2022年2月20日日曜日

【設定事例集】IPSECの設定

VPNのなかで最も使われるIPSEC


今回も、ネットワーク機器の設定事例について掲載します。
今やどんなネットワークでもインターネットへの接続が必須となっています。
今回はいまだに多くの業者にて採用されているPPPoEの接続についてConfigの設定事例をアップします。


※ネスペの解説はサイトマップを見てください。




IPSECとは


IPSECはインターネットにおいてIPパケットの機密性と完全性を保証する機能です。AHやESP、IKEというプロトコルから構成されており、それぞれの役割は以下です。
ちなみに覚え方は「行け!良いSP!あー!」です。

 ・AH(アー)…IPパケットを認証するためのプロトコル
 ・ESP(イ―エスピー)…データを暗号化するためのプロトコル。最近は認証機能も。
 ・IKE(アイケイイー)…秘密鍵を交換するためのプロトコル。


今回作る構成


まずは、ネットワークの構成は以下です。


ちなみにIKEのフェーズごとの設定値は以下になります。

 ・IKEフェーズ1…事前共有鍵:cisco
 ・IKEフェーズ2…暗号化アルゴリズム:esp-aes
 ・IKEフェーズ2…ハッシュアルゴリズム:esp-sha-hmac


今回の構成の作り方


IPSECは手順が多く、パッと見ただけではわからないため、メモを記載しておきます。

①IKEフェーズ1のポリシー定義
「crept isakmp policy」コマンドで最初にISAKMP SAを確立するためのパラメータを設定します、

②事前共有鍵の設定
「pre isakmp key」コマンドで認証用パスワードを設定します。

③IPSECトランスフォームセットの定義
IKEフェーズ2でIPSEC SAを確立するためのアルゴリズムを定義します。

④IPSECの対象トラフィックの定義
アクセスリストを使って、IPSECの対象となるトラフィックを指定します。

⑤暗号マップの定義
IPSEC対象のトラフィックやIPSECのピア、IPSECトランスフォームセットの組み合わせを定義します。

⑥IPSEC適用インターフェースの指定
どのインターフェースにIPSECを設定するか指定します。


Configの設定(要点のみ)

●Router1の定義
 hostname Router1

 #①IKEフェーズ1のポリシー定義
 crypto isakmp policy 1
  authentication pre-share
 #②事前共有鍵の設定
 crypto isakmp key cisco address 192.168.12.2

 #③IPSECトランスフォームセットの定義
 crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac

 #④IPSECの対象トラフィックの定義
 access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

 #⑤暗号マップの定義
 crypto map CMAP 1 ipsec-isakmp
  set peer 192.168.12.2
  set transform-set IPSEC
  match address 100

 #⑥IPSEC適用インターフェースの指定
 interface FastEthernet0/0
  ip address 192.168.12.1 255.255.255.0
  crypto map CMAP

 interface FastEthernet0/1
  ip address 192.168.10.1 255.255.255.0

 ip route 0.0.0.0 0.0.0.0 192.168.12.2

●Router2の定義
 hostname Router2

 crypto isakmp policy 1
  authentication pre-share
 crypto isakmp key cisco address 192.168.12.1

 crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac

 access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

 crypto map CMAP 1 ipsec-isakmp
  set peer 192.168.12.1
  set transform-set IPSEC
  match address 100

 interface FastEthernet0/0
  ip address 192.168.12.2 255.255.255.0
  crypto map CMAP

 interface FastEthernet0/1
  ip address 192.168.20.2 255.255.255.0

 ip route 0.0.0.0 0.0.0.0 192.168.12.1


さいごに

今回はGNS3で作りましたが、私のパソコンのせいか反応が遅い・・・
Cisco Packet Tracerはスイッチの機能は多いけどルータの機能は少ないし・・・
実機購入するか?

2022年2月15日火曜日

【設定事例集】PPPoEの設定

インターネット接続に必要なPPPoE!


今回も、ネットワーク機器の設定事例について掲載します。
今やどんなネットワークでもインターネットへの接続が必須となっています。
今回はいまだに多くの業者にて採用されているPPPoEの接続についてConfigの設定事例をアップします。


※ネスペの解説はサイトマップを見てください。
ちなみに今回参考にさせていただいたサイトはこちらです。




PPPoEとは


まず、PPP(Point-to-Point Protcol)は、電話回線などを使いネットワークに接続するために開発されたものです。その仕組みをEthernetでも利用できるようにしたものがPPPoEです。ユーザ認証やIPアドレスの割り当てなどが利用可能になり、現在でも多くのサービスで利用されています。


今回作る構成


PPPoEの構成は以下です。



接続の条件は以下です。

Router1)PPPoEクライアント側
 PPPoE接続用ユーザ名:user01
 PPPoE接続用パスワード:pass01
 Dialerインターフェース:自動割当方式

Router2)PPPoEサーバ側
 PPPoEクライアントに払い出すアドレス:10.0.0.1~10.0.0.3
 PPP接続のユーザアカウント方式:chap


Configの設定(要点のみ)


今回はCisco PacketTracer8がどうやらPPPoE対応していないようでしたので、GNS3で作ってみました。IOSが古いのが気にはなりますが。

Router1の設定

PPPoEのClient側の設定です。通常回線業者とつなぐときは、こちらの設定だけとなります。

 hostname Router1
 
 ip route 0.0.0.0 0.0.0.0 Dialer1
 ip nat inside source list 1 interface Dialer1 overload
 access-list 1 permit 192.168.1.0 0.0.0.255
 
 interface FastEthernet0/0
  ip address 192.168.1.254 255.255.255.0
  ip nat inside
 
 interface FastEthernet0/1
  no ip address
  pppoe enable group global
  pppoe-client dial-pool-number 1
 
 interface Dialer1
 #IPアドレスの自動割当設定
  ip address negotiated
  ip nat outside
  encapsulation ppp
 #物理インターフェースとの紐づけ
  dialer pool 1

 #PPPoEセッション開始トリガーとの紐づけ
  dialer-group 1

 #CHAP認証
  ppp authentication chap callin
  ppp chap hostname user01
  ppp chap password 0 pass01

 #PPPoEセッション開始トリガー
 dialer-list 1 protocol ip permit


Router2の設定

PPPoEのサーバ側の設定となります。
回線業者ではない私は、ルータの設定試験の時しか設定しません。

 hostname Router2

 #ユーザ情報の登録
 username user01 password 0 pass01
 
 interface Loopback0
  ip address 10.0.0.254 255.255.255.255
 
 interface FastEthernet0/0
  ip address 192.168.100.254 255.255.255.0
  duplex auto
  speed auto
 
 interface FastEthernet0/1
  no ip address
  duplex auto
  speed auto
  pppoe enable group GROUP
 
 ip local pool POOL 10.0.0.1 10.0.0.4
 
 interface Virtual-Template1

 #IPアンナ―バード設定
  ip unnumbered Loopback0

 #PPPoEクライアントへのIPアドレス払い出し
  peer default ip address pool POOL
  ppp authentication chap

 #PPPoE着信のためのBBAグループ作成
 bba-group pppoe GROUP
  virtual-template 1

 

動作確認


PPPoEでは動作確認としてRouter1にて以下のコマンドを実行します。
相手側のMACアドレスが取得できていれば、ひとまずOK!

Router1#show pppoe session



あと、DialerインターフェースにIPアドレスが自動的に割り当てっていればOKです。

Router1#show ip interface brief



さいごに


最近少しずつですが、アクセス数が増えてきました。
なんかうれしいです。あざす!

2022年2月9日水曜日

【設定事例集】FlexLink+の設定

FlexLinkが廃止!代替え機能はFlexLink+!


今回は、ネスペの試験の解説はお休みです。
最近のCatalystでFlexLinkが廃止になって、かなり動揺しています。
今までFlexLinkで対応していた場所をどう変更しよう。。
悩んでいたらFlexLink+なるものが登場していたので検証してみました。



※ネスペの解説はサイトマップを見てください。
ちなみに今回参考にしたサイトはこちらです。↓




FlexLinkとは


Flex Linkは、2つのポートのうち一方をアクティブリンク、もう片方をバックアップリンクとあらかじめ設定しておき、一方のポートがダウンしたときは、バックアップポートで通信する技術のことです。
スパニングツリーのように冗長化の技術ですが、とても簡単に設定できたため重宝しておりました。



設定も簡単で、上の例の場合、以下のように設定するだけで実現していました。

●アクティブリンク側
 interface GigabitEthernet1/0/1
  switchport trunk allowed vlan 10,20
  switchport mode trunk
① switchport backup interface Gi2/0/1
② switchport backup interface Gi2/0/1 preemption mode forced
③ switchport backup interface Gi2/0/1 preemption delay 50
  spanning-tree portfast trunk

●バックアップリンク側
 interface GigabitEthernet2/0/1
  switchport trunk allowed vlan 10,20
  switchport mode trunk
  spanning-tree portfast trunk


①で、バックアップリンクとなるスイッチポートはG2/0/1だよって指定する。
②と③で、アクティブリンクが復旧したら戻る。
うん。わかりやすい。


FlexLink+とは


冗長化の機能として、REPという技術を利用します。
REP(Resilient Ethernet Protocol)は、スパニングツリーの代替え技術で、複数の機器によるネットワークループ構成をセグメントという単位で管理し、ループの回避、リンク障害の処理を行うものです。
(正直、私は使ったことはありませんでした。)

FlexLink+はこのREPの技術を応用したものです。
ちなみに、使うときは以下の条件があります。

「レイヤ 2 トランクポートおよびポートチャネルでのみサポートされ、レイヤ 3 ポートおよび VLAN で設定されたインターフェイスではサポートされません。」


FlexLink+の設定


この構成FlexLink+で設定します。
ちなみに右側のL2スイッチは、Cisco社性ではなく、別会社のスイッチングハブです。



Cisco社のサイトにわかりやすく記載があったので、
以下のようになりました。

●アクティブリンク側
 interface GigabitEthernet1/0/1
  switchport trunk allowed vlan 10,20
  switchport mode trunk
  spanning-tree portfast trunk
① rep segment 1023 edge no-neighbor primary

●バックアップリンク側
 interface GigabitEthernet2/0/1
  switchport trunk allowed vlan 10,20
  switchport mode trunk
  spanning-tree portfast trunk
② rep segment 1023 edge no-neighbor preferred

※アクティブリンクとかバックアップリンクっていう表現は本当は間違えているかもしれませんが、一応FlexLinkと比較するために同じ呼び方にしました。

①でPrimaryを設定、②でpreferredを設定。
日本語では「主」と「優先」。どっちが強いんだ??

動作検証


ひとまず設定が終わり、線をつなげて確認したところ、ループもせず安定しておりました。

①通常状態
 Switch#show rep topology 
 REP Segment 1023
 BridgeName       PortName   Edge Role
 ---------------- ---------- ---- ----
 Switch           Gig1/0/1   Pri  Open
 Switch           Gig2/0/1   Sec  Alt 
 
②G1/0/1を抜線
 Switch#show rep topology 
 REP Segment 1023
 BridgeName       PortName   Edge Role
 ---------------- ---------- ---- ----
 Switch           Gig1/0/1   Pri  Fail
 Switch           Gig2/0/1   Sec  Open
 
③G1/0/1を復旧
 Switch#show rep topology 
 REP Segment 1023
 BridgeName       PortName   Edge Role
 ---------------- ---------- ---- ----
 Switch           Gig1/0/1   Pri  Alt   ←あれ??
 Switch           Gig2/0/1   Sec  Open


良し!切替もかなり速いし、やったー!
と思ったら、あれ?自動で戻りませんけど… なんでですか??


いろいろ試しましたが、うまくいきません・・・
ひとまず、G1/0/1が復旧したら、G2/0/1を再起動(shut → no shut)して切替えないといけないのか・・・

と、調べたところ、今回私は17.3にはpreemptの機能はなく、17.6にはあるようです。
こまった こまった。

2022年2月6日日曜日

【ネスペ過去問解説】令和3年度 午後Ⅰ 問2-作ってみた⑧(仮想リンク)

【ネスペ】令和3年度午後Ⅰ-問2-設問4(2)ー(3)


企業の統合によってD社にE社をくっつけることなりました。
今までお客さん先の移転や、フロアのレイアウト変更でのネットワーク構成



ちなみに、Cisco Packet Tracerの使い方で参考したサイト↓
※過去問を解いてない方はサイトマップを見てください。
今回作るネットワーク構成の説明は、こちらです。




問題と構成


まず問題文と下線⑥は以下でした。

(2)本文中の下線⑥について、フロア間OSPF追加設定を行う必要がある二つの機器を答えよ。また、その設定内容を25時以内で述べよ。

下線⑥とその周辺

前回のブログにもありましたが、本社とE社のエリア0が支社のエリア1によって分断されている構成ですね。
実際にネットワークをしていても、たまに起こってしまいます。
答えから申しますとこういう時は、仮想リンク(Virtual-Link)というOSPFの技術を使ってエリア0を結ぶことができます。
実際のネットワークで表現すると以下の図のような構成となります。


Configの設定


では、実際のConfigの設定を見てみましょう。
上の図にもあるように設定する機会は本社のルータと支社-E社の境界にあるL3SW1です。
支社のL3SW1とE社のL3SW6との間のネットワークは172.18.0.0/24としました。
L3SW1は172.18.0.254、L3SW6は172.18.0.253としました。


Cisco Packet Tracerってこんなに大きいネットワーク作れるんだ・・・

Configの設定


OSPFの仕様上どうしても、本社とE社でバックボーンエリアとなるエリア0を併設できないので、E社をエリア2にしました。
今回のように、E社のエリア1をまたいでエリア0に接続するために、前述のとうり仮想リンク(Virtual-Link)を設定します。
といっても、設定自体は簡単です。

L3SW1のConfig(かなり抜粋)


Virtua-Linkの設定と、E社のネットワークである172.18.0.0/16を集約をします。

 interface Loopback0
  ip address 1.1.1.1 255.255.255.255

 router ospf 1
  router-id 1.1.1.1
① area 2 range 172.18.0.0 255.255.0.0
② area 1 virtual-link 1.1.1.10
③ network 172.18.0.0 0.0.0.255 area 2
  network 172.16.2.254 0.0.0.0 area 1
  network 172.16.12.253 0.0.0.0 area 1
  network 172.16.0.254 0.0.0.0 area 1

①で、E社のネットワークを集約する。
②で、ルータと仮想リンク(Virtual-link)設定
③E社のネットワークインターフェースを指定。


ルータのConfig(かなり抜粋)


 interface Loopback0

 ip address 1.1.1.10 255.255.255.255


 router ospf 1

  router-id 1.1.1.10

  area 1 range 172.16.0.0 255.255.0.0

  area 0 range 172.17.0.0 255.255.0.0

① area 1 virtual-link 1.1.1.1

  network 172.16.0.0 0.0.255.255 area 1

  network 1.1.1.10 0.0.0.0 area 0

  network 172.17.0.0 0.0.255.255 area 0

  default-information originate


①でL3SW1のループバックアドレスを指定して仮想インターフェースを組みました。

動作確認/通信試験

この状態で、E社のL3SW6におけるOSPFの状態を見てみると、無事にルータの1.1.1.10とで仮想リンク(VL)を組めているようです。




ルータも同じようにVL0が取れていました。



この時点で、状態を確認すると、本社や支社のルーティン情報をとってきており、且つ、E社のL3SW6から本社(172.17.0.0/16)のL2SW4にpingを打つと結果が返ってきていることがわかります。



さいごに


やっとうまくいきました。
勉強になりました。
次からは、いろいろなネットワークの設定例集を紹介します。
こうご期待!