【CCNA】(7)Ciscoルータの基本設定

第7章 Ciscoルータの基本設定

Ciscoルータの種類、SOHOに最適なCisco ISR

今回出てくる用語

・Ciscoルータの種類とは

◆ Ciscoルータの種類

 Cisco社製のルータには多くの種類があります。Ciscoでは、役割に応じて以下のように分類しています。

位置づけ・役割説明
スモールビジネス 高度な機能とセキュリティがリーズナブルな価格で得られます。
ブランチ 高度にセキュアな接続、機械学習、クラウドマネージド型セキュリティが得られます。
WANアグリゲーション サービスプロバイダーやエンタープライズのネットワークエッジをデジタル時代に向けて変革。
エッジ スケーラブルなネットワークエッジを実現するプログラマビリティによって高密度に対応でき、
 耐障害性が向上します。
サービスプロバイダー 現在のニーズに応えながら将来の拡張ニーズにも対応でき、高いROIを確保します。
産業用 厳しく過酷な環境にもエンタープライズクラスの機能を提供します。
仮想 パブリッククラウド、プライベートクラウド、プロバイダーホステッド クラウドに対応した
 マルチテナント ネットワーク サービスを提供します。

 Source:https://www.cisco.com/c/ja_jp/products/routers/index.html#~products


 それぞれの位置づけには多くの種類のCiscoルータがあります。Ciscoルータの選定は、規模、性能、予算に
 応じて適切に選定して企業ネットワークに導入されています。


 ◆ SOHOに最適なCisco ISRシリーズのルータ

 Ciscoルータには、ルーティング処理を行う機能だけでなくセキュリティ機能、無線LAN機能、スイッチ機能
 など様々な機能を備えたルータがあります。そのルータは、Cisco ISR( Integrated Services Router )と
 して展開されています。ISR(サービス統合型ルータ)という名の通り、Cisco ISRシリーズでは、この1台に
 複数の機器に分かれていた機能が統合されています。


     


 従って、小さな事務所や自宅をオフィスとして働く職場形態であるSOHO(Small Office/Home Office)の
 ような小規模ネットワークには、Cisco ISRルータの導入が適していると言えます。Cisco ISRルータ 1台が
 Firewall 機能、無線アクセスポイント、スイッチポートなどの役割を担ってくれることから、ネットワーク
 構成の簡略化と、機器の導入コストを抑えることができます。


 

まとめ

・Ciscoルータの種類とは
→多くの種類がある。
・スモールビジネス
・ブランチ
・WANアグリゲーション
・エッジ
・サービスプロバイダー
・産業用
・仮想

Ciscoルータへのアクセス方法:コンソール接続

◆ Ciscoルータへのアクセス方法:コンソール接続

 Cisco機器を操作するために最低限必要なものはパソコン、コンソールケーブル、Cisco機器本体の3つです。
 コンソールケーブルはルータなどの購入時に付属しています。左下図の通り、ルータ側のコンソールポート
 に接続するインターフェースの形状はRJ45となっており、PC側に接続するインターフェースの形状はDB-9
 となっています。現在のPCはUSBポートはありますがDB-9形状のインターフェースはないことが多いので
 USB to RS-232変換ケーブルを使用して、USBをPC側に接続して、Cisco機器側にコンソール接続させます。


 あるいは、USB to RS-232変換ケーブルを使用することなく、PCとCiscoルータを接続することも可能です。
 以下の「USB RJ45コンソールケーブル」を使用することで、この1本だけでPCとCiscoルータをコンソール


 接続することが可能です。Cisco社製品の「RJ45コンソール端子」を「USB端子」に変換するケーブルです。

 ◆ Ciscoルータへのアクセス方法 – 電源ケーブルの接続

 Cisco機器の一般的な電源ケーブルは、下図の右側のケーブルどおり「AC100V/平行3ピン」のものです。
 この電源ケーブルの角にはアース(感電防止、装置保護のために必要)があるので、通常の一般家庭用の
 コンセントでは接続することができません。そこで下図の2ピンのコネクタに変換してコンセントに接続
 するかOAタップを購入して電源ケーブルを接続します。コンセント状況に応じてどちらかを入手します。


 ◆ Ciscoルータへのアクセス方法 – Tera Termを利用

 Cisco機器の設定情報や各種ステータスを確認するためには、PCにターミナルエミュレータソフトウェア
 をインストールして使用します。多くのネットワークエンジニアが使用しているのが Tera Term です。
 このソフトウェアを使用するためには、先ずPCのデバイスマネージャでUSB Serial PortにCOMポートが
 何番が割り当てられたのかを先ず確認します。今回のPCではCOMポートが「5」が割り当てられています。


          



 Tera Term Proを起動させると以下の画面が表示されます。シリアルポートで、デバイスマネージャで確認
 したCOMポート「5」をタブメニューから以下のように選択してOKをクリックします。なお、画面の表示通り


 事前にCOMポートを確認しなくても、最近のTera TermではどのCOMポートを使用すればいいの分かります。

 これでCisco機器の設定画面が確認できるようになりますが、念のため確認として、Tera Termのメニューの
 「設定」⇒「シリアルポート」を選択して以下の画面が表示させます。COMポート番号はPCにより異なるが
 それ以外の「ボーレート、データ、パリティ、ストップ、フロー制御」は共通設定なので以下の通りにします。

設定項目設定値説明
ボー・レート9600 COMポートからデータを転送する時の最大伝送速度。9600bpsにする。
データ8 bit 送受信する文字のために使用するビット数。8ビット(1byte)にする。
パリティnone ( なし ) 誤り検出。エラーチェックは無効(none)する
ストップ1 bit ストップビット。各文字が送信される間の時間を1秒に1ビットとする。
フロー制御none ( なし ) データフローの制御方法。ここではフロー制御を無効(none)にする。


 ※ Cisco機器に大量のデータ(コンフィグ)を送信する場合は送信遅延を15ミリにすると、取りこぼしなく送信できます。

 以上の通り、電源ケーブル接続、コンソール接続、そしてターミナルソフト(tera term)を設定できたら
 Ciscoルータの電源を入れてみましょう。PCのtera termの画面は以下のように表示されることになります。
 これはCiscoルータの起動時の画面です。設定方法は次ページ以降にて解説していきます。

 

Ciscoルータ – 起動

◆ Ciscoルータ – 起動方法

 Ciscoルータを起動させるためには、Ciscoルータに電源ケーブルを接続してスイッチONにするだけです。
 それにより自動的にIOSやコンフィグレーションが読み込まれて正常に稼働するようになります。詳細な
 Ciscoルータの起動順序については、Ciscoルータ( メモリの種類と起動順序 )の解説をご確認ください。
 なお、一般的にはルータの起動状態を最初から確認するために、ルータにPCをコンソール接続した上で
 電源スイッチをONにします。コンソール接続方法はCiscoルータ(コンソール接続とは)をご参照下さい。



 ◆ Ciscoルータ – 起動表示

 新品のISRシリーズ / ISR G2シリーズのルータは、起動が完了すると最終的に以下の画面が表示されます。
 つまり、初期状態では、以下を出力させるコンフィグがすでに設定されるということです。初期状態では
 ユーザ名 (Username) とパスワード (Password) を入力して、認証を成功させないとログインできません。
 ここで入力するユーザ名、パスワードはともに”cisco”となります。ログイン後に特権モードに移行します。
 この工場出荷時のコンフィグを完全削除し初期化するためにerase startup-configを入力し、reloadします。

 


 


 reloadコマンドにより再起動が完了すると以下の画面が表示されます。この [yes/no] でyesと入力すると
 セットアップモードが開始します。セットアップモードは対話形式でルータの基本設定を行うモードです。

 noと入力するとセットアップモードが終了します。そしてPress RETURN to get started!が表示されたら
 Enterキーを入力してコンフィグ設定が行えるようになります。一般的に、ネットワークエンジニアはここで
 セットアップモードの対話形式でコンフィグ設定を行っていくことは先ずありません。

 


 no と入力すると5秒後くらいに”Interface”の”down”メッセージが出力されますが気にする必要はないです。
 全てのメッセージが出力された後、以下の通りRouter>と表示されます。後は設定していくだけとなります。

 


 ◆ Ciscoルータ – AutoSecure

 IOSにはAutoSecureという機能があり、この機能を使用することでCiscoルータのセキュリティ設定を
 自動的に実装、または対話形式で実装することができます。自動的に実装する場合には、特権モードで
 auto secure no-interactと入力すれば、シスコ推奨のセキュリティ設定が自動的にコンフィグされます。

2種類の実装方法AutoSecureのコマンド説明
AutoSecure – 対話モードauto secure対話形式で設定していくモード
AutoSecure – 非対話モードauto secure no-interactシスコの推奨設定が自動的に設定されるモード


 AutoSecure機能もセットアップモード機能と同様、一般的にネットワークエンジニアは使用しません。

 【 AutoSecure – 対話モード 】
 



 【 AutoSecure – 非対話モード 】
 



 auto secure no-interactと一行入力するだけで、
 その後は自動的に設定が ruunning-config に
 反映されていくので、稼働環境で絶対に入力して
 はいけないコマンドです。参考知識として知って
 おきましょう。当然、検証環境で試しに入力する
 ことは問題ないです。なお、現役のネットワーク
 エンジニアが、このコマンドを入力することで
 セキュリティ設定を行っていくことは先ずない。

Ciscoルータ – show version / show run の見方

今回出てくる用語

・show versionとは
・show runとは

◆ Ciscoルータ – show version

 Ciscoルータで確認できるステータスコマンドは非常に多くありますが、今回は基本であり重要なコマンド
 を紹介します。先ずshow versionコマンドです。このコマンドではCiscoルータのIOSバージョン情報から
 FLASHメモリ/DRAMサイズ、ルータのアップタイムなど色々な情報を得ることができます。以下の表示は
 Cisco 1812J で show version を入力した結果ですが、他のCiscoルータの機種においても見方は同じです。

 

項番説明
 ルータのモデル名
 IOSのフィーチャー
 IOSのバージョン
 ROMのバージョン
 ルータが起動してからの経過時間
 ルータが起動する際に使用したIOSイメージ名とIOSイメージの場所
 ルータのCPU
 ルータのDRAMのサイズ。”/”の左側の118784KBは、ルーティングテーブルや展開したIOSが記憶されるメモリ。
 ”/”の右側の12288KBはパケットのバッファ領域に使用するメモリ。DRAMのサイズはこれらの合計値(128MB)
 ルータのシリアルID。(ここでは固体の特定を防ぐためにシリアル情報の一部を消去)
 ルータのインターフェースの情報。(このルータでは10のFastEthernet、1つのBRIポート)
 FLASHメモリのサイズ。(このルータでは約32MB)
 コンフィグレーションレジスタの値(現在の値は0x2102。コンフィグレーションレジスタ値で詳細解説)


 ◆ Ciscoルータ – show running-config

 show running-config、つまり show run はネットワークエンジニアが最も入力するコマンドだと言えます。
 なぜなら現在稼働しているCiscoルータの設定内容を表示するコマンドだからです。このshow runの内容は
 Ciscoルータを設定変更(コンフィグ設定)をする度に内容が書き変わります。つまり設定内容によりこの
 show runの表示結果が異なるので解説しようがないのですが一定の共通項目もあるので見ていきましょう。
 ※ 以下の表示結果はC1812Jのものです。物理インターフェースなどの情報は当然機種によって異なります。

 
 ~ 省略 ~

項目番号説明
 設定されたコンフィグではない。「設定されたコンフィグレーションを表示するのでお待ち下さい」という意味。
 設定されたコンフィグではない。現在のコンフィグファイルのサイズ(今回の場合は943byteであると分かる)
 設定されたコンフィグではない。IOSのバージョン情報
 ここから設定したコンフィグとなる。ログメッセージのタイムスタンプ表示の設定を参照。
 コンフィグに表示されるenableパスワードやline console/vtyのパスワードを暗号化するかどうかの設定。
 no service password-encryptionでは暗号化されない。service password-encryptionで暗号化される。
 ルータのホスト名の設定。デフォルトでは「Router」というホスト名が設定されている。
 設定されたコンフィグではない。これらは「bootコマンドの定義」の始まりと終わりを示すためのマーカー。
 これらのマーカーは自動的にコンフィグレーションに表示されるので、削除したり変更したりできない情報。
 AAA(Authenticaion/Authorization/Accounting)と呼ばれるセキュリティ 機能を有効化するかどうかの設定。
 デフォルトで、この設定は無効化(no aaa new-model)されている。



 
 ~ 省略 ~

項目番号説明
 FastEthernet 0 に関する設定情報。
 FastEthernet 0 に設定されたIPアドレスとサブネットマスクの情報。
 FastEthernet 0 に設定されたspeedとduplexの情報。
 FastEthernet 1 に関する設定情報。例では、このインターフェースは何も設定されていないデフォルト状態。
 BRI 0 に関する設定情報。今回の場合、このインターフェースは何も設定されていないデフォルトの状態。
項番説明
 ルータ上でHTTPサーバのサービスを有効にする設定。有効(ip http server)、無効(no ip http server)。
 有効の場合、管理PCからブラウザを開いてhttps://192,168.0.254/と入力しルータに管理アクセスできる。
 ルータ上でHTTPSサーバのサービスを有効にする設定。有効にする設定は(ip http secure-server)、
 無効にする設定は(no ip http secure-server)となる。有効の場合、管理PCからブラウザを開いて
 https://192,168.0.254/と入力してルータにアクセス可能。⑭と⑮の設定はともに無効にすることが推奨。
 ルータのコンソールポートの設定。今回の設定では、コンソールログインする際にパスワード(test1)の
 入力が求められるので、そのパスワードを入力することにより、コンソールログインができるようになる。
 ルータのAUXポートの設定。今回の設定ではAUXポートからログインする際にパスワード(test2)の
 入力が求められるので、そのパスワードを入力することによって、AUXポートからログインができる。
 ルータのVTYポートの設定。今回の設定では、ネットワーク経由でtelnet/SSHでパスワード(test3)
 の入力が求められるので、そのパスワードを入力することでtelnet/SSHログインができるようになる。
 設定されたコンフィグではない。コンフィグレーションの終わりを示す情報。

 Cisco機器へのコンソール接続の方法、IOSの
 基本的なCLIの操作方法などについては、まず
 Ciscoデバイスの操作方法をご参照下さい。


 Ciscoルータに設定できるコンフィグは非常に
 多くありますが、実際にコマンド入力や動作
 確認を行う過程で自然と身についていくので
 NWエンジニアとして焦らず学習しましょう。

まとめ

・show versionとは
→ CiscoルータのIOSバージョン情報からFLASHメモリ/DRAMサイズ、ルータのアップタイムなど色々な情報を得ることができます。

・show runとは
→現在稼働しているCiscoルータの設定内容を表示するコマンド

Ciscoルータ – show interfaces の見方

今回出てくる用語

・show interfacesとは

◆ Ciscoルータ – show interfaces

 show interfaceコマンドにより、Ciscoルータのインターフェースのステータスを確認できるだけでなく
 インターフェースで送受信したパケットの統計情報や5分間平均のスループット情報なども確認できます。
 以上の内容からネットワーク障害対応時にとても役立つコマンドと言えます。ネットワークエンジニアに
 なりたいのならshow interfacesコマンドで出力される全ての項目の内容を理解しておく必要があります。

 ただ単にshow interfacesと入力すると、そのCiscoルータの持つ全てのインターフェースの情報が順に
 表示されていくので、以下のコマンド入力のようにshow interfacesコマンドの後に、ステータス状態を
 確認したい特定のインターフェース(今回はFastEthernet0)を指定し、コマンド入力するのが一般的です。

 

項目説明
FastEthernet0 is up FastEthernet0のインターフェースが物理層として正常に動作できるかどうかを示す。見方は以下。
 「up」:物理層として正常に動作するこを意味する。ルータのI/Fの場合は有効化すれば「up」となる。
 「down」:物理層として正常に動作しないことを意味する。
 「administratively down」:I/Fが”shutdown”された状態であることを意味する。
line protocol is up FastEthernet0のインターフェースがデータリンク層として正常に動作できるかを示す。見方は以下。 
 「up」:データリンク層として正常に動作するこを意味する。
 「down」:データリンク層として正常に動作しないこを意味する。
 ※ LANでは、正しくLANケーブルが接続されていれば「up」となり、そうでなければ「down」のまま。
Hardware is・・ ハードウェアタイプの情報。この情報はあまり重要ではない。
address is・・ FastEthernet0のインターフェースのMACアドレス。
Internet address is・・ FastEthernet0のインターフェースのIPアドレスとサブネットマスク。
MTU Maximum Transmission Unitの値。単位は「 byte 」。
BW Bandwidth ( 帯域幅 ) の値。単位は「 kbps 」。
DLY Delay ( 遅延 )の値。単位は「 マイクロ秒 」。
reliability インターフェースの信頼性。「255/255」が最も信頼性高く、「0/255」が最も信頼性が低い状態。
 そのI/Fでパケットロスや問題が発生したりすると、この信頼性の値 (5分間平均の値) が変化する。
txload インターフェースの送信状態の負荷。100Mbpsのインターフェースで「255/255」となっている場合
 5分間平均で100Mbps全開で使用している負荷の高い状態。例えば「127/255」となっている場合、
 5分間平均で約50Mbps全開で使用している状態。「1/255」の場合、ほとんど送信していない状態。
rxload インターフェースの受信状態の負荷。txloadと同じ考え方でこの値は5分間平均で算出された値。
Encapsulation インターフェースのデータリンク層でのカプセル化タイプ。LANのインターフェースでは以下の4種類
 ① Ethernet II (ARPA) ② 802.3Raw (novel-ether) ③ SNAP (snap) ④ 802.2LLC (sap) がある。
 デフォルトでは「ARPA」。シリアルのインターフェースの場合はデフォルトで「HDLC」となっている。
loopback インターフェースにループバック機能が設定されているかどうかを示す。
Keepalive 10秒ごとにキープアライブのメッセージを送信して、データリンク層が正常であるかを確認している。
Full-duplex duplexが全二重であることを示す。duplexの状態によりAuto状態、Half状態などを確認できる。
100Mb/s speedが100Mbpsであることを示す。speedの状態により現在のそのI/Fでの伝送速度を確認できる。
100BaseTX/FX LANインターフェースの規格状態を示す。
ARP type 指定されているARPのタイプを示す。ここではデフォルトのARPAが確認できる。
ARP Timeout ARP情報がキャッシュされてからどのくらい保持するのかを示す。デフォルトでは4時間キャッシュ。
Last input パケットをインターフェースで最後に受信してからの経過時間。例えば、このインターフェース上で
 障害が発生した場合、このタイマーを参考にして、いつ問題が発生したのかを推測できる。
output パケットをインターフェースで最後に転送してからの経過時間。例えば、このインターフェース上で
 障害が発生した場合、このタイマーを参考にして、いつに問題が発生したのかを推測できる。
output hang インターフェースで最後にリセットしてからの経過時間。リセットの発生はこのインターフェースから
 パケットの送信に時間がかかりすぎた場合などに発生。「never」はリセットが一度もない事を示す。
 障害が発生した場合、このタイマーを参考にして、いつに問題が発生したのかを推測できる。
Last clearing of ・・ インターフェースのカウンター情報はclear countersコマンドを入力することでクリアできる。
 このclear countersコマンドを入力してからの経過時間を示す。一度もclearしてない場合は “never”。
Input queue: sizeとはinput queueの現在のサイズ。maxとはqueueの最大サイズ、dropsとは破棄されたパケット数。
 ここでは「75」を超えるパケットがキューに格納されそうになった時、dropsカウンターが増加する。
Total output drops: インターフェースから送出できなかったパケット数を示す。通信障害が発生していて「ネットワーク
 機器でパケットをドロップしているのではないか」と疑われたら、先ず、このカウンターを確認する。
Queueing strategy: QoSの実装方式を示す。ここではLANインターフェースのデフォルトである「FIFO」となっている。
Output queue: インターフェースの出力キュー内のパケット数を示す。誤解してはいけないのは、このカウンターは
 先ほどの「input queue」の情報と同様に、”インターフェースで受信したパケット数”の情報ではなく
 ”キュー内のパケット数”を意味する。このあたりは、QoSに関する知識があればすぐに明快になる。
5 minute input そのインターフェースでの5分間平均の受信bps(bits/sec)、受信pps(packets/sec)が確認できる。
 インターフェースでどのくらいのスループットが出ているのかは受信bps(bits/sec)が目安になる。
5 minute output そのインターフェースでの5分間平均の送信bps(bits/sec)、送信pps(packets/sec)が確認できる。
 インターフェースでどのくらいのスループットが出ているのかは送信信bps(bits/sec)が目安になる。
packets input, bytes 正常に受信したパケット数と合計のバイト数
Received broadcasts 正常に受信したマルチキャスト/ブロードキャストの合計数
runts インターフェースのメディアの最小パケットサイズより小さいために破棄されたパケットの数。
 イーサネットでは、最小サイズの64byte未満のパケットがインターフェースで受信した場合
 破棄される。runsのカウンターが発生する要因の多くがコリジョンを受信しているケース。
giants インターフェースのメディアの最大パケットサイズより大きいために破棄されたパケットの数。
 イーサネットでは、最大サイズの1518byteを超えるパケットを受信した場合、破棄される。
throttles メモリでのバッファやプロセッサに負荷がかかりすぎた場合にカウントされる。
 ネットワーク規模に対してルータのスペックが不足している、メモリが不足している可能性がある。
input errors runts, giants, throttles, CRC, frame, overrun, ignoredのエラーカウントの合計数。
CRC インターフェースで受信したパケットがCRC ( Cyclic redundancy checksum ) チェックに失敗した
 場合にカウントされる。ケーブル不良、対向機器のポート不良、自身のポート不良などが考えられる。
frame CRCエラーやオクテットの数に誤りがあるパケットを受信した場合にカウント。
overrun 受信速度が処理能力を超えたために、インターフェースのバッファに送れなかった場合にカウント。
ignored インターフェースでの受信時のバッファ不足により破棄された場合にカウント。
watchdog 2048byteよりも大きなサイズのパケットを受信した場合にカウント。
input packets with・・ 受信したパケットは問題なく処理されるが、フレーム長がわずかに長いものを受信した場合にカウント。
packets output, bytes 正常に送信したパケット数と合計のバイト数
underruns 送信時にバッファの処理能力を超える速度でパケットを送信した場合にカウント。
output errors パケットを送信する際にエラーが発生した場合にカウント。
collisions パケットを送信する際にコリジョンが発生したことにより、再送された場合にカウント。
interface resets パケットを送信する際に数秒間の待ち時間が発生してインターフェースリセットが起きるとカウント。
unknown protocol drops 認識できないプロトコルのパケットを検出した場合にカウント。
 例えば、CDPを有効にしたインターフェースと無効にしたインターフェースを相互接続すると発生する。
babbles Transmit jabber timer expired.
late collision lateコリジョン(プリアンブルを転送した後にコリジョンが起こる時に発生)を検出した時にカウント
deferred Number of times that the interface had to defer while ready to transmit a frame
 because the carrier was asserted.
lost carrier 送信中にキャリアが失われた場合にカウント。
no carrier 送信中にキャリアが検知されない場合にカウント。
output buffer failures インターフェースからパケットを送出する際のバッファに失敗した場合にカウント。
output buffers swapped インターフェースからパケットを送出する際のバッファをスワップした時にカウント。


 キャリアとは、ワイヤが別の送信ステーションで使用されているかどうかを検出するためのイーサネット機器で使用される電気信号。


 show interfacesの各情報は全て重要である事から
 全てを知っている必要がありますがこれらの情報は
 ネットワークエンジニアの仕事をしていれば自然と
 身についていくのでその都度参照しておきましょう。

 CCNA/CCNP/CCIEなどでこれらの各項目について
 問題が出題されるようなことはありませんので全て
 暗記する必要はありませんが、全て理解はしておく
 ことは重要です。


 ◆ Ciscoルータ – show interfaces( 物理層とデータリンク層の正常確認 )

 show interfaceコマンドの表示項目のなかで最も重要なのは、最初の1行目の部分です。この1行目で
 そのインターフェースが物理層とデータリンク層で、正常であるかどうかを判断することができます。
 今回はSerialインターフェースを例に解説しますが、LANインターフェースでも基本的な考え方は同じ。


              

 

Serial0/0 isline protocol is意味
administratively downdown Interfaceがshutdownされている状態。no shutdownで有効にする必要がある。
downdown 物理層が正常に動作しない状態。以下の原因が考えられる。
 ・ 物理的にケーブルが接続されていない
 ・ 物理的にインターフェース不良である
 ・ 対向機器のインターフェースがshutdownされている
updown データ層が正常に動作しない状態。以下の原因が考えられる。
 ・ キープアライブが届いていない
 ・ データリンク層のカプセル化タイプが一致していない
 ・ クロックレートの設定がされていない。(クロックの供給を受けていない)
 ・ ケーブルが正常に接続されていない。(ケーブルが外れかけている)
upup このインターフェースでの物理層、データリンク層は正常であるといえる。


 なお「 Interface is up / line protocol is up 」という項目は、show interfacesコマンドではなくて、
 show ip interfaces briefコマンドを入力することで、この項目だけを一覧で確認することができます。


 ちなみに、ルータの物理インターフェースを「no shutdown」により有効化した場合、ケーブルが未接続の
 状態でも「Interface is up, line protocol is down」となりますが、Catalystスイッチでは「no shutdown」
 で有効化した場合、ケーブルが未接続の状態では「Interface is down, line protocol is down」となります。

まとめ

・show interfacesとは
→ Ciscoルータのインターフェースのステータスを確認できるだけでなくインターフェースで送受信したパケットの統計情報や5分間平均のスループット情報なども確認できます。

Ciscoルータ – 基本設定

◆ Ciscoルータ – ホスト名の設定

 ルータの最初の設定といえばホスト名の設定です。デフォルトのホスト名は” Router “となっていますが
 このホスト名を変更することにより、ネットワーク管理者がそのデバイスを管理しやすいようになります。
 「hostname ホスト名」という構文で設定変更します。※ 以下ではホスト名を” R1 “に変更しています。

 



 ◆ Ciscoルータ – インターフェースの有効化 / 無効化

 Ciscoルータは、デフォルトでインターフェースが無効化 (shutdown) されてる状態なので、使用する
 インターフェースは有効化させる必要があります。有効化するためには、該当インターフェースを指定
 した上で「no shutdown」というコマンドを入力します。以下ではFastEthernet0 を有効化しています。

 


 再び、無効化したい場合「shutdown」コマンドを入力します。administratively downと表示されます。

 


 ◆ Ciscoルータ – インターフェースのIPアドレス設定

 ルータはルーティングするデバイスですから、ルータの各インターフェースにはIPアドレスを設定する
 必要があります。先ずIPアドレスを設定するインターフェースを指定して、インターフェースコンフィグ
 モードに移行してIPアドレスを設定します。構文は「 ip address IPアドレス サブネットマスク 」です。
 以下では、FastEthernet 0のインターフェースにIPアドレスを192.168.0.254/24として設定しています。

 



 ◆ Ciscoルータ – インターフェースのdescription設定

 ルータとしての動作には全く関係ありませんが、インターフェースに説明文をつけることができます。
 これによりこのインターフェースでは、どのようなネットワークが接続されているのかを管理しやすく
 なります。構文は「description 適当な文字列」となります。今回は例として”Sales-Network”と設定。

 




 ◆ Ciscoルータ – 最適化( コンソール入力の再表示の設定)

 例えばコンフィグレーションモードからexitを入力してモードを変更してからshow runと入力しようと
 したところ、数秒後に、show runの入力途中にメッセージが表示されて入力の邪魔をされてしまいます。

 



 そこで line console や line vty に logging synchronous コマンドを設定すると、メッセージが表示
 されても自動的に改行して、コマンドを入力中の行に自動的に戻るのでコマンド入力が邪魔されません。

 ◆ line console 0 に logging synchronous を設定
 


 


 ◆ Ciscoルータ – 最適化(セッションタイムアウトの設定)

 このホスト名を変更することで、ネットワーク管理者がそのデバイスを管理しやすいようになります。
 Ciscoルータは一定時間のCLI操作がないと、自動的にセッションをログアウトするようになっています。
 デフォルト値の10分後には、コンソール接続の場合はログアウトして以下の画面となるので再度ログインしなければいけません。

 ◆ 10分間の操作がないと自動的にログアウトされる
 



 一定時間操作がない場合に自動的にセッションアウトすることは、セキュリティ的に良いかもしれないが
 例えば検証環境においては、このログアウトと再度のログインの繰り返しは意外に無駄な時間となります。

 このデフォルト値(10分間)から変更することができます。構文は「exec-timeout 分 秒」となります。
 以下の設定では、自動セッションタイムアウトが30分間となります。この30分間をデフォルトの10分間
 に戻すためには「no exec-timeout」と入力するのではなくて「exec-timeout 10 0」と入力します。
 ちなみに、デフォルト値はコンフィグ上には表示されません。

 ◆ 30分間の操作がないと自動的にログアウトされる状態に変更
 

 ※ exec-timeout 0 0 と入力した場合は自動ログアウトが無効になります。



 ◆ Ciscoルータ – ログインバナーの設定

 ルータとしての動作には全く関係ありませんが、ルータにログインする際にメッセージを表示させる
 ことができます。管理上のメッセージとして役立ちます。以下の設定例ではルータにログインすると
 (^-^) This is my Cisco Router. Do not Access. が表示されるよう設定しています。banner motd
 コマンドの後に、バナーメッセージの始まりと終わりを示す # と入力して設定する必要があります。

 


 exitコマンドを入力してログインしてみると、以下の通りメッセージが表示されています。

 


 実際に、お客様に納品するCisco機器に対して、
 冗談でもこのような絵文字を書くようなことは
 ネットワークエンジニアとしてしてはいけない
 こと、なんてことは言う必要もないですよね。

 一般的に、管理しやすいように機器の導入日時、
 シリアル番号、設置場所が分かる情報を記載する
 場合がありますが、セキュリティ上は問題であり
 Cisco社としても「ログインバナーにはそれらの
 情報を含めないで下さい!」と警告しています。

 バナーメッセージを表示するコマンドは、banner motdコマンド、banner loginコマンド、banner exec
 コマンドの3つがあります。詳細はCatalystスイッチの基本設定で解説していますがCiscoルータも同じです。

Ciscoルータ – セキュリティ設定 – Password

◆ Ciscoルータ – ユーザEXECモードへのアクセス制限

 Ciscoルータへ管理アクセスする方法には、コンソールポート経由、AUXポート経由、VTYポート経由
 の大きく3つがあります。これらのどのアクセスにおいても、不正にルータにログインされないように
 Ciscoルータにアクセスしてログインする際にパスワードが求められるように設定するのが一般的です。


    



 パスワードが求められるように設定するには、各lineにおいて、passwordコマンドとloginコマンド
 の2つを設定する必要があります。passwordの後には任意の文字列を指定します。例えば以下の通り
 設定することにより、ルータにアクセスした際にログイン時にパスワードの入力が求められるように
 なります。以下の設定例ではパスワードにciscotestと入力することでログインできるようになります。

 ◆ コンソールポートへのパスワード設定
 


 ◆ AUXポートへのパスワード設定
 


 ◆ VTYポートへのパスワード設定
 


 VTY line (Virtual Teletype Line) は文字通り仮想端末のラインであることから、コンソールポートとは
 異なり、実際に物理的にポートを持っている訳ではありません。Ciscoルータ上で仮想的に複数ポートを
 持つことにより、複数のユーザが同時にアクセスすることが可能です。デフォルトではVTYポート番号は
 line vty 0 4とあることから仮想ポートとしては 0~4 の5ポートあります。従ってCiscoルータに同時に
 5つのtelnetセッションを接続することができます。VTYポートは、小さい番号から使用されていきます。



       



 line vty 0 4の定義の場合、telnet/SSH接続できる仮想ポートを5つしか用意できないので、一般的には
 line vty 0 15と定義して仮想ポートを 16 ポート用意する設定するケースが多いです。VTYのポート数は
 ルータの機種によって設定できる数が異なります。コンソールポートやAUXポートとは異なりVTYポート
 の場合はデフォルトでこのpasswordとloginコマンドの設定がされていないとセキュリティ上の理由から
 VTYポート経由でアクセスできないようになっています。※AAAの設定をしている場合は例外となります。


 上記の password コマンドと login コマンドで
 telnet接続ができるようになりますが、telnet
 接続したルータで特権EXECモードへ移行する
 ためには、enable passwordコマンドまたは
 enable secretコマンドを設定する必要がある。

 設定してない場合、enableで特権EXECモード
 へ移行しようとすると、”No Password set”と
 メッセージが表示されて、特権EXECモードへ
 移行できない状態になります。

      



 ◆ Ciscoルータ – 特権EXECモードへのアクセス制限

 Ciscoルータには、パスワードを2段階で設定するのが一般的です。一段階目は、ユーザEXECモードの
 パスワード設定で、二段階目は、この特権EXECモードへのパスワード設定です。特権EXECモードへの
 パスワード設定を行うことで、Ciscoルータでenableコマンドを入力する際にパスワードの入力が求め
 られるようになります。ユーザEXECモードへのパスワードと特権EXECモードのパスワードを異なる値
 にして、特権EXECモードへのパスワードは限られた管理者だけに知らせることでセキュリティが向上。

 特権EXECモードのパスワード設定コマンドは2つあります。enable passwordコマンドとenable secret
 コマンドです。enable passwordコマンドでは、コンフィグファイル上パスワードが暗号化されませんが
 enable secretコマンドではパスワードが暗号化されるので一般的にenable secretコマンドを使用します。

 ◆ 以下の設定例では enable passwordに “abc” と定義
 


 ◆ show runで設定部分を確認してみると暗号化されずに表示されている・・
 



 ◆ 以下の設定例では enable secretに “def” と定義
 


 ◆ show runで設定部分を確認してみると暗号化されて表示されていることが確認できます。
 

 ※ enable passwordとenable secretの両方を設定した場合、enable secretで定義したパスワードが優先されて使用されます。


 ◆ Ciscoルータ – パスワードの暗号化

 Ciscoルータではenable secretコマンドのパスワードを除き、line vtyやconsoleに設定したパスワードや
 enable passwordなどは暗号化されずにクリアテキストとしてコンフィグ上に表示されてしまいます。が、
 service password-encryptionコマンドを設定することでこれらのパスワードが自動的に暗号化されます。

 ◆ service password-encryptionコマンドの設定前
 


 ◆ service password-encryptionコマンドの設定
 


 ◆ service password-encryptionコマンドの設定後
 


 service password-encryptionコマンドを無効にするために、no service password-encryption と設定
 したとしても、一度暗号化されたパスワードの文字列はクリアテキストの文字列に変換されることはない。


 ところでservice password-encryptionコマンド
 を入力すればパスワード情報が暗号化されるので
 enable secretコマンドを使用しなくても、
 enable passwordコマンドを使用しても問題ない
 のではないかという疑問があるかもしれません。

 しかし、それでもenable secretコマンドを使用
 することが推奨です。なぜならenable password
 よりもenable secretコマンドの方が暗号化レベル
 が高いからです。この点をぜひ認識しましょう。

Ciscoルータ – セキュリティ設定 – SSH

◆ Ciscoルータ – SSHの設定

 Ciscoルータへtelnet接続したい場合、Ciscoルータ側の設定は先に紹介した通り line vty の部分に
 passwordコマンドとloginコマンドを入力すればいいだけです。が、CiscoルータへSSH接続したい
 場合は、SSHサーバとして動作させるための色々な設定が必要となります。その手順は紹介します。
 ※ telnetとSSHの違いについては「 TCP/IPをはじめから – Telnet/SSHとは」をご参照ください。


 ① ユーザ認証の設定
 SSHにおけるユーザ認証の方法には、パスワード認証と公開鍵認証の2種類があります。一般的には
 パスワード認証を使用します。SSHクライアント側は、ここで設定したユーザ名とパスワードを入力
 することでCiscoルータへSSH接続してログインできるようになります。以下の設定例ではユーザ名に
 ”admin1″ パスワードに “cisco1″としています。ユーザ名とパスワードは大文字小文字を区別します。

 


 SSH接続でVTYポートにログインする際に、line vtyに設定されたパスワードではなく、上記で設定した
 ユーザ名とパスワードを認証の際に使用するようにするために、line vtyにローカル認証の設定をします。

 
 ※ VTYポートを5つ以上作成したい場合、例えば16つのVTYポートを作成したい場合は “line vty 0 15” とコマンド入力します。



 ② ドメイン名の設定
 SSH暗号鍵の生成のためにホスト名とドメイン名を設定します。ホスト名とドメイン名ともにローカル
 の適当な内容で問題ないので、ここでは例えばホスト名を”R1″、ドメイン名を”cisco.com”にしています。

 



 ③ RSA暗号鍵の設定
 SSHで使用するRSA暗号鍵を生成するために crypto key generate rsa コマンドを入力します。
 このコマンドの入力後、鍵長サイズの指定を求めてくるのでそこでは1024と指定するようにします。

 



 ④ SSHのバージョンの設定
 SSHのバージョンには1と2があります。バージョン2の方がよりセキュアなのでSSHクライアント側で
 SSH version 2 がサポートしていれば ip ssh version 2 と設定してSSH version2を使用するように
 しましょう。SSH versioin 1を使用するならip ssh version 1と設定します。今回はversion 2にします。

 



 ⑤ SSH接続を許可する設定
 デフォルトでCiscoルータへのSSH接続は許可されています。従って何も設定変更する必要はないです。
 ⇒ All protocols are allowed on virtual terminal lines (vtys). Default is transport input all.

 しかし例えば、Ciscoルータへの接続はSSHのみにしたい場合、line vtyの設定でtransport input ssh
 と設定すれば実現できます。また、transport input telnet sshと設定すれば、Ciscoルータへはtelnet
 接続とSSH接続のどちらでも可能となります。セキュリティ上、Ciscoルータへの管理アクセスはSSH
 接続のみ許可したいという場合はtransport input sshと設定しましょう。

 


 上記で紹介したSSH設定によりSSH接続ができる
 ようになりますが、SSH接続したルータで特権
 EXECモードへ移行するためにはenable password
 コマンドかenable secretコマンドでパスワードを
 設定しておく必要があります。

 設定してない場合、enableで特権EXECモードへ
 移行しようとするとNo Password setとメッセージ
 が表示されて特権EXECモードへ移行できません。

     



 ◆ Ciscoルータ – SSHによるアクセス

 クライアントPCからCiscoルータへSSH接続するためには、Tera Termの場合は以下の手順となります。
 ※ SSHクライアントであるPCのIPアドレスが192.168.0.100、SSHサーバとなるCiscoルータのIPアドレスが192.168.0.254。 


          


               

            ◆ ルータで設定したユーザ名(username)とパスワード(password)を入力。
            



 ◆ 上記の手順により以下のSSH接続が成功して、ルータにログインできるようになります。
 


 ◆ show sshコマンドで、現在使用されているSSHバージョン、現在接続しているユーザ名などの情報が分かります。
 

 ところで、CiscoルータからCiscoルータへtelnet接続する場合は「telnet “IPアドレス”」と入力しますが
 CiscoルータからCiscoルータへSSH接続するためには、「ssh -l “ユーザ名” “IPアドレス”」と入力します。
 例えば、Ciscoルータ (R1)にユーザ名”admin1″、パスワード”cisco1″と設定されている場合、以下の通り
 ssh -l admin1 192.168.0.254と入力することで、CiscoルータからCiscoルータへとSSH接続が可能です。
 ※ CiscoルータからルータへのSSH接続はtelnetのようにレスポンス(エコーバック)がよくありません。

 

Ciscoルータ – 起動時のIOS選択

◆ Ciscoルータ – IOSソフトウェアの検索順序

 Ciscoルータは起動時にROM内にあるブートストラップが、以下の順番でCisco IOSの検索を行います。

 ① コンフィグレーションレジスタ値を参照して起動モードを確定
 ② 起動モードが「0x2102」である場合、NVRAMのstartup-configのboot systemコマンドを確認
 ③ boot systemコマンドにより定義がない場合、フラッシュメモリ上の一番最初のIOSを選択
 ④ フラッシュメモリにIOSがない場合、またはIOSが破損している場合、ROMMONモードで起動

 今回は③のboot systemコマンドについて解説します。事前にCiscoルータの起動順序もご確認下さい。


 ◆ Ciscoルータ – boot systemコマンド

 フラッシュメモリに複数のIOSがある場合、boot systemコマンドでロードしたいIOSを選択できます。
 フラッシュメモリの中身はshow flash:で確認できます。以下では、IOSが2つあることが分かります。

 




 例えば”c181x-advipservicesk9-mz.151-3.T.bin”のIOSで起動させたい場合、boot system flashコマンド
 の後、”c181x-advipservicesk9-mz.151-3.T.bin”を指定します。設定コマンドは以下のとおりです。なお、
 boot system flash ではなく boot system flash:と指定したり boot system flash:/ とも指定できます。

 


 では、boot systemコマンドで起動するIOSを指定しなかった場合、どちらのIOSで起動するのでしょうか。
 それはshow flash:コマンドで最初に表示されたIOS。つまり c181x-advipservicesk9-mz.124-15.XY3.bin。


 ところで、起動するIOSをフラッシュメモリのIOSではなくTFTPサーバにあるIOSを指定することもできます。
 例えば、TFTPサーバ (192.168.0.10) に格納されているIOS (c2800nm-adventerprisek9-mz.151-3.T.bin)
 で起動させたい場合、boot system tftpコマンドで以下の通り設定します。boot system tftpコマンドの後に
 TFTPサーバ上にあるIOSを指定します。そして、そのIOSの後にTFTPサーバのIPアドレスを指定します。


        

 Router(config)# boot system tftp c2800nm-adventerprisek9-mz.151-3.T.bin 192.168.0.10


 上記コマンドによるTFTPサーバからの起動は一般的には行われません。あくまでも参考知識として下さいね。

※最新の情報の取得・更新に努めておりますが、掲載内容については、その正確性、完全性、有用性、最新性等についていかなる保証もするものではありません。

タイトルとURLをコピーしました