idc ネットワーク編ハンズオン用資料 株式会社 IDC フロンティア 井上一清 1
IPv6 ハンズオン物理構成図 講師席 MRTG sylsog SNMP DHCP DNS = Catalyst6500 = Catalyst3750 or 3560 Gi*/= Gi1/0/ or Gi0/ 受講者席 Gi*/4 Gi*/2 Gi*/2 Gi*/2 Gi*/2 Gi*/4 Gi*/4 Gi*/3 Gi*/3 Gi*/3 Gi*/3 Gi*/4 第 1 グループ 1 2 9 10 第 3 グループ Gi*/3 Gi*/2 Gi*/2 Gi*/3 Gi*/3 Gi*/2 Gi*/2 Gi*/3 3 4 11 12 Gi*/4 Gi*/2 Gi*/2 Gi*/2 Gi*/2 Gi*/4 Gi*/4 Gi*/3 Gi*/3 Gi*/3 Gi*/3 Gi*/4 第 2 グループ 5 6 13 14 第 4 グループ Gi*/3 Gi*/2 Gi*/2 Gi*/3 Gi*/3 Gi*/2 Gi*/2 Gi*/3 7 8 15 16 2
211.120.242.248/29 ハンズオン論理構成図 (IPv4) 外部ネットワーク MRTG sylsog SNMP DHCP DNS AS:65535 IPv4 アドレス :211.120.242.0/24 IPv6 アドレス :2001:0fa0:2000::/40 2001:0fa0:a000::/36 OSPF Area:0 10.0.0.21/32 10.0.0.22/32.40/30 211.120.242.0/26.0/30.4/30.8/30.12/30.16/30.20/30.24/30.28/30 1.64/30 2.80/29.68/30.72/30 5.96/30 6.112/29.100/30.104/30 9.128/30 10.144/29.132/30.136/30 13.160/30 14.176/29.164/30.168/30 3.76/30.88/29.108/30.140/30.172/30 4 7 8 11 12 15 16 Area:1.120/29 Area:2.152/29 Area:3.184/29 Area:4 211.120.242.64/27 211.120.242.96/27 211.120.242.128/27 211.120.242.160/27 上位 NW 側に若番の IP をアサイン若番の機器側に若番の IP をアサイン Loopback アドレスは 10.0.0.x/32(xは座席番号 ) 3
2001:0fa0:2000:FFFF::/64 外部ネットワーク ハンズオン論理構成図 (IPv6) MRTG sylsog SNMP DHCP DNS <Ad0>::21/128 <Ad0>::21/128 AS:65535 IPv4 アドレス :211.120.242.0/24 IPv6 アドレス :2001:0fa0:a000::/36 2001:0fa0:2000::/40 OSPF Area:0 <Ad0>:11::/64 2001:fa0:a000::/40 = <Ad0> <Ad0>:1::/64 <Ad0>:2::/64 <Ad0>:3::/64 <Ad0>:4::/64 <Ad0>:5::/64 <Ad0>:6::/64 <Ad0>:7::/64 <Ad0>:8::/64 1 <Ad1>:1::/64 2 <Ad1>:5::/64 <Ad1>:2::/64 <Ad1>:3::/64 5 <Ad2>:1::/64 6 <Ad2>:5::/64 <Ad2>:2::/64 <Ad2>:3::/64 9 <Ad3>:1::/64 10 <Ad3>:5::/64 <Ad3>:2::/64 <Ad3>:3::/64 13 <Ad4>:1::/64 14 <Ad4>:5::/64 <Ad4>:2::/64 <Ad4>:3::/64 3 <Ad1>:4::/64 <Ad1>:6::/64 <Ad2>:4::/64 <Ad3>:4::/64 <Ad4>:4::/64 4 7 8 11 12 15 16 <Ad2>:6::/64 <Ad3>:6::/64 Area:1 Area:2 Area:3 <Ad4>:6::/64 Area:4 2001:fa0:a100::/40 = <Ad1> 2001:fa0:a200::/40 = <Ad2> 2001:fa0:a300::/40 = <Ad3> 2001:fa0:a400::/40 = <Ad4> <Adx>::1~<Adx>::4/128をLoopback 0にアサインアサインする 4
ルータへのログイン デスクトップにあるショートカットの TeraTerm を使用して telnet ログインを行う ルータの IP アドレスは 10.0.0.X X は座席番号 Password は ipv6 5
1st day 6
IPv6 アドレス設定 構成図をもとに IPv6 アドレスを設定 2001:fa0:a<area>00:<num>::1(or2)/64 fe80::<area>:<num>:1(or2) 上位 NW 側 若番の機器側に XXXX::1/64 をアサイン 下位 NW 側 老番の機器側に XXXX::2/64 をアサイン Gi*/3 以外の I/F では RA を止める Loopback 0 に 2001:fa0:a<area>00::1~4/128 をアサイン ( 例 :2001:fa0:a100::1/128) 2001:fa0:a000:1::2/64 fe80::0:1:2 1 2001:fa0:a100:2::/64 fe80::1:2:x 3 2001:fa0:a000:2::2/64 fe80::0:2:2 2001:fa0:a100:1::/64 fe80::1:1:x 2001:fa0:a100:5::/64 fe80::1:5:x 2001:fa0:a100:4::/64 fe80::1:4:x 2001:fa0:a100:6::/64 fe80::1:6:x 2 2001:fa0:a100:3::/64 fe80::1:3:x 4 Area:1 設定例 ( 例 ) 受講番号 1~4 の場合 グループ毎に Area 番号が異なっているため 2001:fa0:a<X>00 の X の数字を変える interface GigabitEthernet 1/2 ipv6 address FE80::1:1:1 link-local ipv6 address 2001:fa0:a100:1:1 ipv6 nd ra suppress 7
IPv6 アドレス設定 IPv6 基本設定 (config)#ipv6 unicast-routing IPv6 ルーティングを行うために必要 IPv6 I/F 設定 (config)# interface GigabitEthernet*/* (config-if)# ipv6 enable IPv6を有効にする ( 明示的なアドレス設定があれば不要 ) (config-if)# ipv6 address FE80::<area>:<num>:1 link-local リンクローカルアドレスを手動で設定 (config-if)# ipv6 address 2001:fa0:a<area>00:<num>:1/64 グローバルアドレスを設定 (config-if)# ipv6 ndrasuppress RAを抑制 (Gi*/3では不要) IPv6 Loopback I/F 設定 (config)# interface Loopback 0 (config-if)# ipv6 enable IPv6を有効にする ( 明示的なアドレス設定があれば不要 ) (config-if)# ipv6 address 2001:fa0:a<area>00::1/128 Loopbackにグローバルアドレスを設定 8
NDP の動作確認 show コマンドでの確認 show ipv6 neighbor IPv6 Address Age Link-layer Addr State Interface 2001:db8:0:12::2 0 0012.f29a.8360 REACH Po12 2001:db8:0:11::2 0 0012.f29a.b350 REACH Po11 FE80::12:2 0 0012.f29a.8360 REACH Po12 FE80::11:2 0 0012.f29a.b350 STALE Po11 show ipv6 interface インタフェースに割り当てられている IPv6 アドレスを確認 対向のアドレスに Ping が通ることを確認 ( 例 )ping ipv6 2001:fa0:a100:1::1 9
IPv6 アドレス設定の確認 RA により PC に 2001:fa0:a<area>00:5(6)::/64 がアサインされていることを確認 ipconfig IPv6 アドレスでも telnet ログインできることを確認 TeraTerm にルータの IPv6 アドレスを入力 IPv6 アドレスは [] で囲む必要があります ( 参考 ) キャプチャによる確認 WireShark を使い Gi*/3 上でやり取りされる IPv6 トラフィックを確認 他の特定 I/F のトラフィックをキャプチャする方法 monitor session 1 source intgix/xboth monitor session 1 destination int gi*/3 10
パケットフィルタの設定 下記を始点アドレスとする IPv6 パケットをフィルターする 予約済みアドレス ::/8 元サイトローカルアドレス fec0::/7 ユニークローカルアドレス fc00::/7 マルチキャストアドレス ff00::/8 ドキュメントアドレス 2001:db8::/32 ただし ICMPv6 パケットは全て許可する 対象 I/F は ( アップリンク I/F) ipv6 access-list FILTER permit icmp any any deny ipv6 ::/8 any deny ipv6 FEC0::/7 any deny ipv6 FC00::/7 any deny ipv6 FF00::/8 any deny ipv6 2001:DB8::/32 any permit ipv6 any any interface GigabitEthernet 1/1 ipv6 traffic-filter FILTER in 11
IPv6 Access-list 設定 パケットフィルタ設定 (config)# ipv6 access-list FILTER IPv6 Access-listの名前は FILTER (config-ipv6-acl)# permit icmpany any ICMPv6は全てpermit (config-ipv6-acl)# deny ipv6 ::/8 any 予約済みアドレスのsrcパケットをdeny (config-ipv6-acl)# deny ipv6 FE00::/7 any 元サイトローカルアドレスのsrcパケットをdeny (config-ipv6-acl)# deny ipv6 FC00::/7 any ユニークローカルアドレスのsrcパケットをdeny (config-ipv6-acl)# deny ipv6 FF00::/8 any マルチキャストアドレスのsrcパケットをdeny (config-ipv6-acl)# deny ipv6 2001:DB8::/32 any ドキュメントアドレスのsrcパケットをdeny (config-ipv6-acl)# permit ipv6 any any 全 IPv6パケットをpermit IPv6 Access-list 適用 (config)# interface GigabitEthernet*/1 (config-if)# ipv6 traffic-filter FILTERin IPv6 Access-list を I/F に適用 12
2nd day 13
OSPFv3 設定 各機器同士で OSPFv3 セッションを張る ネットワークタイプは Point-to-Point cost は 500 プロセス ID は 1 router-id は 10.0.0.x(x は座席番号 ) 14
OSPFv3 基本設定 OSPFv3 設定 (config)#ipv6 router ospf1 本実習ではプロセスIDは全て1とする (config-rtr)#router-id 10.0.0.x ルータIDを設定 (xは席番号) (config-rtr)# log-adjacency-changesdetail 詳細なstate changeのlogを出力する OSPFv3を有効有効にする I/Fに対してして下記下記を設定 (config)# interface GigabitEthernet x/x (config-if)# ipv6 ospf network point-to-point ネットワークタイプをp-to-pにする (config-if)# ipv6 ospfcost 500 costを500に固定する (config-if)# ipv6 ospf1 area 0 I/Fの所属エリアが0の場合 (config-if)# ipv6 ospf authentication ipsec spi xxx md5 sha1 xxx Catalyst3750/3550 は現時点で IPv6 OSPF Authentication をサポートしていない Loopback0に対しても OSPFv3を有効化 (config)# interface Loopback 0 (config-if)# ipv6 ospf1 area x Loopback が所属するエリアを指定 15
show ipv6 ospf neighbor show ipv6 ospf database show ipv6 route ospf OSPFv3 設定確認 対向の Router-ID が見えていること Next-hop がリンクローカルアドレスになっていること # show ipv6 ospf neighbor Neighbor ID Pri State Dead Time Interface ID Interface a.a.a.a 1 FULL/ - 00:00:34 97 GigabitEthernetx/x b.b.b.b 1 FULL/ - 00:00:34 41 GigabitEthernety/y # show ipv6 route ospf IPv6 Routing Table - Default - 20 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 O 2001:db8:0:1::/64 [110/2] via FE80::11:2, Port-channel11 O 2001:db8:0:2::/64 [110/2] via FE80::12:2, Port-channel12 O 2001:db8:0:10::/64 [110/2] via FE80::12:2, Port-channel12 via FE80::11:2, Port-channel11 16
BGP4+ 設定 上位ルータ 下位ルータの Loopback アドレスで ibgp セッションを張る AS 番号は 65535 update-source は Loopback0 上位ルータは下位ルータからのルートリフレクタになる send-community を enable にする router-id は x.x.x.x(x は座席番号 ) PC セグメント (Gi*/3) の prefix を BGP で配送 Password は ipv6 17
BGP4+ 基本設定 BGP4+ 設定 (config)#router bgp65535 AS 番号は65535とする (config-router)#router-id 10.0.0.x ルータIDを設定 (xは席番号) (config-router)#address-family ipv6 unicast IPv6 AddressFamilyを指定 (config-router-af)#network 2001:fa0:a<area>00:5(6)::/64 PC 向けprefixをBGPで配送 (config-router-af)# neighbor 2001:fa0:a<area>00::x remote-as 65535 対向 ASも65535 (config-router-af)# neighbor 2001:fa0:a<area>00::x password ipv6 passwordを設定 (config-router-af)# neighbor 2001:fa0:a<area>00::x update-source Loopback0 update-srcをloop0に設定 (config-router-af)# neighbor 2001:fa0:a<area>00::x send-community send-communityをenable ルートリフレクタ設定 (config)# router bgp 65535 (config-router)# address-family ipv6 unicast (config-router-af)# neighbor 2001:fa0:a<area>00::x route-reflector-client 配下のルータに対して設定 Peer-group を作成する方法も有効 18
BGP4+ 設定確認 show bgp ipv6 unicast summary show bgpipv6 unicast # show bgp ipv6 unicast summary ルータID BGP router identifier 10.0.0.1, local AS number 65535 自 AS 番号 BGP table version is 11, main routing table version 11 3 network entries using 423 bytes of memory 4 path entries using 304 bytes of memory 12/3 BGP path/bestpath attribute entries using 1920 bytes of memory 1 BGP AS-PATH entries using 24 bytes of memory 1 BGP community entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 2695 total bytes of memory BGP activity 33/10 prefixes, 135/94 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 2001:db8:0:11::2 NeighborのAS 番号 NeighborのIPv6アドレス 4 65535 217778 196026 11 0 0 2w5d 2 2001:db8:0:12::2 4 65535 216978 195375 11 0 0 3w1d 1 19
BGP4+ 経路制御 上位ルータからの最大受信 prefix 数を 10000 に制限する 下記の不要 prefix の受信を reject する 予約済み Prefix ::/8 or longer リンクローカルアドレス fe80::/10 or longer 元サイトローカルアドレス fec0::/10 or longer ユニークローカルアドレス fc00::/7 or longer マルチキャストアドレス ff00::/8 or longer ドキュメントアドレス 2001:db8::/32 or longer 20
BGP4+ 経路制御 IPv6 prefix-list (config)# ipv6 prefix-list DROP-LIST seq5 deny ::/8 le 128 (config)# ipv6 prefix-list DROP-LIST seq 10 deny FE80::/10 le 128 (config)# ipv6 prefix-list DROP-LIST seq 15 deny FEC0::/10 le 128 (config)# ipv6 prefix-list DROP-LIST seq 20 deny FC00::/7 le 128 (config)# ipv6 prefix-list DROP-LIST seq 25 deny FF00::/8 le 128 (config)# ipv6 prefix-list DROP-LIST seq 30 deny 2001:DB8::/32 le 128 (config)# ipv6 prefix-list DROP-LIST seq100 permit ::/0 le 128 不要 prefix に対して prefix-list を作成 上記以外は全て許可するため permit any を設定 BGPの経路制御設定 (config)# router-bgp65535 (config-router)# address-family ipv6 unicast (config-router-af)# neighbor 2001:fa0:a<area>00::x maximum-prefix10000 最大受信 prefix 数を 10000 に制限 (config-router-af)# neighbor 2001:fa0:a<area>00::x prefix-list DROP-LIST in prefix-list を適用 (config-route-map)# end # clear bgpipv6 unicastx:x:x:x::xsoft in soft reset により route-map を適用 21
HSRPv2 設定 Gi*/3 に対して HSRPv2 設定を行う グループ番号は 1 VIP は fe80::1 若番が Maseter となるようにする 認証は平文で ipv6 Timer は hello が 1 秒 dead が 3 秒 自分より高い priority のルータが現れたら Master を委譲する Active Standby Gi*/3 VIP:fe80::1 Gi*/3 22
HSRPv2 設定 HSRPv2 設定 (config)# interface GigabitEthernet*/3 (config-if)#standby version 2 (config-if)#standby 1 ipv6 FE80::1 (config-if)#standby 1 timers 13 (config-if)# standby 1 priority 105 (config-if)# standby 1 preempt (config-if)# standby 1 authentication text ipv6 HSRPv2を設定するためにversion 2を指定 VIP( リンクローカルアドレス ) を設定 helloを1 秒間隔 dead timerを3 秒に設定 Master 側のPriorityをdefaultの100から105に変更自分より高いPriorityを持つルータが現れたらMasterを委譲認証パスワードを平文で設定 23
HSRPv2 設定確認 show standby brief show standby # show standby brief P indicates configured to preempt. Interface Grp Pri P State Active Standby Virtual IP Gi2/44 1 105 P Active local X:X:X:XX FE80::1 # show standby GigabitEthernet2/44 - Group 1 (version 2) State is Active 2 state changes, last state change 00:00:45 Virtual IP address is FE80::1 Active virtual MAC address is 0005.73a0.0001 Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default) Hello time 1 sec, hold time 3 sec Next hello sent in 0.672 secs Authentication text, string "ipv6" Preemption enabled Active router is local Standby router is X:X:X:XX Priority 105 (configured 105) Track interface GigabitEthernet2/1 state Up decrement 10 Group name is "hsrp-gi2/44-1" (default) 24
冗長試験 OSPF BGP の迂回確認 片側のアップリンク回線 () を抜いても通信が途絶えないことを確認 ping 2001:fa0:2000:FFFF::1 tracert 2001:fa0:2000:FFFF::1 HSRPv2 の冗長確認 Mastera 側の Gi*/3 を抜いても通信が途絶えないことを確認 ping 2001:fa0:2000:FFFF::1 tracert 2001:fa0:2000:FFFF::1 ipconfig 25
SNMP, Syslog 確認 作業中に発生した SNMP Trap Syslog を確認 前の画面をご覧下さい 26