CISCO AP 自立型 設定

Ciscoの古いAP(Cisco Aironet1100シリーズ)を設定してみた。
EOLはとっくに来ているみたいでOSのバージョンアップ
とかはできない。

Cisco Aironet 1100 シリーズ - 終了のお知らせ

電源はもっていないし売っていないのでPoEスイッチを
秋葉原で買ってきた。5portで5千円と結構するものである。
ポートはCONSOLEとETHERNETの2ポートついている。
IPが設定されているかもわからないので一旦コンソール
ケーブルにて接続。

Username：cisco
Password：Cisco
ap>enable
Password：Cisco

Cisco Aironetシリーズのデフォルトユーザーパスワードで
ログインすることができた。ホスト名もapがデフォルト。

まずはETHERNETに管理IPの設定。
LANにIPを振るとWebUIでも接続して設定変更できるので便利です。
ap#conf t
ap(config)#interface gigabitEthernet 0
ap(config-if)#ip addresss 192.168.1.254 255.255.255.0
ap(config-if)#no shut

今日はそのままCLIで設定を継続。
SSID、暗号化方式、パスワードなどを設定していきます。
ap(config)#dot11 ssid Ciscotest-SSID(SSID名を入力)
ap(config-ssid)#authentication open
ap(config-ssid)#authentication key-management wpa version 2
ap(config-ssid)#wpa-psk ascii 0 *********(パスワードを入力)
ap(config-ssid)#guest-mode　→SSIDを表示させる(ステルスモードの場合は設定しない)
ap(config-ssid)#exit

ap(config)#int dot11Radio 1　→2.4GHz(Radio 0)と5GHz(Radio 1)どちらで設定するか決定
ap(config-if)#encryption mode ciphers aes
ap(config-if)#ssid Ciscotest-SSID
ap(config-if)#station-role root　→rootだと親機、repeaterだと中継器
ap(config-if)#no shutdown
ap(config-if)#exit

設定した帯域がupしていることを確認
ap#show int dot11Radio 1
Dot11Radio1 is up, line protocol is up
続く・・・

IPアドレスなどが正常に設定できていることを確認
ap#show ip interface brief

ここまで設定すればクライアントPCから接続して
インターネットを閲覧することができました。
CiscoAPの接続先としてFortigateがいるのですが
DHCPやセグメントの設定はやっています。

設定は管理IPを振ったあとWebUIでするのが楽かも。。。
APの管理画面へ接続
ブラウザにhttp://192.168.1.254　→gigabitEthernet 0に設定したIP
ユーザー/パスワードは変更していない限りはデフォルト

Cisco ASA デフォルトユーザーについて

Cisco ASAの後継製品はCisco Firepowerとなるのですが
Firepowerに搭載するOSはASA及びFTDから選択することができます。

イメージ的にはハードウェアがFirepowerという筐体、
仮想OSとしてFXOSがあり、その上で実際にファイアウォールとして
動作するOSをASA OS及びFTD OSから選択する。
基本的にユーザーが選択するのはFirepowerの機種及び、
動作するOS(ASA or FTD)となる。

現在本番環境で動作させているのがFirepowerASA(FPR2130-ASA-K9)と
なるのですがセキュリティ上の観点からデフォルトユーザーに
「admin」が存在するのか調査することになった。

ポイントとして以下4つの観点から調査した。
�@ASAのconfigにデフォルトで設定されているユーザ
�AFXOSへのアクセスで使用するデフォルトユーザ
�Bモジュールへのアクセスで使用するデフォルトユーザ
�Cその他、初期出荷状態で 使用する/できる ユーザ


■�@ASAのconfigにデフォルトで設定されているユーザ、
�Cその他、初期出荷状態で 使用する/できる ユーザについて
コンフィグ上にデフォルトで設定されているものはないが、
設定情報にはなく、削除もできないenable_Xのデフォルトユーザー
というユーザーが存在します。
デフォルトのコンソールログイン時にまずユーザ EXEC モードに
ログインして、enable_1というユーザーでログインします。
そこからenableコマンドにより特権 EXEC モードでログインすると、
enable_15というユーザーでのログインに変わる。
https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html

ユーザー認証が設定されておらず、enableパスワードが
設定されている状態でASDMの接続設定を実施した場合は
ユーザー名：空欄もしくはenable_15
パスワード：enableパスワードでASDMからログイン可

■�AFXOSへのアクセスで使用するデフォルトユーザについて
FXOSではデフォルトでadminが設定されている。
このadminユーザーはいつもアクティブで削除や無効化は出来ない。
これはFirepowerシリーズ(FPR1000/2100/4100/9300)共通の認識。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos2160/cli-guide/b_CLI_ConfigGuide_FXOS_216/user_management.html#concept_2770BFB3259042F5A4420595A0A6946C

■�Bモジュールへのアクセスで使用するデフォルトユーザについて
拡張インターフェース等の追加モジュールに
ついてはモジュールへのアクセスにユーザー情報は必要なく、
ASAでログインしているユーザーで管理している。
FPR4100シリーズの場合は論理デバイスとして作成されている
ASAに対してコンソールアクセスをする際、論理モジュールへ
アクセスするが、その際モジュール接続自体にはユーザー
情報を必要とせず、ASAへアクセスする際はASAのユーザー
情報でのアクセスとなる。

やはりデフォルトで存在するユーザーは消せないようですね。
最近セキュリティの観点からデフォルトのアドミンユーザーを
削除しないといけない場面があるのですが影響範囲が
わからなかったりするのでなるべくはやりたくないです。

■Cisco ASAログイン時のデフォルトユーザー＆パスワード
default user: cisco
default password: cisco

Cisco Smart License 設定方法(オフライン方式)

CiscoのライセンスがSmart Licenseになってから
Catalyst機器を導入するのが億劫になってきました。
これ正確に把握している人いないんじゃないかって
くらいメンドクサイし、ややこしい。しかも途中で
バージョンによってライセンス方式を変更したり
しているし・・・・

とはいえやっぱりまだまだ世の中ではCiscoの
Catalystは主流。嫌だとばかりは言ってられません。
ということでちょっとまとめておきます。

◆用語
CSSM：Cisco Smart Software Manager
　→Ciscoのクラウド管理画面
　　購入した機器のライセンスはこちらに付与される。
　　付与されたライセンスを機器に割り当てたりすることができる。

SA：Smart Account(スマートアカウント)
　→お客様専用アカウント。ライセンス管理などを行える。

VA：Virtual Account(バーチャルアカウント)
　→SAアカウントで作れるアカウント。

RTU/PAK
　→従来のライセンス方式

Smart Licensing
　→IOSバージョン17.3.1までのスマートライセンス利用法
　　現在はEOS

SLP：Smart Licensing Using Policy
　→IOSバージョン17.3.2以降のスマートライセンス利用法

◆スマートライセンス利用


◆スマートライセンスタイプ
ライセンスタイプは4種類あり機能が使えなくなったり
する場合もあるので理解しておく必要がある。

[perpetual license]
・機器でライセンス有効化を実施
・永続ライセンス
・Network Licenseなど
・切れても機能制限はない

[subscription license]
・機器でライセンス有効化を実施
・期限付きライセンス
・Cisco DNA Licenseなど
・切れても機能制限はない

[export controlled licenses]
・米国輸出規制対象
・Smart Licensing Authorization Codeの事前インストールが必要
・HSEC Licenseなど
・切れると機能制限がある

[enforced licenses]
・Smart Licensing Authorization Codeの事前インストールが必要
・MRP Client Licenseなど
・切れると機能制限がある

◆ライセンス購入時
[従来同様の使い方をしたい場合]
L2：Cat9000+Essentialパッケージ　
L3：Cat9000+Advantageパッケージ
(永続ライセンスなので期間終了後も利用は可能）
(DNA機能を利用しなくても一番最初にCat9000購入時は
DNA EssentialsかDNA Advantageライセンスを購入しないと
いけない鬼仕様)

[DNA管理を行う場合]
DNA基本機能：Cat9000+Essentialパッケージ
DNAフル機能：Cat9000+Advantageパッケージ
DNAフル機能+認証：Cat9000+Premierパッケージ
(必要年数購入して更新が必要)



SLPにもSLR(Specific License Reservation)オフライン方式と
CSSMオフライン方式で登録する方法があります。
今後はCSSMオフライン方式が主流となりますので
こちらの方式で登録してみます。

■CSSMオフライン方式登録手順
１．license boot levelの確認
基本的にライセンス認証がいらなくなったので
出荷時にIN USE状態となります。

＊確認(license boot level)
CiscoCatalyst#show run all | include license boot
license boot level network-essentials addon dna-essentials

CiscoCatalyst#show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
network-essentials (C9200L-NW-E-48) 1 IN USE
dna-essentials (C9200L-DNA-E-48) 1 IN USE

２．オフライン方式で稼働する宣言
CSSM(Ciscoのクラウドサイト)と直接通信は行わないので
設定をいれて切っておきます。

＊通信を行わない設定
CiscoCatalyst#conf t
CiscoCatalyst(config)#license smart transport off
CiscoCatalyst(config)#end
CiscoCatalyst#wr

＊確認(smart transport off)
CiscoCatalyst#show run | include license
license boot level network-essentials addon dna-essentials
license smart transport off
CiscoCatalyst#

３．登録する機器でファイル作成
コマンドを入力してレポートファイル作成。

＊作成
CiscoCatalyst#license smart save usage all file flash:test_rum.txt

＊確認(rumレポートが作成されたこと)
CiscoCatalyst#dir flash: | include test_rum.txt

４．FTPサーバーの準備

＊おすすめフリーFTPソフト
インストール不要でいろいろ試験ができる便利なSERVA
SERVA Capture & Deploy
https://www.vercot.com/~serva/default.html

Download


Serva_Community_v4.6.0


Serva64.exeをクリックして起動(PCが64bitならこちら)


カウントダウンが終了するのを待って
「I'm a "Community" user」をクリック


起動後、上部で右クリックして「Settings」を選択


「FTP」タブを選択して
Service Up/Down FTP Server チェックを入れる
FTP Server IP address Bind FTP to this address チェックを入れる
(PCのアドレスがFTPサーバーのアドレスになります)
FTP Settings そのままの設定
FTP Server user accounts
1 user test　任意で設定
FTP Server Anonymous user root directory 任意で設定
FTP Server Registered user root directory　任意で設定
OK選択後、「×」をクリックして再度起動

再度カウントダウンが終了するのを待って
「I'm a "Community" user」をクリック。

CatalystにIPアドレスなどを設定してLAN線で接続後、
PCからCatalystへPINGできることを確認。
逆にCatalystからPCへPINGできることを確認。
これでFTPの準備完了となります。

５．ファイルをダウンロード
FTPを利用してレポートファイルをPCにコピーします

＊FTPサーバー(PC)へファイルダウンロード
[例]
CiscoCatalyst#copy flash:test_rum.txt ftp://[FTPユーザー名]:[FTPパスワード]@PCのIPアドレス/

CiscoCatalyst#copy flash:test_rum.txt ftp://user:test@10.1.1.10/
Address or name of remote host [10.1.1.10]?
Destination filename [test_rum.txt]?
Writing test_rum.txt !
13179 bytes copied in 0.924 secs (14263 bytes/sec)
CiscoCatalyst#

FTP転送が失敗する場合はServaのLogを確認しましょう。

６．CSSMにレポートファイルをアップロード
まずはCiscoのサイトにログインします
CISCOアカウントログイン

ログイン後
Cisco Software Central＞ライセンスの管理へ進みます


レポート＞使用状況データファイル＞使用状況データのアップロード


参照＞先ほどダウンロードしたtest_rum.txtファイルを選択＞データのアップロード


７．CSSMのACKファイルをダウンロード
アップロードされたデータを確認して＞ダウンロード


製品インスタンスに登録されたことを確認
インベントリ＞バーチャルアカウントの選択＞製品インスタンス


８．CatalystにACKファイルをインポート
先ほど利用したFTPサーバーを起動していればそのまま使用できます。

＊CatalystへACKファイルインポート
[例]
CiscoCatalyst#copy ftp://[FTPユーザー名]:[FTPパスワード]@PCのIPアドレス/test_rum.txt flash:

CiscoCatalyst#copy ftp://user:test@10.1.1.10/test_rum.txt flash:
Destination filename [test_rum.txt]?
Accessing ftp://*:*@10.1.1.10/test_rum.txt...!
[OK - 13179/4096 bytes]
13179 bytes copied in 2.120 secs (6217 bytes/sec)
CiscoCatalyst#

９．ライセンスステータスの確認

＊Catalystでライセンス確認
CiscoCatalyst#show license status
〜割愛〜
Usage Reporting:
Last ACK received: Nov 04 13:26:50 2022 JST
Next ACK deadline: Feb 02 13:26:50 2023 JST
Reporting push interval: 30 days
Next ACK push check:
Next report push: Nov 09 21:23:59 2022 JST
Last report push:
Last report file write:

Trust Code Installed:
CiscoCatalyst#

＊Ciscoサイトから確認
Ciscoサイトログイン後＞バーチャルアカウント選択＞
インベントリ＞ライセンス＞使用中になったことを確認


以上でスマートライセンスの登録完了となります。
これでも楽になったほうらしいです。

ちなみにCiscoのファイアウォールASAをオフライン方式で登録する際は
Cisco側で許可設定してもらわないとユーザー側は登録完了できません。
購入ベンダー経由で所定の手続きを実施いただきましょう。

続きを読む

Cisco ASA 後継機

ASA5500-Xの後継製品となるFirepower1000/2100/4300/9300
シリーズ(別名 Cisco Secure Firewall)は購入する際にOSを
選択することができます。

・ASA (Adaptive Security Appliance)
・FTD (Firepower ThreatDefense)

Firepower1010モデルでASA利用時の型番は FPR1010-ASA-K9
Firepower1010モデルでFTD利用時の型番は FPR1010-NGFW-K9
のように型番で機種にどのモデルのOSが動作しているか
判別することができます。

ではASA OSとFTD OSを購入する際のポイントは
使う機能の違いで考えるのがいいかと思います。

ASA OS：ファイアウォールの機能、リモートVPN、L4までの通信
FTD OS：UTMの機能、簡単なファイアウォール機能

安定性ではやはりASA OSを利用するのがいいかと思います。

Cisco ASA バージョンアップ

CiscoファイアウォールのASAをバージョンアップした手順を
まとめています。基本的には瞬断2回(pingが一つ落ちる程度)で
正副機器のバージョンアップを実施することができました。

今回バージョンアップする機器
◆バージョンアップ前(現在)
機種：Firepower2130
ASA:9.14(3)1
(cisco-asa-fp2k.9.14.3.1.SPA)
ASDM:7.14(1)
(asdm-7141.bin)

◆バージョンアップ後
機種：Firepower2130
ASA:9.18(4)24
(cisco-asa-fp2k.9.18.4.24.SPA)
ASDM:7.20(2)
(asdm-7202.bin)

◆事前準備
事前準備として以下を考慮します。
・既存OS及びASDMOSの準備
・新規OS及びASDMOSの準備
・新規OSとASDMOSのcompaptibility確認
・FTPもしくはTFTPの準備
・機器に空き領域が十分にあるか
・CPUやメモリなど正常な値か

ちなみにFirepowerのASA bundle versionには
ASAOSとFXOSの両方が含まれているので別々にインストール
することはできません。
Firepower 1000/2100 and Secure Firewall 3100/4200 ASA and FXOS Bundle Versions

号機確認
ホスト名は同期されてしまうため1号機、2号機ともに同じ名前となってしまう。
ip address 192.168.1.11 255.255.255.0 standby 192.168.1.12
この場合、Active機のIPが192.168.1.11になります。
2号機がActiveになった場合、2号機のIPが192.168.1.11になります。

また、Active/Standbyは以下のように判断できます
Hostname/pri/act → 1号機がActive
Hostname/sec/stby → 2号機がStandby

Hostname/pri/stby → 1号機がStandby
Hostname/sec/act → 2号機がActive

1号機がActiveの状態からバージョンアップを実施します。

◆OSのアップロード作業
Active機(1号機)へログイン
　CiscoASA/pri/act＞enable
　CiscoASA/pri/act#
※このときプロンプトがCiscoASA/sec/actになっている場合
系切替コマンドで1号機をActiveにします
　CiscoASA/pri/act#no failover active
　
コンフィグのバックアップ実施
　CiscoASA/pri/act#term len 0
　CiscoASA/pri/act#show run
　CiscoASA/pri/act#show failover
　CiscoASA/pri/act#show version
　CiscoASA/pri/act#show exec standby show version
　CiscoASA/pri/act#show flash

IOSのアップロード(1号機2号機それぞれで作業が必要)
　CiscoASA/pri/act#copy tftp flash
　Address or name of remote host[]? 192.168.1.222(PCのアドレスを入力)
　Source filename[]? cisco-asa-fp2k.9.18.4.24.SPA(アップロードするOSを指定)
　※環境にもよりますが、アップロードには15分ほどかかりました
　CiscoASA/pri/act#show flash(アップロードしたファイル容量があっているか確認)

asdmのアップロード(1号機2号機それぞれで作業が必要)
　CiscoASA/pri/act#copy tftp flash
　Address or name of remote host[]? 192.168.1.222(PCのアドレスを入力)
　Source filename[]? asdm-7202.bin
　CiscoASA/pri/act#show flash(アップロードしたファイル容量があっているか確認)
　
ブートバージョンの指定
　CiscoASA/pri/act#show running-config boot
　boot system disk0:/cisco-asa-fp2k.9.14.3.1.SPA
　CiscoASA/pri/act#conf t
　CiscoASA/pri/act(config)#no boot system disk0:/cisco-asa-fp2k.9.14.3.1.SPA
　CiscoASA/pri/act#show running-config boot
　(何も表示されないことを確認)
　CiscoASA/pri/act#conf t
　CiscoASA/pri/act(config)#boot system disk0:/cisco-asa-fp2k.9.18.4.24.SPA
　(このコマンドで1号機と2号機の両方にファームが
　インストールされます。5分〜10分程度待ちます)
　CiscoASA/pri/act#show bootvar
　BOOT variable = disk0:/cisco-asa-fp2k.9.18.4.24.SPA
　Current BOOT variable = cisco-asa-fp2k.9.18.4.24.SPA
　CiscoASA/pri/act#failover exec standby show bootvar(2号機の確認コマンド)
　(コマンドが失敗する場合は2号機のアップデートが完了していません)
　
　CiscoASA/pri/act#conf t
　CiscoASA/pri/act(config)#asdm image disk0:/asdm-7202.bin
　CiscoASA/pri/act#wr
　CiscoASA/pri/act#show version
　Cisco Adaptive Security Appliance Software Version 9.14(3)1
　Device Manager Version 7.20(2)
　※この段階ではIOSは古いままとなります。
　CiscoASA/pri/act(config)#failover exec standby show version(2号機の確認コマンド)
　Cisco Adaptive Security Appliance Software Version 9.14(3)1
　Device Manager Version 7.20(2)
　※この段階ではIOSは古いままとなります。
　
◆バージョンアップ作業
1号機から2号機のバージョンアップを実施します
　CiscoASA/pri/act(config)#failover reload-standby
　(再起動には15分程度かかりました)
　CiscoASA/pri/act(config)#show failover
　Version: Ours 9.14(3)1, Mate 9.18(4)24
　※Mateが新しいバージョンになっていればOK。
　Other host: Secondary - Failed となっている場合はバージョンアップ中です
　Other host: Secondary - Standby Readyとなっている場合は完了です
＊＊＊＊＊系の切替を実施します、ここで通信断が発生します＊＊＊＊＊
　CiscoASA/pri/act#no failover active
　TeraTermが切断されます
　前面パネルLEDが以下のようになります。
　1号機のACT：オレンジ
　2号機のACT：緑
再度ログインしプロンプトが以下のように変更していることを確認
ログインは1号機にします
　CiscoASA/pri/stby＞
　CiscoASA/pri/stby＞enable
　CiscoASA/pri/stby#show failover
　This host: Primary - Standby Ready(スタンバイになったことを確認)
　Other host: Secondary - Active
　CiscoASA/pri/stby#reload
　(再起動には15分程度かかりました)

◆バージョンアップ後の確認及び系の切替
ログインは2号機にします
　CiscoASA/sec/act＞
　CiscoASA/sec/act＞enable
　CiscoASA/sec/act#show failover
　Version: Ours 9.18(4)24, Mate 9.18(4)24
　※新しいバージョンになっていればOK。
　This host: Secondary - Active
　Other host: Primary - Standby Ready
　CiscoASA/sec/act#show version
　CiscoASA/sec/act#failover exec standby show version
　Cisco Adaptive Security Appliance Software Version 9.18(4)24
　Device Manager Version 7.20(2)
　※新しいIOS（9.18(4)24）、ASDM（7.20(2)）になっていること
　CiscoASA/sec/act#failover exec standby show version
　Cisco Adaptive Security Appliance Software Version 9.18(4)24
　Device Manager Version 7.20(2)
　※新しいIOS（9.18(4)24）、ASDM（7.20(2)）になっていること
＊＊＊＊＊系の切替を実施します、ここで通信断が発生します＊＊＊＊＊
　CiscoASA/sec/act#no failover active

◆ログの取得
必要なログを取得してください。

以上でバージョンアップ作業は完了となります。
※作業は自己責任にてお願いします。
環境に依存する作業もあると思いますので事前に試験環境などでの
テストを実施ください。

CISCO 純正品 コンソールケーブル

Intellife コンソールケーブル RJ-45 DB-9 互換ケーブル Cisco Systems シリアルケーブル 変換ケーブル 価格：1,078円（税込、送料無料) (2024/9/10時点)

CISCO 純正品　コンソールケーブル

シスコルータに付属してるコンソールケーブルって
こんな高いんだ！！ちょっとびっくりした〜
しかも今や別売り〜ありえないね。

昔はタダだったのに時代は変わったんだな・・・・
続きを読む

spanning-tree pathcost method 変更

スパニングツリーのpathcost methodがバージョンにより変更

Catalyst9000やNEXUSのOSバージョンにより
spanning-tree(STP)のpathcost methodが変更となりました。

IOS XE 17.3.Xまではpathcost method 「short」
IOS XE 17.6.Xからはpathcost method 「long」

◆pathcost method 確認コマンド
Cisco(config)#show spanning-tree pathcost method
Spanning tree default pathcost method used is short

◆pathcost method 設定コマンド
Cisco(config)#spanning-tree pathcost method ＜long | short＞

◆short及びlongのコスト値
pathcost method & cost
帯域幅　short　long
100Mbps　19　200,000
1Gbps　4　20,000
10Gbps　2　2,000
40Gbps　1　500
100Gbps　1　200

これめちゃくちゃ注意が必要ですね。
現行環境に機器を新規導入してスパツリ構成が
変わったりしたら通信に影響でたりするかもしれません。

Cisco Catalyst 1000 シリーズ

CiscoのCatalystシリーズでポートを増やすときに
重宝していたCatalyst2960L。
後継機のCatalyst1000シリーズはライセンスが現行同様の
フィーチャーライセンスモデルなのがありがたいですね。

正直DNAライセンスモデルは導入ハードルが高すぎます。
Catalyst9200やCatalyst9200Lシリーズは性能いいのわかって
いるのですがDNAライセンスというだけで別商品を候補に
したくなります。

アップリンクポートに10GB(SFP+)モデルが出てきたのは
結構ありがたいですね。
マイグレーションパスは以下となるようです。

◆C2960L ⇒ C1000マイグレーションパス
WS-C2960L-8TS-JP(2x1G SFP) ⇒ C1000-8T-2G-L(2x1G combo)
WS-C2960L-8PS-JP(2x1G SFP) ⇒ C1000-8P-2G-L(2x1G combo)PoE+60W
WS-C2960L-16TS-JP(2x1G SFP) ⇒ C1000-16T-2G-L(2x1G combo)
WS-C2960L-16PS-JP(2x1G SFP) ⇒ C1000-16P-2G-L(2x1G combo)PoE+120W
WS-C2960L-24TS-JP(4x1G SFP) ⇒ C1000-24T-4G-L(4x1G combo)
WS-C2960L-24PS-JP(4x1G SFP) ⇒ C1000-24P-4G-L(4x1G combo)PoE+195W
WS-C2960L-48TS-JP(4x1G SFP) ⇒ C1000-48T-4G-L(4x1G combo)
WS-C2960L-48PS-JP(4x1G SFP) ⇒ C1000-48P-4G-L(4x1G combo)PoE+370W

機器の保守などについては販売店様にしっかりと
確認して購入するようにしましょう。

Cisco Packet Tracer 設定編

前回はCisco Packet Tracer (無料シュミレーター）の
ダウンロード及びインストールを実施しました。
今回は実際に仮想環境で設定を行っていきたいと思います。

構築する環境は以下になります。
PC1からPC2へPINGが飛べば成功とします。


◆環境構築
１．事前確認
Cisco Packet Tracerログイン後、左上の[Select]が選択されているのを確認


２．L3スイッチ設置
左下のNetwork Devices＞Switches＞3650 24PSを順番に選択
してアイコンをドラッグ＆ドロップします


[Multilayer Switch]と表示されているところを
クリックして名前を変更します。
1号機：L3Switch#A
2号機：L3Switch#B


３．L3スイッチ電源準備
Catalyst3650にはデフォルトで電源モジュールがついていません。
なので自分で電源を取り付ける必要があります。
ここら辺は本格的ですね。
機器本体部分をクリック


Physical＞右下の電源モジュールを選択＞L3スイッチに装着


L3スイッチに装着すると図のようになります


４．L3スイッチコンフィグ設定
CLIを選択するとコンソールで接続したときの画面が表示されます


＊L3Switch#Aポート設定
---------------------------------------------------------------
＃L3スイッチ接続ポート設定
Switch>
Switch>enable
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int g1/0/1
Switch(config-if)#ip address 1.1.1.1 255.255.255.255
^
% Invalid input detected at '^' marker.

Switch(config-if)#no switchport
Switch(config-if)#ip address 1.1.1.1 255.255.255.255
Bad mask /32 for address 1.1.1.1
Switch(config-if)#ip address 1.1.1.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#hostname L3Switch#A
L3Switch#A(config)#
L3Switch#A#

＃クライアント接続ポート設定
L3Switch#A(config)#int vlan 10
L3Switch#A(config-if)#ip address 192.168.10.254 255.255.255.0
L3Switch#A(config-if)#no shutdown
L3Switch#A(config-if)#exit
L3Switch#A(config)#int g1/0/24
L3Switch#A(config-if)#switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
L3Switch#A(config-if)#
%LINK-5-CHANGED: Interface Vlan10, changed state to up

L3Switch#A(config-if)#no shut
L3Switch#A(config-if)#
L3Switch#A(config-if)#end
L3Switch#A#
---------------------------------------------------------------

2号機も同様に電源モジュールを挿して設定します
＊L3Switch#Bポート設定
---------------------------------------------------------------
＃L3スイッチ接続ポート設定
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname L3Switch#B
L3Switch#B(config)#int g1/0/1
L3Switch#B(config-if)#no switchport
L3Switch#B(config-if)#ip address 1.1.1.2 255.255.255.0
L3Switch#B(config-if)#no shut
L3Switch#B(config-if)#exit
L3Switch#B(config)#exit
L3Switch#B#

＃クライアント接続ポート設定
L3Switch#B(config)#int vlan 20
L3Switch#B(config-if)#ip address 192.168.20.254 255.255.255.0
L3Switch#B(config-if)#no shut
L3Switch#B(config-if)#
L3Switch#B(config-if)#exit
L3Switch#B(config)#int g1/0/24
L3Switch#B(config-if)#switchport access vlan 20
% Access VLAN does not exist. Creating vlan 20
L3Switch#B(config-if)#
%LINK-5-CHANGED: Interface Vlan20, changed state to up

L3Switch#B(config-if)#no shut
L3Switch#B(config-if)#
L3Switch#B(config-if)#exit
L3Switch#B(config)#
---------------------------------------------------------------


５．L3スイッチを物理配線接続/通信確認
とりあえずスイッチ同士の疎通確認を行ってみましょう。
Connections＞Copper Straight-Throughを選択してドラッグ&ドロップ


機器本体の上でドロップするとどのポートに接続するか
選択することができます。
設定したG1/0/1を選択します。


反対側も同様に2号機上でドロップしてG1/0/1を選択します。
するとL3Switch#AとL3Switch#Bが線でつながります。


L3Switch#Aのコンソール上からL3Switch#Bの先ほど設定した
IPアドレス1.1.1.2へPINGで疎通確認


今度はL3Switch#Bのコンソール上からL3Switch#Aの
IPアドレス1.1.1.1へPINGで疎通確認


両機器からお互いに疎通確認がとれました。

６．PC設置準備
今度はPCがL3Switch(デフォルトゲートウェイ)に
疎通できるように準備します。

End Devices＞PCを選択してドラッグ&ドロップ


L3Switchのとき同様表示名をPC1とPC2に変更します


PC1機器本体を選択してPCにIPアドレスを設定します
Config＞FastEthernet0＞IP Configuration＞Static
IPv4 Address : 192.168.10.101
Subnet Mask : 255.255.255.0


PCにデフォルトゲートウェイを設定します
Config＞Settings＞Gateway/DNS IPv4＞Static
Default Gateway : 192.168.10.254


PC2も同様に設定します

７．PCを物理配線接続/通信確認
Connections＞Copper Straight-Throughを選択してドラッグ&ドロップ
PC側はFastEthernet0を選択


L3Switch#AはG1/0/24を選択


PC2も同じように接続します
すべての結線が終わると以下の図のようになります


PC1のコマンドプロンプトを起動して通信確認します
PC1機器本体をクリック＞Desktop＞Command Prompt


PC1からデフォルトゲートウェイの192.168.10.254へ
PINGが飛ぶのを確認


PC2からもデフォルトゲートウェイの192.168.20.254へ
PINGが飛ぶのを確認


８．PC1からPC2へPING通信確認
PC1のコマンドプロンプトから192.168.20.201へPING確認
失敗しました。これはL3スイッチのルーティング機能有効化と
スタティックルートがないためですね。

L3Switch#A設定
---------------------------------------------------------------
＃L3スイッチルーティング設定
L3Switch#A>en
L3Switch#A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
L3Switch#A(config)#ip routing
L3Switch#A(config)#ip route 192.168.20.0 255.255.255.0 1.1.1.2
L3Switch#A(config)#exit
L3Switch#A#
%SYS-5-CONFIG_I: Configured from console by console
L3Switch#A#
---------------------------------------------------------------

L3Switch#B設定
---------------------------------------------------------------
＃L3スイッチルーティング設定
L3Switch#B#conf t
Enter configuration commands, one per line. End with CNTL/Z.
L3Switch#B(config)#ip routing
L3Switch#B(config)#ip route 192.168.10.0 255.255.255.0 1.1.1.1
L3Switch#B(config)#exit
L3Switch#B#
---------------------------------------------------------------

再度PC1からPC2へ疎通確認をします
PC1からPC2の192.168.20.201へPINGが飛ぶようになりました


またPC2からPC1の192.168.10.101へもPINGが飛びます


テスト環境が構築できました。
Cisco Packet Tracerはかなり使えることがわかりました。

ISR4321 追加ライセンス有効化

今までのCisco ISRシリーズでは利用したい機能により
IOSを選択する必要がありました。途中から追加で機能を
利用したい場合IOSの入れ替えが発生していました。

第2世代のISRシリーズからはIOSは基本的にすべての
機能を含むようになり、必要な機能はライセンスを購入して
有効化することで利用できるようになりました。
これによりIOSを再インストールする必要はなくなりました。

---------------------------------------------------------------------
◆universalk9
基本となる「ipbasek9」と「securityk9」「uck9」「appxk9」
を含むパッケージとなる。

◆univeralk9_npe
基本となる「ipbasek9」と「securityk9_npe」「uck9_npe」
「appxk9_npe」を含むパッケージとなる。

ここでいうnpe(No Payload Encryption)とは、
強力なペイロード暗号化に対応していないIOSとなります。
これは特定の国の輸入要件では、ペイロードの暗号化などの
強力な暗号化機能に対応していないプラットフォームが要求
されるためです。
日本では_npeがついていないIOSでいいと思います。

◆securityk9
すべての暗号化機能(IPsec/SSL/SSH,Firewall,SecureVPN)の技術が
含まれます。VPNを利用したい場合などはこのライセンスを
購入する必要があります。

◆uck9
Cisco Unified Border Element(CUBE)を利用するには
UCテクノロジーパッケージ(ユニファイドコミュニケーション)
ライセンスが必要になります。
一般的にはUCとは「電話」「ビジネスチャット」
「Web会議」「ビデオ会議」などの機能を含みます。

◆appxk9
Appliction Experience Features機能
(MPLS/PfR,L2/L3 VPN,Broadband,AVC)などが含まれます。
---------------------------------------------------------------------

今回ISR4321で「appxk9ライセンス」と「securityk9ライセンス」を
有効にしてみます。

１．現状の状態確認
show license summaryやshow versionコマンドで状態を確認
Router#show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
No licenses in use

２．ライセンス有効化
※ライセンスをベンダーから購入して実施方法も確認しましょう
Router＞enable
Router#conf t
Router(conf)#license smart transport off
Router(conf)#license boot level appxk9 ※今回購入した追加ライセンスを有効化
Router(conf)#license boot level securityk9 ※今回購入した追加ライセンスを有効化
Router(conf)#end
Router#wr
Router#reload
※設定を反映させるため再起動が必要

３．ライセンス確認
show license summaryもshow versionも様子が
変わっていることが確認できますね。

Router#show license summary
License Usage:
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
appxk9 (ISR_4321_Application) 1 IN USE
securityk9 (ISR_4321_Security) 1 IN USE

Router#show version
最後らへんを確認
Technology Package License Information:

-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
appxk9 appxk9 Smart License appxk9
uck9 None Smart License None
securityk9 securityk9 Smart License securityk9
ipbase ipbasek9 Smart License ipbasek9

The current throughput level is 50000 kbps

以上となります。