ネットワークスペシャリスト - SE娘の剣 -

左門至峰によるネットワークスペシャリストの試験対策サイトです。勉強方法、合格体験談、合格のコツ、過去問解説、基礎知識などの紹介します。

Ciscoハンズオン

1.研修のために皆さんに実施していただくこと

(1)実施内容

❶Cisco892の起動
❷コンソールケーブルをお持ちの場合、初期設定にて、vlan1にIPアドレスを設定し、telnetを有効にする。具体的な作業は3(4)と、5(1)(2)のtelnet ※SSHは不要です。
IPアドレスは、このあと(2)を参照してください。
❸TeraTermなどを使い、telnetでCisco892に接続
❹WindowsPCで相互にping試験をする場合、ファイアウォール設定の変更
PCのpingが応答しない場合は、Windows11などのファイアウォール機能やウイルス対策ソフトなどを一時的に無効にしたり、pingを許可する必要がある。
Windowsセキュリティの設定の場合、ネットワークは「ドメインネットワーク」「プライベートネットワーク」「パブリックネットワーク」の3つがあるが、「アクティブ」になっているものを設定すればいいであろう。
https://atmarkit.itmedia.co.jp/ait/articles/1712/21/news018.html

これ以降は演習の指示に従ってください。

(2)IPアドレス一覧
チーム
(ルータ名)
vlan1(FE LAN) WAN GE0 FE8 PCのIPアドレス
チーム1
(R1)
172.16.101.254/24 192.168.1.101/24 10.1.1.101/24 172.16.101.101/24
チーム2
(R2)
172.16.102.254/24 192.168.1.102/24 10.1.1.102/24 172.16.102.101/24
チーム3
(R3)
172.16.103.254/24 192.168.1.103/24 10.1.1.103/24 172.16.103.101/24
チーム4
(R4)
172.16.104.254/24 192.168.1.104/24 10.1.1.104/24 172.16.104.101/24
チーム5
(R5)
172.16.105.254/24 192.168.1.105/24 10.1.1.105/24 172.16.105.101/24
チーム6
(R6)
172.16.106.254/24 192.168.1.106/24 10.1.1.106/24 172.16.106.101/24
チーム7
(R7)
172.16.107.254/24 192.168.1.107/24 10.1.1.107/24 172.16.107.101/24
チーム8
(R8)
172.16.108.254/24 192.168.1.108/24 10.1.1.108/24 172.16.108.101/24

チームごとの流し込み設定はこちら

2.TeraTerm

TeraTermのダウンロードおよびインストール、接続方法を紹介します。
(1)ダウンロード
 ①以下のサイトにアクセス
  https://ja.osdn.net/projects/ttssh2/releases/

 ②ファイルの選択
  「ダウンロードパッケージ一覧」からファイルを選びます。
  exeファイルをダウンロードします。
  2019.6.28時点では、teraterm-4.103.exeという名のファイルをダウンロードします。

 ③ファイルの保存
  デスクトップなどのわかりやすい場所に、「名前をつけて保存」をします。
(2)インストール
ダウンロードしたteraterm-4.103.exeをダブルクリック
 基本的には、デフォルトのままで次へで
 実行します。
 デスクトップにTeraTermのショートカットが作成されます。
(3)起動と実行
TeraTermのショートカットをダブルクリックして起動します。
 LANを経由してSSH接続をする場合は、以下のようにします。
  ①TCP/IPを選択
  ②ホストに接続先のIPアドレス(たとえば192.168.1.201)を指定
  ③サービスはSSHを選択
  ※PCのシリアルポートから接続する場合は、「シリアル」を選択します。

3.Cisco機器に接続

Ciscoの機器に接続してみましょう。

(1)設定に必要なもの

①設定用のPC(通信をするには、LANポート必須)
②設定用のターミナルソフトウェア(Tera Termなど)
③コンソールケーブル(Cisco機器に附属しています。)

④(必要に応じて、)USBシリアル変換ケーブル 
最近のパソコンはD-sub9ピンのシリアルポートが存在しないものが増えています。そこで、USBポートをD-sub9ピンに変換するケーブルを使って、PCとFortiGateのコンソールポートを接続します。

製品例として、以下があります。1617円(2019.7.29現在)ですので、比較的安価です。


ドライバーなどは、以下からダウンロードできます。
・SRC06USB/USMドライバー
https://www.buffalo.jp/support/download/detail/?dl_contents_id=60914
・BSUSRC06/BCUSRC06用ドライバー
https://www.buffalo.jp/support/download/detail/?dl_contents_id=62142

(2)接続後の設定

①PCでターミナルソフトウェアを起動します。以下は、代表的なソフトウェアであるTera Termの画面です。
②シリアル通信用に認識しているCOMポートを選択します。上記の画面では、COM8を選択しています。
※必要に応じて、シリアルポート設定の「スピード」が9600になっていることを確認します。※基本はデフォルトのままでいいので、設定変更不要)

(3)入力の補助

❶Tabキーの利用
今から設定を入れていきますが、コマンドを間違えずに打つのは大変です。Tabキーでコマンドを補完しながら入力することをお勧めします。
❷?
コマンドがわからなかったら、?を打ちましょう。入力できるコマンドが表示されます。

(4)初期化されたスイッチの設定 ~設定のモードに入る
--- System Configuration Dialog ---


Enable secret warning
----------------------------------
In order to access the device manager, an enable secret is required
If you enter the initial configuration dialog, you will be prompted for the enable secret
If you choose not to enter the intial configuration dialog, or if you exit setup without setting the enable secret,
please set an enable secret using the following CLI in configuration mode-
enable secret 0 <cleartext password>
----------------------------------
Would you like to enter the initial configuration dialog? [yes/no]:n ←noを意味するnを入力してEnter
Switch> ←コマンドを入力するモード(ユーザ EXECモード)が表示  ※Switchというのは、このスイッチのホスト名
Switch>enable  ←特権モード(特権 EXECモード)に変更
Switch#  ←#の表記に変更
Switch#conf t  ←設定を変更するモード(グローバル コンフィギュレーションモード)に変更
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ←(config)#の表記に変わる

(5)モードについて

Ciscoのモードには、いくつかのモードがあります。
以下を参照にしながら整理します。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat2960swt/cr/004/comref-book/intro.html

コマンドモード 補足 プロンプト 次のモード 終了
ユーザEXEC 最初の状態 Switch> 特権EXECモードになるには
enable
logout
特権EXEC Configを見るなどの特権モード Switch# グローバルコンフィギュレーションモードになるには
conf t
disable
グローバルコンフィギュレーション 設定するモード Switch(config)# インターフェイスコンフィギュレーションモードは
interface IF名
exit
end
インターフェイスコンフィギュレーション interfaceを設定するモード Switch(config-if)# - end

▼exitとendの違いを実演で紹介します。

Switch>enable
Switch#conf t
Switch(config)#end       //exitでも同じ
Switch#conf t
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#end      //特権EXECモードへ戻る
Switch#
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#exit      //1つ前のモードに戻る
Switch(config)# 

4.ルータ(Cisco892)の機器について

(1)機能とインターフェース

・小規模向けのルータですが、8ポートのL2スイッチンハブの機能を有しています。
・セグメントは3つに分けることができます。

セグメント 物理ポート config上の表記 通信速度 備考
1 WAN GE0 GigabitEthernet0 1Gbps  
2 FE8 FastEthernet8 100Mbsp  
3 FELANの0~7 FastEthernet0

FastEthernet7
100Mbsp 8つのポートが1つのL2SWとして動作

・背面図は以下です。

(2)初期状態のConfig
  物理ポート config 補足
1 WAN GE0 interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
レイヤ3のポートなので
IPアドレスの設定が可能
2 FE8 interface FastEthernet8
no ip address
shutdown
duplex auto
speed auto
レイヤ3のポートなので
IPアドレスの設定が可能
3 FELANの0~7 interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
!
interface FastEthernet5
no ip address
!
interface FastEthernet6
no ip address
!
interface FastEthernet7
no ip address


interface Vlan1
no ip address




スイッチとしての設定が
されている

















Vlan1として、この
スイッチに
IPアドレスを割り
当てることができる

5.LAN経由で接続するための初期設定

Cisco892の場合で説明します。CatalystのL2SWでも基本的には同じです。

(1)IPアドレスの設定

L2SWにはIPアドレスを1つしか設定できません。
チームごとに割り当てられたIPアドレスを設定してください。
Router#conf t
Router(config)#int vlan 1 ←Vlan1の設定
Router(config-if)#ip address 172.16.101.254 255.255.255.0 ←IPアドレスを172.16.101.254/24に設定
Router(config-if)#no shutdown ←このVlan1を有効化
Router(config-if)#exit
Router(config)#

・同様にGE0のポートの設定例は以下です。IPアドレスはチームごとに変わります。
int gi0
ip address 192.168.1.101 255.255.255.0
no shutdown
exit
・FE8のポートの設定例は以下です。IPアドレスはチームごとに変わります。
int f8
ip address 10.1.1.101 255.255.255.0
no shutdown
end

(2)TelnetまたはSSHの設定

コンソールケーブルを使わずに、LAN経由でアクセスする方法として、TelnetまたはSSHがあります。
セキュリティ的には好ましくありませんが、検証などではtelnetが簡単です。
①Telnetの設定
以下は、パスワード無しで、しかも特権モードで入れる設定です。
Router(config)#line vty 0 4
Router(config-line)#privilege level 15
Router(config-line)#no login
Router(config-line)#end
Router#


②SSHの設定 ★演習では設定不要です。
Router(config)#enable secret passwd ←SSHでログイン後には、enableパスワードを設定しておく必要があります。
Router(config)#username user1 password 0 passwd ←ユーザ名とPWの設定
Router(config)#ip domain-name seeeko.com ←ドメイン名の設定(SSHの場合はサーバ証明書を発行するので、FQDNが必要。ホスト名はすでにRouterとして設定されている)
Router(config)#hostname sw1 ←ホスト名(このスイッチの名前)はデフォルトでもいいが、ルータの場合はhostnameを変えないと怒られる。※ここでは設定しない
Router(config)#crypto key generate rsa ←RSAの暗号鍵を作成
How many bits in the modulus [512]: 1024 ←鍵の長さを指定する。SSHv2を使うには、768bits以上にする必要があるので、ここでは1024を指定
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Router(config)#line vty 0 5 ←0-5までの6人がログインできるように
Router(config-line)#login local  ←作成したローカルのアカウントでログインできるように
Router(config-line)#end
Router# 

6.基本的な設定

(1)設定したConfigを確認

Switch#sh run ←設定を確認するコマンド 正確にはshow running-config
先ほどの設定の場合、以下が設定されていることを確認しましょう。

interface Vlan1
 ip address 172.16.101.254 255.255.255.0

line vty 0 4
 privilege level 15
 no login
(2)設定の保存

Switch#write memory

(3)再起動

Switch#reload
→Save?と聞かれたら n
→Proceedと本当に実行するかを聞かれたら y

(4)設定の削除

削除する設定にnoを付ける。たとえば、ルーティングを削除する方法

Router#conf t
Router(config)#no ip route 192.168.2.0 255.255.255.0 172.16.12.253
Router(config)#

(5)設定の初期化

コマンドはいろいろありますが、write eraseでできるなら、コマンドが短いので楽です。
Router#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]←Enterキー
Erase of nvram: complete

Router#reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]  ←Enterキー

※スイッチの場合はVLANを削除する必要があるかもしれません。

7.VLAN

VLANの設定です。

(1)ポートVLAN

ポートごとにVLANを割り当てる。以下はCisco社のRouterであるCatalystのポート1番にVLAN10を割り当てた場合の設定である。
Router(config)#vlan 10 ←vlan10を新規に作成(初回にだけ実行します。実はこのコマンドは実行しなくても可)
Router(config-vlan)#exit 

Router(config)# interface fastethernet 0/1 ←インターネットの1番を指定
Router(config-if)# switchport mode access ←ポートVLANに設定
Router(config-if)# switchport access vlan 10 ←VLAN番号を10に指定

(2)タグVLAN

VLANタグをフレームに挿入し、タグのVLAN情報を見てVLANを判断する。上記と同様にポート2番にTrunk設定をする。Allowd Vlanというのは、許可するVLANである。この場合はVLAN10と20を許可している。
Router(config)# interface fastethernet 0/2
Router(config-if)# switchport trunk allowed vlan 10,20
Router(config-if)# switchport mode trunk
※Ciscoルータ892の場合、switchport trunk allowed vlan にて、1,2と1002~1005を入れるように指示される場合があります。よって、Allowd Vlanの設定を入れないか(すべてのVLANを通す)、以下のようにしてください。
Router(config-if)#switchport trunk allowed vlan 1-2,10,20,1002-1005
※FE LAN(スイッチ部分)のインターフェースのVLANなどの設定を簡単に見るには、以下のコマンドがいいでしょう
Router#sh int status

(3)ネイティブVLAN

以下はCisco892の初期設定である。
Vlan1というのは作成されているが、インターフェースにVLANは設定されていない。

interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address

(中略)

interface Vlan1
no ip address

この場合、FastEthernet0やFastEthernet1には、VLAN1が設定されていると考えてほしい。
また、VLAN1はネイティブVLANと呼ばれ、タグVLANの設定しても、唯一タグ付けしない。

8.MirrorPort

ミラーポートの設定です。
自分以外のPC宛てのパケットをキャプチャーするにはスイッチングハブにミラーリング(ポートミラーリングということもあります)という設定をします。こうすることで、同じスイッチングハブに接続されたPCからパケットをキャプチャーすることができます。
下図の例では、スイッチングハブのキャプチャー用のPCが接続されたポート2で、サーバーが接続されたポート1を流れるパケットを取得できるように設定します。このようにミラーリングを設定したポート(この例ではポート2)をミラーポートといいます。
ミラーリングをする構成は以下です。ただ、①のプロミスキャスモードに関しては、Wiresharkであればデフォルトで有効になっています。

Catalystの設定例:Fa0/1ポートをFa0/2ポートにミラーする場合。
monitor session 1 source interface fastethernet0/1
monitor session 1 destination interface fastethernet0/2

9.DHCP

DHCPサーバの設定です。

(1)スイッチをDHCPサーバにする

Switch#configure terminal
Switch(config)# ip dhcp pool seg1  ←任意の名前を付ける
Switch(dhcp-config)# network 192.168.1.0 255.255.255.0 ←払い出すネットワークとサブネットを指定
Switch(dhcp-config)# default-router 192.168.1.254 ←払い出すデフォルトゲートウェイを指定
Switch(dhcp-config)# dns-server 8.8.8.8 ←払い出すDNSサーバを指定
Switch(dhcp-config)#exit

※スイッチでDHCPサーバの機能を有効にしても端末にIPアドレスが払い出されない場合があります。そんな場合は、スイッチにIPアドレスを設定しているかを確認してください。

以下は流し込み用(プロンプトがRouter#になっている状態で実施してください。>の場合はenable、別の場所にいるときはend)

configure terminal
ip dhcp pool seg101
network 172.16.101.0 255.255.255.0
default-router 172.16.101.254
dns-server 8.8.8.8
exit
(2)DHCPリレーエージェントの設定

設定するインターフェースは、DHCPサーバがあるインターフェースではなく、PCが接続されているセグメントである。
以下は、192.168.1.99のDHCPサーバにリレーする場合。
Router(config)#int vlan1
Router(config-if)#ip helper-address 192.168.1.99

10.Routing

ルーティング設定の基本です。

(1)スタティックルート

❶構成
R1とR2のWAN側(GE0のポート)を接続します。
❷参考となるConfig(チーム2のR2の場合)
※2行目ですが、分かりやすいように、ルータのホスト名変更しています。チーム番号を入れた名前(例:R2)にします。
conf t
hostname R2
int vlan 1
ip address 172.16.102.254 255.255.255.0
no shutdown
exit
int gigabitEthernet 0
ip address 192.168.1.102 255.255.255.0
no shutdown
end

また、PCのIPアドレス設定を変更しなくていいように、CiscoルータでDHCPサーバの設定を入れておくと便利です。
conf t
ip dhcp pool seg102
network 172.16.102.0 255.255.255.0
default-router 172.16.102.254
dns-server 8.8.8.8
exit

❸通信の確認をしてみましょう。
a)pingの疎通確認
pingを順に送信し、ルータのLAN側、WAN側、対向ルータのWAN側、LAN側、対向のPCのどこまで届くかを確認してください。恐らく、自分のルータのWAN側までしか届かないと思います。

b)ルーティングテーブルの確認
以下が主なものです。自分のルータが直接接続している(C:Connected)のネットワークしか見えないことでしょう。
R2#sh ip route
C 172.16.102.0/24 is directly connected, Vlan1
C 192.168.1.0/24 is directly connected, GigabitEthernet0

❹スタティックルーティングの設定を入れます。
2台のルータの両方に必要です。
R1(config)#ip route 172.16.102.0 255.255.255.0 192.168.1.102
R2(config)#ip route 172.16.101.0 255.255.255.0 192.168.1.101

❺ルーティングテーブルの確認
スタティックルート(S:Static)が追加されるのが分かります。
R2#sh ip route
S 172.16.101.0/24 [1/0] via 192.168.1.101
C 172.16.102.0/24 is directly connected, Vlan1
C 192.168.1.0/24 is directly connected, GigabitEthernet0

❻通信の確認をしてみましょう。
pingを順番に打ってみましょう。無事に通信できましたか?通信できない場合、PCのWindowsファイアウォールなどが有効になっている可能性があります。

(2)RIP

以下を参照ください。
https://nw.seeeko.com/archives/50264849.html

11.OSPF

(1)OSPFの基本設定

先のスタティックルートの設定が終わっている状態からスタートします。
❶まず、スタティックルートを消しましょう。
conf t
no ip route 172.16.101.0 255.255.255.0 192.168.1.101

実際に消えたかどうか、sh run で確認しましょう。また、ping試験をして通信ができないことを確認します。

❷OSPFの設定
・以下をもとに、設定してみましょう。
https://nw.seeeko.com/archives/ospf#4CiscoによるOSPFのルーティング設定
・以下はR2の場合です。
conf t
router ospf 1
network 172.16.101.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
※1行目はOSFPを有効にするおまじないと考えてください。
※2行目からは、OSPFを動作させるネットワークを指定し、エリアを0にします。
❸通信の確認をしてみましょう。
a)pingの疎通確認
pingを対向のPCに送って、届くかを確認しましょう。ルーティングテーブルの計算に少し時間がかかる可能性があります。10秒もすればつながると思いますが。

b)ルーティングテーブルの確認
今度はOSPF(O)にて、経路を取得していることがわかります。
R2#sh ip route
O 172.16.101.0/24 [110/2] via 192.168.1.101, 00:04:27, GigabitEthernet0
C 172.16.102.0/24 is directly connected, Vlan1
C 192.168.1.0/24 is directly connected, GigabitEthernet0
※110がアドミニストレーティブディスタンスです。
❹DRとBDRについて確認しよう
https://nw.seeeko.com/archives/ospf#3DRとBRR

❺LSAについて確認してみよう
https://nw.seeeko.com/archives/ospf#3LSA

❻パッシブインターフェース
LAN側はデフォルトルートでStaticに書いているので、OSPFは動作していません。であれば、Helloパケットを送る必要はありません。
そこで、パッシブインターフェースに設定します。詳しくは以下を見てください。
RIP(Routing Information Protocol) - ネットワークスペシャリスト - SE娘の剣 -
設定としては、
(config)#router ospf 1
(config-router)# passive-interface vlan1

(2)WAN回線の2つ目を設定

他のチームのルータのFE8も相互に接続します。これで、WAN回線が2つできることになりました。さて、どちらのWAN回線を使って通信をするのでしょうか?
❶ルータの設定(R2の場合)
FE8設定と、FE8のネットワークのOSPFの設定をします。
conf t
int fa8
ip address 10.1.1.102 255.255.255.0
no shutdown
router ospf 1
network 10.1.1.0 0.0.0.255 area 0
end

❷ルーティングテーブルの確認
以下、R2のルーティングテーブルです。OSPFのOのところを見ると、経路が2つあることがわかります。これは、ネスペR4PM2-1で問われたECMP(Equal Cost Multi Path)の状態です。
R2#sh ip route
C 10.1.1.0/24 is directly connected, FastEthernet8
O 172.16.101.0/24 [110/2] via 192.168.1.101, 00:14:14, GigabitEthernet0
[110/2] via 10.1.1.101, 00:00:31, FastEthernet8
C 172.16.102.0/24 is directly connected, Vlan1
C 192.168.1.0/24 is directly connected, GigabitEthernet0

❸Cost値の確認
❹Cost値の変更
❺ルーティングテーブルの再確認
❻WANの1つの回線を切断
これらは、以下のOSPFの記事を参考に実施してください。
https://nw.seeeko.com/archives/ospf#4CiscoによるOSPFのルーティング設定

(3)OSPFへデフォルトルート

❶概要
・R3PM1-2設問2では、「OSPFへデフォルトルートを導入する」という問題がありました。
・OSPFは動的ルーティングで、デフォルトルートはスタティックルートです。ルーティングプロトコルが異なるので、OSPFでは再配信されません。そこで、以下のような設定をします。
❷設定(R1のみ)
R1#conf t
ip route 0.0.0.0 0.0.0.0 192.168.1.99 ←スタティックルートの記載
router ospf 1
default-information originate   ←OSPFへデフォルトルートの配信
end
❸ルーティングテーブルの確認
設定を変更したR1と、変更をしていないR2のそれぞれのルーティングテーブルを見ましょう。
・R1の場合
R1#sh ip route
S* 0.0.0.0/0 [1/0] via 192.168.1.99
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.1.1.0/24 is directly connected, FastEthernet8
O 172.16.102.0/24 [110/2] via 192.168.1.102, 00:30:30, GigabitEthernet0
[110/2] via 10.1.1.102, 00:13:05, FastEthernet8

・R2の場合
R2#sh ip route
O*E2 0.0.0.0/0 [110/1] via 192.168.1.99, 00:00:32, GigabitEthernet0
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.1.1.0/24 is directly connected, FastEthernet8
O 172.16.101.0/24 [110/2] via 192.168.1.101, 00:01:21, GigabitEthernet0
[110/2] via 10.1.1.101, 00:01:21, FastEthernet8
R2にも、スタティックルートがOSPF経由で送られました。

12.BGP

(1)eBGPの設定

他のルーティング設定を消しましょう。わかりづらければ、初期化した方が確実かもしれません。
・以下、2拠点分のConfigです。AS番号は、拠点1で65101、拠点2で65102にしました。
❶Team 1(拠点1)

#interface setting
interface GigabitEthernet0
 ip address 192.168.1.101 255.255.255.0
 no shutdown
interface vlan1
 ip address 172.16.101.254 255.255.255.0

#bgp setting
router bgp 65101
 network 172.16.101.0 mask 255.255.255.0
 neighbor 192.168.1.102 remote-as 65102

#dhcp setting
ip dhcp pool seg101
network 172.16.101.0 255.255.255.0
default-router 172.16.101.254
dns-server 8.8.8.8
exit

❷Team 2(拠点2)

#interface setting
interface GigabitEthernet0
 ip address 192.168.1.102 255.255.255.0
 no shutdown
interface vlan1
 ip address 172.16.102.254 255.255.255.0

#bgp setting
router bgp 65102
 network 172.16.102.0 mask 255.255.255.0
 neighbor 192.168.1.101 remote-as 65101

#dhcp setting
ip dhcp pool seg101
network 172.16.102.0 255.255.255.0
default-router 172.16.101.254
dns-server 8.8.8.8
exit
(2)eBGPのテストと状態確認

❶通信テスト
・PCから相互にpingを打ってみましょう。
❷BGPの情報を確認
・ルーティングテーブルを確認しましょう

Router#sh ip route
C        172.16.101.0/24 is directly connected, Vlan1
B        172.16.102.0/24 [20/0] via 192.168.1.102, 00:11:43
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, GigabitEthernet0

このように、B(BGP)で経路情報を取得していることがわかります。

・BGPの状態確認

Router#sh ip bgp
   Network          Next Hop            Metric LocPrf Weight Path
*> 172.16.101.0/24  0.0.0.0                  0         32768 i
*> 172.16.102.0/24  192.168.1.102            0             0 65102 i

パスアトリビュートであるAS_PATH(上記のPath)、NEXT_HOP、MED(上記のMetric)、LOCAL_PREF(LocPrf)の状態が確認できます。一番わかりやすいのがPathで、AS番号65102のルータを通ることがわかります。ちなみにiは iBGPのルートであることを表しています。

(3)iBGPの設定

❶Team 1(拠点1)

router bgp 65101
 bgp log-neighbor-changes
 network 172.16.101.0 mask 255.255.255.0
 neighbor 192.168.1.102 remote-as 65101

❷Team 2(拠点2)

router bgp 65101
 network 172.16.102.0 mask 255.255.255.0
 neighbor 192.168.1.101 remote-as 65101
(4)iBGPのテストと状態確認

再度情報を確認しよう。

Router#sh ip bgp
   Network          Next Hop            Metric LocPrf Weight Path
*> 172.16.101.0/24  0.0.0.0                  0         32768 i
*>i172.16.102.0/24  192.168.1.102            0    100      0 i

先と違って、Pathはiだけになっている。また、iBGPピアに対して通知する,外部のASに存在する宛先ネットワークアドレスの優先度であるLOCAL_PREFにデフォルトの値である100が入っています。

13.STP

(1)STPの無効化

以下は、VLAN1でSTPを無効化する設定です。全てのVLANで無効化する場合は、vlan 1-4094とします。
Router(config)#no spanning-tree vlan 1
Router(config)#end

そして、たとえばFE0とFE1をケーブルで接続してループを発生させます。
このときのスイッチのポートを見てもらうとわかりますが、ランプが高速に点滅しています。つまり、ループによってブロードキャストストームが発生しているのです。こうなると通信ができません。pingやtelnetもできなくなります。以下のコマンドで元に戻しておきましょう。

Router(config)#spanning-tree vlan 1
Router(config)#end

(2)STPの状態確認

以下のコマンドで、状態を確認します。
show spanning-tree brief  (またはsh spanning-tree)

Router#sh spanning-tree
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32768      
             Address     2c54.2d7e.b7b2
             Cost        19
             Port        1 (FastEthernet0/1)
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     34bd.c859.bd00
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec
Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/1               Root FWD 19        128.1    P2p
Fa0/2               Altn BLK 19        128.2    P2p

ここで、ルートブリッジは、2c54.2d7e.b7b2のMACアドレスを持つ機器であることが分かります。今回の場合は、もう一台の機器を指しています。
また、ルートブリッジのPriorityは32768(デフォルト)です。ルートブリッジは、プライオリティ(優先度)とMACアドレスで決めましたね。
また、Fa0/1がFWDですので通信がされていて、Fa0/2がBLKなので、ブロッキングされていることが分かります。
・参考として、ポートの役割と状態遷移は以下です。

Role 説明
Root ルートポート
Desg 指定ポート
Altn 非指定ポート
Back バックアップポート

・状態遷移

Sts 説明
FWD フォワーディング
LRN ラーニング
LIS リスニング
BLK ブロッキング
(3)Rapid STP

設定は簡単で、以下を1行入れるだけ。これで、PVSTからRSTPに変わります。

(config)# spanning-tree mode rapid-pvst

・では状態を見てみましょう。2行目にrstpであることが記載されています。

Switch#sh spanning-tree

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    32769
             Address     34bd.c86b.1880
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     34bd.c86b.1880
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/5               Desg FWD 19        128.5    P2p
Fa0/7               Back BLK 19        128.7    P2p

14.VRRP

(1)設計および構成

・基本的な構成は以下とした。
https://nw.seeeko.com/archives/vrrp#2VRRPの設計と設定
・上記の図のL2スイッチの代わりに、ルータのFE LANの8つのポートをスイッチとして利用します。

・IPアドレス設計の詳細は以下。上記の構成でもうまくいくが、以下の変更を行った。
・Priorityが100はデフォルトなので、Config上は表示されない。そこでルータAのPriorityを200にする
・仮想IPアドレスを物理IPアドレスが同じだと、このあとに実施するTrackingがうまくいかない。そこで、仮想IPアドレスを192.168.1.3にした。

項目 ルータA ルータB
hostname ra rb
FastEthernet8 ip address 192.168.1.1 255.255.255.0
vrrp 10 ip 192.168.1.3
vrrp 10 priority 200
ip address 172.16.1.2 255.255.255.0
vrrp 20 ip 172.16.1.3
vrrp 20 priority 90
GigabitEthernet0 ip address 172.16.1.1 255.255.255.0
vrrp 20 ip 172.16.1.3
vrrp 20 priority 200
ip address 192.168.1.2 255.255.255.0
vrrp 10 ip 192.168.1.3
vrrp 10 priority 90
FE LAN 192.168.1.0のセグメントのPCとFE8、GE0を接続するスイッチの役割 172.16.1.0のセグメントのPCとFE8、GE0を接続するスイッチの役割
(2)実際のConfig
ルータA ルータB
Router#conf t
Router(config)#hostname ra

ra(config)#interface FastEthernet8
ra(config-if)#ip address 192.168.1.1 255.255.255.0
ra(config-if)#vrrp 10 ip 192.168.1.3
ra(config-if)#vrrp 10 priority 200
ra(config-if)#no shutdown
ra(config-if)#exit

ra(config)#interface GigabitEthernet0
ra(config-if)#ip address 172.16.1.1 255.255.255.0
ra(config-if)#vrrp 20 ip 172.16.1.3
ra(config-if)#vrrp 20 priority 200
ra(config-if)#no shutdown
ra(config-if)#exit
Router#conf t
Router(config)#hostname rb

rb(config)#interface FastEthernet8
rb(config-if)#ip address 192.168.1.2 255.255.255.0
rb(config-if)#vrrp 10 ip 192.168.1.3
rb(config-if)#vrrp 10 priority 90
rb(config-if)#no shutdown
rb(config-if)#exit

rb(config)#interface GigabitEthernet0
rb(config-if)#ip address 172.16.1.2 255.255.255.0
rb(config-if)#vrrp 20 ip 172.16.1.1
rb(config-if)#vrrp 20 priority 90
rb(config-if)#no shutdown
rb(config-if)#exit

・R4NW午後2問2では、VRIDの値の最大値が問われました。VRIDは1-255で設定可能ですが、ためしに300などが設定できるかやってみましょう。

(3)状態確認

❶VRRPのステータスの確認
以下のコマンドで、状態を確認しよう
・ルータAはどちらもMasterになっている

ra#sh vrrp brief
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Fa8                10  200 3218       Y  Master  192.168.1.1     192.168.1.3
Gi0                20  200 3218       Y  Master  172.16.1.1      172.16.1.3

・ルータBはどちらもBackupになっている

rb#sh vrrp brief
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Fa8                10  90  3648       Y  Backup  192.168.1.1     192.168.1.3
Gi0                20  90  3648       Y  Backup  172.16.1.1      172.16.1.3

❷MACアドレステーブル
・VRRPの仮想MACアドレスは,00-00-5E-00-01-XX(XXには仮想ルータのIDが入る)と定められています。
・以下、コマンドの結果です。これを見てももらうとわかるように、MACアドレステーブルには0000.5e00.010a というVRRPの仮想MACアドレスが登録されています。

ra#sh mac-address-table
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
0000.5e00.010a          Dynamic       1     FastEthernet0
(4)切り替わりのテスト1:LANケーブルの抜染

192.168.1.1のFE8のLANケーブルを抜く。
さて、通信はどうなるか?
実は、いつまでたっても切り替わらない。
状態をみると、rb(本来はバックアップ)の機器がMasterになっている(うまく切り替わっている)。

rb#sh vrrp brief
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Fa8                10  100 3609       Y  Master  192.168.1.2     192.168.1.3
Gi0                20  100 3609       Y  Backup  172.16.1.1      172.16.1.3

しかし、よくよく見ると、Gi0の方はBackupのままである。
つまり、VRRPのグループ10は障害によって切り替わったが、グループ20は、切り替わってないのである。であれば、相手のPCからの戻りのパケットが返ってこない。相手のPCからルータAのGE0のポートまでは届くが、そこから先が届かない。

(5)切り替わりのテスト2:ルータA側の全てのLANケーブルの抜染

・raのルータの電源を切るか、Gi0側のLANケーブルを抜くことで、VRRPは両方切り替わり、pingは正常に戻る。
・状態を見ると、今度は、Gi0もMasterが172.16.1.2に変わっている。

ra#sh vrrp brief
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Fa8                10  200 3218       Y  Init    0.0.0.0         192.168.1.3
Gi0                20  80  3218       Y  Backup  172.16.1.2      172.16.1.3

・この時のMACアドレステーブルを見ておこう。先はFastEthernet0だったが、FastEthernet1に切り替わっている

ra#sh mac-address-table
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
0000.5e00.010a          Dynamic       1     FastEthernet1

・このとき、MACアドレステーブルを書き換えるのに使われているのがGARPである。PCでパケットキャプチャしてGARPのフレームを見てみよう。
以下、この検証環境でのGARPのフレームである。見てもらうとわかるように、送信元(Sender IP)と宛先(Taeget IP)がどちらも自分自身(=VRRPの仮想IPアドレス)になっている。

(5)trackの設定

実際の運用では、片側のLANケーブルだけが断線することもある。そのときに切り替わらなくては困るので、マスタルータであるルータA(ra)にTrackの設定を入れる。
内容を補足すると、1行目は、FastEthernet8のダウンを

ra(config)#track 1 interface fastEthernet 8 line-protocol
ra(config)#track 2 interface gigabitEthernet 0 line-protocol

ra(config)#int fastEthernet 8
ra(config-if)#vrrp 10 track 2 decrement 120

ra(config)#int gigabitEthernet 0
ra(config-if)#vrrp 20 track 1 decrement 120

今度は、数秒で切り替わる。以下を見てもらうとわかるように、pingは2回落ちただけ。

状態を確認してみると、以下、ルータAのGi0がMaster→Backupに変わった

ra#sh vrrp brief
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Fa8                10  200 3218       Y  Init    0.0.0.0         192.168.1.3
Gi0                20  80  3218       Y  Backup  172.16.1.2      172.16.1.3

・参考ですが、障害が復旧したら、優先度は元に戻る。その結果、マスタールータも切り替わる(というかもとに戻る)。これは、preemptという設定によるが、VRRPの場合、デフォルトでpreemptが有効になっている。
表示はされないが、以下が入っているのである。
vrrp 10 preempt

noで消した後にsh runを見ると、以下である。

interface FastEthernet8
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
 vrrp 10 ip 192.168.1.3
 no vrrp 10 preempt
 vrrp 10 priority 200
 vrrp 10 track 2 decrement 120

15.syslog

CiscoルータでSyslogサーバを指定する方法です。といっても、前段はネットワークの設定です。

## IFにIPアドレスの設定
conf t
int gigabitEthernet 0
ip address 192.168.1.120 255.255.255.0
no shutdown
exit

## デフォルトルートの設定
ip route 0.0.0.0 0.0.0.0 192.168.1.99

## 疎通確認(インターネットへ接続できるか
ping 8.8.8.8

## Syslogサーバの指定
logging host 54.168.54.17
end

・AWSにsyslogサーバ(rsyslog)を用意していますので、/var/log/messagesでログが確認できます。たとえば以下。

# cat /var/log/messages | grep FastE
Mar 10 19:53:21 kd1xxxxxx.ne.jp 93: Mar 10 09:55:59.247: %LINK-3-UPDOWN: Interface FastEthernet2, changed state to up
Mar 10 19:53:21 kd1xxxxxx.ne.jp 94: Mar 10 09:56:00.247: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2, changed state to up
Mar 10 19:54:38 kd1xxxxxx.ne.jp 96: Mar 10 09:57:17.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2, changed state to down
Mar 10 19:54:58 kd1xxxxxx.ne.jp 98: Mar 10 09:57:36.951: %LINK-3-UPDOWN: Interface FastEthernet2, changed state to up
Mar 10 19:54:58 kd1xxxxxx.ne.jp 99: Mar 10 09:57:37.951: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2, changed state to up

16.その他

(1)CatalystスイッチにおけるIPアドレスとデフォルトゲートウェイの設定

CatalystのL2スイッチの場合、IPアドレスは1つだけです。なので、IPアドレスはIFに設定するのではなく、VLANに設定します。今回はデフォルトVLANのvlan1に設定します。ここでは、デフォルトゲートウェイやDNSサーバも指定しています。
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.1.200 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.254
Switch(config)#ip name-server 8.8.8.8

CDN(Contents Delivery Network)

1.CDNとは

米国のアカマイ社が有名であり、インターネット世界総量の20%以上をこの会社のネットワークが利用されているとも言われている。YahooやGoogleなどを経由して動画を見ていても、実際のサーバはアカマイ社のものを利用しているケースが多いようだ。
動画のトラヒックは日々増えており、かつリアルタイム通信の要求が増えている。
非同期で提供すればよいのであれば、時間をずらして提供すればよい。しかし、リアルタイムになると圧縮技術などを駆使した技術的な対策が求められる。

CDNでは、各拠点にコンテンツのコピーを持つサーバを配置する。利用者はコピーから情報を入手することで、配信元の負荷を軽減する。
この仕組みがあったおかげで、700万人が見たともいわれるオバマ大統領のリアルタイム配信が可能になった。

参考であるが、Amazon CloudFrontはAWSが提供するCDNサービスで、どうやら試験センターのIPAも利用している様子である。以下は、CloudFrontの仕組み紹介。
https://business.ntt-east.co.jp/content/cloudsolution/column-480.html

2.CDN の仕組み

2.1 CDNの構成

・CDNは,オリジナルのコンテンツをもつオリジンサーバと,複製したコンテンツを保管したエッジサーバで構成されます。エッジサーバは,オリジンサーバが複製したコンテンツを保管し,視聴者にコンテンツを配信する機能を持ちます。
・エッジサーバは,コンテンツがキャッシュされている場合とそうでない場合にて,動作が異なります。

2.2 CDNの動作

HTTPクライアントからのHTTPリクエスト(❶)は,世界中に設置されたエッジサーバが受けます。コンテンツがエッジサーバにキャッシュされている場合とされていない場合のそれぞれで,通信の流れを紹介します。

(1)コンテンツがキャッシュされていない場合

エッジサーバは,プロキシとして動作します。オリジンサーバからコンテンツを取得し(❷,❸)HTTPクライアントに応答として返します(❺)。このとき,コンテンツをキャッシュとしてエッジサーバ内に保存(❹)します。

(2)コンテンツがキャッシュされている場合

エッジサーバは,キャッシュを応答として返します(❷)。オリジンサーバにはアクセスしません。

これらの動作はHTTPプロトコルを使って自動的に行われるので,特別な運用は不要です。「特別な運用」とは,オリジンサーバ内のコンテンツをエッジサーバに配信するなどを意味します。
これは、多くの企業に設置されているProxyサーバが,インターネット通信を自動でキャッシュするのと同じです。エッジサーバが自動でコンテンツをキャッシュするからです。
では、どうやってHTTP クライアントからの通信を,エッジサーバに向けるのですかというと、DNSを使います。

3.CDNの動作を過去問(H29PM2-1)で確認

ここからは、過去問(H29PM2-1)をもとに、動作を解説します。

A社の場合には,Web-Bをオリジンサーバに指定する。B 社CDNを適用する場合には,B社から割り当てられるFQDN “webasha.bshacdn.example.net”を使ってアクセスする。

「Web-Bをオリジンサーバに指定する」とありますが,具体的にはオリジンサーバのIPアドレスをCDNに登録します。この登録により,エッジサーバは,オリジンサーバであるWeb-Bからコンテンツを取得します。
では,以降の問題文にある図5を見て下さい。本来(CDNを適用しない場合)はWeb-Bにアクセスするところを,DNSの設定によって,エッジサーバにアクセスさせます。


色文字で示した部分は,サーバのIPアドレスとホスト名の情報です。このあとに記載されるDNSのゾーンファイルと照らし合わせてください。
また,DNSフルリゾルバとは,自身ではゾーン情報を持たず,DNSクライアントの要求をもとに外部への問合せだけを行うDNSサーバのことです。キャッシュDNSサーバとも呼びます。
下側のwebtest(Web-A)への通信は、CDNを使わないので、今回は無視してください。


 図5のDNS-AとDNS-Bのゾーンファイルの具体的な記述内容が示されています。i6は、Web-BのIPアドレスです。

ここからは、CDNを使わない場合の流れです。
A社向けIaaS環境にあるWeb-Bにアクセスします。
Web-BのFQDNはweblive.asha.example.comであり,asha.example.comドメインのDNSサーバはDNS-Aです。
 流れは以下のとおりです。
❶名前解決の要求 (b1,b2)
 機械は,DNSフルリゾルバを経由してDNS-AにwebliveのIPアドレスを問い合わせます。
❷名前解決の応答(b2,b1)
 DNS-Aから「IP アドレスはi6」という回答が届きます。
❸Web-Bへのアクセス(b3)
 機械は,Web-Bへアクセスします

本運用モードでCDNを使うときは,エッジサーバにアクセスさせます。このときの注意点として,asha.example.comドメインのDNSサーバはDNS-Aですが,bshacdn.example.netドメインのDNSサーバはDNS-Bであることを覚えておきましょう。
 流れは以下のとおりです。
❶名前解決の要求(b1,b2)
 機械は,DNSフルリゾルバを経由してDNS-AにwebliveのIPアドレスを問い合わせます。
❷名前解決の応答(b2,b1)
 問題文には,「B社CDNを適用する場合には,次のレコードに置き換える」とあります。

❸名前解決の要求(c1)
 bshacdn.example.netドメインのDNSサーバであるDNS-Bに対し,
webasha.bshacdn.example.net のIP アドレスを問い合わせます。
❹名前解決の応答(c1)
 DNS-Bは,最寄りのエッジサーバのIP アドレスを応答します。
❺エッジサーバへのアクセス(c2)
 機械は,エッジサーバへアクセスします。


5.古いCDNの過去問(H16秋NW午後Ⅱ問2)

H16秋NW午後Ⅱ問2にCDNの問題があります。
〔CDNの目的と仕組み〕
CDNの目的と仕組みについて,I係長がH課長に説明した内容は,次のとおりである。
CDNは,VOD (Video On Demand)のようなストリーミング型の映像配信サービスを,インターネットを利用して,高いサービス品質で提供するためのネットワークである。インターネットを経由してコンテンツを配信し,視聴者がPCでリアルタイムに再生する場合,トラフィックや負荷の集中によってサービス品質が低下することがある。その要因となるのは,ルータ,スイッチングハブ,サーバ,回線などのネットワーク構成要素である。 CDNを利用すれば,これらが要因となって発生するサービス品質の低下を抑止できる。
CDNは,次の三つの要素で構成される。
 ① オリジンサーバ
 ② キャッシュサーバ
 ③ コンテンツ複製ネットワーク
オリジンサーバは,オリジナルコンテンツの登録,管理などを行い,コンテンツ複製ネットワークを使用して,キャッシュサーバにコンテンツを複製する機能をもつ。キャッシュサーバは,オリジンサーバが複製したコンテンツを保管し,視聴者にコンテンツを配信する機能をもつ。コンテンツ複製ネットワークは,オリジンサーバに登録されているコンテンツをキャッシュサーバに複製するために使用される。コンテンツは,キャッシュサーバから配信されるので,(ア)キャッシュサーバが設置されたISPの利用者に対して、高品質の映像配信サービスの提供が可能になる。

H課長:CDNの目的と仕組みは理解できた。映像配信サービスを提供するためには,CDNを利用した方がよさそうなので,CDNを利用したコンテンツ配信システムを具体化させてくれないか。
H課長の指示を受けて,I係長は,コンテンツ配信システムの構成,コンテンツ複製方式,映像配信サービスの提供方式などをまとめた。