Network×Network目次

スポンサードリンク

CISCO IPSEC 設定確認

IPSECの設定確認のためお客様先にログを取得しにきた。

最近のIOSでは一括で設定が取得できるコマンドがある。
CISCO#show crypto tech
これでかなりのログ取得が可能である。

ちなみに必要そうなのはこういうログですかね。
CISCO#show ip access-lists
IPsec用のACLを確認

CISCO#show ip route
IPsec用の宛先がルーティングテーブルに存在するか確認

CISCO#show crypt isakmp sa
IKEフェーズ1 ステータス確認

CISCO#show crypto ipsec sa
IKEフェーズ2 ステータス確認

CISCO#show crypto engine connections active
現在のアクティブな暗号化されたセッションを確認

これ以外にはデバッグコマンドがあるけど
負荷が大きいので運用中の環境でやるのはやめましょう!

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

CISCO 無線APがコントローラに参加できない

CISCOの集中管理型APにIPなどを設定してもコントローラに
追加できないときがある。

今回はAP1142しかない環境にAP2600シリーズを
追加しようとして失敗した。

<確認作業>
1.Contry Codeの確認
WIRELESS > Country >
Cofigured Country Code(s) > J2
(ここにJ4が表示されていないとAIR-CAP2602I-Q-K9はWCL5508で追加できない。
J4にチェックを入れるためには下記作業が必須)
WLC5508 cisco networks

<設定作業>
1.802.11a/n帯域の停止
WIRELESS > 802.11a/n > Network > General >
802.11a Network Status > Enabled チェックを外します
(はずすとこの帯域の無線が使用できなくなる)
WLC5508 cisco networks

2.802.11b/g/n帯域の停止
WIRELESS > 802.11b/g/n > Network > General >
802.11b/g Network Status > Enabled チェックを外します
(はずすとこの帯域の無線が使用できなくなる)
WLC5508 cisco networks

3.Country Codeの設定
WIRELESS > Country >
Select Country Code Name >
J2 Japan 2(P) (チェックされてるはず)
J4 Japan 4(Q) (チェックを入れる)
WLC5508 cisco networks
4.802.11a/n帯域の有効
WIRELESS > 802.11a/n > Network > General >
802.11a Network Status > Enabled チェックを入れる
(入れないと無線が使用できない)
WLC5508 cisco networks

5.802.11b/g/n帯域の有効
WIRELESS > 802.11b/g/n > Network > General >
802.11b/g Network Status > Enabled チェックを外します
(入れないと無線が使用できない)
WLC5508 cisco networks

6.Country Code J4が追加されたことを確認
WLC5508 cisco networks

これでAP2602がMONITORタブで表示されました。

<Country Code例>
AP1142/3502 ⇒ WLC Country Code設定 J2
AP1550/1600/2600/3600 ⇒ WLC Country Code設定 J4
となることが多いみたいです。

<APログ参考>
コントローラに参加できなかったときのAPのログです。
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
cisco#show capwap client config
countryCode ^@^@^@
countryISOCode ^@^@^@
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-

その後、参加できたときのAPのログです。
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
cisco#show capwap client config
countryCode J4
countryISOCode JP
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-

TeraTermでAPに接続したとき流れてたログです。
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
*Mar 23 06:10:25.103: %CAPWAP-3-ERRORLOG: Could Not resolve CISCO-CAPWAP-CONTROLLER
*Mar 23 06:10:35.103: %CAPWAP-3-ERRORLOG: Go join a capwap controller
*Mar 23 06:10:35.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.10.10.1 peer_port: 5246
*Mar 23 06:10:35.471: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.10.10.1 peer_port: 5246
*Mar 23 06:10:35.471: %CAPWAP-5-SENDJOIN: sending Join Request to 10.10.10.1
*Mar 23 06:10:35.475: %CAPWAP-3-ERRORLOG: Invalid event 10 & state 5 combination.
*Mar 23 06:10:35.475: %CAPWAP-3-ERRORLOG: CAPWAP SM handler: Failed to process message type 10 state 5.
*Mar 23 06:10:35.475: %CAPWAP-3-ERRORLOG: Failed to handle capwap control message from controller
*Mar 23 06:10:35.475: %CAPWAP-3-ERRORLOG: Failed to process encrypted capwap packet from 10.10.10.1
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (255.255.255.255)
., 1)
23 06:10:53.679: %CAPWAP-3-ERRORLOG: Retransmission count for packet exceeded max(UNKNOWN_MESSAGE_TYPE (5)
*Mar 23 06:10:53.679: %CAPWAP-3-ERRORLOG: GOING BACK TO DISCOVER MODE
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-


TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

cisco ios アップデート 手順

cisco ios アップデート 手順
久しぶりにCatalystのIOSバージョンアップを行った。
一応メモ。

◆binファイルの確認
Switch>en
Switch#dir
Directory of flash:/

2 -rwx 1048 Mar 1 1993 00:06:24 +00:00 multiple-fs
3 drwx 512 Mar 1 1993 00:04:56 +00:00 dc_profile_dir
5 drwx 512 Mar 1 1993 00:35:19 +00:00 c2960s-universalk9-mz.150-2.SE
603 -rwx 616 Mar 6 1993 20:33:19 +00:00 vlan.dat

[c2960s-universalk9-mz.150-2.SE]はディレクトリなのでさらに一階層下に下がります。

Switch#dir flash:/c2960s-universalk9-mz.150-2.SE
Directory of flash:/c2960s-universalk9-mz.150-2.SE/

6 drwx 6144 Mar 1 1993 00:29:31 +00:00 html
601 -rwx 13605558 Mar 1 1993 00:30:52 +00:00 c2960s-universalk9-mz.150-2.SE.bin
602 -rwx 632 Mar 1 1993 00:34:24 +00:00 info

[c2960s-universalk9-mz.150-2.SE.bin]が実際のIOSとなる。

◆TFTPサーバー準備
自分のパソコンをTFTPサーバーにします。
今回使うのはpoor TFTP

ダウンロード後、ptftp32.exeをクリックします。
あとはパソコンにIPアドレス192.168.1.1/24を設定すれば完了。

◆Cisco Switch準備
スイッチとクライアントPCが通信できるように設定します。

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int vlan 101
Switch(config-if)#ip address 192.168.1.100 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#int range g1/0/1 - 48
Switch(config-if-range)#switchport access vlan 101
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#no shut
Switch(config-if-range)#end
Switch#

◆通信確認
ポートにLAN線を接続してクライアントPCからping確認を行います。

PC作業
ping 192.168.1.100

◆IOSの保存
Switch#copy flash:/c2960s-universalk9-mz.150-2.SE/c2960s-universalk9-mz.150-2.SE.bin/ tftp:
Address or name of remote host []? 192.168.1.1
Destination filename [c2960s-universalk9-mz.150-2.SE.bin]?
!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!
13605558 bytes copied in 61.357 secs (221744 bytes/sec)
Switch#

ビックリマークが並ぶと成功です。

◆エラー
・クライアントPC
TFTPサーバーが立ち上がってるか確認
IPアドレスの確認
PING確認

・Cisco Switch
ファイルのパス確認
IPアドレスの確認
PING確認

◆コピー後の確認
コピーされたbytes(容量)確認。
今回はCiscoのIOS容量が13605558bytesなので
クライアントPCにコピーされたファイルのプロパティを見て
同じ容量であることを確認。

◆IOSのアップデート
TFTPサーバーからCisco SwitchにIOSをインストール(アップデート)
する場合は下記方法で行います。

Switch#copy tftp:/ flash:/c2960s-universalk9-mz.150-2.SE/
Address or name of remote host []? 192.168.1.1
Source filename []? c2960s-universalk9-mz.150-2.SE.bin
Destination filename [/c2960s-universalk9-mz.150-2.SE/c2960s-universalk9-mz.150-2.SE.bin]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing tftp://192.168.1.1/c2960s-universalk9-mz.150-2.SE.bin...
Loading c2960s-universalk9-mz.150-2.SE.bin from 192.168.1.1 (via Vlan101):
!!!!!!!!!!!!!!!!!!O!!!!!!!!!!!!!!!!!!!!!!!!!O!!!!!!!!!!!
[OK - 13605558 bytes]

13605558 bytes copied in 173.156 secs (78574 bytes/sec)

Switch#

以上でアップデート完了です。
アップデートしたIOSからブートするときは

Cisco bootsystemの変更コマンド
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(1) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco L3 Catalyst(LAN BASE/IP BASE/IP SERVEICES)

Cisco Catalyst 3750-X および 3560-X シリーズ ソフトウェア

IP Base と IP Services のフィーチャ セットに加え、
Cisco Catalyst 3750-X および 3560-X シリーズには、
新しい LAN Base のフィーチャ セットが用意されている。

LAN Base:高度インテリジェント サービス
IP Base:基本エンタープライズ サービス
IP Services:エンタープライズ サービス

◆LAN Base フィーチャセットは、最大 255 VLAN までの包括的なレイヤ 2
機能を含む、高度インテリジェント サービスを提供する。
要はインテリジェントスイッチ。デフォルトではスタック不可だが
IP BASEへのアップデートを行うとスタック可能となる。

◆IP Base フィーチャセットは、すべての LAN Base 機能に加え、
1K VLAN で基本エンタープライズ サービスを提供します。
IP Base は、ルーティングによるアクセス、StackPower、MACsec、
および新しいシスコサービスモジュールにも対応しています。

◆IP Services フィーチャセットは、EIGRP(Enhanced IGRP)、
OSPF(Open Shortest Path First)、BGP(Border Gateway Protocol)、
PIM(Protocol Independent Multicast)、IPv6 ルーティング
(OSPFv3 や EIGRPv6)などの高度なレイヤ 3 機能を含む、
完全なエンタープライズ サービスを提供する。

発注時または後からのライセンスによるアップグレードオプションとして
のみ利用可能です。IP Services 専用のスイッチ モデルはありません。

IPベースイメージとIPサービスイメージの違い
Cisco Catalyst 3750-X および 3560-X シリーズ スイッチ

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco ip classless

ip classlessの設定が入ってないと
デフォルトルートにpingが飛ばない。

#no ip classless
#ip route 0.0.0.0 0.0.0.0 192.168.1.254

すべてのパケットを192.168.1.254に投げなさいと記述。
no ip classless なのでpingをしても飛びません。

#ip classless
#ip route 0.0.0.0 0.0.0.0 192.168.1.254

これで192.168.1.254にpingが飛ぶようになります。

すげーわかりやすいブログがあった。
迷子になっておれのブログに来た人用にリンク。
みんなの受験記 ip classless編


TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco EOS and EOL 一覧 End-of-Sale and End-of-Life Products

Cisco EOS and EOL 一覧
End-of-Sale and End-of-Life Products


世の中に出回っているシスコ製品にもいつかは
寿命がくる。
EOS(End-of-Sale)が最終販売日。
EOL(End-of-Life Products)が最終保守日。

EOSが発表されてから6年後くらいにEOLがきます。
個人的に使用してる機器だと問題ないのですが
商用で使用してる場合保守に入れないのは致命的です。

Cisco EOS and EOL 一覧
End-of-Sale and End-of-Life Products



TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco HSRP インターフェース・トラッキング

Router-CのインターフェースE0に障害が起きたとき。
Router-Aは障害を検知することができないのでActiveのままとなる。
それによってPCは通信ができなくなる。
HSRP track

インターフェーストラッキングを行うことで相手のポート障害も
Router-Aで検知することが出来る。

【Router-Aの設定】
int E1
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 255
standby 1 preempt
standby 1 track Ether0 250 ←インターフェーストラッキングを有効にする。
ポートがダウンするとpriorityを250下げる。
(この場合はpriorityが5となる)

【Router-Bの設定】
int E1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 preempt ←standby routerで有効にしておくとインターフェーストラッキングが作動する。

Router-CのE0に障害が起きると
Router-Aで検知してpriorityを250下げる。

これでRouter-Aのpriorityは5となるので
デフォルトpriorityが設定されているRouter-Bへと
通信経路が変更される。
hsrp track
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(1) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco HSRP 自動でActive復旧

Router-Aが復旧したとき自動的にRouter-Aを
Activeに戻す方法。

【Router-Aの設定】
int E1
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 255
standby 1 preempt ←復旧したときpriorityが高ければ自動でActiveに戻る

【Router-Bの設定】
int E1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.254

Router-A障害発生中
HSRP設定

Router-A障害復旧
hsrp preempt

経路復旧
hsrp preempt
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco HSRP 設定

HSRP設定


【Router-Aの設定】
int E1
ip address 192.168.1.1 255.255.255.0 ←E1のIPアドレス
standby 1 ip 192.168.1.254 ←仮想IPアドレスを設定する
standby 1 priority 255 ←このルーターのプライオリティを255に設定する
(Priorityが大きいRouterがActiveになる)

【Router-Bの設定】
int E1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.254 ←仮想IPアドレスを設定する

通常経路
HSRP設定

障害発生
HSRP設定

経路切替
HSRP設定

このように自動的に経路を変更してくれます。

〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜

standbyのあとの"1"という数字がHSRPのグループとなる。
priorityのデフォルトは100となる。
priorityの値が同じ場合はIPアドレスが大きいRouterがActiveとなる。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Cisco | このブログの読者になる | 更新情報をチェックする

Cisco HSRPとは?

HSRP(Hot Standby Routing Protocol)とは?

Ciscoルータの多重化を行なうためのプロトコル。
それぞれのルータにIPアドレスを一つ振り、
多重化させたいルータ全体にさらに1つIPアドレスを割り当てる。

通信する際は全体に振ったIPアドレスを使用する。
使用されるルータは1つで、そのルータが停止すると
自動的に別のルータ1台が停止したルータに代わって通信を行なう。

切り替えに必要な時間は1秒くらい。
同様の技術にVRRPがあるが、相互運用性はない。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Cisco | このブログの読者になる | 更新情報をチェックする