【設定事例集】IPSECの設定

VPNのなかで最も使われるIPSEC

今回も、ネットワーク機器の設定事例について掲載します。

今やどんなネットワークでもインターネットへの接続が必須となっています。

今回はいまだに多くの業者にて採用されているPPPoEの接続についてConfigの設定事例をアップします。

※ネスペの解説はサイトマップを見てください。

https://nwspgogomon.blogspot.com/2021/12/blog-post.html

IPSECとは

IPSECはインターネットにおいてIPパケットの機密性と完全性を保証する機能です。AHやESP、IKEというプロトコルから構成されており、それぞれの役割は以下です。

ちなみに覚え方は「行け！良いSP！あー！」です。

　・AH（アー）…IPパケットを認証するためのプロトコル

　・ESP（イ―エスピー）…データを暗号化するためのプロトコル。最近は認証機能も。

　・IKE（アイケイイー）…秘密鍵を交換するためのプロトコル。

今回作る構成

まずは、ネットワークの構成は以下です。

ちなみにIKEのフェーズごとの設定値は以下になります。

　・IKEフェーズ１…事前共有鍵：cisco

　・IKEフェーズ２…暗号化アルゴリズム：esp-aes

　・IKEフェーズ２…ハッシュアルゴリズム：esp-sha-hmac

今回の構成の作り方

IPSECは手順が多く、パッと見ただけではわからないため、メモを記載しておきます。

①IKEフェーズ１のポリシー定義

「crept isakmp policy」コマンドで最初にISAKMP SAを確立するためのパラメータを設定します、

②事前共有鍵の設定

「pre isakmp key」コマンドで認証用パスワードを設定します。

③IPSECトランスフォームセットの定義

IKEフェーズ２でIPSEC SAを確立するためのアルゴリズムを定義します。

④IPSECの対象トラフィックの定義

アクセスリストを使って、IPSECの対象となるトラフィックを指定します。

⑤暗号マップの定義

IPSEC対象のトラフィックやIPSECのピア、IPSECトランスフォームセットの組み合わせを定義します。

⑥IPSEC適用インターフェースの指定

どのインターフェースにIPSECを設定するか指定します。

Configの設定（要点のみ）

●Router１の定義

　hostname Router1

　＃①IKEフェーズ１のポリシー定義

　crypto isakmp policy 1

　 authentication pre-share

　#②事前共有鍵の設定

　crypto isakmp key cisco address 192.168.12.2

　#③IPSECトランスフォームセットの定義

　crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac

　#④IPSECの対象トラフィックの定義

　access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

　#⑤暗号マップの定義

　crypto map CMAP 1 ipsec-isakmp

　 set peer 192.168.12.2

　 set transform-set IPSEC

　 match address 100

　#⑥IPSEC適用インターフェースの指定

　interface FastEthernet0/0

　 ip address 192.168.12.1 255.255.255.0

 　crypto map CMAP

　interface FastEthernet0/1

　 ip address 192.168.10.1 255.255.255.0

　ip route 0.0.0.0 0.0.0.0 192.168.12.2

●Router2の定義

　hostname Router2

　crypto isakmp policy 1

　 authentication pre-share

　crypto isakmp key cisco address 192.168.12.1

　crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac

　access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

　crypto map CMAP 1 ipsec-isakmp

　 set peer 192.168.12.1

　 set transform-set IPSEC

　 match address 100

　interface FastEthernet0/0

　 ip address 192.168.12.2 255.255.255.0

　 crypto map CMAP

　interface FastEthernet0/1

　 ip address 192.168.20.2 255.255.255.0

　ip route 0.0.0.0 0.0.0.0 192.168.12.1

さいごに

今回はGNS３で作りましたが、私のパソコンのせいか反応が遅い・・・

Cisco Packet Tracerはスイッチの機能は多いけどルータの機能は少ないし・・・

実機購入するか？

【設定事例集】PPPoEの設定

インターネット接続に必要なPPPoE！

今回も、ネットワーク機器の設定事例について掲載します。

今やどんなネットワークでもインターネットへの接続が必須となっています。

今回はいまだに多くの業者にて採用されているPPPoEの接続についてConfigの設定事例をアップします。

※ネスペの解説はサイトマップを見てください。

ちなみに今回参考にさせていただいたサイトはこちらです。

↓

https://www.infraexpert.com/study/wan9.html

PPPoEとは

まず、PPP（Point-to-Point Protcol）は、電話回線などを使いネットワークに接続するために開発されたものです。その仕組みをEthernetでも利用できるようにしたものがPPPoEです。ユーザ認証やIPアドレスの割り当てなどが利用可能になり、現在でも多くのサービスで利用されています。

今回作る構成

PPPoEの構成は以下です。

接続の条件は以下です。

●Router1)PPPoEクライアント側

　PPPoE接続用ユーザ名：user01

　PPPoE接続用パスワード：pass01

　Dialerインターフェース：自動割当方式

●Router2)PPPoEサーバ側

　PPPoEクライアントに払い出すアドレス：10.0.0.1～10.0.0.3

　PPP接続のユーザアカウント方式：chap

Configの設定（要点のみ）

今回はCisco PacketTracer8がどうやらPPPoE対応していないようでしたので、GNS3で作ってみました。IOSが古いのが気にはなりますが。

Router1の設定

PPPoEのClient側の設定です。通常回線業者とつなぐときは、こちらの設定だけとなります。

　hostname Router1

　

　ip route 0.0.0.0 0.0.0.0 Dialer1

　ip nat inside source list 1 interface Dialer1 overload

　access-list 1 permit 192.168.1.0 0.0.0.255

　

　interface FastEthernet0/0

　 ip address 192.168.1.254 255.255.255.0

　 ip nat inside

　

　interface FastEthernet0/1

　 no ip address

　 pppoe enable group global

　 pppoe-client dial-pool-number 1

　

　interface Dialer1

　#IPアドレスの自動割当設定

　 ip address negotiated

　 ip nat outside

　 encapsulation ppp

　#物理インターフェースとの紐づけ

　 dialer pool 1

　#PPPoEセッション開始トリガーとの紐づけ

　 dialer-group 1

　#CHAP認証

　 ppp authentication chap callin

　 ppp chap hostname user01

　 ppp chap password 0 pass01

　#PPPoEセッション開始トリガー

　dialer-list 1 protocol ip permit

Router2の設定

PPPoEのサーバ側の設定となります。

回線業者ではない私は、ルータの設定試験の時しか設定しません。

　hostname Router2

　#ユーザ情報の登録

　username user01 password 0 pass01

　

　interface Loopback0

　 ip address 10.0.0.254 255.255.255.255

　

　interface FastEthernet0/0

　 ip address 192.168.100.254 255.255.255.0

　 duplex auto

　 speed auto

　

　interface FastEthernet0/1

　 no ip address

　 duplex auto

　 speed auto

　 pppoe enable group GROUP

　

　ip local pool POOL 10.0.0.1 10.0.0.4

　

　interface Virtual-Template1

　#IPアンナ―バード設定

　 ip unnumbered Loopback0

　#PPPoEクライアントへのIPアドレス払い出し

　 peer default ip address pool POOL

　 ppp authentication chap

　#PPPoE着信のためのBBAグループ作成

　bba-group pppoe GROUP

　 virtual-template 1

　

動作確認

PPPoEでは動作確認としてRouter1にて以下のコマンドを実行します。

相手側のMACアドレスが取得できていれば、ひとまずOK！

Router1#show pppoe session

あと、DialerインターフェースにIPアドレスが自動的に割り当てっていればOKです。

Router1#show ip interface brief

さいごに

最近少しずつですが、アクセス数が増えてきました。

なんかうれしいです。あざす！

【設定事例集】FlexLink＋の設定

FlexLinkが廃止！代替え機能はFlexLink＋！

今回は、ネスペの試験の解説はお休みです。

最近のCatalystでFlexLinkが廃止になって、かなり動揺しています。

今までFlexLinkで対応していた場所をどう変更しよう。。

悩んでいたらFlexLink＋なるものが登場していたので検証してみました。

※ネスペの解説はサイトマップを見てください。

ちなみに今回参考にしたサイトはこちらです。↓

Flexlink+ の設定 [Support] - Cisco

FlexLinkとは

Flex Linkは、2つのポートのうち一方をアクティブリンク、もう片方をバックアップリンクとあらかじめ設定しておき、一方のポートがダウンしたときは、バックアップポートで通信する技術のことです。

スパニングツリーのように冗長化の技術ですが、とても簡単に設定できたため重宝しておりました。

設定も簡単で、上の例の場合、以下のように設定するだけで実現していました。

●アクティブリンク側

　interface GigabitEthernet1/0/1

　 switchport trunk allowed vlan 10,20

　 switchport mode trunk

① switchport backup interface Gi2/0/1

② switchport backup interface Gi2/0/1 preemption mode forced

③ switchport backup interface Gi2/0/1 preemption delay 50

　 spanning-tree portfast trunk

●バックアップリンク側

　interface GigabitEthernet2/0/1

　 switchport trunk allowed vlan 10,20

　 switchport mode trunk

　 spanning-tree portfast trunk

①で、バックアップリンクとなるスイッチポートはG2/0/1だよって指定する。

②と③で、アクティブリンクが復旧したら戻る。

うん。わかりやすい。

FlexLink＋とは

冗長化の機能として、REPという技術を利用します。

REP（Resilient Ethernet Protocol）は、スパニングツリーの代替え技術で、複数の機器によるネットワークループ構成をセグメントという単位で管理し、ループの回避、リンク障害の処理を行うものです。

（正直、私は使ったことはありませんでした。）

FleｘLink＋はこのREPの技術を応用したものです。

ちなみに、使うときは以下の条件があります。

「レイヤ 2 トランクポートおよびポートチャネルでのみサポートされ、レイヤ 3 ポートおよび VLAN で設定されたインターフェイスではサポートされません。」

FlexLink＋の設定

この構成FlexLink＋で設定します。

ちなみに右側のL2スイッチは、Cisco社性ではなく、別会社のスイッチングハブです。

Cisco社のサイトにわかりやすく記載があったので、

以下のようになりました。

●アクティブリンク側

　interface GigabitEthernet1/0/1

　 switchport trunk allowed vlan 10,20

　 switchport mode trunk

　 spanning-tree portfast trunk

① rep segment 1023 edge no-neighbor primary

●バックアップリンク側

　interface GigabitEthernet2/0/1

　 switchport trunk allowed vlan 10,20

　 switchport mode trunk

　 spanning-tree portfast trunk

② rep segment 1023 edge no-neighbor preferred

※アクティブリンクとかバックアップリンクっていう表現は本当は間違えているかもしれませんが、一応FlexLinkと比較するために同じ呼び方にしました。

①でPrimaryを設定、②でpreferredを設定。

日本語では「主」と「優先」。どっちが強いんだ？？

動作検証

ひとまず設定が終わり、線をつなげて確認したところ、ループもせず安定しておりました。

①通常状態

　Switch#show rep topology 

　REP Segment 1023

　BridgeName       PortName   Edge Role

　---------------- ---------- ---- ----

　Switch           Gig1/0/1   Pri  Open

　Switch           Gig2/0/1   Sec  Alt 

　

②G1/0/1を抜線

　Switch#show rep topology 

　REP Segment 1023

　BridgeName       PortName   Edge Role

　---------------- ---------- ---- ----

　Switch           Gig1/0/1   Pri  Fail

　Switch           Gig2/0/1   Sec  Open

　

③G1/0/1を復旧

　Switch#show rep topology 

　REP Segment 1023

　BridgeName       PortName   Edge Role

　---------------- ---------- ---- ----

　Switch           Gig1/0/1   Pri  Alt 　　←あれ？？

　Switch           Gig2/0/1   Sec  Open

良し！切替もかなり速いし、やったー！

と思ったら、あれ？自動で戻りませんけど…　なんでですか？？

いろいろ試しましたが、うまくいきません・・・

ひとまず、G1/0/1が復旧したら、G2/0/1を再起動（shut → no shut)して切替えないといけないのか・・・

と、調べたところ、今回私は17.3にはpreemptの機能はなく、17.6にはあるようです。

こまった こまった。

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた⑧（仮想リンク）

【ネスペ】令和３年度午後Ⅰ-問２-設問４（２）ー（３）

企業の統合によってD社にE社をくっつけることなりました。

今までお客さん先の移転や、フロアのレイアウト変更でのネットワーク構成

ちなみに、Cisco Packet Tracerの使い方で参考したサイト↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

※過去問を解いてない方はサイトマップを見てください。

今回作るネットワーク構成の説明は、こちらです。

問題と構成

まず問題文と下線⑥は以下でした。

(2)本文中の下線⑥について、フロア間OSPF追加設定を行う必要がある二つの機器を答えよ。また、その設定内容を25時以内で述べよ。

下線⑥とその周辺

前回のブログにもありましたが、本社とE社のエリア0が支社のエリア１によって分断されている構成ですね。

実際にネットワークをしていても、たまに起こってしまいます。

答えから申しますとこういう時は、仮想リンク(Virtual-Link)というOSPFの技術を使ってエリア0を結ぶことができます。

実際のネットワークで表現すると以下の図のような構成となります。

Configの設定

では、実際のConfigの設定を見てみましょう。

上の図にもあるように設定する機会は本社のルータと支社-E社の境界にあるL3SW1です。

支社のL3SW1とE社のL3SW6との間のネットワークは172.18.0.0/24としました。

L3SW1は172.18.0.254、L3SW6は172.18.0.253としました。

Cisco Packet Tracerってこんなに大きいネットワーク作れるんだ・・・

Configの設定

OSPFの仕様上どうしても、本社とE社でバックボーンエリアとなるエリア0を併設できないので、E社をエリア２にしました。

今回のように、E社のエリア１をまたいでエリア０に接続するために、前述のとうり仮想リンク（Virtual-Link）を設定します。

といっても、設定自体は簡単です。

L3SW1のConfig（かなり抜粋）

Virtua-Linkの設定と、E社のネットワークである172.18.0.0/16を集約をします。

　interface Loopback0

　 ip address 1.1.1.1 255.255.255.255

　router ospf 1

　 router-id 1.1.1.1

① area 2 range 172.18.0.0 255.255.0.0

② area 1 virtual-link 1.1.1.10

③ network 172.18.0.0 0.0.0.255 area 2

　 network 172.16.2.254 0.0.0.0 area 1

　 network 172.16.12.253 0.0.0.0 area 1

　 network 172.16.0.254 0.0.0.0 area 1

①で、E社のネットワークを集約する。

②で、ルータと仮想リンク（Virtual-link）設定

③E社のネットワークインターフェースを指定。

ルータのConfig（かなり抜粋）

　interface Loopback0

　ip address 1.1.1.10 255.255.255.255

　router ospf 1

　 router-id 1.1.1.10

　 area 1 range 172.16.0.0 255.255.0.0

　 area 0 range 172.17.0.0 255.255.0.0

① area 1 virtual-link 1.1.1.1

　 network 172.16.0.0 0.0.255.255 area 1

　 network 1.1.1.10 0.0.0.0 area 0

　 network 172.17.0.0 0.0.255.255 area 0

　 default-information originate

①でL3SW1のループバックアドレスを指定して仮想インターフェースを組みました。

動作確認／通信試験

この状態で、E社のL3SW6におけるOSPFの状態を見てみると、無事にルータの1.1.1.10とで仮想リンク（VL）を組めているようです。

ルータも同じようにVL０が取れていました。

この時点で、状態を確認すると、本社や支社のルーティン情報をとってきており、且つ、E社のL3SW6から本社（172.17.0.0/16）のL2SW4にpingを打つと結果が返ってきていることがわかります。

さいごに

やっとうまくいきました。

勉強になりました。

次からは、いろいろなネットワークの設定例集を紹介します。

こうご期待！

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた⑦（E社の基本設定）

  【ネスペ】令和３年度午後Ⅰ-問２-設問４（１）

企業の統合によってD社にE社をくっつけることなりました。

今までお客さん先の移転や、フロアのレイアウト変更でのネットワーク構成

ちなみに、Cisco Packet Tracerの使い方で参考したサイト↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

※過去問を解いてない方はサイトマップを見てください。

今回作るネットワーク構成の説明は、こちらです。

問題の構成

問題文は以下でした。

(1)本文中の下線⑤について、到達できないD社内ネットワーク部分を、図２中のa～lの記号で全て答えよ。

本社のOSPFのエリアは0でしたが、E社のエリアも0なのよね。それでネットワークアドレスが172.18.0.16/16だそうです。

だから構成としては、下のようになります。

ありゃま、支社のエリア１にエリア0が分断されているようです。

その中で、E社からどこまで通信ができるかがポイントとなります。

Configの設定

Cisco Packet Tracerを使ってE社の構成をつくるあたって、勝手にこんなネットワークにしました。

　●物理構成

　●ネットワーク論理構成（アドレス体系）

L2SW13のConfig（かなり抜粋）

L2スイッチは各インターフェースにVLANを割りあっていくだけの簡単な設定です。

あと、L2SW12や、L2SW14～L2SW15はL2SW13とほとんど同じですので割愛しますね。

　hostname L2SW13

　vtp mode transparent

　int g0/1

 　switchport access vlan 1801

 　switchport mode access

　interface Vlan1801

　ip address 172.18.1.253 255.255.255.0

　ip default-gateway 172.18.1.254

L3SW6のConfig（かなり抜粋）

もう、これについても今まで設定した内容とほぼ同等です。L3SW7についてはVLAN-IDやIPアドレスが異なるだけなので、割愛しますね。

　 hostname L3SW6

　 vtp mode transparent

　 

　 int g1/0/1

　  switchport access vlan 1810

　  switchport mode access

　 

　 int g1/0/2

　  switchport access vlan 1801

　  switchport mode access

　 

　 int g1/0/3

　  switchport access vlan 1802

　  switchport mode access

　 

　 interface Vlan1810

　  ip address 172.18.10.254 255.255.255.0

　 

　 interface Vlan1801

　  ip address 172.18.1.254 255.255.255.0

　 

　 interface Vlan1802

　  ip address 172.18.2.254 255.255.255.0

　 

　 interface Loopback0

　  ip address 1.1.1.6 255.255.255.255

　 

　 ip routing

　 router ospf 1

　  router-id 1.1.1.6

　  network 172.18.10.254 0.0.0.0 area 0

　  network 172.18.1.254 0.0.0.0 area 0

　  network 172.18.2.254 0.0.0.0 area 0

・・・って、支社のOSPFエリア１を設定するところまではできるのですが、本社のエリア0が離れているので、登録ができませんね。

ということで、問題となっている通信できないエリアは、本社のネットワークを全部選択することになります。

さいごに

今回は基本設定をしただけです。実際のつなぎの部分は、次回で。

お楽しみに～。では！

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた⑥（OSPFのNullルート）

 【ネスペ】令和３年度午後Ⅰ-問２-設問３（３）-（４）

問題文は以下でした。

(3)本文中の下線④についてルーティングループが発生する可能性がある機器はどの機器とどの機器の間か。二つの機器を図１中の機器名で答えよ。

これは、すでに解説したように、OSPFなどルーティングを設定するときに陥りがちな経路情報の”穴”に関する問題です。では、いつものようにConfigで見てみましょう。

ちなみに、Cisco Packet Tracerの使い方で参考したサイトは以下です↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

※過去問を解いてない方はサイトマップを見てください。

あと、今回作るネットワーク構成の説明は、こちらです。

問題の構成

まず、単刀直入に答えから言うと、以下のようにループが発生するのは、ルータとデフォルトゲートウェイ間で発生します。

今回の構成で、一番重要な機器は内部LANはルータで、外部への出口はFWとなります。

これまでに設定した内容をベースにした経路情報を見てみましょう。

ルータの経路情報。

※デフォルトゲートウェイがFW（172.17.0.254）。

そしてFWの経路情報。

支社へのルーティングの宛先（NextHop）はルータ（172.16.0.253）。

前にも書いたけど、この状態で支社の機器から172.16.13.1とか、172.16.0.0の仲間だけど、ルーティングがないとかいう機器に対してpingを打つと、最初の図のようにピンポンすることになるのです。

ただし！実際はそうなりませんでした。

（L2SW1のPCからのtracerouteです。）

FWからの折り返しのパケットが破棄されとる！

理由としては、新しいIOSでは、経路の集約をすると自動的にNull0がインストールされるげな！（みんなに見せれんかったよ。）

Configの設定

ちなみに、Null0を設定するときのコマンドを一応説明しときます。

ip <address> <subnetmask> Null0

ルータのConfig（かなり抜粋）

ルータに設定するなら以下のコマンドです。

ip route 172.16.0.0 255.255.0.0 Null0 

さいごに

なんか残念。

そういえばYoutube大学であっちゃんが「youtubeは見る人の気持ちを考えて書かないとダメ」と言っていました。youtube大学ではないですが、ブログも同じなんだろうな。

う～ん。もっとわかりやすいものを作ろう。では！

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた⑤（OSPFの経路の集約）

 【ネスペ】令和３年度午後Ⅰ-問２-設問３（１）-（２）

問題文ではOSPFの時に経路の集約について問いています。

しかも支社と本社間ですので、当然対象機器は境界ルータとなるルータです。

では、いつものようにConfigで学んでみましょう。

ちなみに、Cisco Packet Tracerの使い方で参考したサイトは以下です↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

※過去問を解いてない方はサイトマップを見てください。

あと、今回作るネットワーク構成の説明は、こちらです。

境界ルータとは

設問２のネットワーク構成は以下でした。

OSPFのエリア0となる本社とエリア１になる支社に挟まれている機器はエリア境界ルータと言います。問題文でもありますが、境界ルータにはTいろいろあって、Typeという分類があって、以下のように意味づけられています。

このルータで構成で説明しましたが、経路の集約をすると配布する経路情報が少なくて、各機械の負荷が下がってよいですね。

前にも出しましたが、支社は172.16.0.0/16で、本社は172.17.0.0/16で集約ですね。

Configの設定

OSPFでの経路の集約は以下のコマンドを使います。

area <area-id> range <address mask> [ cost <cost> ]

<area-id>

　経路集約をする対象サブネットが存在するエリアの指定

<address mask>

　集約ルートのネットワークアドレス、サブネットマスクの指定

<cost>

　集約ルートのコスト値の指定（デフォルト値は、集約対象となるルートのなかの最小コスト値）

ルータの設定（Config）

　router ospf 1

 　router-id 1.1.1.10

 　log-adjacency-changes

① area 1 range 172.16.0.0 255.255.0.0

② area 0 range 172.17.0.0 255.255.0.0

③ network 172.16.0.0 0.0.255.255 area 1

④ network 172.17.0.0 0.0.255.255 area 0

 　default-information originate

ABR（エリア境界ルータ）と言っても設定は簡単で、③と④でネットワークとエリア番号を指定するだけです。（本当にわかりやすい。これだからネットワークはやめられない。）

①で、エリア１（172.16.0.0/16）の集約をしています。

②で、エリア２（172.17.0.0/16）の集約をしています。

③と④で、ネットワークインターフェースを指定します。

動作確認

今回もわかりやすく「show ip route」コマンドで実行結果を確認します。

支社の結果は以下です。

①と③でデフォルトゲートウェイがルータの172.16.12.254になってます！

さらに、本社のネットワークが172.17.0.0/16に集約されています！

さいごに

よっしゃ！

今日はここまで！

皆さんのご意見求めます。（最近のブログわかりずらいかな？）

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた④（OSPFのデフォルトルート）

【ネスペ】令和３年度午後Ⅰ-問２-設問２です。

設問１は用語の問題ですので、今回は省略します。

（すでにアップしていますので、下のリンクから参照ください。）

ルーティングをする際に一番最初に考えないといけないのは、デフォルトルートです。

デフォルトゲートウェイとも言います。またスイッチではラストリゾートって書いています。

なんだよリゾートって…

Cisco Packet Tracerの使い方で参考したサイトは以下です↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

過去問を解いてない方はサイトマップを見てください。

あと、今回作るネットワーク構成の説明は、こちら↓を読んでください。

　　https://nwspgogomon.blogspot.com/2022/01/3-2_10.html

デフォルトルートの設定

企業LANにおいてデフォルトルートのデフォルトルートの宛先は、だいたいインターネットに接続している機器にすることが多いです。

今回の「令和３年度午後Ⅰ-問２」の出口は以下に示すようにFWとなります。

なので「FWをデフォルトルートにしよう」っていう情報をOSPFで配布します。

そのためには「 default-information originate 」コマンドを使用します。

# default-information originate [ always ] [ metric metric ] [ metric-type { 1 | 2 } ]

always：

　自身のルーティングテーブルにデフォルトルートを保持していなくても、常にデフォルトルートを生成

metric：

　デフォルトルートのメトリック値の指定（ 指定しない場合のデフォルト値は 1 ）

metric-type：

　デフォルトルートのメトリックタイプの指定（指定しない場合のデフォルト値はタイプ 2 ）

ルータの Config（かなり抜粋）

上の書き方にならってConfigを作成します。

対象機器はルータとします。

（以下のConfigでは、まだ支社のネットワークを本社につないでいない状態ですので注意です！）

①ip route 0.0.0.0 0.0.0.0 172.17.0.254

　router ospf 1

 　router-id 1.1.1.10

　 network 172.17.0.0 0.0.255.255 area 0

② default-information originate

①で、スタティックルートとしてデフォルトルートを指定します。

②で、OSPFの配布します。

動作確認／通信試験

各機器で「show ip route」コマンドを打った結果を見てみましょう。

ルータの結果

L3SW4の結果

あら！？

L3SW4のデフォルトルートはFWではないの？

となりますが、今回本社のルータがバックボーンエリアのエリア境界ルータとなるため、全社のOSPFエリアのデフォルトルートを本社のルータにしておけば、インターネットへの接続が可能となります。

（各スイッチにデフォルトルートぐらいはStaticで切ってもよいかと思いましたが。）

少々、もやっとしますが、、

今日はここまで！

次回は、境界ルータについて説明します！！

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた③（OSPFの基本設定）

まずは、OSPF基本設定です。

ネットワークスペシャリストの令和3年度午後Ⅰ-問２で採用されている動的ルーティングのプロトコルOSPFについて、その概念と実際のConfigの設定を基に解説していきます。

Cisco Packet Tracerの使い方で参考したサイトは以下です↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

過去問を解いてない方はサイトマップを見てください。

あと、今回作るネットワーク構成の説明は、こちら↓を読んでください。

　　https://nwspgogomon.blogspot.com/2022/01/3-2_10.html

OSPFとは

「動的ルーティングを実現するためのリンクステート型のルーティングプロトコル」というのが一般的な説明です。

またまた言葉だけでは難しいです。要は、ルータやL3スイッチなどが、互いに接続（リンク）の状態（ステート）を交換しあい、経路情報を自動的に作るためのプロトコルです。

上の絵では、各ルータが自分が接続しているネットワークの状態をLink情報としてデータベースに保持し、お互いの機器間で交換しあっています。

各機械はそれぞれ、交換しあったLink情報を基に最適なルート（経路）を作っていきます。

Configでの説明（OSPFの基本設定）

理論の詳細はググってみてくださいませ。

実際のConfigで説明しますね。

まずは、前回と同様に本社で動的ルーティングを作ってみます。

本社の構成は以下です。（ルータとＦＷの設定は、次回以降に説明します。）

L3SW4の設定（かなり抜粋）

L3SW4は、172.17.0.0/25のネットワークと172.17.2.0/23、172.17.4.0/23のネットワークに接続しています。この場合のOSPFは以下のように設定します。

L3SW4#show running-config 

①　ip routing

②　interface Loopback0

 　　ip address 1.1.1.4 255.255.255.255

③　router ospf 1

④ 　router-id 1.1.1.4

⑤ 　　network 172.17.2.254 0.0.0.0 area 0

⑥ 　　network 172.17.4.254 0.0.0.0 area 0

⑦ 　　network 172.17.0.252 0.0.0.0 area 0

①で、L3SW4の中でルーティングができるように宣言します。

②で、ループバックアドレスを定義します。「ループバックアドレス」は特殊なIPアドレスでその機器自身のアドレスになります。

③で、OSPFを使うぞ！と宣言します。

特に指定がないなら、

各機器で同じ番号を指定しましょう。

④で、ルータIDというOSPFのグループ内での識別子を設定します。

ルータIDはIPv4のアドレスで設定するのですが、書かなくても自動で自分の機器内のIPアドレスを拾ってつけれらます。

ただし、自動でつけられたルータIDはそのアドレスを持つインターフェースがダウンしたりすると面倒なことになるので、基本的には「ループバックアドレス」をつけてトラブルを防ぎます。

⑤～⑦で、OSPFを使って交換するためのネットワークが接続されているインターフェースを指定します。（ワイルドカードの書き方については、また別の機会に）

L3SW5の設定（かなり抜粋）

L3SW4と同じ考え方になります。そんでもってConfigは以下です。

L3SW5#show running-config 

① ip routing

② interface Loopback0

 　ip address 1.1.1.5 255.255.255.255

③ router ospf 1

④ router-id 1.1.1.5

⑤ network 172.17.6.254 0.0.0.0 area 0

⑥ network 172.17.8.254 0.0.0.0 area 0

⑦ network 172.17.0.251 0.0.0.0 area 0

動作試験結果

OSPFの確認コマンドはいろいろありますが、ひとまずわかりやすいところで

「show ip route」でルーティングテーブルの情報を見てみましょう。

L3SW4の確認（show ip route）

経路情報をL3SW5と交換しましたね。

ちなみに頭に「O」がついているのが、リンク情報の交換で作ったルーティングです。

L3SW4#show ip route

Gateway of last resort is not set

     1.0.0.0/32 is subnetted, 2 subnets

C       1.1.1.4 is directly connected, Loopback0

O E2    1.1.1.5 [110/20] via 172.17.0.251, 00:31:04, Vlan1700

     172.17.0.0/16 is variably subnetted, 5 subnets, 2 masks

C       172.17.0.128/25 is directly connected, Vlan1700

C       172.17.2.0/23 is directly connected, Vlan1702

C       172.17.4.0/23 is directly connected, Vlan1704

O       172.17.6.0/23 [110/2] via 172.17.0.251, 00:31:04, Vlan1700

O       172.17.8.0/23 [110/2] via 172.17.0.251, 00:31:04, Vlan1700

L3SW5の確認（show ip route）

L3SW4と同じようにリンク情報の交換が無事にできたようです。

良かった良かった。

L3SW5#show ip route

Gateway of last resort is not set

     1.0.0.0/32 is subnetted, 2 subnets

O E2    1.1.1.4 [110/20] via 172.17.0.252, 00:33:58, Vlan1700

C       1.1.1.5 is directly connected, Loopback0

     172.17.0.0/16 is variably subnetted, 5 subnets, 2 masks

C       172.17.0.128/25 is directly connected, Vlan1700

O       172.17.2.0/23 [110/2] via 172.17.0.252, 00:33:58, Vlan1700

O       172.17.4.0/23 [110/2] via 172.17.0.252, 00:33:58, Vlan1700

C       172.17.6.0/23 is directly connected, Vlan1706

C       172.17.8.0/23 is directly connected, Vlan1708

OSPFはまだ語る内容はたくさんありますが、次回以降で。

今回はここまで！ではでは。

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた②（VLANとIPアドレスの設定編）

まずはスイッチとルータの基本設定です。

ネットワークスペシャリストの令和3年度午後Ⅰの問２はOSPF中心の問題ですが、まずはルーティングの設定を作る前に、本社や支社毎の小さいネットワークを作っていきます。

（各機器にVLANとIPアドレスを設定します。）

Cisco Packet Tracerの使い方で参考したサイトは以下です↓

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

できれば、過去問を解いてみてくださいね。

過去問の解説はこちらからです。
　　https://nwspgogomon.blogspot.com/2021/12/blog-post.html 

あと、今回作るネットワーク構成の説明は、こちらを読んでください。

　　https://nwspgogomon.blogspot.com/2022/01/3-2_10.html

VLANとは…

VLANを知っている人は読み飛ばしてください。

VLANはとは、物理的なネットワークの域を超えて仮想的にネットワークを構築する技術です。・・・とよく言いますが、なかなか難しい表現です。

要は、1つのネットワークを複数に分けたり、複数のネットワークをくっつけたりする技術です。代表的なものは以下の2つです。

ポートVLANが1つのネットワーク機器（スイッチなど）を複数のネットワークに分割し、ポートVLANは複数のスイッチのネットワークを結合します。

ちなみにネットワークの世界での「ネットワーク」という言葉はブロードキャスト（パソコン全員にパケットが届く）範囲のことを言います。

SVI（VLANインターフェース）とは…

SVIとは「スイッチの仮想インターフェースの一種で、ルータ部分が各VLANに接続する境界」のことです。（Ciscoの言葉です。）

またまた難しい表現ですね。

VLANの中に小さいルータを入れたイメージで、IPアドレスを設定することができます。

これによってネットワーク（VLAN）同士でデータの受け渡しが可能となるのです。

ちなみにL3スイッチは、SVIをVLANごとに作って複雑なネットワークをシンプルにすることができる機器です。

R3-問2の構成について

上の2つの技術を基にネットワークスペシャリストR３の問２の問題を見てみましょう。

上の絵はD社の本社内のネットワークです。赤色点線部分が各ネットワーク（VLAN）で、L3スイッチにはそれぞれSVIが設定されます。

※今回はルータやFWの設定は省きます。次回以降で説明します。

なお、支社もよく見ると、ほとんど同じ形をしていますね。

なかなか美しい構成だと思います。

こうやって小さいネットワークをたくさんつなぎ合わせて、大きいネットワークを作っていくのが現在の王道中の王道です。

Configの紹介

本社のL3SW4、L2SW8、L2SW9の塊のConfigを紹介します。

※全体像はこちらを参照ください。

　https://nwspgogomon.blogspot.com/2022/01/3-2_10.html

絵が下手でごちゃついていますが、主なConfigは以下です。

L3SW4のConfig（かなり抜粋）

L3SW4#show running-config 

 :

vlan 1700

!

vlan 1702

!

vlan 1704

!

interface GigabitEthernet1/0/1

 switchport access vlan 1702

 switchport mode access

!

interface GigabitEthernet1/0/2

 switchport access vlan 1704

 switchport mode access

!

 :

interface GigabitEthernet1/0/24

 switchport access vlan 1700

 switchport mode access

!

 :

interface Vlan1700

 ip address 172.17.0.252 255.255.255.128

!

interface Vlan1702

 ip address 172.17.2.254 255.255.254.0

!

interface Vlan1704

 ip address 172.17.4.254 255.255.254.0

!

L2SW8のConfig（かなり抜粋）

L2SW8#show running-config 

 :

vlan 1702

 :

interface GigabitEthernet0/2

 switchport access vlan 1702

 switchport mode access

!

 :

interface Vlan1702

 ip address 172.17.2.253 255.255.254.0

 :

L2SW9のConfig（かなり抜粋）

L2SW9#show running-config 

 :

interface GigabitEthernet0/2

 switchport access vlan 1704

 switchport mode access

!

 :

interface Vlan1704

 ip address 172.17.4.253 255.255.254.0

 :

「L2スイッチにもVLANインターフェースあるやん！？」という方。素晴らしい。

L2スイッチにも設定できますが、VLAN同士の通信をするのではなく、管理／監視用に利用します。

そんでもって、L2SW8とL2SW9からL3SW4のSVIに対してpingを打ったら成功！

支社も同じように設定してみてください。

最初はめんどくさいですが、楽しくなりますよ。

あと、初めての方は「vtp mode transparent」という呪文を打つとうまくいきますよ。

今日はここまで！

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた①（ネットワーク構成編）

今回から特集です。

Cisco Packet Tracerでネットワークスペシャリストの過去問の中から令和3年度午後Ⅰの問２を作ってみることにしました。

「Cisco Packet Tracer」は、スイッチ等のネットワーク機器の設定をパソコン上で仮想的に接続したりして構築するための便利なツールです。

前はGNU3とか使っていましたが、なかなかIOSが入手ができなくて、大変だったので、これにチャレンジしてみました。

参考したサイトは以下です。

Cisco Packet Tracer(パケットトレーサー)を使いこなそう！

令和3年度午後Ⅰの問２の構成

今回は、構成だけ説明しますね。

詳しくは前回までの解説を読んでください。（絶対に一度は解いてくださいね。）

※過去問の解説はこちらからです。
　　https://nwspgogomon.blogspot.com/2021/12/blog-post.html 

まず物理構成です。

LANは、本社のネットワークと3つの支社が広域イーサ回線で接続されています。

そんで、LAN内はルータやL3SWでOSPFによる動的ルーティングによって、経路が作られています。

次に、WANはインターネット回線越しにG社のクラウドサービスとつながっています。

インターネットの出口はFW。クラウドにはIPSEC VPNで接続されているそうです。

う～ん。こんだけいろいろあったら、コアスイッチ的なものを入れたいところですが、L3SW4とL3SW5がその役割をしているって感じなんでしょう。

今度は論理構成です。

各セグメントのIPアドレス体系が照会されています。

よくやるパターンで適当にVLAN-IDも割り当ててみました。

Cisco Packet Tracerでの構成

絵を作ってみました。

絵が細かすぎて見えづらいですよね？

安心して下さい。今後、いろいろと部分部分をアップで表示しますよ。

Cisco Packet Tracerで回線のアイコンがわからない！

だれか教えてください！

ひとまず広域イーサ回線は、C2960を使いました。

インターネット回線は本当に見つけられなかったので、ひとまずFWとしたASA5506-XとGWとしたルータ（ISR4431）とを直結しました。

各機器はL3SWにC3650、L2SWにC2960が選べたので、統一しました。

なかなか贅沢な構成です。

ただ、C2960Xが欲しかったが、まぁいいでしょう。

FWとして私はFortigateとかしか使ったことがなかったのでASA初めてです。

（楽しみです。皆様ご支援をお願いします！）

さいごに

ネットワーク構成図、やっとできた…

次回から、Configを組んでいきます。

ネットワーク構築経験が欲しいところでしたので、このCisco Packet Tracerは使えそうです。ミスってもだれにも怒られないし、こんな高級品のスイッチを使えるなんて！

たのしー！

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-講評

 今回は、これぞネットワークという感じの問題でした。

が、、講評は厳しいコメントでした。

解いていない方は、まず、実際にチャレンジしてみて、それぞれの問題の解説は以下にアップしていますので、読んでみてください。

　令和3年度 午後Ⅰ 問2-設問1

　令和3年度 午後Ⅰ 問2-設問2

　令和3年度 午後Ⅰ 問2-設問3

　令和3年度 午後Ⅰ 問2-設問4

感想

ここまでOSPFの細かいところまで突っ込んだ内容って、今まで意外となかったかもです。

午前Ⅱ問題ではたまに細かい内容はあったけどね。

実際にネットワークの仕事をしている人だったら、ある程度の経験がたまってきたら必ずOSPFは登場するので、そんな人には有利なもんだったかもしれませんね。

（学生さんには難しかったかもしれませんね。）

OSPFはネットワークスペシャリストだけでなく、CCNAの取得を目指している人にも必須なので、これを機会に理解を深めるとよいかと思います。

次回は、このネットワークをCisco Packet Tracerで作ってみようと思います。

では～

※他の過去問の解説はこちらから
　　https://nwspgogomon.blogspot.com/2021/12/blog-post.html