―――― Cisco技術とCisco資格 to be CCIE No.045 ―――――

=== INDEX ===================================== 2005/09/04 ==

 1, はじめに
 2, Today's TOPIC  ― 経路再配布 ― 
 3, 心の中に優しい風を吹かせよう!
 4, いけてるCiscoコマンド
 5, おわりに

============================== a circulation of about 2100 ==

1, はじめに

こんにちは。発行者の Cool です。

CiscoWave と Networkers2005 が10月17〜19日に開催されます。
事前登録は9月5日(月)開始なので、ちょうど明日からですね。

http://www.cmarket.jp/cwnw2005/

人気セッションはすぐに満席になるとのことですが、確かに当たりの
ものもあるので、日程の調整がとれれば、是非行きたいところですね。
networkers2005 の CCIE Event は今年は何やるのでしょうか。

――――――――――――――――――――――――――――――――

2, Today's TOPIC  ― 経路の再配布  ― 

前回の続きで「経路の再配布」に関するシスコ技術ネタです。

http://tinyurl.com/alrx8 

前回、CE1,2 で OSPF と EIGRP の相互再配布をさせることにおいて
RIP や スタティックの経路情報を EIGRP に再配布させることで
生まれるEIGRP外部ルート(AD170)は、問題であると申し上げました。

前回の設定で RIP の経路情報 192.168.1.0/24 を EIGRP に再配布させ
スタティックの経路情報 172.16.1.0/24 を EIGRP に再配布させました。
それにより、CE1,2 のルーティングテーブルには、それらの経路情報が
例えば以下のように表示されることになります。

D EX  192.168.1.0/24 [170/3072] via 10.10.10.254, 00:01:27, Vlan5
D EX  172.16.1.0/24  [170/3072] via 10.10.10.254, 00:01:27, Vlan5

CE1,2 は OSPFとEIGRPを相互再配布させているので、上記の経路情報は
OSPFに再配布されることになります・・・
ここからちょっとした問題が発生し始めることになります。

---------------------------------------------------------------------

前提として、CE1とCE2の対向ルータとなるPE1とPE2が物理・論理構成
ともにシンメトリーにあるとします。再配布される経路情報はOSPF網に
伝わっていくことになりますが、もちろん CE1 → PE1 → PE2 → CE2
と CE2 → PE2 → PE1 → CE1 の流れでの経路通知も行われます。
先に CE2 で再配布の設定をして CE2 → PE2 → PE1 → CE1 の流れを
作るとします。その場合、CE1のルーティングテーブルは以下のように
もともと LAN 側から受け取っていた経路情報が WAN 側から受けとる
ことになります。なぜ、先ほどの最適経路の経路情報が上書きされたのか・・・

O E1  192.168.1.0/24 [110/60] via 10.10.11.254, 00:01:27, FastEthernet0/24
O E1  172.16.1.0/24  [110/60] via 10.10.11.254, 00:01:27, FastEthernet0/24

CE1で最初に持っている経路情報は EIGRP により得たもので、その時の
ADは外部ルートなので 170 であることに対して、ぐるっと回ってきた
PE1から通知されてきた経路情報は外部ルートであっても 110 だからです。
EIGRPは内部ルート(90)と外部ルート(170)とでAD が異なっていますが
OSPF の場合、内部でも外部でも AD の値は(110)のままです。

AD は低い方が優先されるので、最短パスでなくてもルーティング
テーブルが書き換えられてしまいます。さらにこの構成の場合ですと、
CE3をプライマリールータとして使用したかったのに、その設計も
崩れてしまうことになります。では、どうすればいいのでしょうか・・・

---------------------------------------------------------------------

1、distance コマンドで特定のルートの AD を調整する

再配布された 192.168.1.0/24 と 172.16.1.0/24 の経路情報の AD を
OSPF では AD を例えば 175 以上にすればこの問題を回避できます。
そうすることで、PEルータから回り込みでこれらの経路情報が来ても
既存の 170 と 175 とでは、170 が強くルーティングテーブルが
書き換えられない結果、CE1 からも再配布することができます。

router ospf 1
distance 175 0.0.0.0 255.255.255.255 11

access-list 11 permit 192.168.1.0 0.0.0.255
access-list 11 permit 172.16.1.0 0.0.0.255

頭の回転の速い人は、EIGRP で 192.168.1.0/24 と 172.16.1.0/24 の
経路情報の AD を 90 にすればいいのでは?と思ったかもしれません。
しかし、EIGRP では distance コマンドで外部ルートの特定ルートを
AD調整することはできない機種があるのです。あるいは出来ないのです。
内部ルートの場合は、特定ルートの AD 調整は可能です。

---------------------------------------------------------------------

2、distribute-list in コマンドで回り込みルートを制限する

そもそも LAN 側で受け取る経路情報を WAN 側でさらに受け取る
必要がないことから、ダイナミックな冗長構成を実現できている
場合、問題となる経路情報を含めて、LAN側の経路情報をすべて
配信制限するという手もあります。但し、運用と管理という観点
から考えると、最低限の設定が望ましいので以下のように設定します。

router ospf 1
distribute-list 11 in FastEthernet0/24

access-list 11 deny 192.168.1.0 0.0.0.255
access-list 11 deny 172.16.1.0 0.0.0.255
access-list 11 permit any

さらに、上記の設定は基本的に推奨されない OSPF での IN 制限
です。show ip route でみれば deny で拒否しているものは、
見えないようになりますが、show ip ospf database でみれば
残っています。詳細はこちらにてご確認下さい。
→ http://www.cisco.com/warp/public/104/9.html#q12

---------------------------------------------------------------------

従って、今回は1のdistance コマンドで回避させてはどうでしょうか。
何でも、ここはちょうど CCIE ラボでちらほら出る内容なので、完全に
マスターしたいところですね。

次回は「passive-interface から考えるセキュリティ」の予定です。

最後までお読み頂きありがとうございました。

――――――――――――――――――――――――――――――――

3, 心の中に優しい風を吹かせよう!

チームマイナス6%に参加しよう!!! 
エコライフを実践 by コマメちゃん
タバコを止めたいと考えている方へ
WWF Panda Shop by 自然保護NGO WWF

――――――――――――――――――――――――――――――――

4, いけてるCiscoコマンド

新コーナーです。新コーナーとかいって数回で終わるオチが多いのですが
がんばりたいと思います。このコーナーでは、活用してほしい重要な基本
コマンドと、役立つけどあまり知られていないコマンドを、少しずつ紹介
していきたいと思います。宜しくお願いします。

1、show ip interface

極めて基本的なコマンドですがとても重要です。show interface ではなく
show ip interface です。コマンドを入力して頂ければ一目瞭然ですが、
このインターフェースって、こんなに多くのサービスや情報があるんだ!
ということが改めて分かります。例えば、シリアルインターフェースで
encapsulation ppp の時はスプリットホライズンが enable となり、
encapsulation frame-relay の時は disable になることも確認できます。

2、logging source-interface, snmp-server trap-source

例えば、L3スイッチにこの設定がないと一般的にヒアリング不足かも。
L3スイッチは一般的に数多くのIPアドレスを持ちます。運用・管理者が
その全てを記憶するのは難しいものがあります。
SYSLOG サーバや SNMP サーバへ投げるログやトラップのソース元が
特定されていると、とても管理しやすくなります。

コマンドレファレンスのお勧めはこちら(http://tinyurl.com/c3vby)
次回は、ブラックではないマニアックなコマンドを紹介したいと思います。

――――――――――――――――――――――――――――――――

5, おわりに

最近知って即購入したのですが、ネットワークセキュリティ基礎テキスト
というシスコ・プログラム認定カリキュラムのこの参考書・・・

これは本当に当たりの参考書でした。例えば、line console や vty の
transport input/output 等に関する基本的な所もクリアーになりましたし
各種の攻撃に対する防御方法、ACLのほぼ全パターン、VPN などから、
PIXセキュリティアライアンスまで至れり尽くせりの参考書でした。

基礎テキストというより、基礎から応用まで詳細に書いています。
セキュリティー講習殺しのこの参考書、ぜひ一度読んでみて下さい。

ネットワークセキュリティ基礎テキスト( http://tinyurl.com/76srm )
シスコ・ネットワーキングアカデミー・プログラム認定カリキュラム    
――――――――――――――――――――――――――――――――

      Cisco技術とCisco資格 to be CCIE                    
             by ネットワークエンジニアとして    

     ―― http://www.infraexpert.com/ ――
                                                         
メールアドレスの登録、解除はご自身で行って頂きますようお願いします。
また、当メールマガジンの内容、情報から発生するいかなる損害に対しても
補償することは出来ません。ご自身で判断して活用して頂ければと思います。 

    Copyright (C) 2002-2005 Cool. All Rights Reserved.

=================================================================


ネットワークエンジニアとして

Copyright(C) 2002-2008 Cool. All Rights Reserved