FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Ciscoルータのvtyへアクセスリストを設定する

アクセスリストを使ってCiscoの管理ポートへのアクセスを制限したい場合のめも。

前提条件として…
・アクセスを許可したいホストのリストを[IP address A]および[IP address B]とします。
・セキュリティログを取得したいので、これらのアドレス以外からのアクセスがあった場合はログをとるようにします。
・アクセスリストの設定は標準アクセスリストで実施することにします。

それでは開始。

まずはアクセスリストを作成します。
 ルータ名(config)# access-list [1~99までの一意の数値] permit [IP address A] [wildcard] log
 ルータ名(config)# access-list [1~99までの一意の数値(上と同じにする)] permit [IP address B] [wildcard] log
 ルータ名(config)# access-list [1~99までの一意の数値(上と同じにする)] deny any log

たとえば
 [IP address A] の箇所を192.168.1.0/24
 [IP address B] の箇所を10.10.1.0/24
 [1~99までの一意の数値] のアクセスリスト番号を10とするとこんな感じになります。
 ルータ名(config)# access-list 10 permit 192.168.1.0 0.0.0.255 log
 ルータ名(config)# access-list 10 permit 10.10.1.0 0.0.0.255 log
 ルータ名(config)# access-list 10 deny any log

その後、アクセスリストをvtyにinで設定。
 ルータ名(config)# line vty 0 4
 ルータ名(config-line)# password *****(←適切に設定してください)
 ルータ名(config-line)# login
 ルータ名(config-line)# access-class 10 in

こんな感じ。
スポンサーサイト

IPアドレス、サブネット計算

http://www.infraexpert.com/study/ip7.html
私これすぐ忘れちゃうし計算苦手なのでメモ。

ルーティングキャッシュ

勉強してたらルーティングキャッシュというものが見れるそうではないか。
netstat -C
cat /proc/sys/net/ipv4/route/flush
こんなものを格納してるファイルがあるんだな…

そして消すこともできるそうじゃないか。
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=29999&forum=11

ていうかICMP redirectって何だ?ここで見れるらしい。
/proc/sys/net/ipv4/conf/eth0/send_redirects

詳しいページがあったのでメモ。私はこういう基礎的なところがなんだかおぼつかないんだよなー。。
 基礎から学ぶWindowsネットワーク:第12回 TCP/IPプロトコルを支えるICMPメッセージ
 http://www.atmarkit.co.jp/ait/articles/0306/13/news002_3.html

●タイプ5―ICMPリダイレクト

 ルータ1がパケットをルータ2にフォワードするとき、同時に、パケットの送信元であるPC1に対して、ICMPリダイレクトのメッセージを返信しておく(図中の(2))。このパケット中には、「指定されたあて先(この場合は、インターネット上の特定のホスト)に到達するためには、ルータ2を使う方がよい」というメッセージが含まれている。

 このICMPリダイレクトを受け取ったPC1は、自身のルーティング・テーブルに対して、「www.mycompanysite.com(のIPアドレス)に到達するには、ルータ2を使う」というルーティング・テーブルのエントリを追加する。これにより、以後の通信はすべて直接ルータ2と行われることになり(図中の(3))、無駄なトラフィックが抑えられることになる。

 以上のような仕組みにより、取りあえず正しいルートへのルーティングが行われるようになる。ただしこのようにして追加されたルーティング・テーブルのエントリは動的なものであり、時間が経つと自動的に削除されてしまう(ルーティング・テーブルの増大の抑制や、ルータ・アドレスの動的な変更などに対処するため)。また、1ホストIPアドレスごとに1エントリずつ作られるので、ルーティング・テーブルのサイズも大きくなってしまうという問題点がある。可能ならネットワークの設計を変更して、このようなICMPに頼らなくても済むようにするのが望ましいだろう。



ICMPってこんなこともしてたんだな。ていうかこの例のネットワーク設計微妙じゃな(ry

ほかのICMPメッセージについてもまとめなきゃな。

CentreCOM備忘録

ARのルータをさわる時用のメモ

■初期パスワード
login:manager
pass:friend
(フレンズではないので注意)

■パスワードロック
5回間違えるとロックされる。
数十分で元に戻るらしいが面倒なので
電源オンオフしてしまったほうがよい。

■ホスト名
set system name="ホスト名"
set system name=ホスト名
ダブルクォーテーションで囲っても囲わなくてもコマンドは入る。

■設定ファイル
configファイルを複数持っていて、どのファイルを利用してシステムを起動するかを選べる。

・現在の設定確認
show config dynamic
もしくは、dynamicの後に機能モジュール名を追記するとそこの箇所だけ表示される。
show config dynamic=PPPなど。
アライドのconfigは出力が長いので、作業中はこの方が楽かも。

・設定保存
create config=ファイル名.cfg
※拡張子を.cfgにする。

・設定ファイル一覧参照
show file

・設定ファイル内容確認
show file=コンフィグファイル名

・起動スクリプトの指定
set config=コンフィグファイル名

・現在指定されている起動スクリプトの確認
show config
コマンド結果:
 Boot configuration file: flash:コンフィグファイル名
 Current configuration file: flash:コンフィグファイル名

■小ねた
・Ciscoで言うter len 0 的なコマンド
set asyn=asyn0 page=0
pageの後の数値を30などにすれば30行表示になります。

・時刻確認
show time

■起動関連



Copyright © m
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。