2013年12月26日木曜日

Ciscoの名前付きじゃないACLで途中に行を挿入する

まず、既存

R3#show run | inc access-list
access-list 100 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.3.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.4.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.5.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.6.0 0.0.0.255
R3#show access-lists
Extended IP access list 100
    10 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
    20 permit ip host 192.168.1.1 192.168.3.0 0.0.0.255
    30 permit ip host 192.168.1.1 192.168.4.0 0.0.0.255
    40 permit ip host 192.168.1.1 192.168.5.0 0.0.0.255
    50 permit ip host 192.168.1.1 192.168.6.0 0.0.0.255

以下で途中にACLを挿入する


R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#ip access-list extended 100
R3(config-ext-nacl)#35 permit ip host 192.168.99.99 host 192.168.1.1
R3(config-ext-nacl)#do sh run | inc access-list
access-list 100 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.3.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.4.0 0.0.0.255
access-list 100 permit ip host 192.168.99.99 host 192.168.1.1
access-list 100 permit ip host 192.168.1.1 192.168.5.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.6.0 0.0.0.255
R3(config-ext-nacl)#do sh access-list
Extended IP access list 100
    10 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
    20 permit ip host 192.168.1.1 192.168.3.0 0.0.0.255
    30 permit ip host 192.168.1.1 192.168.4.0 0.0.0.255
    35 permit ip host 192.168.99.99 host 192.168.1.1
    40 permit ip host 192.168.1.1 192.168.5.0 0.0.0.255
    50 permit ip host 192.168.1.1 192.168.6.0 0.0.0.255
R3(config-ext-nacl)#exit

さらににACLを10始まりで、10ずつにシーケンスNoを再構成する

R3(config)#ip access-list resequence 100 10 10
R3(config)#do sh run | inc access-list
access-list 100 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.3.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.4.0 0.0.0.255
access-list 100 permit ip host 192.168.99.99 host 192.168.1.1
access-list 100 permit ip host 192.168.1.1 192.168.5.0 0.0.0.255
access-list 100 permit ip host 192.168.1.1 192.168.6.0 0.0.0.255
R3(config)#do sh access-list
Extended IP access list 100
    10 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
    20 permit ip host 192.168.1.1 192.168.3.0 0.0.0.255
    30 permit ip host 192.168.1.1 192.168.4.0 0.0.0.255
    40 permit ip host 192.168.99.99 host 192.168.1.1
    50 permit ip host 192.168.1.1 192.168.5.0 0.0.0.255
    60 permit ip host 192.168.1.1 192.168.6.0 0.0.0.255
R3(config)#
投稿者 時刻: 0 件のコメント:
ラベル: , ,

2013年12月3日火曜日

FortigateでSSLVPNするときのスプリットトンネル

スプリットトンネルを使うと
ForitClientで接続してくる端末に特定のルートが渡る
 →特定のルート:ACLに記載してあるDistのルート
それ以外の通信は端末から直接インターネットに出る

スプリットトンネルを無効にすると
FortiClientの端末のデフォルトルートがFortigate経由になる
 →インターネット通信もFGから出て行くようになる
投稿者 時刻: 0 件のコメント:
ラベル: ,

2013年10月21日月曜日

Cisco機器でのsession削除

何故かよく忘れるのでメモ。。。

R1#show sessions
Conn Host                Address             Byte  Idle Conn Name
*  1 SW1                 10.11.11.11            0     0 SW1

R1#disconnect ?
  <1-1>  The number of an active network connection
  qdm    Disconnect QDM web-based clients
  ssh    Disconnect an active SSH connection

R1#disconnect 1
Closing connection to SW1 [confirm]
R1#show sessions
% No connections open
投稿者 時刻: 0 件のコメント:
ラベル: , , ,

Fortigateの初期化

以下コマンドで初期化

FGT60******* # execute factoryreset
This operation will reset the system to factory default!
Do you want to continue? (y/n)y


System is resetting to factory default...


The system is going down NOW !!





ちなみにパスワード忘れた場合はコンソール接続し、
FGT60********* login: maintainer
Password: <シリアルNo>

で入れる。
投稿者 時刻: 0 件のコメント:
ラベル: ,

Cisco WLCでtelnet許可していないAPのlogを取得する

コントローラで以下を実行する

debug ap enable <apname>
debug ap command "show log" <apname>
debug ap disable <apname>




するとこんな感じで出力されます。

  1. (WLC) >debug ap command "show log" LAP01

  3. (WLC) >*spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:

  5. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01: Syslog logging: enabled (1 messages dropped, 5 messages rate-limited,

  7. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:                 0 flushes, 0 overruns, xml disabled, filtering disabled)

  9. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:     Console logging: level debugging, 118 messages logged, xml disabled,

  11. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:                      filtering disabled

  13. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:     Monitor logging: level debugging, 0 messages logged, xml disabled,

  15. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:                      filtering disabled

  17. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:     Buffer logging: level debugging, 118 messages logged, xml disabled,

  19. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:                     filtering disabled

  21. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:     Logging Exception size (4096 bytes)

  23. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:     Count and timestamp logging messages: disabled

  25. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:     Trap logging: level emergencies, 28 message lines logged

  27. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:         Logging to 255.255.255.255(global) (udp port 514, audit disabled,  link down), 0 message lines logged, xml disabled,

  29. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:                filtering disabled

  31. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:

  33. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01: Log Buffer (262144 bytes):

  35. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01:

  37. *spamApTask0: Nov xx 11:11:17.783: 00:3a:xx:xx:xx:xx LAP01: *Mar  1 00:00:06.705: %SOAP_FIPS-2-SELF_TEST_IOS_SUCCESS: IOS crypto FIPS self test passed

  39. *spamApTask0: Nov xx 11:11:17.786: 00:3a:xx:xx:xx:xx LAP01: *Mar  1 00:00:08.324: %SOAP_FIPS-2-SELF_TEST_RAD_SUCCESS: RADIO crypto FIPS self test passed on interface Dot11Radio 0


投稿者 時刻: 1 件のコメント:
ラベル: ,

2013年10月16日水曜日

Cisco WLCでAP-GroupをCLIから変更する

(Cisco Controller) >config ap group-name group01 AP01

Changing the AP's group name will cause the AP to reboot.
Are you sure you want to continue? (y/n) y



y/nを聞かれるので流し込む時は注意する。
投稿者 時刻: 0 件のコメント:
ラベル: ,

Cisco WLCにJoinしているAPについて周波数をCLIで固定にする

試したのはWLC5508で7.4.110.0

config 802.11a disable AP01
config 802.11b disable AP01
config ap disable AP01
config 802.11a channel ap AP01 44
config 802.11b channel ap AP01 11
config ap enable AP01
config 802.11a enable AP01
config 802.11b enable AP01


1台につき8行も必要。
もっとうまいことできないものかね。
投稿者 時刻: 0 件のコメント:
ラベル: ,

2013年10月8日火曜日

Cisco機器での検証用PPPoEサーバ構築

前提条件
・ワンアーム構成
・拠点側は固定IP
 →NTT東西 フレッツVPNワイドとか

今回はCisco2801 15.1(4)M6で検証実施
個人的にはこのConfigが一番スッキリしてるかなと思った。


●PPPoEのユーザ名とパスワードを設定
username user1 password 0 user1

●BBAグループの作成
bba-group pppoe test
 virtual-template 1

●PPPoEを受けるIFの設定/BBAグループをひもづける
interface FastEthernet0/1
 no ip address
 pppoe enable group test

●VirtualTemplateの設定/物理IFをひもづける
interface Virtual-Template1
 ip unnumbered FastEthernet0/1
 ppp authentication chap


ついでに
  ppp authentication chap

  →無いと、来たユーザなんでも認証できる

PPPoEサーバでの確認は
show userが個人的には好き。

# show users
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00

  Interface    User               Mode         Idle     Peer Address
  Vi2.1        user1        PPPoE        -        192.168.1.1

ユーザ払い出し型はこっち



投稿者 時刻: 0 件のコメント:
ラベル: , ,
登録: 投稿 (Atom)