ルータのコントロールプレーンを守る
ルータのコントロールプレーンの保護について書かれたドキュメントが RFC 化されました。
基本的なポイントは以下のようです。
- コントロールプレーン宛のトラフィックを許可するアドレスを ACL で制限する
- コントロールプレーン宛の ICMP トラフィックは、流量を制限する
- フラグメント化されたコントロールプレーン宛のトラフィックは拒否する
Appendix には Cisco や Juniper での設定例も記載されていますので、引用しておきます。
Cisco¶
HSRP v1、HSRP v2、VRRP の比較表
HSRP と VRRP の違いをまとめてみました。パラメータは Cisco ルータでのデフォルト値です。
lldpd で CDP を送受信する
近隣ノードを発見するプロトコルは以下のように様々、ありますが、いずれも各ベンダー独自の規格でした。
| メーカー | プロトコル |
|---|---|
| Cisc | CDP(Cisco Discovery Protocol) |
| Extreme Networks | EDP(Extreme Discovery Protocol) |
| Foundry Networks | FDP(Foundry Discovery Protocol) |
| Nortel | NDP(Nortel Discovery Protocol) |
しかし、現在ではこういった近隣ノード発見の手段が IEEE 802.1AB において "LLDP" として標準化されています。
LLDP に関しては ITpro に分かりやすい記事がまとめられていました。
- 第1回 近隣ノードの自動検知で企業ネットの運用管理を効率化
- 第2回 仕組みは,管理情報をマルチキャストで送信するだけ
- 第3回 IP電話機の接続を検知してLANの設定を自動化
- 第4回 Windows Vistaが搭載する近隣探索プロトコル「LLTD」
Linux でも "lldpd" という LLDP 対応のアプリケーションが存在しており、今回はこのアプリケーションを試してみます。
「channel-misconfig error detected」エラー時の対処
両端の Catalyst スイッチで EtherChannel 設定変更時に、インターフェイスが err-disable となってしまった場合の復旧方法についてメモしておきます。
iNE「Workbook I 〜 1.Bridging & Switching」の目次
iNE の「CCIE Routing & Switching Lab Workbook Volume I for CCIE v4.0」から第一章「Bridging & Switching」の目次を引用しておきます。やり始めれば面白いのですが、時間が無くてなかなか進捗しません...orz
VTP のトラブルシューティング時に気をつけるポイント
シスコ技術者認定公式ガイド CCNP SWITCH の P.133 〜 134 から、VTP のトラブルシューティング時に気をつけるべき点を引用しておきます。
ASA の OS イメージからカーネルとファイルを切り出す
Qemu で Cisco ASA をホストすることにより、GNS3 上で Cisco ASA を利用することが出来ます。
Zip ヘッダーの位置を推測することで ASA の OS イメージやファイルを抽出することが出来ますが、その為には大前提として Zip ヘッダーの位置を特定する必要があります。しかし、世の先人が Any hope to run 8.2/8.3 code? Page 3 of 4 にカーネルとファイル部分の切り出し方法をまとめてくださっているようです。
VTP(VLAN Trunking Protocol)
VTP について調べた際の覚え書きです。
Cisco 2600 / 3600 / 3700 シリーズの EtherSwitch モジュールで出来ること・出来ないこと
GNS3 を使えば Cisco 2600 / 3600 / 3700 の EtherSwitch モジュール「NM-16ESW」をエミュレートし、ある程度、スイッチの動作を学習することが出来ます。しかし、NM-16ESW にはそもそも「出来ること・出来ないこと」がある為、完全にスイッチの学習をすることが出来ません。「出来ること・出来ないこと」は FAQ に記載されています。
以下は FAQ からの抜粋です。