ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイトです。ネットワークスペシャリスト試験の合格体験談、合格のコツ、過去問解説、
基礎知識などの情報を掲載します。試験対策セミナー・研修も行っております。 ネットワークスペシャリスト試験対策なら
左門至峰の最も詳しい過去問解説「ネスペ」シリーズ(技術評論社)で!!

カテゴリ:8.ネットワーク層(L3) > 8.7 実際の設定

1.Cisco機器に接続してみよう

Ciscoの機器に接続してみましょう。

(1)設定に必要なもの
\瀋衢僂PC
∪瀋衢僂離拭璽潺淵襯愁侫肇ΕД◆Tera Termなど)
コンソールケーブル(Cisco機器に附属しています。)cisco_console
ぁ壁要に応じて、)USBシリアル変換ケーブル 
最近のパソコンはD-sub9ピンのシリアルポートが存在しないものが増えています。そこで、USBポートをD-sub9ピンに変換するケーブルを使って、PCとFortiGateのコンソールポートを接続します。
henkan

製品例として、以下があります。1617円(2019.7.29現在)ですので、比較的安価です。

ドライバーなどは、以下からダウンロードできます。
https://www.buffalo.jp/support/download/detail/?dl_contents_id=60914

(2)接続後の設定
PCでターミナルソフトウェアを起動します。以下は、代表的なソフトウェアであるTera Termの画面です。
▲轡螢▲訥命用に認識しているCOMポートを選択します。上記の画面では、COM8を選択しています。
※必要に応じて、シリアルポート設定の「スピード」が9600になっていることを確認します。★基本はデフォルトのままでいいので、設定変更不要)

(3)初期化されたスイッチの設定 〜設定のモードに入る
         --- System Configuration Dialog ---

Enable secret warning
----------------------------------
In order to access the device manager, an enable secret is required
If you enter the initial configuration dialog, you will be prompted for the enable secret
If you choose not to enter the intial configuration dialog, or if you exit setup without setting the enable secret,
please set an enable secret using the following CLI in configuration mode-
enable secret 0 <cleartext password>
----------------------------------
Would you like to enter the initial configuration dialog? [yes/no]:n ←noを意味するnを入力してEnter
Switch> ←コマンドを入力するモード(ユーザ EXECモード)が表示  ※Switchというのは、このスイッチのホスト名
Switch>enable  ←特権モード(特権 EXECモード)に変更
Switch#  ←#の表記に変更
Switch#conf t  ←設定を変更するモード(グローバル コンフィギュレーションモード)に変更
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ←(config)#の表記に変わる

(4)モードについて
Ciscoのモードには、いくつかのモードがあります。
以下を参照にしながら整理します。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat2960swt/cr/004/comref-book/intro.html

コマンド モード補足プロンプト次のモード終了
ユーザ EXEC最初の状態Switch>特権 EXEC モードを開始するには、 enable コマンドlogout
特権 EXECConfigを見るなどの特権モードSwitch#グローバル コンフィギュレーション モードを開始するには、 configure コマンドdisable
グローバル コンフィギュレーション設定するモードSwitch(config)#インターフェイス コンフィギュレーション モードを開始するには、 interface コンフィギュレーション コマンドexit
end 
インターフェイス コンフィギュレーションinterfaceを設定するモードSwitch(config-if)#-end

exitとendの違いを実演で紹介します。

Switch>enable
Switch#conf t
Switch(config)#end  ←exitでも同じ
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#end ←特権EXECモードへ戻る
Switch# 
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#exit ←1つ前のモードに戻る
Switch(config)# 

2.初期設定

初期設定(L2SWの場合)※L3も基本的には同じです。
(1)IPアドレスの設定
L2SWにはIPアドレスを1つしか設定できません。

Switch#conf t
Switch(config)#int vlan 1 ←Vlan1の設定をします。
Switch(config-if)#ip address 192.168.1.201 255.255.255.0 ←IPアドレスを192.168.1.201/24に設定します。
Switch(config-if)#no shutdown ←このVlan1を有効にします。
Switch(config-if)#exit
Switch(config)#

(2)LANケーブルからアクセスする設定
コンソールケーブルを使わずに、LAN経由でアクセスする方法として、TelnetまたはSSHがあります。
セキュリティ的には好ましくありませんが、検証などではtelnetが簡単なので、お勧めです。
Telnetの設定
以下は、パスワード無しで、しかも特権モードで入れる設定です。
Switch(config)#line vty 0 4
Switch(config-line)#privilege level 15
Switch(config-line)#no login
Switch(config-line)#end
Switch#

SSHの設定
Switch(config)#enable secret passwd ←SSHでログイン後には、enableパスワードを設定しておく必要があります。
Switch(config)#username user1 password 0 passwd ←ユーザ名とPWの設定
Switch(config)#ip domain-name seeeko.com ←ドメイン名の設定(SSHの場合はサーバ証明書を発行するので、FQDNが必要。ホスト名はすでにSwitchとして設定されている)
Switch(config)#hostname sw1 ←ホスト名(このスイッチの名前)はデフォルトでもいいが、ルータの場合はhostnameを変えないと怒られる。※ここでは設定しない
Switch(config)#crypto key generate rsa ←RSAの暗号鍵を作成
How many bits in the modulus [512]: 1024 ←鍵の長さを指定する。SSHv2を使うには、768bits以上にする必要があるので、ここでは1024を指定
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Switch(config)#line vty 0 5 ←0-5までの6人がログインできるように
Switch(config-line)#login local  ←作成したローカルのアカウントでログインできるように
Switch(config-line)#end
Switch#

3.基本的な設定

\瀋蠅靴Configを確認する
Switch#sh run ←設定を確認するコマンド 正確にはshow running-config

先ほどの設定の場合、以下が設定されていることを確認しましょう。
enable secret 5 $1$o1d.$RU9m5URpx/Th8I8kDkIjv0
!
ip domain name seeeko.com
!
username user1 password 0 passwd
!
interface Vlan1
 ip address 192.168.1.201 255.255.255.0
!
line vty 0 5
 login local
 transport input all

∪瀋蠅諒歛検 
Switch#write memory

再起動
Switch#reload
→Save?と聞かれたら n
→Proceedと本当に実行するかを聞かれたら y

だ瀋蠅虜鐔
削除する設定にnoを付ける。たとえば、ルーティングを削除する方法
Router#conf t
Router(config)#no ip route 192.168.2.0 255.255.255.0 172.16.12.253
Router(config)#

ダ瀋蠅僚藉化
コマンドはいろいろありますが、write eraseでできるなら、コマンドが短いので楽です。
Router#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]←Enterキー
Erase of nvram: complete
Router#reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]  ←Enterキー

※スイッチの場合はVLANを削除する必要があるかもしれません。

4.DHCPサーバの設定

Switch#configure terminal
Switch(config)# ip dhcp pool seg1  ←任意の名前を付ける
Switch(dhcp-config)# network 192.168.1.0 255.255.255.0 ←払い出すネットワークとサブネットを指定
Switch(dhcp-config)# default-router 192.168.1.254 ←払い出すデフォルトゲートウェイを指定
Switch(dhcp-config)# dns-server 8.8.8.8 ←払い出すDNSサーバを指定
Switch(dhcp-config)#exit

※スイッチでDHCPサーバの機能を有効にしても端末にIPアドレスが払い出されない場合があります。そんな場合は、スイッチにIPアドレスを設定しているかを確認してください。

5.具体的な設定(インターフェースやVLANなど)

具体的な設定はここでは解説しませんが、いくつかの記事に分けて記載しています。ご参考まで。
VLANの設定
http://nw.seeeko.com/archives/50287570.html

▲ぅ鵐拭璽侫А璽垢寮瀋蠅らRIPまで
http://nw.seeeko.com/archives/51019573.html

スイッチにおけるIFのIPアドレスとデフォルトゲートウェイの設定
CatalystのL2スイッチの場合、IPアドレスは1つだけです。なので、IPアドレスはIFに設定するのではなく、VLANに設定します。今回はデフォルトVLANのvlan1に設定します。ここでは、デフォルトゲートウェイやDNSサーバも指定しています。
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.1.200 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.254
Switch(config)#ip name-server 8.8.8.8

TeraTermのダウンロードおよびインストール、接続方法を紹介します。

(1)ダウンロード
^焚爾離汽ぅ箸縫▲セス
https://ja.osdn.net/projects/ttssh2/releases/

▲侫.ぅ襪料択
「ダウンロードパッケージ一覧」からファイルを選びます。
exeファイルをダウンロードします。
2019.6.28時点では、teraterm-4.103.exeという名のファイルをダウンロードします。

ファイルの保存
デスクトップなどのわかりやすい場所に、「名前をつけて保存」をします。

(2)インストール
ダウンロードしたteraterm-4.103.exeをダブルクリック
基本的には、デフォルトのままで次へで
実行します。
デスクトップにTeraTermのショートカットが作成されます。

(3)起動と実行
TeraTermのショートカットをダブルクリックして起動します。
LANを経由してSSH接続をする場合は、以下のようにします。
TCP/IPを選択
▲曠好箸棒楝垣茲IPアドレス(たとえば192.168.1.201)を指定
サービスはSSHを選択
※PCのシリアルポートから接続する場合は、「シリアル」
を選択します。
teraterm

■構成
[PC1 Windows8] ---- [HP-SW 5120] ---- [PC2 WindowsXP]
※Windows8には、設定は何もしないし、HP-SWも設定は不要。デフォルトでIPv6通信が許可される。
WindowsXPだけは、設定が必要で、「netsh int ipv6 install」をコマンドプロンプトから実行する。

■PC1(Windows8)からのコマンドプロンプトによる確認
(1)IPアドレスの確認
C:\Windows>ipconfig
Windows IP 構成
イーサネット アダプター イーサネット:
   接続固有の DNS サフィックス . . . . .:
   リンクローカル IPv6 アドレス. . . . .: fe80::9c41:391a:ad03:66dc%12
   自動構成 IPv4 アドレス. . . . . . . .: 169.254.102.220
   サブネット マスク . . . . . . . . . .: 255.255.0.0
   デフォルト ゲートウェイ . . . . . . .:
・%12の意味は、スコープID。IFの番号と思ってもいいだろう。
・リンクローカルアドレスのプレフィックスは常にfe80::/64 
・後半の64bitのインターフェースIDはランダムに設定される

(2)自分のIPv6アドレスにPing
当然、飛ぶ
C:\Windows>ping fe80::9c41:391a:ad03:66dc
fe80::9c41:391a:ad03:66dc に ping を送信しています 32 バイトのデータ:
fe80::9c41:391a:ad03:66dc からの応答: 時間 <1ms
fe80::9c41:391a:ad03:66dc からの応答: 時間 <1ms
fe80::9c41:391a:ad03:66dc からの応答: 時間 <1ms
fe80::9c41:391a:ad03:66dc からの応答: 時間 <1ms
fe80::9c41:391a:ad03:66dc の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 0ms、最大 = 0ms、平均 = 0ms
     
(3)通信相手のIPアドレスの確認
その前に、WindowsXPなので、IPv6対応にする
C:\>netsh int ipv6 install
OK
C:\>ipconfig
Ethernet adapter ローカル エリア接続:
        Connection-specific DNS Suffix  . :
        Autoconfiguration IP Address. . . : 169.254.32.106
        Subnet Mask . . . . . . . . . . . : 255.255.0.0
        IP Address. . . . . . . . . . . . : fe80::223:8bff:fe18:d3b5%5
        Default Gateway . . . . . . . . . :
※IPv4のアドレスは設定していない。

(4)通信相手にIPv6でPing
C:\Windows>ping fe80::223:8bff:fe18:d3b5
fe80::223:8bff:fe18:d3b5 に ping を送信しています 32 バイトのデータ:
fe80::223:8bff:fe18:d3b5 からの応答: 時間 =1ms
fe80::223:8bff:fe18:d3b5 からの応答: 時間 <1ms
fe80::223:8bff:fe18:d3b5 からの応答: 時間 <1ms
fe80::223:8bff:fe18:d3b5 からの応答: 時間 <1ms
fe80::223:8bff:fe18:d3b5 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 0ms、最大 = 1ms、平均 = 0ms

(5)スコープIDをつけたらどうだろう
スコープIDは、自分のIFの番号と考えればよい。
sef4 


普通のPingではIFを指定しませんよね?




そうですね。ルーティングテーブルがあるから、それに従って、どのIFから出るかがわかります。
リンクローカルアドレスに関しては、同一セグメントでしか届かないアドレスで、ルーティングテーブルが存在しない。だから、IFを指定してあげるのが親切です。

では、やってみましょう。相手のIPアドレスは「fe80::223:8bff:fe18:d3b5%5」なので、これにping
C:\Windows>ping fe80::223:8bff:fe18:d3b5%5
fe80::223:8bff:fe18:d3b5%5 に ping を送信しています 32 バイトのデータ:
ping: 転送に失敗しました。一般エラーです。
ping: 転送に失敗しました。一般エラーです。
ping: 転送に失敗しました。一般エラーです。
ping: 転送に失敗しました。一般エラーです。
fe80::223:8bff:fe18:d3b5%5 の ping 統計:
    パケット数: 送信 = 4、受信 = 0、損失 = 4 (100% の損失)
1

あれ?
エラーだ
どのIF番号からpingを打つかなので、自分のスコープID%12を指定しなければいけない。
C:\Windows>ping fe80::223:8bff:fe18:d3b5%12
fe80::223:8bff:fe18:d3b5%12 に ping を送信しています 32 バイトのデータ:
fe80::223:8bff:fe18:d3b5%12 からの応答: 時間 =1ms
fe80::223:8bff:fe18:d3b5%12 からの応答: 時間 <1ms
fe80::223:8bff:fe18:d3b5%12 からの応答: 時間 =1ms
fe80::223:8bff:fe18:d3b5%12 からの応答: 時間 <1ms
fe80::223:8bff:fe18:d3b5%12 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 0ms、最大 = 1ms、平均 = 0ms
今度はうまくいった。

IPv6でのルーティングプロトコル
RIP→RIPng ※ngはNextGenerationの意味。
OSPF(日頃使っているのはv2)→OSPFv3
ルーティングの仕組みやに関しては、v4とv6で大きな変更はない。
以下に、Ciscoルータの場合の設定をみてみよう。簡単なので、実際にやっていただくことをお勧めします。

CiscoルータでのOSPF設定
(1)IPv6によるOSPFの設定
シンプルな設定は以下です。IPv4と基本的には同じであるが、設定は若干違う。networkの設定をせず、IFにareaの設定をする。
ipv6 unicast-routing
interface FastEthernet0/0
 ipv6 address 2001:dc3::1/64 ←グローバルの場合はプレフィックスをつける
 ipv6 address fe80::1:1 link-local ←リンクローカルアドレスであることを明示
 ipv6 ospf 1 area 0 ←OSPFのプロセスIDを1とし、エリアを0に設定する。
※確認は、3つのルータでやった方がいいだろう。ルーティング情報を伝搬してくるので。
※OSPFのネイバーはリンクローカルアドレスにて張られるので、リンクローカルアドレスの設定は必須。

(2)確認コマンド
IPv4とはちょっと違う。
sh ipv6 route
これで、ospfのoがつくルーティングが見えていればよい。
その他、sh ipv6 neighborsなども確認してみよう。

sef1

IPv6のサーバ設定とか、難しそうですね。
たしかに、難しいと感じる人もいるだろう。でも、やってみると、以外にそれほどでもない。たとえば、サーバを構築するときに、IPv4アドレスに関する設定なんて、どれほど設定するだろうか?
sef6
そういえばそうですね。
最初にIPアドレスの設定をして、その後はDNSのAレコードにIPアドレスを書いたり、フィルタでアドレスを書いたりなど、それほど多くは無いですね。
そうなんです。そう思えば、基本的にはそれほど複雑ではない。慣れていないということがよく分からないという最たる理由でしょう。IPv6アドレスの基本であるグローバルアドレスやリンクローカルアドレスなどをしっかりと理解しておけば、あとは基本的には同じです。
一方、ネットワーク機器の場合、ネットワーク情報をすべてIPv6の設定をいれなければいけません。結構大変です。
では、次以降の記事にて、実際に見ていきましょう。

IPv4と基本的には同じです。同じ設定ファイルに、同じような設定を追加します。

IFのIPアドレスの設定
/etc/sysconfig/network-scripts/ifcfg-eth0
にて以下を設定します。
※当然ながら、eth0以外のIFであれば、そのファイルを設定します。
IPV6INIT=yes ←IPv6を有効に
IPV6ADDR=2001:xxx::101/64 ←v6アドレスの設定
IPV6_DEFAULTGW=2001:xxx::1 ←デフォルトGWの設定

確認コマンド
#ifconfig

疎通確認
pingではなく、ping6のコマンドを使う
#ping6 2001:xxx::101

IPのEUI-64での自動IP設定の無効化
 ifconfigで確認すると、EUI-64の自動IP設定が入っていると思う。つまり、IPアドレスが複数設定されている。余分な情報が入るとややこしいしいので、無効化しておいた方がいいでしょう。
 /etc/sysconfig/network のファイルにおいて、以下の設定をします。 
IPV6_AUTOCONF=no
 
DNSサーバの指定
恐らく、IPv4のDNSサーバでも対応できると思う。IPv6のDNSサーバを指定する場合には、IPv4と同じように/etc/resolv.confにnameserverを指定する
以上です。
思ったよりあっけないですよね。

イントロ
DNSサーバは、IPv6用に専用に立てることもできるが、普通は共存であろう。共存したDNSサーバで、IPv4とIPv6のデュアルスタックですることが多いことでしょう。

DNSサーバの設定
BINDなどのDNSサーバは以前からIPv6対応です。特段これといった設定はなく、そのままIPv6で動作します。
以下を設定すれば、とりあえずは動きます。細かなオプションやセキュリティ設定は適宜行います。
.勝璽鵐侫.ぅ襪寮瀋蝓弊軌き、逆引きなど)
IPv6トランスポートの有効
IPv6のパケットからのDNSクエリーに答える機能(IPv6トランスポート)を有効にするには、named.confのoptionsに以下をいれます。IPを指定しても可。
  listen-on-v6 { any; };

ゾーンファイル
書き方は、IPv4がAレコードなのに対し、IPv6ではAAAAレコードを使います。
女性ハテナ 

IPv4とIPv6のどっちが返ってくるの? 
普通に考えると、IPv4のパケットで問い合わせが来たらIPv4、IPv6のパケットできたらIPv6を返せばいいと思う。
サーバOSの実装次第です。が、両方返すと考えてもらったらいいでしょう。v4とv6でトランスレートされていたり、キャッシュDNS経由だったりすることも多いので、v4できたからといって、v4を返せばいいとは限らないのです。。
パソコンでもnslookupコマンドで確認してみましょう。
IPv4のアドレスだけを返すのがほとんどですが、両方返すのもあります。
> www.google.com
(中略)
権限のない回答:
名前:    www.google.com
Addresses:  2404:6800:4004:800::1011
          173.194.38.84
          173.194.38.80         
            ・・・

これを見る限り、このDNSサーバのゾーンファイルには、以下のようなレコードが記載されていると想定されます。
www    IN    AAAA 2404:6800:4004:800::1011
www    IN    A    173.194.38.84
www    IN    A    173.194.38.80

逆引き設定
IPv4と同じです。ですが、IPアドレスのレンジがかなり拡張されましたので、がっつり逆引きをやるとメモリが破たんします。なので、公開サーバなど、ごく一部のもののみ設定すればいいでしょう。IPv4と同じで、逆引きを設定しなくても、運用はできます。

IPv6化するのにたいした設定はありません。ネットワークの設定をすることが基本になります。
それ以外に、IPv6だからこそという設定はほとんどありません。たとえば、WebサーバのApacheはそのままでIPv6化されていますし、メールサーバのPostfixやDovecotも同じです。ただ、Postfixの場合はmain.cfに以下をいれます。 
inet_protocols = ipv4, ipv6 #またはall
DNSサーバと同じですが、オプション設定やセキュリティ設定など、必要な設定はありますが、とりあえず動くという段階にするには、設定はこの程度です。

スポンサードリンク

↑このページのトップヘ