うらねこ

Configuration Guides >> Network Management Configuration Guide Library >> Cisco IOS Shell

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ios_shl/configuration/15-mt/ios-shl-15-mt-book.html

»Read More

In that case, you have to pay attention on IPsec encap mode…

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/12-4t/sec-conn-dmvpn-12-4t-book/sec-conn-dmvpn-dt-spokes-b-nat.html

NHRP Registration

When an NHRP registration is received, the hub checks the source IP address on the encapsulating GRE/IP header of the NHRP packet with the source NBMA IP address, which is contained in the NHRP registration packet. If these IP addresses are different, then NHRP knows that NAT is changing the outer IP header source address. The hub preserves both the pre- and post-NAT address of the registered spoke.

Note	If encryption is used, then IPsec transport mode must be used to enable NHRP.

Let’s see this behavior.

1) show ip nhrp output in transport mode DMVPN.

Router-NHS#sh ip nhrp
10.10.10.1/32 via 10.10.10.2
Tunnel0 created 00:16:58, expire 01:43:02
Type: dynamic, Flags: unique registered
NBMA address: 1.1.1.1
(Claimed NBMA address: 192.168.1.1)

NHRP realize the IP address is changed by NAT (192.168.1.1 to 1.1.1.1).

2) show ip nhrp output in tunnel mode DMVPN.

Router-NHS#sh ip nhrp
10.10.10.1/32 via 10.10.10.2
Tunnel0 created 00:00:11, expire 01:59:49
Type: dynamic, Flags: unique registered used
NBMA address: 192.168.1.1

Iｎ the Case(2), NHRP believes the packet is not NATted since the original IP header is encapsulation and not changed. Therefore, original local(before nat) address is used as the NBMA address.

interface FastEthernet 0/0
ip verify unicast source reachable-via {rx | any} [allow-default] [allow-self-ping] [list]

http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html

https://supportforums.cisco.com/ja/document/100311

まず Cisco Router での IP Alias 機能とは、設定を行なった IP Address について
Router にて Ping 応答等を行なう機能となります。この IP Address は local の
network/subnet に属する必要があります。下記コマンドにて設定できます。

ip alias
http://www.cisco.com/en/US/docs/ios/termserv/command/reference/tsv_a1.html#wp1027063

NAT における Alias 作成は、Insiobal や Outside Local のように仮想的な Address に対して、Router 上に該当 Address と同一 IP subnet をもつ Interface がある状況に対応するためで、Alias の作成を行い、ARP に応答します。

なお no-alias option は default で disable のため、default では alias が作成されます。

No Entries in the ARP table
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094c32.shtml#ar

It is placed in Configuration Fundamentals Configuration Guide on CCO.

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fundamentals/configuration/15mt/fundamentals-15-mt-book/cf-autoinstall.html#GUID-FD029ACF-FC65-4E72-97D8-81FB2F14C6BC

ここみとけ。

http://www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/s_mvesoo.html

IFに設定したSoOのチェックは、そのIFでupdate受信したときだけじゃなくて、vpnv4 BGP から EIGRP に redistriuteｓ されるときにもされてると。ふむ。

CEの Backup link にこれを設定するとき、カスタマーサイトなのに ip vrf コマンド使うのに違和感がある。しかしその違和感があるだけに忘れなさそう。

http://www.cisco.com/c/en/us/td/docs/ios/mpls/configuration/guide/12_2sy/mp_12_2sy_book/mp_vpn_ipv4_ipv6.html#wp1055032

The following is an example of a multiprotocol VRF with route-target policies defined in both global and address-family areas:

• For IPv6, the route-target definitions are defined under the address family. These definitions are used and the route-target definitions in the global area are ignored. Therefore, the IPv6 VPN ignores import 100:2.
• For IPv4, no route-target policies are defined under the address family, therefore, the global definitions are used.

vrf definition vfr1
route-target export 100:1
route-target import 100:1
route-target import 100:2
!
address-family ipv4
exit-address-family
!
address-family ipv6
route-target export 100:1
route-target import 100:1
route-target import 100:3
exit-address-family

Named mode の EIGRP は 64bit の Metric を扱う。ちなみに普通のAS番号指定で設定する Classic mode だと32bit。
RIBも32bitなので、64bitの値を metric rib-scale　の値で割ったものに書き換えられる。デフォルト128。32bit値に収まらない経路はルーティングテーブル載らない模様。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_eigrp/configuration/xe-3s/ire-xe-3s-book/ire-wid-met.html

http://brbccie.blogspot.jp/2014/08/eigrp-enhancements.html

route-map の metric で filter するときとかはRIBの値じゃない、基の大きいほうの値見る。なお route-map のmetricが32bitしかないのだけど、大きい値いじりたいときどうするんだろうこれ(後日調査)

distribute-list の extended access-list は　ルーティングプロトコルによって意味が変わる話。あんまり使わないけどよくあるtipsなので念のためメモ。

BGP
source part が　network に、destination part が mask　になる。ワイルドカードに注意。
permit ip 10.0.0.0 0.0.0.255 255.255.255.0 0.0.0.0
-> 10.0.0.[0-255]/24

permit ip 10.0.0.0 0.0.0.255 255.255.255.0 0.0.0.255
-> 10.0.0.[0-255]/[24-32] (※理屈上。あとで確認->確認済み)

EIGRP/RIP
source part が　gateway(update source) に、destination part が network　になる。mask length なし。あと、out には source に 0.0.0.0 か　any　を使わないといけないらしいのでほとんど意味なし。(未確認->確認済み)
なお、route-map経由で適用するとBGPと同じ感じでnetwork/maskとして扱える。(確認済)

OSPF
distribute-list そのものの意味が違う。まず database へは影響しない。in だと　routing table への install がされなくなる(databaseには残るので他のルータに伝達する。つーかdatabaseが一貫してるのがリンクステート)。out だと外部ルート(E1/E2) の伝達がされなくなるらしい。へえ。

OSPF の distribute-list out やったことないのでこれもあとで気が向いたら試してみる。
しかし以下のCiscoサポートフォーラムの acl に log　オプションつけtてみるアイデアは大変 cool だわ。

https://supportforums.cisco.com/discussion/11707866/extended-access-list-used-outbound-distribute-list-doesnt-work-rip

http://blog.ine.com/2008/01/04/using-extended-access-lists-in-a-distribute-list/