Cisco – ページ 2

CiscoルータのConfigをnetconfで取得する

2019-01-182020-10-02 oyageng

CiscoルータのConfigをnetconfを使って取得しようという試み。
対象機器はCisco841M。IOSのバージョンは15.8。

netconf とは

ネットワーク機器をリモートで設定変更・更新・情報取得するためのプロトコル。
制御内容をXMLで記述する。RFC6241で規定。

CiscoではSSH(v2)でルータとセッションを張って, その中でやりとりを行う。

こちら「知ったかぶりしない NETCONF」でわかりやすくまとめられています。

ルータの設定

参考) NETCONF over SSHv2(Cisco Networking Services Configuration Guide, Cisco IOS Release 15M&T)

手順

1. SSH設定
2. netconf設定
3. netconf用ユーザ作成
4. 試行

1. SSH設定

(config)#ip domain name example.com
(config)#crypto key generate rsa
(config)#ip ssh version 2

2. netconf設定

(config)#netconf ssh

3. netconf ユーザ作成

(config)#username netconf privilege 15    !権限は15
(config)#ip ssh pubkey-chain
(conf-ssh-pubkey)#username netconf 
(conf-ssh-pubkey-user)#key-string         !pubkey 貼り付け
(conf-ssh-pubkey-user)#exit
(conf-ssh-pubkey)#end

もろもろ設定確認

#show ip ssh
SSH Enabled - version 2.0
#show netconf session
Netconf Sessions: 0 open, maximum is 4

4. 試行

SSHでルータへ接続する。netconf over SSHv2ということで-s オプションでnetconfを呼び出す。

$ssh -s -l netconf -i netconf_key 192.168.1.2 netconf

直ぐにルータからのhelloが届く。

# ルータからのhello
<?xml version="1.0" encoding="UTF-8"?>  
  <hello xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
    <capabilities>
      <capability>urn:ietf:params:netconf:base:1.0</capability>
      <capability>urn:ietf:params:netconf:capability:writeable-running:1.0</capability>
      <capability>urn:ietf:params:netconf:capability:startup:1.0</capability>
      <capability>urn:ietf:params:netconf:capability:url:1.0</capability>
      <capability>urn:cisco:params:netconf:capability:pi-data-model:1.0</capability>
      <capability>urn:cisco:params:netconf:capability:notification:1.0</capability>
    </capabilities>
    <session-id>49242144</session-id>
  </hello>
]]>]]>

session-idを消して応答を返せば, ここから制御が可能になる。

# ルータへの応答
<?xml version="1.0" encoding="UTF-8"?>
  <hello xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
    <capabilities>
      <capability>urn:ietf:params:netconf:base:1.0</capability>
      <capability>urn:ietf:params:netconf:capability:writeable-running:1.0</capability>
      <capability>urn:ietf:params:netconf:capability:startup:1.0</capability>
      <capability>urn:ietf:params:netconf:capability:url:1.0</capability>
      <capability>urn:cisco:params:netconf:capability:pi-data-model:1.0</capability>
      <capability>urn:cisco:params:netconf:capability:notification:1.0</capability>
    </capabilities>
  </hello>
]]>]]>

show runを取得してみる。

#送付するリクエスト
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" xmlns:cpi="http://www.cisco.com/cpi_10/schema" message-id="101">
    <get-config>
        <source>
            <running/>
        </source>
    </get-config>
</rpc>]]>]]>

#受け取った結果
<?xml version="1.0" encoding="UTF-8"?><rpc-reply message-id="101" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"><data><cli-config-data-block>!
! Last configuration change at 14:42:05 JST Fri Jan 18 2019 by netconf
! NVRAM config last updated at 12:22:11 JST Fri Jan 18 2019 by netconf
!
version 15.8
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
service internal
!
～略～
ntp server ntp.nict.jp prefer
netconf ssh
!
</cli-config-data-block></data></rpc-reply>]]>]]>

XML形式で出力を得る場合は以下のようなリクエストを投げる。

<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" xmlns:cpi="http://www.cisco.com/cpi_10/schema" message-id="101">
  <get-config>
    <source>
      <running/>
    </source>
    <filter>
      <config-format-xml/>
    </filter>
  </get-config>
</rpc>
]]>]]>

終了するときはCtrl-cで終了。

次はsshコマンドではなくncclientを使って見よう。

余談

ちなみに, Configの出力をXML形式で取得したい場合は

show run | format

で取得できる。

また, Config取得でall オプションを使いたいときはGetメソッドを使うとできる。

<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"xmlns:cpi="http://www.cisco.com/cpi_10/schema" message-id="101">
  <get>
    <filter>
      <oper-data-format-text-block>
        <show>
          run all
        </show>
      </oper-data-format-text-block>
    </filter>
  </get>
</rpc>
]]>]]>

この出力をXMLで取りたいなと思ったのだが, どうやらC841Mでは対応していないっぽい。specファイルを準備しないと駄目なのかな。

#show format
The following CLI are supported in built-in
show inventory
show ip interface brief
show waas token
show waas statistics peer
show waas statistics pass-through
show waas statistics lz
show waas statistics global
show waas statistics dre
show waas statistics dre peer
show waas statistics class*
show waas statistics aoim
show waas statistics auto-discovery
show waas statistics auto-discovery blacklist
show waas statistics application*
show waas alarms
show waas status extended
show waas status
show waas connection*
show waas auto-discovery list
show parameter-map type waas*
show class-map type waas*
show policy-map type waas*
show waas auto-discovery blacklist
show waas statistics errors
show waas accelerator
show waas accelerator detail
show waas accelerator ssl-express
show waas statistics accelerator ssl-express ciphers
show waas statistics accelerator ssl-express
show waas statistics accelerator ssl-express peering
show waas accelerator cifs-express
show waas statistics accelerator cifs-express
show waas statistics accelerator cifs-express detail
show waas accelerator http-express
show waas statistics accelerator http-express
show waas statistics accelerator http-express detail
show waas statistics accelerator http-express https
show waas cache http-express metadatacache*
show waas statistics accelerator http-express debug
show waas cache http metadatacache*

NW機器も公開鍵認証でSSH

2018-12-082020-10-02 oyageng

NW機器もそろそろSSHでアクセスするときは公開鍵認証でやるべきかと思い, 主に触るであろうNW機器の設定をまとめた。

– 鍵準備

SSHで必要となる公開鍵を準備する。

$ ssh-keygen -t rsa -C user01 -f ./rsa_id
$ ls rsa* 
rsa_id.pub  #公開鍵
rsa_id      #秘密鍵

– Cisco IOS

参考： SSH using public key authentication to IOS and big outputs.

1. SSH設定

# conf t
(config)# ip ssh version 2
(config)# line vty 0 4
(config-line)# login local
(config-line)# transport input ssh
(config-line)# hostname R1
(config)# ip domain name test.local
(config)# crypto key gen rsa

2. ユーザと公開鍵紐付け

(config)# ip ssh pubkey-chain
(conf-ssh-pubkey)# username cisco
(conf-ssh-pubkey-user)# key-string
(conf-ssh-pubkey-data)# 
※ 最大で貼り付けられる文字数が256字ということで複数行に分けてペーストする。
(conf-ssh-pubkey-data)# exit
(conf-ssh-pubkey-user)# end
#

テスト

$ ssh -l cisco -i ./rsa.id 172.16.1.1
R1>

– VyOS

参考：Remote access

1. SSH設定

set service ssh port '22'

2. ユーザと公開鍵の紐付け認証設定

set system login user user1 authentication public-keys '鍵の識別子' key 'public key内の文字列のみ入力'  #ssh-rsa と ユーザは抜く

3. パスワード認証無効化

set service ssh disable-password-authentication

4. ホストバリデーション無効化(オプション)

set service ssh disable-host-validation

テスト

$ ssh -l user1 -i ./rsa_id 172.16.1.2
Welcome to VyOS

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: 
user1@vyos:~$

– Cisco ASA(9.x)

参考：Cisco ASA シリーズ 9.8 CLI コンフィギュレーションガイド（一般的な操作）

1. SSH設定

ひとまずOutsideから全許可。

(config)# ssh 0.0.0.0 0.0.0.0 outside

2. 公開鍵のフォーマット変更

公開鍵をRFC4716形式で出力。

$ ssh-keygen  -e -m rfc4716 -f ./rsa_id.pub  # この出力結果を控えておく

3. ユーザと公開鍵の紐付け

(config)# aaa authentication ssh console LOCAL
(config)# username user1 attributes
(config-username)# service-type admin
(config-username) ssh authentication pkf

Enter an SSH public key formatted file.
End with the word "quit" on a line by itself:
###  2で変換したPublic Keyを貼り付ける ###
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "2048-bit RSA, converted by ubuntu@HOST from OpenSSH"
～～～
---- END SSH2 PUBLIC KEY ----
quit

テスト

$ ssh -l user1 -i ./rsa_id 172.16.1.3
User user1 logged in to ASA
Logins over the last 1 days: 2.  Last login: 06:54:33 UTC Dec 8 2018 from 192.168.1.10
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
ASA>

– Cumulus linux

0. NCLU(Network Command Line Utility)インストール

参考：Network Command Line Utility – NCLU
※ ここは省略

1. LinuxのSSH公開鍵認証設定

ホームの.ssh配下のauthorized_keysに公開鍵を登録。

テスト

$ ssh -l cumulus -i ./rsa_id 172.16.1.4

Welcome to Cumulus VX (TM)

Cumulus VX (TM) is a community supported virtual appliance designed for
experiencing, testing and prototyping Cumulus Networks' latest technology.
For any questions or technical support, visit our community site at:
http://community.cumulusnetworks.com

The registered trademark Linux (R) is used pursuant to a sublicense from LMI,
the exclusive licensee of Linus Torvalds, owner of the mark on a world-wide
basis.
Last login: Sat Dec  8 04:45:53 2018 from 192.168.1.10
cumulus@cumulus:~$

– JUNOS

参考：authentication (Login)

1. SSH設定

 set system services ssh protocol-version v2

2. ユーザと公開鍵紐付け

set system login user admin authentication ssh-rsa "ssh-rsa 省略 user01"

テスト

$ ssh -l admin -i ./user2_rsa 172.16.1.5
Last login: Thu Dec  6 18:07:53 2018 from 192.168.1.10
--- JUNOS 15.1X49-D140.2 built 2018-05-25 18:23:50 UTC
admin>

expectコマンドでteraterm macroのようなことをする

2018-10-262018-10-26 oyageng

Win10にWSLのUbuntu 18.0.4入れ, bashからシリアルコンソールに接続することができた。
Linux OSでシリアルコンソール接続
次は一連のコマンド処理をスクリプトで自動化させる。

「expect」コマンドでスクリプトを書いていく。
前提条件は
ー Cisco機器はユーザ名/パスワード等基本設定は完了済み
ーシリアルポートは /dev/ttyS2 を利用
ー接続コマンドは cu コマンドを利用

#!/bin/sh

expect -c "
set timeout 10                            # タイムアウト設定：10秒
spawn cu -l /dev/ttyS2                    # 実行コマンド記述
sleep 2                                   # 2秒待ちを入れる。これを入れないとうまくコンソールが開始しない
send "n"                               # EnterキーでCiscoのターミナルを表示させる
expect "Username:"                      # ユーザ名入力メッセージ待ち
send "usernamen"                       # ユーザ名を入力
expect "Password:"                      # パスワード入力メッセージ待ち
send "passwordn"                       # パスワードを入力
expect ">"                              # プロンプト待ち
send "enn"                             # enableコマンド入力
expect "Password:"                      # パスワード入力メッセージ待ち
send "enablen"                         # enableパスワード入力
expect "#"                             # 特権モードプロンプト待ち
send "term leng 0 n"                   # 処理1 (今回は terminal length 0)
expect "#"                             # 特権モードプロンプト待ち
send "show run n"                      # 処理2 (今回は show run)
expect "#"                             # 特権モードプロンプト待ち
send "exit n"                          # 処理終了
expect "Press RETURN to get started."   # ログアウトメッセージ待ち
exit 0                                    # スクリプト終了
"

このスクリプトでshow running-configを出力することができる。
# screenコマンドでやる場合はroot権限が必要なのでスクリプトを実行するときはsudo でやる。
teraterm macro でやることとほぼ同じことをスクリプトでやっているだけだけれど, これができると次にやっとAnsibleを絡めたコンソール経由での処理自動化に進める。

GCPとVPN接続する

2018-10-082018-10-08 oyageng

GCPの$300クレジット（1年）があるのでAWSだけでなくGCPも触ってみる。

例によって自宅とVPN張って見る。構成はこんな感じ。

概略構成

前提条件

GCPのアカウント設定済み
（VPC作成後）インスタンスは作成済み
家側のNAT等の転送ルールは設定済み
今回はポリシーベースVPN~~とするので GRE over IPSec~~ (訂正：GRE使いません)

流れ

1. VPC作成
2. サブネット作成
3. FW設定
4. インスタンス作成（ここでは省略）
5. VPN設定（GCP & Cisco）

Google Cloud Consoleにログインして, VPCネットワークを作成する。

1. VPC作成

「VPCネットワーク」から「VPCネットワーク」を選択

「VPCネットワークを作成」を選択

2. サブネット作成

必要事項記入して「作成」

この後, 作成したサブネット上にインスタンスを作成する。（手順は省略）

3. FW設定

サブネットに対する通信許可設定を入れる。

VPCから作成したVPC「vpc01」を選択

ファイアウォールルールを選択し, ルールの追加をクリック
※画像は既に作成済み

ルールを記入していく
ここでは自宅の環境からサブネット全体に対して全て通信許可としている

完了

4. VPN作成

「VPCネットワーク」から「VPN」選択

「VPN接続を作成」をクリック

必要事項を記入する。IPアドレスはプルダウンをクリックして新規作成する。

名前を適当につけて「予約」

するとGlobal IP Addressが割当たる

内容確認して「完了」をクリック

GCP側はこれで準備完了

5. Ciscoルータの設定

GCPでサポートしている暗号化セットはここに記載されている。
Supported IKE Ciphers

通信確認

Ping確認

#ping 10.10.10.10 source 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 160/162/164 ms

IP-Secステータス

#show crypto session
Crypto session current status

Interface: Vlan100
Profile: IKEv2_Profile
Session status: UP-ACTIVE
Peer: 35.231.219.234 port 4500
  Session ID: 2208
  IKEv2 SA: local 192.168.1.2/4500 remote <GCPのIPアドレス>/4500 Active
  IPSEC FLOW: permit ip 192.168.0.0/255.255.0.0 10.10.10.0/255.255.255.0
        Active SAs: 2, origin: crypto map

以上。
次はルートベースのVPN設定を試す。

ちなみに, MTUサイズを確認してみるとトンネルのオーバーヘッド含めて1422だった。

$ ping 10.10.10.10  -s 1394 -M do
PING 10.10.10.10 (10.10.10.10) 1394(1422) bytes of data.
1402 bytes from 10.10.10.10: icmp_seq=1 ttl=63 time=162 ms
1402 bytes from 10.10.10.10: icmp_seq=2 ttl=63 time=161 ms
1402 bytes from 10.10.10.10: icmp_seq=3 ttl=63 time=160 ms
^C
--- 10.10.10.10 ping statistics ---
4 packets transmitted, 3 received, 25% packet loss, time 3001ms
rtt min/avg/max/mdev = 160.511/161.357/162.479/0.947 ms
$ ping 10.10.10.10  -s 1395 -M do
PING 10.10.10.10 (10.10.10.10) 1395(1423) bytes of data.
ping: sendmsg: Message too long
ping: sendmsg: Message too long
ping: sendmsg: Message too long
^C
--- 10.10.10.10 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2004ms

【メモ】CatalystでのPBRとVRF

2018-07-122018-07-12 oyageng

Catalyst3650, 3850等でPBRを使う時, VRFインタフェースとは併用できないので注意。

“互いに排他”とあります。

Cisco IOS XE Denali 16.1.1（Catalyst 3650 スイッチ）ソフトウェアコンフィギュレーションガイド

VRF と PBR は、スイッチインターフェイス上で相互に排他的です。PBR がインターフェイスでイネーブルになっているときは、VRF をイネーブルにはできません。その反対の場合も同じで、VRF がインターフェイスでイネーブルになっているときは、PBR をイネーブルにできません。

VRFのsetコマンドも使えるものが限定的です。
set vrf や set global は利用できないようです。

また, デフォルトでプロセススイッチングになるのでFast Switchingを有効にするにはインタフェースで ip route cache policy を入れる必要があります。

【メモ】MTUの種類

2018-05-242018-05-24 oyageng

Catalystでジャンボフレームに対応させる設定を調べていて, MTU周りについてのメモ。

参考)
インターフェイスおよびハードウェアコンポーネントコンフィギュレーションガイド、Cisco IOS XE Release 3SE（Catalyst 3650 スイッチ）
Interface and Hardware Component Configuration Guide, Cisco IOS XE Release 3SE (Catalyst 3650 Switches)
微妙に日本語と英語のサイトが違う。

System MTU Values

The following MTU values can be configured:

System MTU–This value applies to switched packets on the Gigabit Ethernet and 10-Gigabit Ethernet ports of the switch. Use the system mtu bytes global configuration command to specify the system jumbo MTU value.

System Jumbo MTU–This value applies to switched packets on the Gigabit Ethernet and 10-Gigabit Ethernet ports of the switch. Use the system mtu jumbo bytesglobal configuration command to specify the system jumbo MTU value.

Protocol-specific MTU–This value applies only to routed packets on all routed ports of the switch or switch stack. Use the ip mtu bytes or ipv6 mtu bytes interface configuration command to specify the protocol-specific MTU value.

・system mtu コマンド
1Gと10Gのスイッチングポートに適用。設定後再起動が必要。
・system mtu jumbo コマンド
1Gと10Gのスイッチングポートに適用。設定後再起動が必要。
上と何が違うんだ？？？
・ip mtu コマンド
Routed-portに適用される設定。インタフェースに設定。再起動不要。
system mtu の値より大きいものは設定不可。

うーん。「system mtu」と「system mtu jumbo」違いが分からない。
と, ここでCat3650が1Gbps以上のインタフェースしか持っていないからこういうマニュアルになっているのか？と思って別の機種も含めて調べてみると・・・。

Catalyst スイッチでのジャンボ/ジャイアントフレームサポートの設定例

すべての 10/100 インターフェイスで MTU を変更するには、system mtu コマンドを使用します。このコマンドは、10/100 インターフェイスについてのみ効力があります。
3750(config)# system mtu 15463750(config)# exit3750# reload
すべてのギガビットイーサネットインターフェイスで MTU を変更するには、system mtu jumbo コマンドを使用します。このコマンドは、ギガビットイーサネットインターフェイスについてのみ効力があります。
3750(config)# system mtu jumbo 90003750(config)# exit3750# reload
注: system mtu コマンドはギガビットイーサネットポートには影響せず、 system mtu jumbo コマンドは 10/100 ポートには影響しません。 system mtu jumbo コマンドを設定していない場合は、system mtu コマンドの設定がすべてのギガビットイーサネットインターフェイスに適用されます。

とあった。1G以上のインタフェースしかないスイッチでは「system mtu」でも「system mtu jumbo」でもどちらでもすればよさそう。

NAT on a stick

2018-05-112018-05-11 oyageng

例えばNATに対応していない機器(L3SW等)があったとして, それでもNATしなくてはならない場合。
図のようにワンアームでルータをつないでNATボックスとする構成が取れる。

図ではルータのアイコンになっているけれど, R1がNATに対応していないとき

ヘアピンNATやNAT on a Stick と呼ぶらしい。
Ciscoサイトを参照して検証する。
参照URL：スティック上のネットワークアドレス変換

構成概要

172.16.10.0/24 を172.20.10.0/24 へネットワークNATする。
NATポイントはR2。
VPC2は172.20.10.0/24のアドレスでアクセスする。

そのため, R1では必然的にPBRを利用してVPC1の通信をR2へ転送する。

Config

※ 抜粋
R1 Config

!
interface Ethernet0/0
 description to R3
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/1
 description to R2
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/2
 description to R4
 ip address 192.168.1.1 255.255.255.0
 ip policy route-map PBR
!
ip route 172.16.10.0 255.255.255.0 192.168.1.2
ip route 172.16.20.0 255.255.255.0 192.168.2.2
ip route 172.20.10.0 255.255.255.0 10.10.10.2
!
ip access-list extended PBR
 permit ip 172.16.10.0 0.0.0.255 any
!
!
route-map PBR permit 10
 match ip address PBR
 set ip next-hop 10.10.10.2
!
!

R2 Config

!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
 ip nat outside
 ip virtual-reassembly in
!
interface Ethernet0/0
 description to R1
 ip address 10.10.10.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip policy route-map NAT
!
!
ip nat inside source static network 172.16.10.0 172.20.10.0 /24 no-alias
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip route 172.20.10.0 255.255.255.0 Ethernet0/0
!
ip access-list extended PBR
 permit ip 172.16.10.0 0.0.0.255 any
 permit ip any 172.20.10.0 0.0.0.255
!
!
route-map NAT permit 10
 match ip address PBR
 set interface Loopback0
!

パケットフロー
CiscoルータにおけるNATの処理は公式ページにあるとおり。
参考：NATの処理順序
今回関係する箇所を太文字で。

IPSec ACL チェック
復号化
入力ACLチェック
入力レート制限をチェック
入力アカウンティング
Web キャッシュにリダイレクト
ポリシールーティング
ルーティング
Inside から Outside への NAT
クリプト（暗号化用のマップのチェックとマーク）
出力アクセスリストをチェック
CBAC検査
TCP インターセプト
暗号化
キューイング

IPSec ACL チェック
復号化
入力ACLチェック
入力レート制限をチェック
入力アカウンティング
Web キャッシュにリダイレクト
OutsideからInsideへの NAT
ポリシールーティング
ルーティング
クリプト（暗号化用のマップのチェックとマーク）
出力アクセスリストをチェック
CBAC 検査
TCP インターセプト
暗号化
キューイング

プチ解説

@R1
NAT変換後のアドレスをR2へ向けます。

ip route 172.16.20.0 255.255.255.0 192.168.2.2

VPC1からのトラフィックをR2(NATボックス)へ捻じ曲げます。

interface Ethernet0/2
 description to R4
 ip address 192.168.1.1 255.255.255.0
 ip policy route-map PBR
!
!
ip access-list extended PBR
 permit ip 172.16.10.0 0.0.0.255 any
!
!
route-map PBR permit 10
 match ip address PBR
 set ip next-hop 10.10.10.2

@R2
物理IFをinsideに指定します。

interface Ethernet0/0
 description to R1
 ip address 10.10.10.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in

Loopbackをoutsideに指定します。

interface Loopback0
 ip address 1.1.1.1 255.255.255.255
 ip nat outside
 ip virtual-reassembly in

NAT設定。IOS15以降はno-aliasが必要です。

ip nat inside source static network 172.16.10.0 172.20.10.0 /24 no-alias

global insideのアドレスを自身に持たせるためStatic Routeを物理IFへ指定します。
が, この構成ではなくてもいけました。(NATの処理フロー見ると不要な気がするんですが未だ理解できず。)

ip route 172.20.10.0 255.255.255.0 Ethernet0/0

NAT対象となる通信をPBRでLoopbackインタフェース(outside IF)へ送り込みます。これでinside-outsideに偽装します。

interface Ethernet0/0
 description to R1
 ip address 10.10.10.2 255.255.255.0
 ip nat inside
 no ip virtual-reassembly in
 ip policy route-map NAT
!
!
ip access-list extended PBR
 permit ip 172.16.10.0 0.0.0.255 any
 permit ip any 172.20.10.0 0.0.0.255
!
!
route-map NAT permit 10
 match ip address PBR
 set interface Loopback0
!

通信確認。

VPCS> ping 172.16.20.1

84 bytes from 172.16.20.1 icmp_seq=1 ttl=251 time=1.802 ms
84 bytes from 172.16.20.1 icmp_seq=2 ttl=251 time=3.606 ms
84 bytes from 172.16.20.1 icmp_seq=3 ttl=251 time=4.168 ms
84 bytes from 172.16.20.1 icmp_seq=4 ttl=251 time=3.517 ms
84 bytes from 172.16.20.1 icmp_seq=5 ttl=251 time=3.150 ms


R2#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 172.20.10.10:28052 172.16.10.10:28052 172.16.20.1:28052 172.16.20.1:28052
icmp 172.20.10.10:28308 172.16.10.10:28308 172.16.20.1:28308 172.16.20.1:28308
icmp 172.20.10.10:28564 172.16.10.10:28564 172.16.20.1:28564 172.16.20.1:28564
icmp 172.20.10.10:28820 172.16.10.10:28820 172.16.20.1:28820 172.16.20.1:28820
icmp 172.20.10.10:29076 172.16.10.10:29076 172.16.20.1:29076 172.16.20.1:29076
--- 172.20.10.10       172.16.10.10       ---                ---
--- 172.20.10.0        172.16.10.0        ---                ---
R2#

VPCS> ping 172.20.10.10

84 bytes from 172.20.10.10 icmp_seq=1 ttl=59 time=2.539 ms
84 bytes from 172.20.10.10 icmp_seq=2 ttl=59 time=4.796 ms
84 bytes from 172.20.10.10 icmp_seq=3 ttl=59 time=5.276 ms
84 bytes from 172.20.10.10 icmp_seq=4 ttl=59 time=4.397 ms
84 bytes from 172.20.10.10 icmp_seq=5 ttl=59 time=6.855 ms

VPCS>

注意点

Loopback IFへトラフィックを投げるのでCPU処理に落ちます。

スループットが気になる場合は物理的に(もしくはトランク等して)2本インタフェースを用意したほうがベター。

IOS12台と15台でコマンドが若干違うので古いバージョンを使うときは確認しましょう。

enable secretにしよう

2018-04-192018-04-19 oyageng

Cisco公式サイトでは「enable passwordは使用しないでください」とお達しが出ています。
参考) Cisco IOS のパスワード暗号化情報

enable secret はMD5ベースで不可逆なので, まぁ良いでしょう。
service-password encryption はsimple Vigen re cipher(なんだこれ)を使っているからショルダーハック防止程度にしかならないと。

password 7 で設定されているものは復元可能なのでやめましょうね。
というお話。

実際に復号化できたので衝撃的でした。

cisco#enable algorithm-type ?
  md5     Encode the password using the MD5 algorithm
  scrypt  Encode the password using the SCRYPT hashing algorithm
  sha256  Encode the password using the PBKDF2 hashing algorithm

MD5からも変更できるのね。今ならsha256かな。

netconf とは

ルータの設定

手順

1. SSH設定

2. netconf設定

3. netconf ユーザ作成

もろもろ設定確認

4. 試行

余談

– 鍵準備

SSHで必要となる公開鍵を準備する。

– Cisco IOS

1. SSH設定

2. ユーザと公開鍵紐付け

テスト

– VyOS

1. SSH設定

2. ユーザと公開鍵の紐付け認証設定

3. パスワード認証無効化

4. ホストバリデーション無効化(オプション)

テスト

– Cisco ASA(9.x)

1. SSH設定

2. 公開鍵のフォーマット変更

3. ユーザと公開鍵の紐付け

テスト

– Cumulus linux

0. NCLU(Network Command Line Utility)インストール

1. LinuxのSSH公開鍵認証設定

テスト

– JUNOS

1. SSH設定

2. ユーザと公開鍵紐付け

テスト

前提条件(ポリシーベースの前提を大体引き継ぐ)

流れ

1. クラウドルータ設定

2. VPN設定(Cisco)

通信確認

IPSecステータス

前提条件

流れ

1. VPC作成

2. サブネット作成

3. FW設定

4. VPN作成

5. Ciscoルータの設定

通信確認

System MTU Values

構成概要

Config

プチ解説

注意点

GoogleAdsence