DHCPリレーエージェント

DHCPリレーエージェントとは、異なるネットワーク上にあるDHCPクライアントとDHCPサーバを中継する仕組みのことです。

DHCPサーバとDHCPクライアントの通信ではブロードキャストが使用されます。
そのためDHCPサーバとDHCPクライアントは同じネットワークに存在する必要がありますが、ネットワークを分離して構築している場合もあります。
そんな時にDHCPリレーエージェントをルータに設定しておくことで、違うネットワークに存在するDHCPサーバからIPアドレスなどの情報を取得することができます。

設定

(config)# service dhcp
(config)# ip dhcp excluded-address 192.168.10.254
(config)# ip dhcp pool test01
(dhcp-config)#
(dhcp-config)# network 192.168.10.0 255.255.255.0
(dhcp-config)# default-router 192.168.10.254

[ service dhcp ]
DHCPサービスの有効化

[ ip dhcp excluded-address <ip-address> | <last-ip-address> ]
除外するIPアドレスの設定

[ ip dhcp pool <pool-name> ]
DHCPプール名の設定

[ network <network> <subnet-mask> ]
ネットワークアドレスの設定

[ deafult-router <ip-address> ]
クライアントに通知するデフォルトゲートウェイの設定

・DHCPリレーエージェント設定
(config)# interface GigabitEthernet 0/0/1
(config-if)#
(config-if)# ip helper-address 192.168.40.100

[ ip helper-address <ip-address> ]
DHCPサーバーのIPアドレスを指定

The post Cisco DHCP 設定 first appeared on Column - IIDA Techno Corp..

DHCPは、ネットワーク接続に必要なIPアドレスなどの情報を自動的に割り当てるプロトコルです。
DHCPサーバとDHCPクライアントで構成されており、DHCPサーバはIPアドレスの設定情報などをDHCPクライアントに割り当てます。
DHCPクライアントは、IPアドレスの設定情報などをDHCPサーバから割り当てられます。

仕組み

１．DHCP Discover
DHCPクライアントは自分のIPアドレスもDHCPサーバのIPアドレスもわからない状態です。
そのため、まずはDHCPサーバを探索します。この時メッセージをネットワーク全体に送信します。

２．DHCP Offer
メッセージを受け取ったDHCPサーバは、クライアントに割り当てるIPアドレス設定などを選択して提案します。

３．DHCP Request
次にクライアントは提案されたIPを使用することを通知するためのメッセージを送信します。

４．DHCP Ack
最後にDHCPサーバはDHCPクライアントが使用するIPアドレスなどの設定情報を送信します。

こうして、DHCPクライアントにIPアドレスなどの情報が割り当てられます。

The post Cisco DHCPについて first appeared on Column - IIDA Techno Corp..

VLANは仮想的なLANセグメントを作る技術です。
VLANを使用することでルータやL3スイッチのようにブロードキャストドメインを分割することができます。

VLANを設定すると同じVLAN IDのポートにだけブロードキャストが転送され、異なるVLAN IDのポートには転送されません。そのため無駄な受信フレームが減り、各ホストの処理を軽減できます。また、VLAN IDによって通信を分けられるので、ネットワークのセキュリティも高くなります。

VLANの種類

・ポートVLAN
最も一般的なVLANです。
スイッチのポート単位でVLANを割り当てていく方法です。

・タグVLAN
タグという仕組みを使って、1つの物理ポートに複数のVLANのデータを通せるVLANです。

・MACベースVLAN
スイッチに接続するMACアドレスをもとにして、ネットワークごとに割り振るVLANです。

・ユーザベースVLAN
ネットワークを使うユーザの認証情報によって識別する方法です。
認証されたユーザでどのネットワークにコンピュータが所属するかが決まります。

・サブネットベースVLAN
IPアドレスによって識別する方法です。
スイッチに接続するコンピュータのIPアドレスでユーザがどのポートのネットワークに所属するかが決まります。

The post Cisco スイッチ VLANについて first appeared on Column - IIDA Techno Corp..

設定

・番号付き拡張ACL
(config)# access-list 100 deny icmp host 192.168.100.1 host 192.168.200.1
(config)# access-list 100 permit ip any any
(config)# interface GigabitEthernet 0/0/0
(config-if)#
(config-if)# ip access-group 100 in

[ access-list <number> <deny/permit> <protocol> <source> <wildcard> <destination> <wildcard> ]
番号付き拡張ACLの作成

・permit：通信を許可する
・deny：通信を拒否する
・protocol：プロトコルを指定する
・source：送信元IPアドレス
・destination：宛先IPアドレス
・wildcard：ワイルドカードマスク

[ ip access-group <number> <in/out> ]
ACLの割り当て

・名前付き拡張ACL
(config)# ip access-list extended test01
(config-ext-nacl)#
(config-ext-nacl)# deny icmp host 192.168.100.1 host 192.168.200.1
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
(config)#
(config)# interface GigabitEthernet 0/0/0
(config-if)#
(config-if)# ip access-group test01 in

[ ip access-list extended <name> ]
名前付き拡張ACLの作成

[ <deny/permit> <protocol> <source> <wildcard> <destination> <wildcard> ]
ACLの内容を設定

The post Cisco 拡張ACL 設定 first appeared on Column - IIDA Techno Corp..

ワイルドカードマスク

ACLでIPアドレスの範囲を指定する際に、ワイルドカードマスクを使用します。
ワイルドカードマスクは、IPアドレスのどの部分をチェックするのかを示します。

表示方法
0：指定したIPアドレスのビットをチェックする
1：指定したIPアドレスのビットをチェックしない

ワイルドカードマスクは「255.255.255.255 – サブネットマスク」で簡単に求めることができます。

・特定のホストを指定
1つのホストを指定するワイルドカードマスクは「0.0.0.0」となります。
ACLを設定する際は、ワイルドカードマスクの代わりにhostを対象のホストの前に指定することで同じように設定できます。

・全てのホストを指定
全てのホストを指定するワイルドカードマスクは「255.255.255.255」となります。
ACLを設定する際は、送信元アドレスとワイルドカードマスクの代わりにanyを指定することで同じように設定できます。

設定

・番号付き標準ACL
(config)# access-list 1 deny host 192.168.100.1
(config)# access-list 1 permit 192.168.100.0 0.0.0.255
(config)# interface GigabitEthernet0/1
(config-if)#
(config-if)# ip access-group 1 out

[ access-list number <deny/permit> <source> <wildcard> ]
番号付き標準ACLを作成する

・permit：通信を許可する
・deny：通信を拒否する
・source：送信元IPアドレス
・wildcard：ワイルドカードマスクを指定する

※ワイルドカードマスクを指定しない場合、0.0.0.0が適用される

[ ip access-group <number> <in/out> ]
ACLをインターフェースに適用する

・名前付き標準ACL
(config)# ip access-list standard test
(config-std-nacl)#
(config-std-nacl)# permit 192.168.200.1 0.0.0.255
(config-std-nacl)#
(config-std-nacl)# exit
(config)#
(config)# ip access-group test out

[ ip access-list standard <name> ]
名前付き標準ACLを作成する

[ <permit/deny> <source> <wildcard> ]
ACLの内容を設定する

The post Cisco 標準ACL 設定 first appeared on Column - IIDA Techno Corp..

同じメーカーでも機種やOSにより設定方法が異なるので、設定する機種とOSを確認しましょう。

VSF(Virtual Switching Framework)という複数のArubaスイッチを論理的に1台のスイッチとして動作させるスタック機能があり、
その機能を備えたAruba CX 6300Mでスタック設定を行います。

VSF Memberの役割

・Conductor
　VSFスタック内で1台選出されるスタック全体を管理および制御する物理スイッチです。
　選出されたスイッチでスイッチの機能が実行され、Member ID は必ず 1 になります。
　Standby を設定しておくことで Conductor 障害時に備えることができます。
　OSのバージョンによりMasterとなります。

・Standby
　VSFスタック内で1台選出され、Conductorのバックアップとして動作します。
　Conductorの故障時や管理者の操作によりConductorのフェールオーバーが発生した場合にスタック管理を引き継ぎます。
　デフォルトでは設定されていませんが、障害時に備えるため設定することを推奨します。

・Member
　ConductorでもStandbyでもないスイッチは全てMemberとなります。
　VSFスタック内の増設ポートの一部として動作します。

スイッチのMember内でLink1に51番ポート、Link2に52番ポートをVSF LINKに設定します。
vsf member 1
link 1 1/1/51
link 2 1/1/52
vsf member 2
link 1 2/1/51
link 2 2/1/52
vsf member 3
link 1 3/1/51
link 2 3/1/52

自動でmember 1がConductorとなりますので、member 2をStandbyとして設定します。
これによりmember 2がStandby、member 3がMemberとなります。
vsf secondary-member 2

次回は設定の確認となります。

The post Arubaスイッチ　スタック構成 first appeared on Column - IIDA Techno Corp..

ACLは「アクセスコントロールリスト」の略で、通信アクセスを制御するためのリストのことです。
ルータを通過するパケットに対して通信を許可するのか、拒否するのかを定めることができます。

ルータはACLの内容をもとに通信するパケットをフィルタリングします。
ACLは上から1行ずつ確認され、条件に合致した場合はそれ以降の内容を確認せずに処理を行います。
そのため、条件を作成する順番が重要になります。

また、ACLには「暗黙のdeny」というルールがあります。これはすべてのパケットを拒否するというACLです。
暗黙のdenyは、表示されませんが作成したACLの最終行に自動で追加されます。

ACLの種類

ACLは大きく「標準ACL」と「拡張ACL」の２種類に分けられます。

・標準ACL
送信元IPアドレスをもとにパケットの通過を制御するACLです。
標準ACLは、基本的に宛先に近いインターフェースに適用します。
番号付き標準ACLと名前付き標準ACLがあります。

番号付き標準ACLは1～99、または1300～1999のACL番号で設定します。
名前付き標準ACLは名前を設定します。

・拡張ACL
送信元IPアドレスに加え、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号をもとにパケットの通過を制限するACLです。
拡張ACLは基本的に送信元に近いインターフェースに適用します。
番号付き拡張ACLと名前付き拡張ACLがあります。

番号付き拡張ACLは100～199、または2000～2699のACL番号で設定します。
名前付き拡張ACLは名前を設定します。

ACLの適用方向

ACLは適用する際にインバウンド、アウトバウントのどちらかを選択します。
１つのインターフェースにつき、インバウンド、アウトバウンドはそれぞれ１つずつ適用することができます。

・インバウンド
ルーターが受信するパケットに対してチェックします。
ここで通信が許可されたパケットのみがルーティングされ、拒否されたパケットはブロックされて破棄されます。

・アウトバウンド
ルーターが送信するパケットに対してチェックします。

The post Cisco ACLについて first appeared on Column - IIDA Techno Corp..

プロトコル

EtherChannelをダイナミックで作成する場合は、以下のプロトコルを使用します。
設定時にリンクの両側で同じプロトコルを指定する必要があります。

・PAgP
Cisco独自のプロトコルなのでCisco機器のみ使用できます。
auto：EtherChannelを構成するために受信したネゴシエーションに応答するモード
desirable：EtherChannelを構成するためにネゴシエーションを開始するモード

・LACP
IEEE標準のプロトコルなのでCisco機器以外でも使用できます。
active：EtherChannelを構成するためにネゴシエーションを開始するモード
passive：EtherChannelを構成するために受信したネゴシエーションに応答するモード

設定

・PAgP
Switch# configure terminal
Switch(config)#
Switch(config)# interface range gigabitethernet 1/0/1 -2
Switch(config-if-range)#
Switch(config-if-range)# channel-group 1 mode auto

・LACP
Switch# configure terminal
Switch(config)#
Switch(config)# interface range gigabitethernet 1/0/1 -2
Switch(config-if-range)#
Switch(config-if-range)# channel-group 1 mode active

The post Cisco スイッチ EtherChannel設定　その２ first appeared on Column - IIDA Techno Corp..

EtherChannelは複数の物理リンクを1つの論理リンクとして扱える技術です。
1Gbpsの物理リンク2本を束ねると2Gbpsの通信帯域になり、2本分の通信帯域を確保できるため、通信速度が速くなります。
また2本以上のリンクを束ねて1つの論理リンクを作成するため、1本の物理リンクで障害が発生した場合も他のリンクで通信を続行することができます。

設定

EtherChannelの設定を行う際にグループを作るポートで以下の設定をそろえる必要があります。
・速度
・二重モード
・アクセスポート/トランクポート
<アクセスポートの場合>
・割り当てるVLAN
<トランクポートの場合>
・ネイティブVLAN
・割り当てるVLAN
・トランキングプロトコル

Switch01# configure terminal
Switch01(config)#
Switch01(config)# interface range GigabitEthernet 1/0/1 -2
Switch01(config-if-range)#
Swotch01(config-if-range)# channel-group 1 mode on

[ configure terminal ]
グローバルコンフィグレーションモードへ移行

[ interface range <interface-id> ]
インターフェースコンフィグレーションモードへ移行
※range:グループ化する複数のインターフェースで一括してコマンドを入力できる

[ channel-group mode on ]
指定した物理ポートでEtherChannelを作成
スタティックで作成する場合は[mode]で[on]を選択する

The post Cisco スイッチ EtherChannel設定　その１ first appeared on Column - IIDA Techno Corp..

FITモードのIPアドレスやLeaderAPの設定はコマンドラインで設定します。
TeratermでSSH接続をしてログインします。
接続時のユーザ名とパスワードは前回のブラウザ画面で設定したものです。

コマンドラインからでもパスワード変更可能です。
SSH接続時の初期ユーザ名とパスワードはブラウザ画面で入力したものと同じです。
ユーザ名：admin
パスワード：admin@huawei.com

初期パスワード入力後、新しいパスワードを設定します。
<Huawei> と表示されますとログイン完了です。
～～以下、SSH接続時のログから抜粋～～
Warning: The default password poses security risks. It is recommended that the user  name and password of the AP be changed using the ‘ap username’ command in the WLAN  view of the AC. Alternatively, directly change the command here. Enter the password (plain-text password of 8-128 characters or cipher-text password  of 48-188 characters that must contain at least one lowercase letter, one uppercase  letter, and one digit):
Confirm New Password: Info:
Current mode: it (managed by the AC).
Info: Change the password to ensure security.
<Huawei>
～～以上、SSH接続時のログから抜粋～～

system-view で特権モードに移行します。
<>表記が[]に変わります。
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]

ap-address mode static でスタティックモードにします。
設定はAPを再起動すると反映されます。
Info: The configuration takes effect after the AP is restarted.

[Huawei]ap-address mode static
Info: The configuration takes effect after the AP is restarted.

ap-address static ip-address でIPアドレス、サブネットマスク、デフォルトゲートウェイを設定します。
サブネットマスクはビット数で設定し、各項目をスペースで区切ります。

ap-address static ac-list でLeaderAPを設定します。

スタティックモードの設定、ネットワーク設定、LeaderAP設定後にアクセスポイントを再起動すると反映されます。

The post HUAWEI アクセスポイント設定　その6 first appeared on Column - IIDA Techno Corp..