ただのITエンジニアからCCIEへの挑戦

MACアドレステーブルについて

ARP | 22:03 |

○確認コマンド例

SW#show mac address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

• ----------- -------- -----

All 0180.c200.000X STATIC CPU

｜

All 3333.0000.0001 STATIC CPU

All 3333.0000.000d STATIC CPU

All 3333.0000.0016 STATIC CPU

All ffff.ffff.ffff STATIC CPU

1 0001.d79f.f90X DYNAMIC Gi0/1

3 00e0.ed0b.e5aX DYNAMIC Gi0/16

Total Mac Addresses for this criterion: XXX

SW#

説明：上記のコマンドは、ルータや、スイッチ上で、

　　　学習したMACアドレスや、

　　　内部で使用するMACアドレスを表示するコマンドになります。

以下に詳細な説明になります。

　・VLAN:

　 ALL と表示されているのは、

　　　 特定のVLANに属さないMACアドレスになります。

基本的にその機器の内部で使用されるMACアドレスになります。

スイッチがVLAN上(ALL以外)で学習するのは、

　　　 通信を行った「エンドノード」のアドレスです。

　

・Type

　　　 type の「static」のMACアドレスは

　　　 自身の内部で使用するMACアドレスであり、

　　　 他の機器に伝播しないアドレスになります。

　　　 「dynamic」は他の機器から学習したMACアドレスになります。

　・333.0000.000X の MAC アドレスについて

　　3333.0000.000Xは、スイッチ自身の MAC Address です。

　　このアドレスはマルチキャストアドレスなので、

　　他の機器も同じ MAC Address を持っている可能性がある。

　　以下、IPv6 のマルチキャスト用の MAC アドレスになります。　

　　・3333.0000.0001：

　　　 Pv6 全機器が所属するマルチキャスト、FF02::1 の MAC Address

　

　　・3333.0000.000d：

　　　 IPv6 マルチキャストルーター間の PIM 通信に使うマルチキャスト、

　　　 FF02::d の MAC Address

　　

　　・3333.0000.0016：

　　　 IPv6 マルチキャストルーター と IPv6 マルチキャストレシーバー間の

　　　 MLDv2 通信に使うマルチキャスト、FF02::16 の MAC Address

本日は以上！！

今回は、セキュリティを意識した

ベース設定のコマンドを紹介します。

・サービス拒否攻撃や他の攻撃による

　small service の悪用を防御するコマンド

R(config)#no service (udp-small-servers/tcp-small-servers)

・攻撃者へのユーザ情報の公開を停止するコマンド

R(config)#no service finger

・パスワードを必要最低限のレベルで保護するコマンド

R(config)#enable secret

・CEF 有効化コマンド

R(config)#ip cef

・IP ソースルーティングオプションの

　スプーフィングを防御するコマンド

R(config)#no ip source-route

・HTTP サービスに対する攻撃を防御するコマンド

R(config)#no ip http server

・DNS によるドメイン名の逆引きを防ぐコマンド

R(config)#no ip domain-lookup

・timezon を JST 設定コマンド

R(config)#clock timezone JST 9

・NTP サービスに対する攻撃を防御するコマンド

R(config)#no ntp enable

ARP テーブルの仕様について

ARP | 21:13 |

デフォルト設定ですと、ARP テーブルの保持時間は4時間ですが、

ARP テーブルの情報が timeout しているかどうかを確認する動作を

60秒毎にしか行っていません。

そのため、60秒の倍数のでしか timeout を起こすことがでません。

また、接続している entry を削除した場合、

再度 arp request を送信して学習する必要があり、

その間通信が行えなくなってしまいます。

その問題を避けるため、

設定された timeout 値の 60 秒前に arp query を送信し、

それに応答のない entry のみ消去するように実装されております。

そのタイムアウトの時間の設定については、

以下のコマンドで変更することが可能です。

○ ARP テーブルのタイムアウト時間を変更するコマンド

Switch(config-if)arp timeout <0-2147483秒>

※デフォルト設定 14400=４時間

○ オプション:MACアドレステーブルのエントリのタイムアウト時間の設定

Switch(config-if)mac-address-table aging-time <10-1000000秒> <Vlan ID>

※ Vlan 毎に CAM Table の Aging Time を変更

デフォルト設定では300秒、0 に設定するとタイムアウトを行わなくなる

本日の挑戦は、以上！！

QoS機能 CBWFQ

QoS | 20:37 |

CBWFQとは？

フローベースの フローごとにサブキューが割り当てられる

Weighted Fair Queuing(WFQ) の機能を拡張した Queueing 機能です。

CBWFQ では、各トラフィッククラスに対して、

異なるサブキューが割り当てることが可能

Weight 値を使って、各 Queue の Packet 送出割合を

決め、Packet 送出を行います。

○ WFQ と CBWFQ の特徴の違い

・WFQ の特徴

・自動的にフロー単位にトラフィックが分類される

　　・各フローに動的に Queue を割り当てる。

　 ・IP Precedence で優先制御を行う。

　・CBWFQ の特徴

　　・ユーザー定義によって Class にトラフィックが分類される

　　・各 Class に対して専用の Queue を割り当てる。

　　・Bandwidth で優先制御を行う。

○ CBWFQ 設定手順

１．Class Map で制御する予定のトラフィックを ACLで記述する

　　２．Class Map を定義する

　　３．Policy Map を定義する

　　４．Interface へ Policy Map を適用する

○CBWFQ 設定例

access-list 101 permit ip X.X.X.X Y.Y.Y.Y any

access-list 102 permit ip X.X.X.X Y.Y.Y.Y any

!

class-map cname1 ;Classに一致する Traffic を定義します。

match access-group 101

!

class-map cname2 ;

match access-group 102

!

policy-map pname1 ;Policy map を定義

class cname1

bandwidth 64

class cname2

bandwidth 128

set <parameter> ;Traffic に QoS パラメータを Set

class class-default

fair-queue

!

interface Fa 0/0

bandwidth 254

; Interface に設定されている Bandwith を

; 元に各 Class の送出割合が決定します。

service-policy output pname1

; Interface に Policy Map を割り当てる

○ 確認コマンド

・Class Map 設定確認コマンド：show class-map

　・Policy Map 設定確認コマンド：show policy-map

　・CBWFQ トラフィック状態確認コマンド：show policy-map interface

本日は以上！！

MPLS(Multiprotocol Label Switching) とは、

スイッチング | 21:58 |

CISCO が開発した Tag Switching と呼ばれる技術を標準化したものです。

　Layer 3 Header の前にラベルと呼ばれる固定長の識別子を

　付加します。そして、ルーティングを行う場合に、Layer 3 Header を参照せずに、

　Layer 2 Header のラベルだけを参照して Packet を転送することによって、

　Packet の転送速度を速くしようという機能になります。

　例えば、IP Header をチェックして次の転送先を決めると、

　IP の宛先アドレスは IP Header の 16〜20Byte 目に

　記述されるため、ルーターは次の転送先を判断するためには

　20Byte を読み込む必要があります。

　ラベルは Packet の先頭に付加され、

その長さも 4Byte であるため、

　MPLS ルーターは L2 Header の 4Byte だけ

　読み込み宛先を判断できるので、

　転送速度が向上します。

MPLS Packet

[ Layer2 Header | Label | IP Header ]

<-- 4 -->

• ラベルだけを見て Packet の転送ができるということは、

　IP Address を全くチェックしないで Packet を目的地まで

　届けることができるため、IP Address の重複等が問題になり易い

　IP VPN の構築が容易になります。

　ラベルだけを見て、Layer 3 はチェックしないので、IPX 等、

　他のプロトコロルも MPLS で取り扱うことも可能です。

　このため、Multiplotocol と名前がついています。

( IP Network )--[LE]--[LSR] - [LSR]---[LE]--( IP Network )

<--- MPLS Network --->

　- LE : Label Edge Router

　　MPLS ネットワークと、通常の IP の境界に位置する

　　ルーターです。ラベルを付けて LSR にパケットを送り、

　　逆に LSR から受け取った Packet を通常の IP に送ります。

　- LSR: Label Switch Router

　　MPLS Network の内部にあり、ラベルの情報に基づいて、

　　Packet の転送を行う

　- LDP: Label Distribution Protocol

　　隣接する LSR との間で Label の整合性を取るために

　　使用されるプロトコル

-ラベル

　 使用されるラベル（Label Stack, MPLS Header などと呼ばれる）は、

　 宛先を示す狭い意味での Label を含め、4-Byte で以下のような

　 構成になっています。

| Label | Exp |S| TTL |

　 Label = 20 bit

　 Exp = Experimental, 3 bit（CoS として使用）

　 S = Bottm of Stack, 1 bit （1 で最後のラベルを示す）

　 TTL = Time to Live, 8 bit

　※TTL と Exp は、通常 IP Header の TTL と Precedence の

　　値をそのまま引き継ぎます。

• ラベルを削除しているのはどこででしょうか？

　一般的な説明の際に、ラベルの付加、削除はLE で行うと

　説明されますが、実際は、LSR が LE に Packet を投げる

　時点でラベルを削除しています。

　LSR がラベルの付け替えを行うために、

　ラベルを削除する必要があります。

　LE は IP Address で Packet の転送を

　行うため、LE に送る Packet であるにもかかわらず、

　LSR で新しいラベルを付加する必要はありません。

　この１ホップ手前でラベルを削除することによって、

以下の３つの負荷がなくなります。

　+LSR の「ラベルの付加作業」

　+回線上の「ラベルのオーバーヘッド」

　+LE での「ラベルの削除作業」

それを実現しているのが、LDP であり、　　　

　LE が LSR に対して、ラベルが不要である経路をを通知しています。

　そして以下に、LDPについて詳細な概要を説明します。　

　　

-LDP 概要

　各ルーターが勝手にラベルを発生させただけでは、隣接する

　ルーターが送ってきた Packet にどのラベルをつけて、どの

　インターフェイスから送り出せばいいのかわかりません。

　このため、LDP と呼ばれるプロトコルを使用して、隣接する

　ルーターの間で、IP の各経路情報で使用するためのラベルの

　情報を一致させます。

　LDP は、Hello Packet のためには IP UDP Port 646 を、

　実際の情報交換のためには IP TCP の Port 646 を使用します。

本日は以上！！