | ||||
| 13.16 IRDP | x | |||
| 13.17 Router ICMP Settings | 省略 | |||
| 13.18 Basic NAT | 省略 | |||
| 13.19 NAT Overload | 省略 | |||
| 13.20 NAT with Route Maps | 省略 | |||
| 13.21 Static NAT | x | |||
| 13.22 Static PAT | ||||
| 13.23 Static NAT and IP Aliasing | ||||
| 13.24 Static Policy NAT | 省略 | |||
| 13.25 NAT with Overlapping Subnets | 正答不明 | |||
| 13.26 TCP Load Distribution with NAT | x | |||
| 13.27 Stateful NAT with HSRP | ||||
| 13.28 Stateful NAT with Primary/Backup | ||||
| 13.29 NAT Virtual Interface | ||||
| 13.30 NAT Default Interface | ||||
| 13.31 Reversible NAT | ||||
| 13.32 Static Extendable NAT | ||||
| 13.33 IP Precedence Accounting | ||||
| 13.34 IP Output Packet Accounting | ||||
| 13.35 IP Access Violation Accounting | ||||
| 13.36 MAC Address Accounting | ||||
| 13.37 TCP Optimization | ||||
| 13.38 IOS Small Services & Finger | ||||
| 13.39 Directed Broadcasts & UDP Forwarding | ||||
| 13.40 DRP Server Agent | 捨て | |||
| 13.41 WCCPv1 Web-Cache | ||||
| 13.42 WCCPv2 Services | ||||
| 13.43 SLB Directed Mode | IOS非対応 | |||
| 13.44 SLB Dispatched Mode | IOS非対応 | |||
| 13.45 NBAR Protocol Discovery | ||||
| 13.46 Netflow Ingress & Egress | ||||
| 13.47 Netflow Top Talkers | ||||
| 13.48 Netflow Aggregation Cache | ||||
| 13.49 Netflow Random Sampling | ||||
| 13.50 Netflow Input Filters | ||||
| 13.51 IOS Authoritative DNS Server | x | |||
| 13.52 IOS Caching DNS Server | ||||
| 13.53 IOS DNS Spoofing | ||||
| 13.54 IP Event Dampening | ||||
| 正答率 | 97% | |||
所感
1週目 2011/09/19
- 13.7 以下のコマンドの投入が漏れてしまいました。以下は、"dhcp proxy client mechanism as the global default mechanism for assigning peer IP addresses"という意味です(日本語訳しづらいので、原文をそのままコピペします)。
ip address-pool dhcp-proxy-client
- 13.8 DHCP classの定義方法は覚えていましたが、classをpoolに割り当てる設定を忘れていました。設定例は以下の通りです。
ip dhcp pool VLAN58_SW2 network 155.4.58.0 255.255.255.0 class CLASS_VLAN58 address range 155.4.58.8 155.4.58.8
- 13.9 update arpが漏れてしまいました。
- 13.16 確認方法を失念してしまいました。
- 13.25 - 30 連続不正解です。NATはかなり理解が甘いので、要復習です。
- 13.27 Stateful idはルータ間で異なる値を設定し、mapping-idはルータ間で同じ値を設定します。
- 13.31 match interfaceが使用できない仕様(?)に注意して下さい。
- 13.33 確認方法を思い出せませんでした。
- 13.34 下記Tipsの通り、コメントバグが存在します。maskを指定するのかwildcardを指定するのかに注意して下さい。
- 13.36 INEの解説の通り、名前つきACLでは動作しない事に注意して下さい。
- 13.40 全く思い出せませんでした。辛いですが、本問は暗記しかないです。
- 13.51 SOAレコード, NSレコードの設定が思い出せませんでした。
2週目 2011/10/02
- 13.51 NSレコード, DNS clientの設定が思い出せませんでした。
3週目 2011/11/19
- 13.16 irdpの確認方法について思い出せませんでした。
- 13.21 NATの処理順序を勘違いしてしまいました。全ての頭の中で考えようとすると、間違えや勘違いを引き起こしやすいので、紙に書くなりの工夫をすべきでした。
- 13.26 inside, outsideを逆に設定してしまいました。Webサーバがある方がinsideと覚えればすっきり覚えられるはずです。
誤植 および 問題文補足
13.5 DHCP Host Pools
"13.2 DHCP Server"の設定と競合してしまうので、以前の設定の一部を削除する必要があります。INE模範解答の訂正は以下の通りです。
R1: no ip dhcp excluded-address 155.4.146.1 155.4.146.99 ip dhcp excluded-address 155.4.146.2 155.4.146.99 ! ip dhcp pool R1 host 155.4.146.1 255.255.255.0 client-identifier 0100.0d65.8465.60
13.6 DHCP on-Demand Pool
ip addressはnegotiatedではなくpoolを指定します。negotiatedと指定してしまうと、IPCPによって受信したサブネットマスクを使用しようとしません("show int s0/1"などで確認できます)。
R1: interface Serial 0/1 encapsulation ppp ip addressnegotiatedpool ODAP_POOL ppp ipcp mask request ppp ipcp dns request no peer neighbor-route ! ip dhcp pool ODAP_POOL import all origin ipcp ! router rip no validate-update-source omitted
13.16 IRDP
INE模範解答の赤字部分は必須とは言えません。
IRDPの最小, 最大advertise間隔はそれぞれ450秒, 600秒なので、恐らくadvertise間隔を短くして素早く動作確認しようとした設定が紛れ込んでしまった可能性が高いです。
IRDPの最小, 最大advertise間隔はそれぞれ450秒, 600秒なので、恐らくadvertise間隔を短くして素早く動作確認しようとした設定が紛れ込んでしまった可能性が高いです。
R5: interface FastEthernet 0/0 ip irdp ip irdp address 155.X.58.5 1000ip irdp maxadvertinterval 20ip irdp minadvertinterval 20SW2: interface Vlan 58 ip irdp ip irdp address 155.X.58.8 500ip irdp maxadvertinterval 20ip irdp minadvertinterval 20
13.20 NAT with Route Maps
INE模範解答に誤りはありませんが、模範解答の設定のみではpingやtelnetによる疎通確認はできません。
以下のようにDLCI mappingの設定を投入する事で、疎通が可能になります。
以下のようにDLCI mappingの設定を投入する事で、疎通が可能になります。
R1: interface Serial0/0 frame-relay map ip 155.22.0.200 105 broadcast R3: interface Serial1/0 frame-relay map ip 155.22.0.200 305 broadcast R4: interface Serial0/0/0 frame-relay map ip 155.22.0.200 405 broadcast R5: interface Serial0/0/0 frame-relay map ip 155.22.0.200 502 broadcast
13.21 Static NAT
inside, outsideが逆に設定されています。模範解答を以下の通り訂正します。
R5: interface FastEthernet0/0ip nat outsideip nat inside ! interface Serial0/1/0ip nat insideip nat outside ! ip nat inside source static 155.22.58.8 155.22.45.8 ip nat outside source static 155.22.45.4 155.22.58.4 ! ip route 155.22.58.4 255.255.255.255 155.22.45.4
なお、inside, outsideを訂正せず、NAT変換ルールを変更する方法も別解として挙げられます。
R5: interface FastEthernet0/0 ip nat outside ! interface Serial0/1/0 ip nat inside !ip nat inside source static 155.22.58.8 155.22.45.8ip nat outside source static 155.22.45.4 155.22.58.4ip nat inside source static 155.22.45.4 155.22.58.4 ip nat outside source static 155.22.58.8 155.22.45.8 !ip route 155.22.58.4 255.255.255.255 155.22.45.4ip route 155.22.45.8 255.255.255.255 155.22.58.8
13.22 Static PAT
"13.21 Static NAT"でinside, outsideが模範解答と逆に設定されている場合は、模範解答通りで問題ありません。
R5: interface FastEthernet0/0ip nat outsideip nat inside ! interface Serial0/1/0ip nat insideip nat outside ! ip nat inside source static tcp 155.X.8.8 23 155.X.45.44 8023 ip nat inside source static tcp 155.X.10.10 23 155.X.45.44 10023
"13.21 Static NAT"でinside, outsideが模範解答通りに設定されている場合は以下の設定を投入します。
R5: interface FastEthernet0/0 ip nat outside ! interface Serial0/1/0 ip nat inside !ip nat inside source static tcp 155.X.8.8 23 155.X.45.44 8023ip nat inside source static tcp 155.X.10.10 23 155.X.45.44 10023ip nat outside source static tcp 155.X.8.8 23 155.X.45.44 8023 ip nat outside source static tcp 155.X.10.10 23 155.X.45.44 10023 ! ip route 155.X.45.44 255.255.255.255 155.X.58.8
13.25 NAT with Overlapping Subnet
TODO 正答不明 以下の設定変更のみでは題意を満たしません。
INE模範では"ip nat outside"をSerial0/1へ適用する設定が漏れています。また、outside sourceに対する変換ルールは以下のように書きなおした方が、より分かりやすい設定と言えます。
R1: interface Serial 0/1 ip nat outside ! interface Loopback 1 ip address 10.0.0.1 255.255.255.0 ip nat inside !ip nat pool R2_MASQUARADE 22.0.0.1 22.0.0.254 prefix-length 24!ip access-list extended R2_LOOPBACK1permit ip 10.0.0.0 0.0.0.255 any!ip nat outside source list R2_LOOPBACK1 pool R2_MASQUARADEip nat outside source static netwrok 10.0.0.0 22.0.0.0 /24 ip nat inside source static netwrok 10.0.0.0 11.0.0.0 /24 ! ip route 11.0.0.0 255.255.255.0 Null 0 ip route 22.0.0.0 255.255.255.0 Serial 0/1 ! router rip redistribute static R2: interface Loopback 1 ip address 10.0.0.2 255.255.255.0 ! router rip network 10.0.0.0
13.26 TCP Load Distribution with NAT
指定したアドレス宛てのパケットを指定ポートに変換するコマンド
ip nat alias <addr> <port>
例えば以下のように指定した場合、192.168.58.55宛てのパケットを全て192.168.58.5:3001に変換します。
interface f0/0 ip address 192.168.58.5 ! ip alias 192.168.58.55 3001
13.31 Reversible NAT
reversibleキーワードとmatch interface, match next-hopは併用する事ができません。INE模範解答を赤字の通り訂正します。
R5 interface FastEthernet 0/0 ip nat inside ! interface Serial 0/1/0 ip nat outside ! ip nat pool POOL 155.X.45.100 155.X.45.200 prefix-length 24 ! ip access-list standard INSIDE_HOSTS permit 155.X.0.0 0.0.255.255 permit 150.X.0.0 0.0.255.255 ! route-map CREATE_EXTENDABLE_ENTRIES match ip address INSIDE_HOSTSmatch interface Serial 0/1/0! ip nat inside source route-map CREATE_EXTENDABLE_ENTRIES pool POOL reversible
以下は参考資料です。
- IOS 12.4T / Cofigure / configuration guide / Cisco IOS IP Addressing Services Configuration Guide, Release 12.4T / Part 6 / Configuring NAT for IP Address Conservation / NAT Inside and Outside Addresses
- INE Online Community -> 13.31 Reversible NAT
13.39 Direct Broadcast & UDP Forwarding
INE模範解答では、udp42(WINSレプリケーション)の転送を禁止する設定が漏れています。
R5: no ip forward-protocol udp bootp no ip forward-protocol udp tftp no ip forward-protocol udp time no ip forward-protocol udp nameserver no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgm no ip forward-protocol udp tacacs interface Serial 0/1/0 ip helper-address 155.X.58.255 interface FastEthernet 0/0 ip broadcast-address 155.X.58.255 ip directed-broadcast
13.43 SLB Directed Mode
IOSが当該の機能を備えていません。
13.44 SLB Dispatched Mode
IOSが当該の機能を備えていません。
13.45 NBAR Protocol Discovery
個人的には、先頭から0byteではなく1byteを読み取るので、模範解答を以下の通り訂正したいです。ただし、0byteでも1byteでもどちらでも題意を満たす動作をしたので、0でも1でもどちらでも良いようです。
R1: interface FastEthernet 0/0 ip nbar protocol-discovery ! ip nbar custom HTTP_PROXY destination tcp 3128 8080 ip nbar port-map socks tcp 2080 ip nbar custom TEST01 ascii A destination tcp 3001 omitted
13.46 Netflow Ingress & Egress
BGP AS orignをNetflowに付与する設定が漏れています。
R4: ip flow-capture vlan-id ip flow-capture icmp ip flow-capture version 5 origin-as ip flow-capture destination 155.X.146.100 9999 ip flow-cache entries 4096 omitted
13.47 Netflow Top Talkers
Netflow Top TalkersはICMPとTCPを同時に計測する事ができません。また、現象(2011/09/07時点)のINEレンタルラック環境では、Netflow Top TalkersはICMPを取得する事ができません。
従って、問題文を以下の通り変更します。
従って、問題文を以下の通り変更します。
- Configure R4 and R6 to collect information about 10 most active
ICMPTCP flows. - R4 should count packets, while R6 counts bytes.
- Match only TCP
and ICMPflows comming from the subnet 155.X.0.0/16.
13.49 Netflow Random Sampling
解答は以下の2通りが挙げられます。flow-sampler-mapを直接I/Fに適用する事で、模範解答よりもシンプルな解答を作成する事ができます。
R4: flow-sampler-map SAMPLER mode random one-out-of 10 ! interface FastEthernet0/0.67 no ip flow egress flow-sampler SAMPLER ! interface FastEthernet0/0.146 no ip flow egress flow-sampler SAMPLER ! interface Serial0/0/0 no ip flow egress flow-sampler SAMPLER
INE模範解答は、Flexible Netflowと呼ばれる手法です。オンラインドキュメントによると、Flexible Netflowとはフロー毎に統計情報を取得する手法のようです。
なお、Flexible NetflowはNetflow version 9以上でサポートされるので、模範解答に以下を加筆する必要があります。
なお、Flexible NetflowはNetflow version 9以上でサポートされるので、模範解答に以下を加筆する必要があります。
R4: ip flow-export version 9 ! flow-sampler-map SAMPLER mode random one-out-of 10 ! policy-map NETFLOW_MAP class class-default netflow-sampler SAMPLER interface FastEthernet0/0.67 no ip flow egress service-policy output NETFLOW_MAP ! interface FastEthernet0/0.146 no ip flow egress service-policy output NETFLOW_MAP ! interface Serial0/0/0 no ip flow egress service-policy output NETFLOW_MAP
13.50 Netflow Input Filter
前問と同様ですが、Flexible NetflowはNetflow version 9以上でサポートされます。
ACLに関しては、"sources on VLAN 146"と問題文に記載があるので、destinationがVLAN146であるパケットは含めない方が無難である気がしますが、問題文の表現が曖昧なので何とも言えません。
ACLに関しては、"sources on VLAN 146"と問題文に記載があるので、destinationがVLAN146であるパケットは含めない方が無難である気がしますが、問題文の表現が曖昧なので何とも言えません。
R4: ip flow-export version 9 ! ip access-list extended VLAN146 permit ip 155.X.146.0 0.0.0.255 anypermit ip any 155.X.146.0 0.0.0.255! class-map VLAN146 match access-group name VLAN146 ! flow-sampler-map NORMAL mode random one-out-of 1 ! flow-sampler-map SAMPLER mode random one-out-of 10 ! policy-map NETFLOW_MAP class VLAN146 netflow-sampler NORMAL class class-default netflow-sampler SAMPLER interface FastEthernet0/0.67 no ip flow egress service-policy output NETFLOW_MAP ! interface FastEthernet0/0.146 no ip flow egress service-policy output NETFLOW_MAP ! interface Serial0/0/0 no ip flow egress service-policy output NETFLOW_MAP
13.51 IOS Authoritative DNS Server
"its DNS servers in a round-robin fashion"との指定がありますが、コマンドの入力のみでOKです。現状(2011/09/07)のINE連絡ラックの環境では、コマンドは入力可能ですが、round-robinされていないようです。
Tips
13.3 DHCP Client
DHCP Client-IDはDHCP Clientを識別するIDです。デフォルトでは、MACアドレスとInterface名を組み合わせたIDが自動生成されます。
R1: Rack4R1#debug dhcp detail DHCP client activity debugging is on (detailed) Rack4R1# Rack4R1# Rack4R1#conf t Enter configuration commands, one per line. End with CNTL/Z. Rack4R1(config)#interface FastEthernet 0/0 Rack4R1(config-if)#ip address dhcp Rack4R1(config-if)# omitted Aug 26 06:40:35.004: Lease: 43200 secs, Renewal: 0 secs, Rebind: 0 secs Aug 26 06:40:35.004: Next timer fires after: 00:00:03 Aug 26 06:40:35.004: Retry count: 1 Client-ID: cisco-000d.6584.6560-Fa0/0 Aug 26 06:40:35.008: Client-ID hex dump: 636973636F2D303030642E363538342E Aug 26 06:40:35.008: 363536302D4661302F30 Aug 26 06:40:35.012: Hostname: Rack4R1
Client-IDを明示的に指定する事もできます。以下のように指定すると、MACアドレスと同じ値をClient-IDとして使用する事ができます。
R1: Rack4R1(config-if)#ip address dhcp client-id FastEthernet 0/0 Rack4R1(config-if)# omitted Aug 26 06:42:54.961: Lease: 0 secs, Renewal: 0 secs, Rebind: 0 secs Aug 26 06:42:54.961: Next timer fires after: 00:00:04 Aug 26 06:42:54.961: Retry count: 1 Client-ID: 000d.6584.6560 Aug 26 06:42:54.961: Client-ID hex dump: 000D65846560 Aug 26 06:42:54.965: Hostname: Rack4R1
13.7 DHCP Proxy
IPCPを用いてpeerに割り当てるアドレスをDHCPサーバに問い合わせる事ができます。設定は以下の通りです。
Router(config)# ip address-pool dhcp-proxy-client Router(config)# ip dhcp-server addr
13.8 DHCP Information Option
DHCP Information Optionはベンダーやハードウェアによってフォーマットが異なります。そのため、IOSは16進数表記でDHCP Information Optionに合致するかどうかの設定コマンドしか提供しないようにしています。
まずは以下の設定を投入し、subscriber-idに"VLAN58"が設定された場合、どのようなパケットが送信されるかをキャプチャします。
R5: ip dhcp relay information option ! interface FastEthernet0/0 ip dhcp relay information option subscriber-id VLAN 58 R6: ip dhcp pool VLAN58 network 155.X.58.0 /24 ! ip dhcp exclude-address 155.X.58.5 SW2: interface VLAN58 ip address dhcp
SW2にIPアドレスを割り当てる過程で、R6がどのようなパケットを受信したのかを観察します。
R6: access-list 100 permit udp any any eq bootps Rack22R6#debug ip packet 100 dump IP packet debugging is on (dump) for access list 100 Rack22R6# EEA0CBC0: 63825363 35010236 049B1692 06330400 c.Sc5..6.....3.. EEA0CBD0: 0151803A 040000A8 C03B0400 01275001 .Q.:...(@;...'P. EEA0CBE0: 04FFFFFF 00521602 0C020A00 009B163A .....R.........: EEA0CBF0: 05000000 00060656 4C414E35 38FF0000 .......VLAN58... EEA0CC00:
VLAN58と記載された部分の前後で52と記載された部分を探します。52とは、Option 82の16進数表記です。その次に16との記載がありますが、これはDHCP information optionのサイズを表します。16進数表記で16ですので、これ以降の22byteがDHCP information optionという事になります。
DCHP information optionに基づくアドレス割当を行うよう以下の設定を投入します。
R6: ip dhcp class TEST relay agent information relay-information hex 020C020A00009B163A05000000000606564C414E3538 ! ip dhcp pool VLAN58 network 155.X.58.0 /24 ! class TEST address range 155.X.58.8 155.X.58.8
SW2に想定通りのIPアドレスが割り当てられている事で動作確認ができると思いますが、IPアドレスの割当のみによる確認で不安な場合は、以下のデバッグメッセージから確認する事もできます。
R6: debug ip dhcp server class Rack22R6#show logging omitted Aug 30 19:08:29.903: DHCPD: Searching for a match to ' relay-information 020c020a00009b163a0500 0000000606564c414e3538' in class TEST Aug 30 19:08:29.903: DHCPD: input pattern ' relay-information 020c020a00009b163a050000000006065 64c414e3538' matches class TEST Aug 30 19:08:29.903: DHCPD: input matches class TEST
13.9 DHCP Authorized ARP
ARP cacheをする前に、そのMACアドレスがDHCPによって割り当てられたアドレスかどうかを確認する機能です。この機能を有効にするには、I/FとDHCP poolに対して設定を投入します。
ip dhcp pool pool update arp ! interface interface arp authorize
DHCPによって割り当てられないアドレスに関しては、ARPをstaticに定義する事で疎通可能となります。
arp ip_address mac_address arpa
13.10 IP SLA
ip slaにはcontrolというオプションがあります。このオプションはデフォルトで有効で、jitterやresponse timeを図るかどうかを表します。なお、jitterやresponse timeを図るためには、計測対象をip sla responderとして設定する必要があります。
本問に関して言えば、TCP port監視を行う場合は、control disableの設定を忘れないよう注意しなければなりません。
本問に関して言えば、TCP port監視を行う場合は、control disableの設定を忘れないよう注意しなければなりません。
R6: ip sla 1 icmp-echo 54.X.1.254 ip sla schedule 1 life forever start-time now ip sla 2 tcp-connect 54.X.1.254 23 control disable ip sla schedule 2 life forever start-time now
13.13 VRRP
ヘルプメッセージの挙動が若干怪しいですが、問題なくコマンドを投入できるようです。
R4: Rack22R4(config-if)#vrrp 1 authentication ? md5 Use MD5 authentication text Plain text authentication Rack22R4(config-if)#vrrp 1 authentication text ? % Unrecognized command Rack22R4(config-if)#vrrp 1 authentication text CISCO Rack22R4(config-if)# Rack22R4(config-if)# Rack22R4(config-if)#do show run | b vrrp vrrp 1 ip 155.22.146.253 vrrp 1 timers advertise 3 vrrp 1 priority 110 vrrp 1 authentication CISCO
13.15 Router Redundancy and Object Tracking
Object TrackingはIP SLAだけでなくルーティングテーブルもtrackする事ができます。設定は以下の通りです。
track num ip sla num track num ip route addr/prefix_len reachability track num ip route addr/prefix_len metric threshold metric
13.16 IRDP
以下のコマンドでIRDPによるデフォルトゲートウェイ取得が可能です。
なお、no ip routingは設定を投入するとルーティングプロトコルの設定が全て消えてしまうので、試験本番で動作確認する際は要注意です。
なお、no ip routingは設定を投入するとルーティングプロトコルの設定が全て消えてしまうので、試験本番で動作確認する際は要注意です。
no ip routing ip gdp irdp
13.24 Static Policy NAT
NATの設定削除はコツが必要です。場合によっては、以下のようなエラーメッセージが出力されます。
Rack27R5(config)#no ip nat source list VLAN8 pool NVI_POOL Dynamic mapping in use, do you want to delete all entries? [no]: yes %Error: Dynamic mapping still in use, cannot remove Rack27R5(config)#
以下のコマンドでDynamic mappingを削除すると、正常にnat poolなどの設定が削除できるようになります。
Router# clear ip nat translation [ nvi ] *
13.33 IP Precedence Accounting
確認方法は以下の通りです。"?"を押しながら当該の確認コマンドを見つけるのは難しいので、暗記してしまった方が無難です。
Rack24R6#show interfaces Serial 0/0/0 precedence
Serial0/0/0
Input
Precedence 0: 5 packets, 520 bytes
Precedence 3: 100 packets, 10400 bytes
Precedence 6: 149 packets, 12260 bytes
Output
Precedence 0: 6 packets, 564 bytes
Precedence 3: 100 packets, 10400 bytes
Precedence 6: 36 packets, 16776 bytes
Rack24R6#
13.34 IP Output Packet Accounting
表示上のバグに注意して下さい。ヘルプメッセージがではmaskと表示されますが、実際に指定するのはwildcardです。
Rack24R1(config)#ip accounting-list 155.24.0.0 ? A.B.C.D IP address mask Rack24R1(config)#ip accounting-list 155.24.0.0 0.0.255.255
13.35 IP Access Violation Accounting
INEの解説でも記載されていますが、名前つきACLではIP Accountingが機能しない事に注意して下さい。
R6:ip access-list extended ACL_DENY_PREC4ip access-list extended 101 deny ip any any precedence 4 permit ip any any ! interface Serial0/0/0ip access-group ACL_DENY_PREC4 inip access-group 101 in ip accounting access-violations Rack24R6#show ip accounting access-violations Source Destination Packets Bytes ACL 54.24.1.254 155.24.67.7 10 1000 101 Accounting data age is 5 Rack24R6#
13.36 MAC Address Accounting
確認方法は以下の通りです。"?"を押しながら当該の確認コマンドを見つけるのは難しいので、暗記してしまった方が無難です。
R1:
Rack24R1#show interfaces FastEthernet 0/0 mac-accounting
FastEthernet0/0
Input (510 free)
0019.56d4.f878(27 ): 7 packets, 2142 bytes, last: 6623ms ago
0007.0e7a.1125(71 ): 16 packets, 5216 bytes, last: 477ms ago
Total: 23 packets, 7358 bytes
Output (509 free)
0019.56d4.f878(27 ): 5 packets, 570 bytes, last: 50923ms ago
0007.0e7a.1125(71 ): 5 packets, 570 bytes, last: 47922ms ago
0100.5e00.0009(86 ): 6 packets, 2556 bytes, last: 9191ms ago
Total: 16 packets, 3696 bytes
Rack24R1#
13.37 TCP Optimization
確認方法は以下の通りです。まずTCPによる通信を発生します。
R6: Rack24R6#telnet 155.24.146.1 Trying 155.24.146.1 ... Open User Access Verification Password: Rack24R1>
当該の通信のTCBを調べ、TCBについて詳細表示させます。
模範解答ではECN, SACKなども確認できますが、私が検証した結果ではnagleしか確認する事ができませんでした。
模範解答ではECN, SACKなども確認できますが、私が検証した結果ではnagleしか確認する事ができませんでした。
R1:Rack24R1#show ip tcp briefRack24R1#show tcp brief TCB Local Address Foreign Address (state) 84F6C11C 155.24.146.1.23 155.24.146.6.44693 ESTAB Rack24R1# Rack24R1# Rack24R1#show tcp tcb 84F6C11C Connection state is ESTAB, I/O status: 1, unread input bytes: 0 Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255 Local host: 155.24.146.1, Local port: 23 Foreign host: 155.24.146.6, Foreign port: 44693 Enqueued packets for retransmit: 0, input: 0 mis-ordered: 0 (0 bytes) Event Timers (current time is 0x362D98): Timer Starts Wakeups Next Retrans 7 0 0x0 TimeWait 0 0 0x0 AckHold 9 4 0x0 SendWnd 0 0 0x0 KeepAlive 0 0 0x0 GiveUp 0 0 0x0 PmtuAger 0 0 0x0 DeadWait 0 0 0x0 iss: 1278877331 snduna: 1278877434 sndnxt: 1278877434 sndwnd: 4026 irs: 3520212704 rcvnxt: 3520212746 rcvwnd: 131031 delrcvwnd: 41 SRTT: 182 ms, RTTO: 1073 ms, RTV: 891 ms, KRTT: 0 ms minRTT: 4 ms, maxRTT: 300 ms, ACK hold: 200 ms Flags: passive open, active open, retransmission timeout, nagle IP Precedence value : 0 Datagrams (max data segment is 1460 bytes): Rcvd: 18 (out of order: 0), with data: 11, total data bytes: 41 Sent: 16 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0), with data: 11, total data bytes: 102 Rack24R1#
13.39 Directed Broadcasts & UDP Forwarding
directed-broadcastを許可するには以下のコマンドを入力します。
Router(config-if)# ip directed-broadcast
directed-broadastを転送する際の宛先アドレスを設定します。省略時は、255.255.255.255が宛先になります。
Router(config-if)# ip broadcast-address addr
13.45 NBAR Protocol Discovery
NBARによって調査できるプロトコルはカスタマイズする事ができます。
ポート番号を変更している場合は、以下のコマンドを投入します。
ポート番号を変更している場合は、以下のコマンドを投入します。
Router(config)# ip nbar port-map protocol_name { tcp | udp }
プロトコルを独自定義したい場合は以下の通りです。
Router(config)# ip nbar custom protocol_name [ offset ascii string] destination { tcp | udp }
13.46 Netflow Ingress & Egress
統計情報を取得するI/Fを定義します。
Router(config-if)# ip flow { ingress | egress }
統計情報の出力先を定義します。なお、netflow version 5以上では、追加でBGP関連の情報も出力する事ができます。
Router(config)# ip flow-export destination ip_addr udp_port
Router(config)# ip flow-export version { 1 | 5 [ origin-as | peer-as ] | 9 [ bgp-nexthop | origin-as | peer-as ] }
取得する統計情報を追加する事もできます(icmp, vlanなど)。
Router(config)# ip flow-capture { fragment-offset | icmp | ip-id | mac-addresses | packet-length | ttl | vlan-id | nbar}
netflowが保存するエントリ数を定義します。デフォルトは4096です。
Router(config)# ip flow-cache entries num
確認方法は以下の通りです。ヘルプでは当該の確認コマンドを見つけるのが難しいので、暗記が必要であると思います。
Rack7R4#show ip cache verbose flow omitted Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-BGP 2 0.0 1 44 0.0 0.0 15.6 UDP-other 12 0.0 1 110 0.0 0.0 15.6 ICMP 4 0.0 501 99 0.4 4.2 15.6 Total: 18 0.0 112 99 0.4 0.9 15.6 SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts Port Msk AS Port Msk AS NextHop B/Pk Active Se0/1/0 155.7.45.5 Null 224.0.0.9 11 C0 10 18 0208 /24 0 0208 /0 0 0.0.0.0 512 155.9 VLAN id: 000 000 Se0/0/0 155.7.0.5 Null 224.0.0.9 11 C0 10 38 0208 /24 0 0208 /0 0 0.0.0.0 462 166.8 VLAN id: 000 000 Rack7R4#
13.48 Netflow Aggregation Cache
Netflow Aggregation Cacheを有効にするには、忘れずにenableを投入する必要があります。
R4: ip flow-aggregation cache destination-prefix cache entries 1024 export destination 155.24.146.100 9998 mask destination minimum 8 enabled
確認方法は以下の通りです。ヘルプでは当該の確認コマンドを見つけるのが難しいので、暗記が必要であると思います。
Rack24R4#show ip cache flow aggregation destination-prefix IP Flow Switching Cache, 69636 bytes 2 active, 1022 inactive, 7 added 104 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 9096 bytes 2 active, 254 inactive, 7 added, 7 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added Minimum destination mask is configured to /8 Dst If Dst Prefix Msk AS Flows Pkts B/Pk Active Null 224.0.0.0 /8 0 1 1 192 0.0 Null 204.12.24.0 /24 0 1 1 44 0.0 Rack24R4#
