Network×Network目次

スポンサードリンク

Catalyst terminal length 0

ネットワーク機器でコンフィグやログを取得するときに
数行表示されて止まるの鬱陶しくありませんか!?

Cisco機器では有名なコマンド「ターレンゼロ」というのがあります。
これ最初聞いたときは何の呪文かと思っていました。
コマンド途中でmoreと表示されて止まることなく最後まで
流れてくれるようになります。

Cisco以外の機器でもターレンゼロに相当するコマンドが
あるので( ..)φメモメモしときます。

◆CISCO
----------------------------------------------------------------
[Cisco IOS / NX-OS]
これがかの有名なターレンゼロコマンド
#terminal length 0

元に戻すときは表示する行数を入力
#terminal length 24

[Cisco ASA]
#terminal pager 0
#terminal pager 24

恒久的(コンフィグに書き込み)
#conf t
(conf)#pager lines 0

[Cisco Wireless LAN Controller(WLC)]
>config paging disable
>config paging enable
----------------------------------------------------------------

◆Juniper
----------------------------------------------------------------
[JUNOS]
>set cli screen-length 0
>set cli screen-length 24

コマンド単位で制御
>**** | no-more

[SSG]
>set console page 0
>unset console page
----------------------------------------------------------------

◆Fortinet
----------------------------------------------------------------
[FortiOS]
#config system console
(console)#set output standard
(console)#end

確認コマンド
#get system console
#show system console

元に戻すコマンド
#config system console
(console)#set output more
(console)#end

#config system console
(console)#unset output
(console)#end
----------------------------------------------------------------

◆YAMAHA
----------------------------------------------------------------
[RTX]
恒久的(コンフィグに書き込み)
>console lines infinity
>console lines 24
----------------------------------------------------------------

◆PaloAlto
----------------------------------------------------------------
[PAN-OS]
>set cli pager off
>set cli pager on
----------------------------------------------------------------

◆F5
----------------------------------------------------------------
[BIG-IP]
#yes | tmsh show running-config
#tmsh **** one-line

恒久的(コンフィグに書き込み)
#tmsh modify cli preference pager disabled
#tmsh modify cli preference pager enabled
----------------------------------------------------------------

◆NEC
----------------------------------------------------------------
[IX]
#config
(config)#terminal length 0
(config)#terminal length 24

[QX]
<QX>screen-length disable
<QX>screen-length 24
----------------------------------------------------------------

◆Alaxala
----------------------------------------------------------------
[AX]
恒久的(コンフィグに書き込み)
>set terminal pager disable
>set terminal pager enable
----------------------------------------------------------------

◆Brocade
----------------------------------------------------------------
[Network OS]
#terminal length 0
#no terminal length

[IronWare]
#skip-page-display
#page-display
----------------------------------------------------------------

◆CheckPoint
----------------------------------------------------------------
[GAiA]
#set clienv rows 0
#set clienv rows 24

恒久的(コンフィグに書き込み)
#save clienv
----------------------------------------------------------------

◆A10 Networks
----------------------------------------------------------------
[ACOS]
#terminal length 0
#terminal length 24
----------------------------------------------------------------

◆Allied Telesis
----------------------------------------------------------------
[CentreCOM]
(config)# no service terminal-length
(config)# service terminal-length 24
----------------------------------------------------------------

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | 知識 | このブログの読者になる | 更新情報をチェックする

F5 BIG IP show running config

F5 big-ipでshow running configを取得する方法。
--------------------------------------------------------------------------
■ログ取得その1
#tmsh
(tmos)#show running-config
Display all 250 items? (y/n)

--------------------------------------------------------------------------

これだと毎回聞かれるのでめんどくさい。
Ciscoでいうterminal length 0的なコマンドがほしい。
F5 big-ip v11以降だと以下のコマンドが使える。
--------------------------------------------------------------------------
■ログ取得その2
#tmsh
(tmos)#show running-config one-line

--------------------------------------------------------------------------

F5 big-ip v10より以前だとtmshに入らずshell(bash)からの
パイプ渡しででも取得可能かな。
--------------------------------------------------------------------------
■ログ取得その3
# yes | tmsh show running-config

--------------------------------------------------------------------------

F5 big-ip v10より以前だとterminal length 0的なコマンドもある。
--------------------------------------------------------------------------
■ログ取得その4
無効にする方法
#tmsh
(tmos)#modify cli preference pager disabled

有効にする方法
#tmsh
(tmos)#modify cli preference pager enabled

--------------------------------------------------------------------------

F5はrunning-configでのコンフィグ流し込みリストアなどはできないが、
running-configも取得しておくと何かと便利。

バックアップやリストアはGUIからUCSで実施しましょう!!






TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | F5 | このブログの読者になる | 更新情報をチェックする

NAT NAPT IPマスカレード違い

NAT NAPT IPマスカレード違い

■NAT(Network Address Translation)
読み方:ナット
IPアドレスを1対1で変換する。
グローバルIP一つに対してローカルIPを一つ紐づける。
外部(インターネット)から内部機器へ接続する場合が多い。
また内部から外部へ接続する際にも変換可能。

■NAPT(Network Address and Port Translation)
読み方:ナプト
IPアドレスを1対多で変換する。変換方法はIPアドレスとポートの組み合わせで行う。
内部機器から外部(インターネット)に接続する場合が多い。

■IPマスカレード(IP Masquerade)
読み方:アイピーマスカレード
基本的にはNAPTと同じ動作をする。
元々はLINUXにおける機能名称である。
古い人間にはこちらの呼び方のほうが馴染みがあるかも。

■PAT(Port Address Translation)
読み方:パット
基本的にはNAPTと同じ動作をする。
CISCO(シスコ)用語となる。

■ENAT(Enhanced NAT)
読み方:イーナット
基本的にはNAPTと同じ動作をする。

■NATオーバーロード
読み方:ナットオーバーロード
基本的にはNAPTと同じ動作をする。

ちなみに「IPマスカレード」「ENAT」「PAT」「NATオーバーロード」
と呼び方はいろいろあるが、RFC2663で「NAPT」という呼び方に
名称を統一しているので胸を張ってNAPTといいましょう!

電機屋さんで販売しているブロードバンドルータ(インターネット接続用)の
機能でNATと記載があるものはほとんどの場合NAPTのことを言っています。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | NAT | このブログの読者になる | 更新情報をチェックする

Catalyst NAT サポート

Cisco機器なら機種関係なくNATできると思ってる人が意外といる。
実際ルータと言われるCisco機器はできるのだがL3スイッチだと
出来ない場合が多い。

以下が、L3スイッチでNAT可能な機器一覧となる
WS000083.JPG
WS000084.JPG

というわけでL3スイッチの場合、馴染みのある機種はほぼ
NAT不可となります。普通にルータを購入しましょう!!
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | NAT | このブログの読者になる | 更新情報をチェックする

Fortigate DNS server gui

FortigateってデフォルトでDNSサーバ機能は無効になってるんですよね。
そしてバージョンが変わって有効にする方法が変わってる。
FortiOS4.0のDNSサーバGUI設定方法

ここからはFortiOS5.0, FortiOS6.0でのDNSサーバ機能を
有効にする方法を記載します。

1.DNSサーバ機能が無効になっていることを確認
左ペインの[ネットワーク]に[DNS]しかないことを確認
WS0000800.jpg

2.DNSサーバ機能を有効にしていきます
システム>FeatureVisibility>その他のフィーチャー>DNSデータベース
チェックを入れてOKを選択
WS000086.JPG

右側の+を選択すると詳細な内容が確認できます
WS000089.JPG

3.DNSサーバ機能が有効になったことを確認
左ペインの[ネットワーク]に[DNSサーバ]が表示されたことを確認
WS000090.JPG

-------------------------------------------------------
それ以外の[FeatureVisibility]設定項目
緑色になってるのは有効、グレーは無効。
FeatureVisibility1.JPG

FeatureVisibility2.JPG

FeatureVisibility3.JPG

FeatureVisibility4.JPG

FeatureVisibility5.JPG

FeatureVisibility6.JPG

FeatureVisibility7.JPG

FeatureVisibility8.JPG

FeatureVisibility9.JPG

FeatureVisibility10.JPG

FeatureVisibility11.JPG

FeatureVisibility12.JPG

FeatureVisibility13.JPG

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate dhcp server

Fortigate60Fをゲットしたので久しぶりに触ってみた。
OSはFortiOS6.0.6。

とりあえずDHCPサーバとして動作させたかったので設定。

インターフェース>ポートを選択(ここではinternal2)
Fortigate60F_01.jpg

インターフェースの編集でDHCPサーバを有効にして
アドレス範囲を入力します。
元々以下のDHCP範囲が有効時には入力されてます。
最初のIPアドレス:192.168.2.1
最後のIPアドレス:192.168.2.254

DHCPの範囲を絞ってみます。
最初のIPアドレス:192.168.2.10
最後のIPアドレス:192.168.2.20

デフォルトゲートウェイ:インターフェースIPと同じ
DNSサーバ:インターフェースIPと同じ
下のほうの[OK]を選択
Fortigate60F_02.JPG

これでPC側で確認してDHCP範囲のIPアドレスが
割り振られていれば完了です。

PC側でIPアドレスが更新されない場合は以下を試してみましょう。
コマンドプロンプト起動
C:\>ipconfig /release
C:\>ipconfig /renew

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
間違えてインターフェース自体のアドレスを
DHCPに変更しないよう注意しましょう!!
Fortigate60F_03.JPG

ここはクライアントから接続するときのゲートウェイアドレスと
なります。アドレッシングモードはマニュアルを選択です。
Fortigate60F_04.JPG
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate ハードウェアスイッチ 削除

Fortigateでハードウェアスイッチを削除しようとしても
エラーで失敗する場合が多いです。
ここではcliで一つずつ確認して削除します。

GUIでログイン後、ハードウェアスイッチ(HUB)で
動作しているポートを確認します。
ハードウェアスイッチ1.jpg

ここではinternal5のポートが紐づいています。
ハードウェアスイッチ2.jpg

複数ポートが紐づいているとGUIから×で簡単に削除することが
可能なのですが、最後のポートは必須フィールドです。
とエラーとなってしまいます。
ハードウェアスイッチ3.jpg

この場合はCLIで削除しないと消えません。
コンソールで確認すると
"internal"というバーチャルスイッチが存在して、
"internal5"のポートが紐づいているのがわかります。
当たり前ですが、GUIと同じです。
---------------------------------------------------
FGT-test # show system virtual-switch internal
config system virtual-switch
edit "internal"
set physical-switch "sw0"
config port
edit "internal5"
next
end
next
end
FGT-test #
---------------------------------------------------

削除するためには以下の準備手順が必要になります。
1.DHCPサーバの削除
2.ポリシーの削除

DHCPサーバ確認
---------------------------------------------------
FGT-test # show system dhcp server
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.1.99
set netmask 255.255.255.0
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.1.110
set end-ip 192.168.1.210
next
end
set timezone-option default
next
end
FGT-test #
---------------------------------------------------

"internal"バーチャルスイッチにDHCPが設定されてるので削除します。
---------------------------------------------------
FGT-test # config system dhcp server
FGT-test (server) # delete 1
FGT-test (server) # end
FGT-test #
---------------------------------------------------

次はポリシーの確認します。
---------------------------------------------------
FGT-test # show firewall policy
config firewall policy
edit 1
set name "1"
set uuid
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set fsso disable
set nat enable
next
end
FGT-test #
---------------------------------------------------

ポリシーで"internal"バーチャルスイッチを使用してるので削除します。
---------------------------------------------------
FGT-test # config firwall policy
FGT-test (policy) # delete 1
FGT-test (policy) # end
FGT-test #
---------------------------------------------------

これで準備完了です。
最後に"internal"のバーチャルスイッチを削除します。
---------------------------------------------------
FGT-test # config system virtual-switch
FGT-test (virtual-switch) # delete internal
FGT-test (virtual-switch) # end
FGT-test #
---------------------------------------------------

これでバーチャルスイッチを削除することができました。
GUIでログインして確認してみましょう。
ハードウェアスイッチ4.jpg

以上です。。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Ciscoデバイスにゼロデイ脆弱性が発覚!

Ciscoのルーターやスイッチ、IP電話、カメラといった
デバイスに影響するゼロデイ脆弱性が発覚した。
これを悪用すれば、攻撃者がデバイスを乗っ取ったり、
ネットワークをダウンさせたりが可能となる。

インフラの構築にCisco製品を利用している企業は数多く
(Ciscoによれば、フォーチュン500企業の95%以上が
Ciscoコラボレーションを利用しているとのこと)、
影響範囲は数千万台に及ぶという。

脆弱性を発見したのはネットワークセキュリティの
スタートアップArmisで、2019年の8月にはCiscoに報告済みだ。

・パケットの傍受や改ざんも可能

Armisにより発見されたのは、Cisco製品に実装される独自プロトコル、
Cisco Discovery Protocol(CDP)に関する5つのものだ。

CDPはレイヤ2(データリンク層)プロトコルで、接続された
Ciscoデバイスの情報を取得するために使用される。

例えば、セキュリティ向上のためにネットワークの
セグメンテーションが行われるが、このときに利用するVLANの
情報なんかも漏洩する可能性があるとのこと。

さらには、ルーターやスイッチを通過するパケットの傍受
および改ざんも可能で、ネットワークデバイスを踏み台に、
機密データが保存されているIP電話やカメラにもアクセスできるという。

・スタックオーバーフロー脆弱性を利用

5つの脆弱性のうち4つはリモートコードの実行に関するもので、
残り1つはDoSに関するもの。いずれもCDPのパケット解析の際に
データを溢れさせて(スタックオーバーフロー)、
ネットワークを乗っ取ったり麻痺させたりする。

レイヤ2への攻撃は検知がむつかしく、基本的にすべての
デバイスでCDPが有効になっているのも厄介だ。

すでにCiscoはセキュリティアップデートにより脆弱性に
対処済みとのこと。脆弱性の詳細や影響を受けるデバイスなどは
Armisのページにも公開されているので参照いただきたい。

TECHABLE 参照
https://techable.jp/archives/116635




続きを読む
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | CISCO NEWS | このブログの読者になる | 更新情報をチェックする

3分間ネットワーキング本

ネットワークのことで検索するとよく出てくる
3分間ネットワーキング。本も発売されてるので
ネットワークの基礎が知りたい人は是非読んでみて。
めっちゃわかりやすいです♪お薦めです♪♪

3分間NetWorking
http://www5e.biglobe.ne.jp/aji/3min/

3分間ネットワーク基礎講座改訂新版
世界一わかりやすいネットワークの授業




3分間ルーティング基礎講座改訂新版
世界一わかりやすいネットワークの授業




3分間DNS基礎講座
世界一わかりやすいネットワークの授業




3分間HTTP&メールプロトコル基礎講座
世界一わかりやすいネットワークの授業




いつも思うのだが一番大事なのは基礎。
基礎がしっかりしてると応用はそのうちできます。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | 資格・本 | このブログの読者になる | 更新情報をチェックする

Fortigate ntp source ip

Fortigateをntpクライアントとして設定したのはいいが、
ntpサーバを見に行くセグメントを指定したい。
そんな時には以下の設定で接続先セグメントを指定することができます。
ちなみにcliでしか設定できないのでteratermなどのターミナルエミュレータ
を使って接続してください。

[NTP接続先ポート指定設定]
Fortigate#config system ntp
Fortigate(ntp)#set ntpsync enable
Fortigate(ntp)#set type custom
Fortigate(ntp)#unset server-mode
Fortigate(ntp)#config ntpserver
Fortigate(ntpserver)#edit 1
Fortigate(1)#set server "131.107.1.10"
Fortigate(1)#end
Fortigate(ntp)#set source-ip 192.168.1.254
Fortigate(ntp)#end
Fortigate#

以上

上記のset source-ip [セグメント指定]で設定することができます。
※昔はset interface [ポート指定]というコマンドがあった気がするのですが、
そんなコマンド見当たりません。なくなったのかな・・・・
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする