« Posts under 勉強

DMVPN with NAT

In that case, you have to pay attention on IPsec encap mode…

 

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/12-4t/sec-conn-dmvpn-12-4t-book/sec-conn-dmvpn-dt-spokes-b-nat.html

NHRP Registration

When an NHRP registration is received, the hub checks the source IP address on the encapsulating GRE/IP header of the NHRP packet with the source NBMA IP address, which is contained in the NHRP registration packet. If these IP addresses are different, then NHRP knows that NAT is changing the outer IP header source address. The hub preserves both the pre- and post-NAT address of the registered spoke.

Note

If encryption is used, then IPsec transport mode must be used to enable NHRP.


 

Let’s see this behavior.

1) show ip nhrp output in transport mode DMVPN.

Router-NHS#sh ip nhrp
10.10.10.1/32 via 10.10.10.2
Tunnel0 created 00:16:58, expire 01:43:02
Type: dynamic, Flags: unique registered
NBMA address: 1.1.1.1
(Claimed NBMA address: 192.168.1.1)

NHRP realize the IP address is changed by NAT (192.168.1.1 to 1.1.1.1).

2) show ip nhrp output in tunnel mode DMVPN.

Router-NHS#sh ip nhrp
10.10.10.1/32 via 10.10.10.2
Tunnel0 created 00:00:11, expire 01:59:49
Type: dynamic, Flags: unique registered used
NBMA address: 192.168.1.1

 

In the Case(2), NHRP believes the packet is not NATted since the original IP header is encapsulation and not changed. Therefore, original local(before nat) address is used as the NBMA address.

uRPF – Unicast Reverse Path Forwarding

 

interface FastEthernet 0/0
ip verify unicast source reachable-via {rx | any} [allow-default] [allow-self-ping] [list]

http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html

ip alias with NAT

https://supportforums.cisco.com/ja/document/100311

まず Cisco Router での IP Alias 機能とは、設定を行なった IP Address について
Router にて Ping 応答等を行なう機能となります。この IP Address は local の
network/subnet に属する必要があります。下記コマンドにて設定できます。

ip alias
http://www.cisco.com/en/US/docs/ios/termserv/command/reference/tsv_a1.html#wp1027063

NAT における Alias 作成は、Insiobal や Outside Local のように仮想的な Address に対して、Router 上に該当 Address と同一 IP subnet をもつ Interface がある状況に対応するためで、Alias の作成を行い、ARP に応答します。

なお no-alias option は default で disable のため、default では alias が作成されます。

No Entries in the ARP table
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094c32.shtml#ar

AutoInstall Process Flowchart

It is placed in Configuration Fundamentals Configuration Guide on CCO.

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fundamentals/configuration/15mt/fundamentals-15-mt-book/cf-autoinstall.html#GUID-FD029ACF-FC65-4E72-97D8-81FB2F14C6BC

EIGRP SoO

ここみとけ。

http://www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/s_mvesoo.html

IFに設定したSoOのチェックは、そのIFでupdate受信したときだけじゃなくて、vpnv4 BGP から EIGRP に redistriutes されるときにもされてると。ふむ。

CEの Backup link にこれを設定するとき、カスタマーサイトなのに ip vrf コマンド使うのに違和感がある。しかしその違和感があるだけに忘れなさそう。

 

vrf definition memo

http://www.cisco.com/c/en/us/td/docs/ios/mpls/configuration/guide/12_2sy/mp_12_2sy_book/mp_vpn_ipv4_ipv6.html#wp1055032

The following is an example of a multiprotocol VRF with route-target policies defined in both global and address-family areas:

  • For IPv6, the route-target definitions are defined under the address family. These definitions are used and the route-target definitions in the global area are ignored. Therefore, the IPv6 VPN ignores import 100:2.
  • For IPv4, no route-target policies are defined under the address family, therefore, the global definitions are used.

vrf definition vfr1
route-target export 100:1
route-target import 100:1
route-target import 100:2
!
address-family ipv4
exit-address-family
!
address-family ipv6
route-target export 100:1
route-target import 100:1
route-target import 100:3
exit-address-family

EIGRP named mode has wide-metrics

Named mode の EIGRP は 64bit の Metric を扱う。ちなみに普通のAS番号指定で設定する Classic mode だと32bit。
RIBも32bitなので、64bitの値を metric rib-scale の値で割ったものに書き換えられる。デフォルト128。32bit値に収まらない経路はルーティングテーブル載らない模様。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_eigrp/configuration/xe-3s/ire-xe-3s-book/ire-wid-met.html

http://brbccie.blogspot.jp/2014/08/eigrp-enhancements.html

route-map の metric で filter するときとかはRIBの値じゃない、基の大きいほうの値見る。なお route-map のmetricが32bitしかないのだけど、大きい値いじりたいときどうするんだろうこれ(後日調査)

distribute-list の Extended access-list

distribute-list の extended access-list は ルーティングプロトコルによって意味が変わる話。あんまり使わないけどよくあるtipsなので念のためメモ。

BGP
source part が network に、destination part が mask になる。ワイルドカードに注意。
permit ip 10.0.0.0 0.0.0.255 255.255.255.0 0.0.0.0
-> 10.0.0.[0-255]/24

permit ip 10.0.0.0 0.0.0.255 255.255.255.0 0.0.0.255
-> 10.0.0.[0-255]/[24-32] (※理屈上。あとで確認->確認済み)

EIGRP/RIP
source part が gateway(update source) に、destination part が network になる。mask length なし。あと、out には source に 0.0.0.0 か any を使わないといけないらしいのでほとんど意味なし。(未確認->確認済み)
なお、route-map経由で適用するとBGPと同じ感じでnetwork/maskとして扱える。(確認済)

OSPF
distribute-list そのものの意味が違う。まず database へは影響しない。in だと routing table への install がされなくなる(databaseには残るので他のルータに伝達する。つーかdatabaseが一貫してるのがリンクステート)。out だと外部ルート(E1/E2) の伝達がされなくなるらしい。へえ。

OSPF の distribute-list out やったことないのでこれもあとで気が向いたら試してみる。
しかし以下のCiscoサポートフォーラムの acl に log オプションつけtてみるアイデアは大変 cool だわ。

 

https://supportforums.cisco.com/discussion/11707866/extended-access-list-used-outbound-distribute-list-doesnt-work-rip

http://blog.ine.com/2008/01/04/using-extended-access-lists-in-a-distribute-list/

システム監査試験結果

システム監査試験結果。

平成25年度 春期   システム監査技術者試験  成績照会

受験番号  AU207-0*** の方は,   合格   です

午前Ⅰ得点
91.80点
午前Ⅱ得点
80.00点
午後Ⅰ得点
65点
午後Ⅱ評価ランク
A

 

満点,合格基準は次のとおりです。
時間区分
満点
基準点
午前Ⅰ試験
100点
60%以上
午前Ⅱ試験
100点
60%以上
午後Ⅰ試験
100点
60%以上
午後Ⅱ試験
ランクA 

 

うっわ午後Iあっぶねえ。でもま、合格は合格。

システム監査基準 意訳(姉訳?)

システム監査基準 意訳(姉訳?)

 

I 前文

いま、あなたが生きてるこの時代の情報システムっていうのはさ、、えっと、ここでいうのは「組織における情報システム」っていう意味なんだけど、これはもうただのツールなんかじゃなくて、組織のやりたいこと(たとえば企業であれば、それは経営戦略)を実現するための重要なインフラっていうか、つまり、なくてはならないものになってます。もう情報システムが無かったらビジネスにならないよね。さらにそれだけじゃなくて、その情報システム同士が連携したりしてるわけで、つまり繋がって大きくなってきてるから、組織だけじゃなくて社会全体にとっても重要なものになってきたの。でも、その一方で、情報システムそのものも、いろいろな種類があって、複雑すぎて、もうわけがわからないよ、って状態になりつつあるんだよね。だから、情報システムにかかわる人、たとえば作る人だったり、使う人だったり、管理する人だったりいろいろいるけれど、もうそれは組織の中だけじゃなくて、組織の外にも存在していて、つまり簡単に言うと、利害関係者は自分の組織だけじゃなくって組織外っていうか、社会全体に広がっちゃってる状態ってわけ。なので『誰かの組織の情報システムがこわれた』『システムがハックされた』みたいないったひどいことになると、その組織に対してだけじゃなくて、社会にも大きな影響を与えちゃう。だから、そういうものから情報システムを守るためにきちんとコントロールすることがとっても大事!っていうことに、みんな気が付き始めた、ってわけ。
システム監査って言葉は、なんだかとても難しそうだけど(『監査』って言葉には、なんだか威厳や威圧みたいなものを感じるよね)、でも実はそんなに難しいものじゃなくて、さっき言ったみたいな『情報システムがこわれたりハックされたり』といった可能性、つまり『リスク』ってことなんだけど、そのリスクに対して、「はい、ここんちはきちんとやってますよー」っていうことを認めてあげるための、とても良い方法なの。もしくは、組織が自分のところのシステム監査を実施するってことは、その組織が目指すITのあり方みたいなものの実現にすごく役に立つし、利害関係のある人に対して、「私たちはこうやってきちんとやってますよー」っていう説明責任を果たすことにもつながるんだよね。

»Read More