―――― Cisco技術とCisco資格 to be CCIE No.048 ――――― === INDEX ===================================== 2005/02/26 == 1, はじめに 2, Today's TOPIC ― ルーティング認証 ― 3, 心の中に優しい風を吹かせよう! 4, いけてるCiscoコマンド ― 勉強時間の節約偏 ― 5, おわりに ============================== a circulation of about 2700 == 1, はじめに 2006年2月23日、Cisco ISR Router教科書がついに発売です。 この参考書の発売を楽しみに待っていた方は多いのではない でしょうか。ISR Routerは、サービス統合型ルータという だけあり、このルータ一台でIPsec,Firewall,VoIP,CCMEなど まさにワンストップソリューションともいえるルータです。 詳細は目次にある通りなのですが、Cisco ISR 3800シリーズ といえば、CCIEラボでも使用される機器ですよね。是非この Cisco ISR Router教科書で、ハードの知識も深めましょう。 CCIEといえば、1月のことですが、メルマガの相互紹介にある KunioさんもCCIEに合格されました!あらためてCCIE合格、 おめでとうございます!本当に素晴らしくめでたい話です。 メルマガではIPv6のお話も始められています。とても参考に なるメルマガです。みなさんも是非活用しましょう! http://www.mag2.com/m/0000145302.html 今月号からCCIEネタを始めたいと思っていたのですが、 申し訳ないことにコンテンツ作成が間に合いませんでしたので、 来月号からになります。頑張りますので宜しくお願いします。 ―――――――――――――――――――――――――――――――― 2, Today's TOPIC ― ルーティング認証 ― さて、前回のpassive-interfaceから考えるセキュリティですが、 passive-interfaceの用途として、以下の3つを挙げました。 1、無駄なトラフィックの防止 2、無駄なネイバーの防止 3、ネットワーク境界上でのアップデート防止 突き詰めれば、全て同じ1つの理由に辿り着きそうな感じな ことはさておき、3は経路情報が漏れることを防止する為にも 必要であると解説しました。 でも例えば、あるセグメントでルータ間では経路情報のやり取り を行いたいけれど、そのセグメントに存在する、ルーティング プロトコルをおしゃべりするサーバから送られてくる経路情報を 受信したくない場合は、あるいはそれに送信したくない場合は どうすればいいでしょうか。そのような要件の解決の一つとして 「ルーティング認証」があげられます。 RIPの経路情報をやりとりくらいできるサーバは多くあるので、 RIPv2を導入する時は、必ず認証の設定をセットにしています。 そういうわけで、今回は RIPv2 認証について解説していきます。 ---------------------------------------------------------------- ● RIPv2の認証設定 先ず認証設定ができるのはRIPv2であり、RIPv1は出来ません。 CiscoルータでのRIPv2では、以下の2つの実装をサポートです。 ・ 平文認証 ( Plain Text authentication ) ・ MD5 認証 ( Message Digest authentication ) 認証設定をenableにした時のデフォルト認証モードは、前者。 つまり認証設定をしても、暗号化されていない認証パスワード が、やり取りされるRIPv2のパケットに含まれることになるので パケットキャプチャーするとパスワードが分かってしまいます。 そういうわけで、デフォルトの認証モード ( 平文認証 ) は、 MD5認証に変更してあげることを、シスコも推奨しています。 それでは実際の設定を見ていきます。先ず、key の定義。 (config)# key chain Cool (config-keychain)# key 1 (config-keychain-key)# key-string cisco key chain はローカルのものなので、対向ルータと文字列を 同じにする必要がありません。key chain は、ジャラジャラ と鍵のついた鎖 ( chain ) です。次の key の番号は、認証 モードが plain text の場合、同じにする必要はありません が、認証モードが MD5 の場合、対向ルータと同じにする必要 があります。最後の key-string は、パスワードなので、 対向ルータと必ず、同じ文字列を定義する必要があります。 次に認証対象ですが、インターフェースごとに定義できます。 今回は、FastEhernet0/1 のインターフェース上で定義します。 (config)# interface fastethernet0/1 (config-if)# ip rip authentication key-chain Cool (config-if)# ip rip authentication mode md5 今回の設定では認証モードを MD5 にしていることから、 対向ルータと以下3つを同じにする必要があります。 ※ MD5で key 番号が異なっていても認証される時があります。 1 認証モード ( MD5 ) 2 key-string ( cisco ) 3 key番号 ( 1 ) 最後までお読み頂きまして、ありがとうございました。 Reference ( http://www.cisco.com/warp/public/105/50.html ) ―――――――――――――――――――――――――――――――― 3, 心の中に優しい風を吹かせよう! チームマイナス6%に参加しよう!!! エコライフを実践 by コマメちゃん タバコを止めたいと考えている方へ WWF Panda Shop by 自然保護NGO WWF ―――――――――――――――――――――――――――――――― 4, いけてるCiscoコマンド ( 勉強時間の節約編 ) logging synchronous 検証、現場ともに役立ちます。かなりいけてます。このコマンドは console ポートに設定します。コマンド入力の作業中にコンソール メッセージがでると、カーソルがその後に移動して入力作業が邪魔 されることがよくあります。それを解消するコマンドなのです。 つまり、コンソールメッセージが出力されても、そのカーソルは すぐに入力ラインに引き戻されるます。いつも感動しています。 privilege level 15 検証時に役立ちます。例えば line vty や console に設定します。 例えば、ルータに telnet すると、telnetパスワードをいれた後に 特権パスワードをいれてようやく特権モードに入りますが、これを 設定していると、telnet後にtelnetパスワードを入力して認証され たら、すぐに特権モードです。特権パスワードが入れる必要がなく なります。私の検証用ルータや会社のラボルータにも入れています。 めちゃくちゃ便利です。本当に作業効率が上がります。パスワード 入力が一回だけでいいのか、二回の必要があるのか、それだけの事 ですが、是非いちど設定してみて下さい。すばらしさを実感できます。 但し、セキュリティ的に問題なのであくまでも検証用でご使用下さい。 ―――――――――――――――――――――――――――――――― 5, おわりに なんと、インターネットルーティング入門の第二版が、今年の 1月に発売されているではありませんか!この参考書は「入門」 とタイトルにありますが、中級者、上級者にもかなり役立ちます。 Amazonレビューでも、相変わらず評価が高いようですね。 この中でも特にいけてる解説は、やはり「OSPF」と「BGP」です。 ネットワーク技術者として、ご飯を食べていく人には必須の 知識となるエッセンスが詰まったこの参考書。とてもお勧めです。 インターネットルーティング入門 第2版 (http://tinyurl.com/g9n6a) ―――――――――――――――――――――――――――――――― Cisco技術とCisco資格 to be CCIE by ネットワークエンジニアとして ―― http://www.infraexpert.com/ ―― メールアドレスの登録、解除はご自身で行って頂きますようお願いします。 また、当メールマガジンの内容、情報から発生するいかなる損害に対しても 補償することは出来ません。ご自身で判断して活用して頂ければと思います。 Copyright (C) 2002-2005 Cool. All Rights Reserved. ================================================================= |
ネットワークエンジニアとして
Copyright(C) 2002-2008 Cool. All Rights Reserved