Cisco VIRL でよく使う「検証用コンフィグ・テンプレート」
Cisco VIRL で IOS 等を検証する際に「よく使うコンフィグのテンプレート」をメモしておきます。機種によって異なりますが、概ね以下のような方針にしています。(仮想環境では無く) 実機で検証する際はこれらに加え、コンソールポートのスピードを速くする等、微修正しています。
- 検証用のコンフィグテンプレートなので、セキュリティ設定は度外視
- 時刻は日本 (JST +9) に設定
- 名前解決はさせない
- バナー設定は削除
- コンソール / TELNET / SSH のタイムアウト時間は長めに設定
- pager は設定しない
あくまで検証環境用のコンフィグ・テンプレートな点はご注意を!
Cisco IOSv
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28 | hostname IOSv
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
clock timezone JST +9
!
no ip domain-lookup
!
no banner exec ^C
no banner incoming ^C
no banner login ^C
!
line con 0
exec-timeout 300 0
privilege level 15
logging synchronous
length 0
!
line vty 0 4
exec-timeout 300 0
privilege level 15
logging synchronous
no login
length 0
transport input telnet
!
end
|
デフォルトでは以下の通り vty が「transport input none」に設定されていて TELNET 接続出来ない為、明示的に TELNET 有効化しておきます。
| line vty 0 4
login
transport input none
|
Cisco CSR1000V
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | hostname CSR1000V
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
clock timezone JST +9
!
no ip domain-lookup
!
line con 0
exec-timeout 300 0
privilege level 15
logging synchronous
length 0
!
line vty 0 4
exec-timeout 300 0
privilege level 15
logging synchronous
no login
length 0
transport input telnet
!
end
|
Cisco IOS-XRv
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 | hostname XRv
!
clock timezone JST 9
service timestamps log datetime localtime msec
service timestamps debug datetime localtime msec
!
telnet vrf default ipv4 server max-servers 5
!
domain lookup disable
!
line default
exec-timeout 300 0
length 0
!
end
|
XRv はデフォルトで TELNET が無効化されていますので、telnet ipv4 server を設定し有効化しておきます。
Cisco NX-OSv
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16 | license grace-period
!
hostname NX-OSv
!
no ip domain-lookup
!
clock timezone JST 9 0
!
line console
exec-timeout 300
terminal length 0
!
line vty
exec-timeout 300
!
logging timestamp milliseconds
|
NX-OSv で検証を進めるにはライセンスが必要です。例えばライセンスが無い状態で BGP を有効化しようとするとエラーになります。
| NX-OSv(config)# feature bgp
Feature grace period is disabled
|
120 日間の評価ライセンスを有効化しておけば、BGP 等も利用することが出来ます。
| NX-OSv(config)# license grace-period
NX-OSv(config)# feature bgp
LAN_ENTERPRISE_SERVICES_PKG license not installed. bgp feature will be shutdown after grace period of approximately 120 day
2016 Mar 27 16:15:18.621 NX-OSv %LICMGR-2-LOG_LIC_NO_LIC: No license(s) present for feature LAN_ENTERPRISE_SERVICES_PKG. Application(s) shut down in 119 days.
2016 Mar 27 16:15:18.624 NX-OSv %LICMGR-2-LOG_LICAPP_NO_LIC: Application bgp running without LAN_ENTERPRISE_SERVICES_PKG license, shutdown in 119 days
|
Cisco ASAv
ASAv ではデフォルトで名前解決をしませんので、「名前解決を無効化する」ような設定はしていません。また、デフォルトでは ASA を通過する ICMP パケットを破棄してしまう為、inspect icmp を追加して ICMP を inspection 対象とし、ASA を通過出来るようにしています。これは実施したい検証の内容によって削除する場合もあります。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18 | hostname ASAv
!
clock timezone JST 9
!
no pager
!
telnet timeout 300
ssh timeout 60
console timeout 60
!
policy-map global_policy
class inspection_default
inspect icmp
!
no service call-home
clear config call-home
!
end
|
ASA ではコンソール / TELNET / SSH でタイムアウト時間の最大値が異なります。
| 接続方法 |
設定可能な値 |
デフォルト値 |
| コンソール |
0 〜 60 分 |
0 (タイムアウトしない) |
| TELNET |
1 〜 144 分 |
5 分 |
| SSH |
1 〜 60 分 |
5 分 |
CLI で確認すると以下のように表示されます。
| ASAv(config)# console timeout ?
configure mode commands/options:
<0-60> Idle time in minutes after which a console session will be closed, 0
means timeout is disabled
|
| ASAv(config)# telnet timeout ?
configure mode commands/options:
<1-1440> Idle time in minutes after which a telnet session will be closed;
default is 5 minutes
<cr>
|
| ASAv(config)# ssh timeout ?
configure mode commands/options:
<1-60> Idle time in minutes after which a ssh session will be closed
|
デフォルトでは call-home のコンフィグが入っていますが、不要なので削除しておきます。しかし、no call-home では削除出来ないので、テンプレートでは no service call-home しつつ clear config call-home しています (no service call-home だけではコンフィグが残ります)
| ASAv(config)# no call-home
INFO: use 'no service call-home' to disable call-home service or 'clear config call-home' to remove all call-home setting.
|
JUNOS
| set system host-name vMX
set system time-zone Asia/Tokyo
set system root-authentication encrypted-password "$1$.XUnmGul$NIzsUzi.ytBlGuddwf.Ib0"
set system login user admin uid 2000
set system login user admin class super-user
set system login user admin authentication encrypted-password "$1$C2Xoe7mV$mV7UKMSasOyBa0v/pjeRd1"
set system services telnet
set system syslog console any warning
|
root ユーザでは TELNET 出来ない為、super-user 権限を持つ「admin」ユーザを作成しています。root ユーザのパスワードが未設定だと commit 出来ない為、root と admin 両ユーザともにパスワードは「password1」としています。
| ユーザ名 |
パスワード |
TELNET 可否 |
| root |
password1 |
X |
| admin |
password1 |
○ |