カテゴリー: 技術一般

カテゴリー
2022年 Windows ガジェット コンピューター バックアップ 自動化

BanBackup でバックアップの自動化


にほんブログ村

今回やりたいのは、こんな感じです。

パソコンのデスクトップに保存されているデータ全てを、NAS にバックアップでコピーします。

今回は、バックアップソフトとして、BunBackup を使用しています。

バックアップ元のフォルダとして、デスクトップを指定していますが、マイドキュメントでもなんでも指定できます。

バックアップ先のフォルダーとして NAS を指定していますが、外付けハードディスクでも USB メモリーでも指定可能です。

手動バックアップの設定

BanBackup を起動します。

「+」ボタンをクリックして、新規ジョブを追加します。

「バックアップ設定」のウィンドウが表示されるので、以下のように設定します。

  • タイトル:バックアップジョブの名前
  • バックアップ元フォルダ:バックアップしたい対象のフォルダを指定
  • バックアップ先フォルダ:バックアップ先のフォルダを指定

「OK」をクリックして次に進みます。

先ほど作成したバックアップジョブの名前と内容が表示されます。

この内容を保存しておきます。

上部メニューの「ファイル」から「名前を付けて保存」を選択します。

バクアップ定義ファイル(「.lbk」の拡張子のファイル)を任意の場所に保存しておきます。これがあれば、次からその内容でバックアップを行えます。

手動バックアップをやってみましょう。

上部メニューの「バックアップ」から「バックアップ開始」を選択します。

先ほど設定した内容で、バックアップジョブが実行されます。

バックアップの自動化

先ほどの手動バックアップを自動化させたいと思いました。

でも、BunBackup のマニュアルを見ても、いまいち内容が分かりません。以下の感じで記載があります。

AUTOって何?タスクスケジューラで具体的にどうやって設定するの?って感じです。そこで手順を調べてみました。

Windows の検索ボックスから「task」と入力して、タスクスケジューラを検索します。

タスクスケジューラをクリックして起動します。

タスクスケジューラが起動して表示されます。

左側のメニューの「タスクスケジューラーライブラリ」をクリックします。

右側の「操作」メニューに表示される「基本タスクの作成」をクリックします。

基本タスクの作成ウィザードが表示されます。

以下の内容で入力します。

  • 名前:今作成しようとしているタスクの名前
  • 説明:作成しようとしているタスクの説明(オプション)

「次へ」をクリックします。

「タスクトリガー」の設定画面が表示されます。

今回は毎日バックアップを使用と思いますので、「毎日」を選択します。

「次へ」をクリックします。

「毎日」の設定画面が表示されます。

以下のように設定します。

  • 開始:タスクを実行したい日時を指定
  • 間隔:毎日なら「1」、2日に一回なら「2」を指定

「次へ」をクリックします。

「操作」の設定画面が表示されます。

ここでは、タスクの起動時に実行したいプログラムを指定します。

今回実行したいのは BunBackup のプログラムですので、「プログラムの開始」を選択します。

「次へ」をクリックします。

「プログラムの開始」の設定画面が表示されます。

以下のように設定します。

  • プログラム/スクリプト:BunBackup の実行ファイルをフルパスで指定します。

例えば、「/BACKUP:”C:\My Documents\BunBackup\Test.lbk”」という感じです。

ポイントは、バックアップ定義ファイルのフルパスを「”」で囲うことです。これをしないとエラーになって BunBackup が起動してくれません。

次のポイントが「引数」です。

BunBackup のマニュアルにも記載があるように、引数では、いろんなアクションを指定できるみたいですが、以下の二つがよく使用するものになるでしょう。

  • BACKUP
  • AUTO

BACKUP の方が、手動でバックアップしている内容をそのまま自動で実行するタイプです。バックアップの状況や結果を画面に表示します。

AUTO の方が、バックアップの状況や結果を画面には表示させないでバックアップを実行するタイプです。

今回は画面に見える形で実行させたいので、BACKUP を使ってみます。

引数に、以下のように指定します。手動バックアップの際にバックアップ定義ファイル(「.lbk」ファイル)を保存しました。そのファイルのフルパスを指定します。

例えば「/BACKUP:”C:\My Documents\BunBackup\Test.lbk”」という感じです。

「完了」をクリックして、タスクを作成します。

タスクスケジューラのタスク一覧に、作成したタスクの名前が表示されます。

タスクスケジューラからの実行確認

タスクを作成したのは良いけど、ちゃんと動くのかを見ておきたいです。そんな時は、実行したいタスクをクリックし、右側のメニューの中の「実行」をクリックします。

作成したタスクの内容を実行してくれます。

バックアップジョブが動き出しましたね。

右側のメニューの「実行中のすべてのタスクの表示」をクリックしてみます。

「実行中のすべてのタスク」のウィンドウが表示されます。

ここに作成したタスクが表示されていれば、タスクが実行されていることが確認できます。

おもしろかったら、フォローしてください!

関連する記事:

最近の記事:

カテゴリー
2022年 CCNP Enterprise Cisco コンピューター ルーティング 冗長化 技術一般 認定資格

FHRP を学ぶ (0) FHRP の種類


にほんブログ村

FHRP: First Hop Redundancy Protocol 

複数のゲートウェイルータを1つのグループに構成し、ゲートウェイルータの高速フェイルオーバを実現させます。簡単に言えば、デフォルトゲートウェイの冗長化です。

通常、PC には1つのデフォルトゲートウェイを設定します。

.254 を Default GW として指定している場合

ゲートウェイが2つ存在したとしても、障害などでデフォルトゲートウェイに指定したルーターにたどり着けなければ、別のセグメントとは通信ができません。

.254 のルーターが障害になると Default GW がなくなる

FHRP の仕組みの基本的なコンセプトは、PC やサーバにとって複数のルータを、仮想的に1つであるかのように見せることにあります。

複数台のルーターを仮想的に1つに見せる

FHRP の種類

HSRP: Hot Standby Routing Protocol 

規格シスコ独自
ルーターの呼び方アクティブルーター、スダンバイルーター

優先度の高いルーターがアクティブとなり通信を処理する。優先度のデフォルト値は 100

VRRP: Virtual Router Redundancy Protocol

規格RFC 3768 で標準化
ルーターの呼び方マスタールーター、バックアップルーター

優先度の高いルーターがアクティブとなり通信を処理する。優先度のデフォルト値は 100

GLBP: Gateway Load Balancing Protocol

規格シスコ独自
ルーターの呼び方AVG (Active Virtual Gateway)
AVF (Active Virtual Forwarder)

ロードバランス方式でパケットを転送

FHRP の動作

複数のルーターやスィッチをグループ化し、デフォルトゲートウェイとなるルーターの高速なフェールオーバーを実現させるプロトコルです。

複数のルーターをグループ化して仮想ルーターを構成し、その仮想ルーターに仮想 IPアドレスを割り当て、それをクライアント PC でデフォルトゲートウェイととして使用します。

複数台のルーターをグループ化

仮想ルーターには、仮想 MAC アドレスも割り当てられます。

パケットを転送しているルーターで障害が起こった場合、グループ内の他のルーターが代理で動き出します。仮想 IPアドレスと仮想 MACアドレスはグループ内で維持されるので、クライアントPCのデフォルトゲートウェイは変わらないという仕組みとなります。

正常時の経路
障害時の経路

次回から、FHRP の1つである HSRP (Hot Standby Routing Protocol) についてまとめていきたいと思います。

この参考書を使って勉強してます。

posted with カエレバ

おもしろかったら、フォローしてください!

関連する記事:

最近の記事:

 

カテゴリー
Apple Azure Microsoft Raspberry Pi SSTP VPN Windows クラウド コンピューター 技術一般

Mac OS で SSTP VPN を使う


にほんブログ村

SoftEter VPN Serverでは、 VPN Azure Cloud を使用することができます。

これを使うことにより、ファイヤーウォール配下に存在するSoftether VPN Server に対しての外部からの VPN 接続で、Inbound NAT や Port Forwarding といった設定を追加する必要がなくなります。

VPN Azure Cloud ですが、名前の通り、Microsoft Azure を利用します。そして、マイクロソフトということで、Secure Socket Tunneling Protocol (SSTP) というプロトコルを使用して接続することになります。

これがちょっと厄介です。マイクロソフト社の提供している OSである Windowsであれば、SSTP を使った VPN は標準で設定できるのですが、Apple 社が提供している OS である Mac OS ではそうは行きません。SSTP は標準では使えません。

ですが、Mac OS で、さらに GUI で簡単に SSTP 接続ができるアプリを見つけました。その名は「iSSTP」 です。

iSSTP

ここからダウンロードができます。

今回実現したいのは、以下の構成です。

私の自宅には Raspberry Pi 4で、Softether VPN Server を動かしています。これに対して、外出先から SSTP VPN で接続して、自宅内の NAS やサーバーにアクセスします。

Raspberry Pi で Softether VPN Server を動かす方法と設定は、こちらの記事が参考になります。

Softether の設定

基本的な設定は完了している前提での説明となります。

基本設定に関しては、上記の記事が参考になります。

Softether 管理コンソールにログインします。

VPN Azure」をクリックします。

「VPN Azure の設定」の中の「VPN Azure を有効にする」を選択して有効にします。

「現在の VPN Azure ホスト名」のところに表示されている「xxxxx.vpnazure.net」が、SSTP VPN の接続先となる FQDN になります。

「OK」をクリックして設定を適用します。

iSSTP の設定

まず「New」ボタンを押して、接続先の設定を行います。

  • Name: 任意の名前(何でも良いです。分かりやすい名前をつ付けましょう)
  • Server Address: VPN サーバの FQDN を記載(VPN Azure の場合は “xxx.vpnazure.net” になります)
  • Username: VPN 接続のユーザ名(SoftEther VPN で設定した場合は VPN 接続のために用意したユーザー)
  • Password: 上記ユーザーのパスワード

Server Address は、ここに表示されている値(xxxxx.vpnazure.net)です。

Password は、作成したユーザーの中で設定しているパスワード認証の値です。

iSSTP の設定画面で、忘れずに「Save」を押しておきます。これを忘れると、再起動すると設定が消えてしまいます。

SSTP VPN 接続

接続したい設定をクリックします。

画面右下の「Connect」をクリックします。

SSTP VPN 接続が開始されます。

接続が完了すると、VPN 接続先の DHCP の IPアドレスが割り当てられて表示されます。

SSTP VPN 接続切断

VPN 接続を切りたい時は、画面右下の「Disconnect」をクリックします。

ステータスが「Not Connected」になれば、VPN 接続は切断されています。

Raspberry Pi 4
posted with カエレバ

おもしろかったら、フォローしてください!

関連する記事:

最近の記事:

カテゴリー
2022年 Cisco EtherChannel QNAP コマンド コンピューター ストレージ 冗長化 技術一般

QNAP でポートトランキング (LAG/EtherChannel) 接続


にほんブログ村

私の自宅では、QNAP NAS を Cisco Catalyst 3750 に接続していますので、是非とも EtherChannel で接続してみたいと思い試してみました。

あまり触らない設定って、しばらく経つと忘れてしまいますので、これもメモとして残しておきたいと思います。

今回、私がやりたいのはこの構成です。Cisco スィッチとQNAPNAS を EtherChannel (LAG) で接続します。

スィッチ側の設定と準備

まずポートチャネルの作成とインターフェースへの適用を行います。

  1. 対象インターフェースを指定
  2. 対象となる VLAN 番号を指定
  3. Switchport のモードを Access に設定
  4. チェネルグループ番号を指定し、モードは “Active” で設定
Cat3750-3F(config)#int range gigabitEthernet 1/0/15 - 16 <<< 1
Cat3750-3F(config-if)#switchport access vlan 100 <<< 2
Cat3750-3F(config-if)#switchport mode access <<< 3
Cat3750-3F(config-if)#channel-group 2 mode active <<< 4
Creating a port-channel interface Port-channel 2
Cat3750-3F(config-if)#spanning-tree portfast
Cat3750-3F(config-if)#no shutdown 
Cat3750-3F(config-if)#end
%Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface  when portfast is enabled, can cause temporary bridging loops. Use with CAUTION

ポートチェネル2 が作成されたメッセージが出力されましたね。”show run” で設定を見てみます。

Cat3750-3F#sh run 
Building configuration...
.
.
< 省略 >
.
.
!
interface Port-channel1
 switchport access vlan 100
 switchport mode access
!
interface Port-channel2  <<< Port-Channel 2 が作成
!
interface GigabitEthernet1/0/1
 description to NetGear Switch GE0/13
 switchport access vlan 100
 switchport mode access
!

でもまだ、ポートチェネルのインターフェースに、適切な設定が入ってません。

ポートチャネル2 にも以下の設定を入れます。

  1. “switchport mode access”
  2. “switchport access vlan 100”
Cat3750-3F(config)#interface port-channel 2
Cat3750-3F(config-if)#switchport mode access 
Cat3750-3F(config-if)#switchport access vlan 100
Cat3750-3F(config-if)#end
Cat3750-3F#sh run 
Building configuration...
.
.
< 省略 >
.
.
!
interface Port-channel1
 switchport access vlan 100
 switchport mode access
!
interface Port-channel2
 switchport access vlan 100 <<< 1
 switchport mode access <<< 2
!

せっかくインターフェースを2つ使ってポートチャネルしていますので、負荷分散もしましょう。

2つのインターフェースを送信元と宛先のIPアドレスの組み合わせでバランシング します。

Cat3750-3F(config)#port-channel load-balance src-dst-ip
Cat3750-3F(config)#end

宛先だけ指定してしまうと、このポートチャネルの先には QNAP NAS しかいませんので、負荷分散になりません。ここがポイントです。

スィッチ側のインターフェースの確認をしてみます。

  • “show interface port-channel 2 status”
Cat3750-3F#sh int port-channel 2 status 

Port      Name               Status       Vlan       Duplex  Speed Type
Po2                          notconnect   100          auto   auto

QNAP NAS 側の設定をしていないので、ステータスはまだ「Not Connected」ですね。

QNAP NAS 側の設定

事前準備

DNAP NAS は、DHCP で IPアドレスが取得できるようにしておかないと、Port Trunking の設定をした後に、QNAP NAS の管理画面にアクセスできなくなります。

DHCP で一旦 IPアドレスを割り当てて、それから固定 IPアドレスに変更していきます。

設定

「Network & Virtual Switch」の設定を開きます。

「Network」の中の「Interfaces」をクリックします。

画面右上の「+ Port Trunking」をクリックします。

Port Trunking の設定画面が開きます。

「Add」をクリックします。

「IP アドレスが変更になります」の警告メッセージが出力されますが、「Yes」をクリックします。

アダプターが 2つ見えますので、両方とも選択します。

「Next」をクリックします。

Port Trunking の方式が表示されます。

今回、私が接続するのは、Cisco Catalyst 3750 ですので、「Managed Switch (supports Port Trunking/LACP)」を選択します。

選択するのは「802.3ad Dynamic」です。

「Apply」をクリックして、設定を適用します。

802.3ad のハッシュポリシーが表示されます。

Layer2+3 (MAC + IP)」を選択します。

「OK」をクリックします。

EtherChannel が形成され、インターフェースが 1つのみ表示されます。

右上のステータスで「Adapter 1+ 2 (Auto)」になっていれば成功です。

DHCP で IPアドレスを取得してますね。これを固定に変更します。

対象インターフェース右側のメニューボタンをクリックし、「Configure」を選択します。

IPアドレスの設定画面が表示されます。

今回設定したいのは IPv4 の IPアドレスです。

Use static IP address」を選択します。

右側のテキストボックスが有効化されるので、QNAP NAS で使用したい IPアドレスを設定します。

「Apply」をクリックして、設定を適用します。

「IPアドレスが<設定した値>に変更されます」の警告が表示されますので、「Yes」をクリックします。

表示されている IPアドレスが変更されます。

QNAP NAS の管理画面に、その IPアドレスでログインができれば完了です。

最後の確認

スィッチ側で、ポートチャネルのステータスを確認します。

  • “show interface port-channel 2 status”
  • “show interface port-channel 2”
Cat3750-3F#sh int port-channel 2 status 

Port      Name               Status       Vlan       Duplex  Speed Type
Po2                          connected    100        a-full a-1000 
Cat3750-3F#sh int port-channel 2         
Port-channel2 is up, line protocol is up (connected) 
  Hardware is EtherChannel, address is 0017.0e52.718e (bia 0017.0e52.718e)
  MTU 1500 bytes, BW 2000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 0/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 1000Mb/s, link type is auto, media type is unknown
  input flow-control is off, output flow-control is unsupported 
  Members in this channel: Gi1/0/15 Gi1/0/16 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output 00:00:01, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     1074 packets input, 495767 bytes, 0 no buffer
     Received 133 broadcasts (94 multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 94 multicast, 0 pause input
     0 input packets with dribble condition detected
     1410 packets output, 279723 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 PAUSE output
     0 output buffer failures, 0 output buffers swapped out

Connected になってますね。

QNAP NASのポートトランキングの設定は、これで完成です。

posted with カエレバ

おもしろかったら、フォローしてください!

関連する記事:

最近の記事:

カテゴリー
2022年 QNAP VMWare コンピューター ストレージ 技術一般

ESXi サーバーのデータストアとして QNAP を使う(NFS 編)


にほんブログ村

自宅で使っている仮想基盤が VMWare ESXi なのですが、これのローカルハードディスク上のデータストア領域が少なくなってきました。

ハードディスクが1台しか搭載できない小さなサーバーですので、足すこともできず、どうしようかなと悩んでいたのですが、そういえば、ESXi って、iSCSI とか NFS での外部ストレージをサポートしていたよなと思い出し、先日購入した QNAP ストレージで試してみました。

私がやりたいのは、こんな感じです。

QNAP を先日購入したばかりで、この「NFS マウントでのデータストア」を初めて試しました。忘れないように、メモで残しておきたいと思います。

NFS サービスの有効化

QNAP のコントロールパネルから、ネットワークとファイルサービスを探します。その中に「Win/Mac/NFS/WebDAV」という項目があるので、それをクリックします。

NFS サービス」タブをクリックして、NFS の設定画面を表示させます。

NFS v2/v3 サービスを有効にする」にチェクを入れます。

「適用」をクリックして、設定を適用します。これで NFS サービスが有効になります。

共有フォルダの設定

コントロールパネルの権限設定を探します。

その中に「共有フォルダー」という項目があるので、それをクリックします。

共有フォルダーの設定画面が開きます。

作成」をクリックして、共有フォルダーを新規作成します。

共有フォルダーの作成」画面が表示されます。

フォルダー名」のところに、フォルダーの名前を入力します。この名前は、ネットワーク上から共有フォルダーとして見える名前となります。

「次」をクリックして進みます。

ユーザーのアクセス権限を設定する」画面が表示されます。ここは自分(以下の場合 User1)に RW の権限があれば良いです。

「次」をクリックして進みます。

プロパティー」画面が表示されます。

ここは特に触りません。

「完了」をクリックして、設定を完了させます。

作成した共有フォルダー名が表示されることを確認します。

そのフォルダーの「共有フォルダーの権限」をクリックします。

共有フォルダー権限の編集」画面が表示されます。

「権限タイプの選択」で「NFS ホストのアクセス」を選択します。

許可するアドレスまたはドメイン名」の中の以下の部分を設定します。

  • 左から3つ目の項目: 読み取り/書き込み
  • 左から4つ目の項目: ユーザーなしスカッシュ

「適用」をクリックして、設定を反映させます。

ESXi サーバーでのストレージ追加

ESXi サーバーにログインして、管理画面メニューから「Storage」をクリックします。

「Datastores」タブをクリックし、「New Datastore」をクリックして、新規のデータストアを作成します。

Select Creation Type」画面が表示されます。

メニューから、「Munt NFS Datastore」を選択します。

「Next」をクリックして進みます。

Provide NFS mount details」画面が表示されます。

以下の項目を設定します。

  • Name: ESXi 上でデータストアとして表示する時の名前
  • NFS Server: QNAP NAS のIPアドレス
  • NFS Share: “/share/” + QNAP のNFS 共有フォルダー名

QNAP の NFS 共有フォルダーを指定する際に、頭に”/share/” をつけるのがポイントです。

「Next」をクリックして進みます。

設定内容を確認します。

問題なければ、「Finish」をクリックして、設定を適用させます。

ESXi の管理画面のストレージの数が「2」に増え、QNAP ストレージが見えてますね。

QNAP の名前のデータストアをクリックしてみます。

QNAP のボリューム領域サイズが、データストアサイズとして見えてますね。

Datastore Browser」をクリックします。

QNAP のデータストアはちゃんと認識しています。

まだ作成したばかりなので、中は空っぽですけど。

新規仮想マシンの作成

早速、新規の仮想マシンを作成して、QNAP のデータストアを使ってみましょう。

Create a new virtual machine」を選択します。

「Next」をクリックして進みます。

Name」に仮想マシンの名前を入力します。今回はテストなので、「test-vm」としています。

Linux で CentOS5 64bit にしてみます。これは、実際に動かしたい OS とプラットフォームに合わせます

「Next」をクリックして進みます。

仮想マシンの作成先のデータストアで、QNAP を選択します。

「Next」をクリックして進みます。

テストなので、リソースはデフォルトのままで良いでしょう。これも、実際に動かしたい OS とプラットフォームに合わせます

「Next」をクリックして進みます。

「Finish」をクリックして、仮想マシンの作成を完了させます。

QNAP の FileStation から見てみると、NFS 共有フォルダーの中に、先ほど作成した仮想マシン名のフォルダーが見えますね。私の例ですと「test-vm」です。

そのフォルダーを開くと、中に仮想マシンが作成されているのが分かります。

これで、ESXi サーバーのデータストアとして QNAP を使うことに成功しました。

今回は NFS 方式を使ったのですが、次回は iSCSI 方式を試してみたいと思います。

posted with カエレバ

おもしろかったら、フォローしてください!

関連する記事:

最近の記事:

カテゴリー
2022年 CCNP Enterprise Cisco コマンド コンピューター トラブルシューティング 技術一般 自動化 認定資格

Cisco EEM とは


にほんブログ村

EEM とは

EEM (Embedded Event Manager) を使うことで、何らかのイベント発生時をトリガーとして、指定したアクションを実行することが可能となります。

IOS、IOS XR、IOS XE、NX-OS で利用ができ、EEM は IPBASE から利用できるので、安価なモデルでも使用可能となります。

利用シーンとして例えば、以下のようなケースがあります。

  • 特定のインターフェースを監視し、そのインターフェースがっダウンとなったら、管理者へメールを送信
  • CPU 使用率を監視し、事前に決めた閾値を超えたら、CPU 使用率の情報を取得してシスログで送信
  • インターフェースのエラー率を監視し、事前に決めたエラー率を超えた場合、該当インターフェースをシャットダウンさせSNMP トラップを送信

私のケースでは、IOS version 15.9 を使用して確認してます。

EEM の構成要素

以下の3つから構成されます。

  1. Event Director
  2. Policy
  3. EEMサーバ

事前に定義した Event と Action を Policy と呼びます。

Event DirectorPolicy に従ってイベントを監視し、

アクションを実行させる場合に、EEM サーバーに通知をします。

具体的には、Event Manager の中で、以下の項目を指定できます。

C892-02(config)#event manager ?
  applet       Register an Event Manager applet
  detector     Set Embedded Event Manager detector information
  directory    Set Embedded Event Manager directory information
  environment  Set an Embedded Event Manager global environment variable
  history      Set Embedded Event Manager history information
  policy       Register an Embedded Event Manager policy
  scheduler    Set Event Manager scheduler options
  session      Set Embedded Event Manager session attributes

Event Director で監視可能な対象(よく使うだろうもの)は、以下の通りとなります。

  • SNMP
    SNMP MIBオブジェクトを監視し、オブジェクトの値が任意の値とマッチするか、任意の閾値を越えた場合にイベント通知
  • Syslog
    事前に定義した文字列をトリガーにイベント通知
  • Timer
    absolute-time-of-day、countdown、watchdog、CRON の 4 タイプのタイマーをサポートし、それぞれイベントを通知
  • Interface Counter
    インタフェースカウンタが閾値を超えた際にイベントを通知
  • CLI
    CLIを正規表現で検査し、マッチした場合にイベントを通知
  • OIR
    モジュール等のOIRを検知した場合にイベント通知(Online Insertion and Removal:活性挿抜(いわゆるホットスワップ))
  • SNMP Proxy
    外部からのSNMPトラップを受けてイベントを通知
  • Routing
    ルーティングテーブルの変化を検知した際にイベントを通知
  • NetFlow
    NetFlow情報監視し、オブジェクトの値が任意の値とマッチ、あるいは任意の閾値を越えた場合にイベント通知
  • Neighbor Discovery
    CDPまたはLLDPによる情報を受けてイベントを通知
  • Mac Address Table
    MACアドレステーブルの変化を検知した際にイベントを通知

Event Director の監視対象イベントとして設定できる項目全ては、以下の通りです。

C892-02(config-applet)#event ?
  application         Application specific event
  cli                 CLI event
  config              Configuration policy event
  counter             Counter event
  env                 Environmental event
  identity            Identity event
  interface           Interface event
  ioswdsysmon         IOS WDSysMon event
  ipsla               IPSLA Event
  neighbor-discovery  Neighbor Discovery event
  nf                  NF Event
  none                Manually run policy event
  oir                 OIR event
  resource            Resource event
  rf                  Redundancy Facility event
  routing             Routing event
  rpc                 Remote Procedure Call event
  snmp                SNMP event
  snmp-notification   SNMP Notification Event
  snmp-object         SNMP object event
  syslog              Syslog event
  tag                 event tag identifier
  timer               Timer event
  track               Tracking object event

イベントを受けた後に実行出来る主なアクションは、以下の通りです(よく使われるもの)。

  • コマンドの実行や結果の取得
  • SNMPへのアクセス
  • 再起動
  • EEM Policyの呼び出し
  • スイッチオーバー
  • Eメール送信
  • SNMP Trap送信
  • Syslog送信

アクションとして設定できる項目全ては、以下の通りです。

C892-02(config-applet)#action 1.0 ?
  add                Add
  append             Append to a variable
  break              Break out of a conditional loop
  cli                Execute a CLI command
  cns-event          Send a CNS event
  comment            add comment
  context            Save or retrieve context information
  continue           Continue to next loop iteration
  counter            Modify a counter value
  decrement          Decrement a variable
  divide             Divide
  else               else conditional
  elseif             elseif conditional
  end                end conditional block
  exit               Exit from applet run
  file               file operations
  force-switchover   Force a software switchover
  foreach            foreach loop
  gets               get line of input from active tty
  handle-error       On error action
  help               Read/Set parser help buffer
  if                 if conditional
  increment          Increment a variable
  info               Obtain system specific information
  mail               Send an e-mail
  multiply           Multiply
  policy             Run a pre-registered policy
  publish-event      Publish an application specific event
  puts               print data to active tty
  regexp             regular expression match
  reload             Reload system
  set                Set a variable
  snmp-object-value  Specify value for the SNMP get request
  snmp-trap          Send an SNMP trap
  string             string commands
  subtract           Subtract
  syslog             Log a syslog message
  track              Read/Set a tracking object
  wait               Wait for a specified amount of time
  while              while loop

EEM の設定例

1. インターフェースが “Administratively down” されたら、”no shutdown” コマンドを発行

インタフェースがシャットダウンされると「Interface , changed state to administratively down」というログが出力されます。このシステムログのメッセージをイベントとして検出してそれをトリガーとして、CLI コマンドで “no shutdown” を発行するアクションを定義します。

まず、VLAN113をシャットダウンした時のシスログメッセージを確認します。

C892-02(config)#int vlan 113
C892-02(config-if)#shutdown
C892-02(config-if)#
017611: Mar  3 18:51:50.925: %LINK-5-CHANGED: Interface Vlan113, changed state to administratively down

上記のメッセージが出力されるのが分かります。

event manager applet No_Shutdown_VLAN113
 description "issue no shut"
 event syslog pattern "Interface Vlan113, changed state to administratively down"
 action 1.0 cli command "enable"
 action 2.0 cli command "config t"
 action 3.0 cli command "interface vlan113"
 action 4.0 cli command "no shutdown"

アクションを定義する時のポイントは、 “enable” や “config t”, “interface xxx” など、対象となるコマンドが発行できるモードまで進むコマンドも併せて定義するところです。

実行されたEEM のログを見たい場合、デバッグコマンドを実行しておきます。

debug event manager action cli

デバッグコマンド投入後、1の例の EEM を実行すると、以下のようなログが出力されます。VLAN113 がシャットされたことを検知して、”no shut” コマンドが発行されて、再び VLAN113 が Up になってますね。

C892-02(config)#int vlan 113
C892-02(config-if)#shut
C892-02(config-if)#
017631: Mar  3 18:58:36.864: %FW-6-DROP_PKT: Dropping tcp session 116.223.132.218:443 172.16.23.4:49699  due to  RST inside current window with ip ident 64807 tcpflags 0x8014 seq.no 3652153217 ack 1529682709
017632: Mar  3 18:58:38.468: %LINK-5-CHANGED: Interface Vlan113, changed state to administratively down
017633: Mar  3 18:58:38.472: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : CTL : cli_open called.
017634: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : CCC
017635: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : Cisco 982 (Serial Number: FGL151727WV)
017636: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : This is Cisco 982-02 @ Living room for Internet settings.
017637: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : No one is allowed to login to this system except Kanta Nakashima.
017638: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT :
017639: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02>
017640: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02>enable
017641: Mar  3 18:58:38.492: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02#
017642: Mar  3 18:58:38.492: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02#config t
017643: Mar  3 18:58:38.508: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : Enter configuration commands, one per line.  End with CNTL/Z.
017644: Mar  3 18:58:38.508: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02(config)#
017645: Mar  3 18:58:38.508: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02(config)#interface vlan113
017646: Mar  3 18:58:38.520: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02(config-if)#
017647: Mar  3 18:58:38.520: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02(config-if)#no shutdown
017648: Mar  3 18:58:38.532: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02(config-if)#
017649: Mar  3 18:58:38.532: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : CTL : cli_close called.
017650: Mar  3 18:58:38.536:
017651: Mar  3 18:58:38.536: tty is now going through its death sequence
017652: Mar  3 18:58:40.524: %LINK-3-UPDOWN: Interface Vlan113, changed state to up
C892-02(config-if)#

2. 定期的にコマンドを実行し、その結果を NVRAM に書き込む

例えば、毎日午前 7時に “show ip route” コマンドを実行し、その内容を NVRAM に書き込んでいきます。

event manager applet Router-02
event timer cron name _EEMinternalname0 cron-entry "0 7 * * *"
action 1.0 cli command "enable"
action 2.0 cli command "show ip route | append nvram:Router-02"

まず、毎日午前7時という cron タイマをイベントとして登録します。「毎日午前7時」なので、cron-entry のあとに ”0 7 * * *” を指定します。

ちなみに、”0 18 * * *” だと「午後の6時」になります。

そして、アクションとして ”show ip route | append nvram:Router-02” の CLI コマンドを実行します。

“show ip route” の出力先として NVRAM 上の Router-02 ファイルを追記で指定しています。

NVRAM 上のファイルを表示する場合は、 more コマンドを使って、ファイルなを指定します。

more nvram:Router-02 <<< ファイル名を指定

EEM は CLI を使った設定と、Tcl スクリプトを使ってプログラミングする方法の 2種類があります。

CLI ベースは設定が簡単である反面、細かい制御をすることは出来ません。

逆に Tcl ベースだと、細かい制御をすることが出来ますが、Tcl スクリプトを扱えないといけませんので、若干敷居が高いかもしれません。ちょっとしたことをやりたいだけなら、CLI での設定でも十分でしょう。

この EEM はちょっといろいろ使えそうです。自宅の実環境で使ってみて、具体例をまた紹介したいと思います。

posted with カエレバ

おもしろかったら、フォローしてください!

関連する記事:

最近の記事:

カテゴリー
2021年 Riverbed SD-WAN クラウド コンピューター 技術一般

SD-WAN を試す (2) Controller のインストール


にほんブログ村

某お客様で SD-WAN を導入したいという話がありました。そこでリバーベッドテクノロジー社の SD-WAN 製品であるSteelConnect EX を提案しました。

その時にいろいろと動作確認しましたので、メモとして残しておこうと思いました。

今回は、Controller の初期設定についてです。


にほんブログ村

Controller の初期設定

ヘッドノードの1つである Controller のインストールです。

リバーベッドテクノロジー社のサポートサイトから、OVA ファイルが手に入りますので、それをダウンロードし、ESXi にインストールします。

Controller には、最低3つのネットワークアダプターが必要となりますが、今回の構成では4つのネットワークアダプターで構成します。

OVA ファイルからインストールすると、ネットワークアダプタは1つしかありませんので、三つ追加しておきます。

  • ネットワークアダプタ1

Management Switch に接続させます。これが North-bound になります。

  • ネットワークアダプタ2

Control Switch に接続させます。これが South-bound になります。

  • ネットワークアダプター3

インターネットに接続させます。インターネット越しに接続しにきたSDWANルーターにポリシーを適用します。

  • ネットワークアダプター4

Logical WAN に接続させます。WANとして設定しますが、実際はLAN内のセグメントの1つです。

それでは、Controller インスタンスを起動させ、ログインします。デフォルトのログインアカウントは、admin/versa123 です。

ログインできました。

まず、インターフェースの設定を行います。これは、/etc/network/interfaces ファイルを編集していきます。

エディターソフトとしてvim がインストールされていますので、それを使います。

sudo vim /etc/network/interfaces

初期状態は、以下のように設定されています。

これを、以下のように編集していきます。

ここで設定するのは、eth0 の設定です。

eth0 は、Management Switch に接続されますので、私の環境では、10.100.3.0/24 のセグメントになります。

auto eth0
iface eth0 inet static
address 10.100.3.201
netmask 255.255.255.0
gateway 10.100.3.254

ファイルの編集が完了したら、:wq で保存します。

cat コマンドを使って、interfaces ファイルの内容を表示させて確認してみます。

cat /etc/network/interfaces

記入間違いがなければOKです。

次に、インターフェースの設定情報を表示させます。

ifconfig

eth0 には、まだIPアドレスが設定されてませんね。先ほどの設定内容を反映させる必要があります。

eth0 インターフェースをDownさせます。

sudo ifdown eth0

そして、eth0 インターフェースをUpさせます。

sudo ifup eth0

再度、インターフェースの設定情報を表示させてみます。

eth0インターフェースに、IPアドレスが設定されましたね。

ここでIPアドレスが見えない場合、interfacesファイルの記述が間違っている可能性がありますので、内容を見直してください。

Director のeth0が同じセグメントに接続されています。そのIPアドレスに対してPingを打ってみます。

ping 10.100.3.200

echo reply が返ってきましたね。通信可能ということです。

これで、Controller の初期設定は完了です。次は、Director とController を接続させて設定していきます。

Director からの設定

Director と Controller を連携させていきます。設定は全て、Director 上で行います。

Director のウェブ管理画面にログインします。

  • Name: Controllerのホスト名を入力します。今回は「CTL-02」としています。
  • Provider Organization: Director の初期設定の時に作成したOrganizationの名前をプルダウンメニューから選びます。
  • Global Controller ID: 始めの Controller であれば、「1」が表示されます。通番で、Controller が追加される度に数字が上がります。
  • Staging Controller: このコントローラーをステージング(SDWAN ルーターにコンフィグを渡す作業)で使用するため、チェックボックスにチェックを入れます。
  • IP Address: Controller の Eth0 の IPアドレスを入力します。入力後、接続性チェックが走ります。エラーになった場合は、Director と Controller 間の接続性を確認してください。
  • Analytics Cluster: Analytics サーバーをヘッドノードに追加する場合は、Analytic Cluster の名前をプルダウンメニューから選択します。

「Continue」で次に進みます。

次に、Controller の所在地を指定します。

住所を入力後、「Get Coordinates」をクリックすると、正確な位置情報が表示されます。

「Continue」で次に進みます。

Control ネットワーク向けのインターフェースの設定です。

  • Network Name: Control Switch に接続されるインターフェースの名前です。eth1が使われます。
  • Interface: vni-0/0 をそのまま使います。
  • VLAN ID: 今回の構成ではVLANは使ってませんので、0のままにします。
  • IP Address/Prefix: eth1のIPアドレスとサブネットマスクを指定します。
  • Gateway: eth1のデフォルトゲートウェイを指定します。今回の構成では、特に必要ないので空白にしています。
  • DHCP: eth1のIPアドレスをDHCPを使って動的アドレスで設定したい場合は、このオプションを有効にします。

「Continue」をクリックして次に進みます。

WAN インターフェースの設定です。

ここではNetwork Nameを指定していく必要があるのですが、初期状態は選択できるものがないため、最初に作成していきます。

画面右上の「+WAN Interface」をクリックします。

最初に作成するのは、「Internet」です。

  • Name: Internet と入力します。
  • Description: このWANインターフェースの説明を入力します。
  • Transport Domain: プルダウンメニューから「Internet」を選択します。

「OK」をクリックして、設定を保存します。

次に、「Logical WAN」を作成します。

再度、画面右上の「+WAN Interface」をクリックします。

  • Name: Logical_WAN と入力します。
  • Description: このWANインターフェースの説明を入力します。
  • Transport Domain: プルダウンメニューには「Logical WAN」がありませので、新規作成します。

「+ Transport Domain」をクリックします。

  • Name: Transport Domain の名前です。ここでは、Transport と入力します。
  • Description: このTransport Domain の説明を入力します。
  • Transport Domain ID: 22 と入力します。

「OK」をクリックして、設定を保存します。

Transpor Domain のプルダウンメニューから、「Transport」が選択できるようになりました。

「OK」をクリックして、設定を保存します。

それでは、WAN interfaces を設定していきます。

vni-0/0: 

Control ネットワークへの接続で使いますので、触らないようにします。

vn1-0/1:

インターネットに接続します。

  • Network Name: プルダウンメニューから、Internet を選択します。
  • IPv4 Address: インターネットへ接続するアドレスです。ここでは、11.0.0.2/24 としています。
  • IPv4 Gateway: 上記IPアドレスのデフォルトゲートウェイのアドレスです。ここでは、11.0.0.254としています。
  • Public IP Address: Inbound NATでこのインターフェースにアクセスさせたい場合は、ここにパブリックIPアドレスを指定します。今回は使用しません。
  • WAN Staging: ステージングの通信を行いたいインターフェースであれば、このオプションを有効にします。

vni-0/2:

Logical WAN に接続します。

  • Network Name: プルダウンメニューから、Logical WAN を選択します。
  • IPv4 Address: Logical WANセグメントと通信するためのアドレスです。ここでは、10.100.6.201/24 としています。
  • IPv4 Gateway: 上記IPアドレスのデフォルトゲートウェイのアドレスです。ここでは、10.100.6.254としています。
  • Public IP Address: Inbound NATでこのインターフェースにアクセスさせたい場合は、ここにパブリックIPアドレスを指定します。今回は使用しません。
  • WAN Staging: ステージングの通信を行いたいインターフェースであれば、このオプションを有効にします。

「Deploy」をクリックして、設定を適用します。

画面右下にプログレスバーが出力されますので、100%になるまで待ちます。

設定の適用が完了したら、画面右上のTasks(ベルマークの隣のメモ帳のようなアイコン)をクリックします。

ここに、ログが表示されます。

Controller のDeploy のログを確認します。エラーが出力されていなければOKです。

Administration > Appliances の順にクリックします。

アプライアンスのリストに、CTL-02の名前のController が表示されます。

Config SynchronizationとReachabilityが緑マーク、ServiceがUpになていることを確認します。

Controller にログイン

最後の仕上げです。

Controller に、コンソール、またはSSHでログインします。

Controller を再起動し、設定を反映させます。

sudo shutdown -r now

システムの起動が完了したら、Controller にログインします。

関連する記事:

最近の記事:

カテゴリー
2022年 Raspberry Pi VPN おすすめ販売 ガジェット コンピューター

Raspberry Pi 4 でサイト間 VPN を作ってみよう

私が Raspberry Pi 4 を最初に購入したのは 4ヶ月ほど前なのですが、やたらと気に入ってしまい、とうとう 4台目を購入しちゃいました。2GBモデルを1台、4GBモデルを2台、8GBモデルを1台持ってます。

今回は、Raspberry Pi 4 で、Softether を動かし、会社に置いてある Windows 上の Softether と、インターネット越しのサイト間 VPN を張ってみました。その時のメモ書きです。

必要なもの

Raspberry Pi 4 本体

VPN を動かすだけなら、2BG のモデルでも動きますが、4GB のモデルの方が良いかと思います。値段も1000円程度しか変わりませんし。

4GBモデル

posted with カエレバ

初めて Raspberry Pi 4 を購入する人は、セットになったものを購入すると便利です。必要なものが全て (モニター以外) 付いてます。

電源アダプター

動かしっぱなしの人はいのですが、使い終わったら電源を消したい人は、このスィッチの付いたタイプがおすすめす。電源を入れる時に、ケーブルの抜き差しが不要になります。

Raspberry Pi 4 ケース

Raspberry Pi は、使っているとすぐに熱くなります。以前、Linux でサーバーを動かしてみたのですが、ちょっと使っていたら、すぐにシステム温度が 90 度くらいまで上がりました。

ファンが付いているカバーが一番おすすめです。私も最初はこれを購入しました。やっぱり、音は気になりますね。そばにいかなければ分からない程度ですけど。

なので、2台目からは、ファンなしのケースを購入しましたファンなしなら、これがおすすめです。現在、Raspberry Pi 4 は 4台所有していますが、3台にこれを使用しています。

触ると本体は多少熱くなってますが、システム温度はしっかり下げられています。

Raspberry Pi 用モニター

忘れてはいけないのがモニターです。Raspberry Pi には、モニターはありません。基盤剥き出しの本体のみです。

OS インストール直後しか使用せず、あとは RDP とか VNC などで接続しますが、最初は必要ですので忘れないように購入しましょう。私はこれを使ってます。

MicroSD カード

Linux でサーバーを動かすなら、16GB でも 32GB でも十分です。

あと、MicroSD のサイズが大きいほど、バックアップの時間が長くなります。これを考えると、なるべく MicroSD のサイズは小さいに越したことはありません。

MicroSD リーダー・ライター

Raspberry Pi では、OS を MicroSD に書き込んで、そこから起動させて使います。OS の書き込みの際に必要となりますので、持っていない場合は購入しておきましょう。

事前準備

MicroSD に OS イメージを書き込むのには、Raspberry Imager を使うのが便利です。これが圧倒的に速いです。

Raspberry Pi Imager を起動し、Raspberry Pi OS (Raspbian)を、MicroSD にインストールします。

「Operation System」 の中からRaspberry Pi OS は選択できます。Raspberry Pi Imager が、ダウンロードして書き込んでくれます。

OS の書き込みが完了したら、MicroSD カードをRaspberry Pi 4に差し込み、Raspberry Pi OS を起動させます。

Raspberry Pi OS のIPアドレスは、固定にした方が良いです。あと、WiFi も停止して、ケーブルでネットワークに接続させましょう。

VNC も有効にしておきます。これにより、リモートから画面アクセスが可能になりますので、設定がしやすいです。

VPN のインストール

Raspberry Pi OS のブラウザーを起動し、SoftEther のダウンロードページ(https://www.softether-download.com/en.aspx?product=softether)から、必要なコンポーネントをダウンロードをします。

以下のように選択します。

  • 「ダウンロードするソフトウェアを選択」で、SoftEther VPN (Freeware) を選択
  • 「コンポーネントを選択」で、SoftEther VPN Server を選択
  • 「プラットフォーム」で、Linux を選択
  • 「CPU を選択」で、ARM EABI (32bit) を選択

ダウンロードが完了したら、画面の上のメニューの左側にある「ターミナル」をクリックして起動します。

ここからは、コマンド操作になります。

ダウンロードしたファイルを指定して展開します。

tar xzvf softether-vpnserver-v4.34-9745-beta-2020.04.05-linux-arm_eabi-32bit.tar.gz

「vpnserver」というフォルダが作成されるのが見えます。

「vpnserver」ディレクトリに移動して、make コマンドを実行します。

$ cd vpnserver
$ make

make を実行すると、何度か質問されるので、全て 1(Yes) で回答していきます。

Do you want to read the License Agreement for this software ?
1. Yes
2. No
Please choose one of above number:
1

vpnserver のプログラムの生成が開始します。

「vpnserver」フォルダを丸ごと /usr/local/ ディレクトリにコピーします。

cd ..
sudo rsync -av vpnserver /usr/local

または、フォルダを丸ごと移動させてしまっても良いです。

$ sudo mv vpnserver /usr/local

/usr/local/のディレクトリに「vpnserver」フォルダをコピーまたは移動できたら、/usr/localに移動します。

cd /usr/local

chmodコマンドで、権限を書き換えて保護していきます。

まずは、vpnserverフォルダです。

sudo chmod 700 vpnserver

次に、に移動します。

cd vpnserver

以下のコマンドを実行します。

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 700 vpncmd vpnserver

Raspberry Pi 4が起動した際に、SoftEther も自動で起動するようにします。

以下のvpnserver.serviceファイルを、新規で作成します。

sudo vim /usr/lib/systemd/system/vpnserver.service

ファイルの中に、以下のように記入していきます。

[Unit]
Description=SoftEther VPN Server
After=network.target

[Service]
Type=forking
ExecStart=/usr/local/vpnserver/vpnserver_start
ExecStop=/usr/local/vpnserver/vpnserver stop
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target

/usr/local/vpnserver/vpnserver_startで、起動させる訳です。

なので今度は、/usr/local/vpnserver/ディレクトリーに、vpnserver_startファイルを作ります。

vim /usr/local/vpnserver/vpnserver_start

自動でtapデバイスの名前を選んできてブリッジに追加するスクリプトです。

#!/bin/bash
/usr/local/vpnserver/vpnserver start

tap=$(/sbin/ifconfig -a| awk '$1 ~ /^tap/ {print $1}')
/sbin/brctl addif br0 $tap

権限を変更します。

sudo chmod 755 /usr/local/vpnserver/vpnserver_start

これで、SofeEther 側の設定は完了です。

ブリッジのインストールと設定

bridge-utilsをインスト―ルします。

sudo apt-get install -y bridge-utils

ブリッジのipアドレスを設定。

/etc/dhcpcd.confに固定の内容を書いてはいけない。

sudo vim /etc/network/interfaces

自分の環境に合わせて、設定内容を記入していきます。

# loopback
auto lo
iface lo inet loopback

# Ethernet port
auto eth0
iface eth0 inet manual

# Bridge interface
auto br0
iface br0 inet static
address 172.16.xxx.yyy #固定のipアドレスを指定
netmask 255.255.255.0
network 172.16.xxx.0 #ネットワークのアドレスを指定
broadcast 172.16.xxx.255 #ブロードキャストアドレスを指定
gateway 172.16.xxx.yyy # ルータのアドレスを入れる
bridge_ports eth0

設定を適用させるために、一度リブートします。

sudo reboot
sudo /usr/local/vpnserver/vpnserver start

vpnserverの起動登録をします。

sudo systemctl enable vpnserver.service

これで、ブリッジのインストールと設定が完了です。

VPN Server Manager のインストール

ここからは、Raspberry Pi OS ではなく、Windows PC での作業となります。

自分のWindows PCに、VPN Server Manager をインストールします。

SoftEther のダウンロードページ(https://www.softether-download.com/en.aspx?product=softether)から、必要なコンポーネントをダウンロードをします。

以下のように選択します。

  • 「ダウンロードするソフトウェアを選択」で、SoftEther VPN (Freeware) を選択
  • 「コンポーネントを選択」で、SoftEther VPN Server Manager for Windows を選択
  • 「プラットフォーム」で、Windows を選択
  • 「CPU を選択」で、Intel (x86 and x64) を選択

VPN Server Manager の設定

まずは、VPN接続される側(自宅に置いてあるRaspberry Pi 4)の設定をしていきます。

なぜ、自宅のRaspberry Pi 4が接続される側かというと、インターネット越しにSSL VPNが向かってきます。このインターネットからの通信を、インターネットルーターで、Raspberry Pi 4に向ける必要があるからです。Inboud NATでも良いですし、Port Forwardingでも良いです。ただ、こういった設定は、会社のITで管理されている機器には設定ができません。そのため、自宅の方で行います。

Windows PC 上のVPN Server Manager から、Raspberry Pi OS 上のVPN Serverに接続して、VPN関連の設定をしていきます。

VPN Server の登録

以下のように設定していきます。

  • 接続設定名に、Raspberry Pi OS のIPアドレスを指定します。
  • ホスト名には、後から見て、これがどのVPN Serverなのか分かる名前を指定します。Raspberry Pi OS の名前でも良いと思います。
  • ポート番号は、443のままが良いでしょう。

設定が完了したら、OKを押して登録します。

  • 仮想HUBの名前を指定します。「どこへの接続」という感じの名前が分かりやすいと思います。
  • 仮想HUBの管理パスワードも設定します。

設定が完了したら、OKを押して保存します。

次に、「ローカルブリッジ設定」をクリックします。

  • 「新しいローカルブリッジの定義」の「仮想HUB」のプルダウンメニューから、先ほど作成した仮想HUBの名前を選択します。
  • 「LANカード」では、プルダウンメニューから「br0」を選択します。

設定が完了したら、閉じるをクリックして、設定を保存します。

「ダイナミックDNS設定」をクリックします。

ダイナミックDNS機能の設定画面の中の「ダイナミックDNSホストの変更」を設定していきます。

設定が完了したら、閉じるをクリックし、設定を保存します。

ユーザーを登録していきます。

「ユーザー管理」をクリックします。

「新規作成」をクリックし、ユーザーを作成します。

  • 「ユーザー名」で、ユーザー名を設定します。例えば、Tarouとかuser-01などです。
  • 「本名」で、上記ユーザーの本名を入力します。例えば、Tarou Yamada などです。
  • 「説明」はオプションが、後からこのユーザーがどのようなユーザーなのか分かるようにコメントを入れておきます。
  • 「パスワード認証」で、このユーザーがVPN接続する際に使用するパスワードを指定します。

設定が完了したら、OKをクリックし、設定を保存します。

これで、VPN接続される側の設定は完了です。

次に、VPN接続する側(オフィスのWindows のSoftEther)の設定を行います。

「仮想HUBの管理」をクリックします。

「カスケード接続の管理」をクリックします。

「新規作成」をクリックします。

関連する記事:

最近の記事:

カテゴリー
2022年 CCNP Enterprise Cisco コンピューター 技術一般 認定資格

Cisco 認定資格 CCNP の更新時期が迫ってきた

2022年6月15日更新


にほんブログ村

2019年7月に、資格期限が切れてしまった CCNP (R&S) を新たに取得しました。CCNP の資格期限は 3年。ということは 2022年7月が期限です。今年更新をしなければ、また一からやり直しになってしまいます。

ということで、あと 5ヶ月弱あるので、そろそろ更新準備を始めようと思いました。

2020年に CCNP の試験が改変され、新しい試験内容になっていることは知っていましたが、じゃあ、具体的に何を取得すれば更新できるのか?ひょっとして更新はできず、一から取得しかないのかすらわからず、気になりまとめてみました。

私が今回更新して取得したいのは、CCNP Enterprise です。

2022年6月15日追記です。

CCNP ENCORの試験に合格しました。これで晴れてCCNP Enterprise で更新です。

試験勉強で参考にしたもの

  1. Cisco Pressの本

本ページの下の方にもリンクを張ってますが、この本が一番です。英語でしか販売してませんが、一番詳しく書かれてます。

CCNP and CCIE Enterprise Core ENCOR 350-401 Official Cert Guide

2. CCNP Router & Switchingの時の参考書

L2/L3ネットワークの部分は、これを使うのが良いです。しっかりポイントはカバーできています。ただ、これで足りないのが、Wirelwss、マルチキャスト、LISP、SD-WAN、SD-LANなどです。ここは、Cisco Pressの本を読んで理解していく必要があります。

3. Udemy

Complete CCNP ENCOR (350-401) Master Class

英語なのですが、このコースでCCNP ENCORの範囲全体を説明してくれてます。これも役立ちました。

4. Ping-t

勉強した後の仕上げと自分の弱いところを見えるかするにはかなり良いツールです。ただし、ここに出ている問題はそのままは出題されません。なぜ、その答えが正しいのか、なぜそれ以外が間違いなのかをちゃんと説明できることが重要です。その上で、解説に書いてある内容までしっかり理解する必要があります。

5. Kindle の問題集

英語の問題集がKindleに出てます。ここからは、ほぼ同じと思える内容が数個出てました。ただし、この問題集の答えはかなり怪しいです。絶対に間違いないと自信があるものは良いですが、少しでも自信がないものに関しては、問題をインターネットに貼り付けて検索すると、いろんなサイトで説明が出ています。全て英語ですが、これはやっておいて損はないです。

CCNP 試験項目

新しい試験では、コア試験1科目が必須と、コンセントレーション試験6科目の中から1つ選択という形になってます。

必須試験推奨トレーニング
コア試験:
350-401 ENCORImplementing and Operating Cisco Enterprise Network Core Technologies (ENCOR)
コンセントレーション試験 (1つ選択):
300-410 ENARSIImplementing Cisco Enterprise Advanced Routing and Services (ENARSI)
300-415 ENSDWIImplementing Cisco SD-WAN Solutions (SDWAN300)
300-420 ENSLDDesigning Cisco Enterprise Networks (ENSLD)
300-425 ENWLSDDesigning Cisco Enterprise Wireless Networks (ENWLSD)
300-430 ENWLSIImplementing Cisco Enterprise Wireless Networks (ENWLSI)
300-435 ENAUTOImplementing Automation for Cisco Enterprise Solutions (ENAUI)

そしてこれが、今回私にとって一番重要な CCNP を更新するために必要な内容です。

プロフェッショナル – 3 年1. テクノロジーコア試験の 1つに合格
2. プロフェッショナル コンセントレーション試験の 2つに合格
3. CCIE ラボ試験の 1つに合格

結論

  1. コア試験 (ENCOR 350-401) に合格するか
  2. コンセントレーション試験 2つに合格するか
  3. CCIE ラボ試験の 1つに合格

のどれかとなります。選択肢は 1 か 2 が良さそうです。

そうなると、金額面が気になります。

  • コア試験:49,280 (税込)
  • コンセントレーション試験:36,960 (税込)

になりますので、コンセントレーション試験 2科目分の 73,920円を支払うよりも、コア試験を受験した方が 24,640円も受験料を削減できます。

この為、ENCOR の受験が一番良いということになります。

CCNP ENCORの合格点

825点が合格点のようです。

  • 受験料:49,280円 (税込)
  • 出題数:103問
  • 時間:120分 (チュートリアル除く)

CCNP ENCOR の試験範囲

見た感じ、かなり範囲が広いです。前回の CCNP 取得時には期限が切れていたので、CCNA から取得しなければならず、CCNA も勉強したのですが、その時を思い出します。「今の CCNAって、こんな幅広くいろんなことを勉強しないと受からないんだな」と思いました。

CCNP もそれと同じになってます。ですが上位資格の CCNP なので、当然もっと難しいことを質問してきます。

15% 1.0 Architecture

1.1 エンタープライズネットワークで使用されるさまざまな設計原則を説明する

  • 2ティア、3ティア、ファブリックキャパシティプランニングなどのエンタープライズネットワーク設計
  • 冗長性、FHRP、SSO などの高可用性技術

1.2 WLAN 展開の設計原則を分析する

  • ワイヤレス展開モデル(集中型、分散型、コントローラーレス、コントローラーベース、クラウド、リモートブランチ)
  • WLAN 設計のロケーションサービス

1.3 オンプレミスとクラウドインフラストラクチャの展開を区別する

1.4 Cisco SD-WAN ソリューションの動作原理を説明する

  • SD-WAN 制御およびデータプレーン要素
  • 従来の WAN および SD-WAN ソリューション

1.5 Cisco SD-Access ソリューションの動作原理を説明する

  • SD-Access コントロールおよびデータプレーン要素
  • SD-Access と相互運用する従来のキャンパス

1.6 有線およびワイヤレス QoS の概念の説明

  • QoS コンポーネント
  • QoS ポリシー

1.7 ハードウェアとソフトウェアの切り替えメカニズムの差別化

  • プロセス と CEF
  • MAC アドレステーブルと TCAM
  • FIB 対 RIB

10% 2.0 Virtualization

2.1 デバイス仮想化テクノロジーの説明

  • ハイパーバイザータイプ 1 および 2
  • 仮想マシン
  • 仮想スイッチング

2.2 データパス仮想化テクノロジーの設定と検証

  • VRF
  • GRE および IPsec トンネリング

2.3 ネットワーク仮想化の概念を説明する

  • LISP
  • VXLAN

30% 3.0 Infrastructure

3.1 レイヤー 2

  • 静的および動的 802.1q トランキングプロトコルのトラブルシューティング
  • 静的および動的 EtherChannel のトラブルシューティング
  • 共通のスパニングツリープロトコル(RSTP および MST)の構成と検証

3.2 レイヤー 3

  • EIGRP と OSPF のルーティングの概念を比較します(高度な距離ベクトル vs. リンク状態、負荷分散、パス選択、パス操作、メトリック)
  • 複数の通常を含む単純な OSPF 環境を設定および検証するエリア、要約、およびフィルタリング(隣接関係、ポイントツーポイント、およびブロードキャストネットワークタイプ、およびパッシブインターフェイス)
  • 直接接続されたネイバー間で eBGP を設定および検証する(ベストパス選択アルゴリズムと隣接関係)

3.3 ワイヤレス

  • RF 電力、RSSI、SNR、干渉ノイズ、帯域とチャネル、無線クライアントデバイス機能などのレイヤー 1 の概念を説明する
  • AP モードとアンテナタイプの説明
  • アクセスポイントの検出と参加プロセスの説明(検出アルゴリズム、WLC 選択プロセス)
  • レイヤー 2 およびレイヤー3ローミングの主な原則とユースケースを説明する
  • WLAN 設定とワイヤレスクライアント接続の問題のトラブルシューティング

3.4 IP サービス

  • ネットワークタイムプロトコル(NTP)の説明
  • NAT / PAT の設定と検証
  • HSRP や VRRP などのファーストホップ冗長プロトコルの構成
  • PIM や IGMP v2 / v3 などのマルチキャストプロトコルの説明

10% 4.0 Network Assurance

4.1 デバッグ、条件付きデバッグ、トレースルート、ping、SNMP、syslog などのツールを使用してネットワークの問題を診断する

4.2 リモートロギング用の syslog を使用したデバイス監視の設定と検証

4.3 NetFlow および Flexible NetFlow の設定と検証

4.4 SPAN / RSPAN / ERSPAN の設定と検証

4.5 IPSLA の設定と検証

4.6 ネットワーク構成、監視、および管理を適用するためのCisco DNA Center ワークフローの説明

4.7 NETCONF および RESTCONF の設定と検証

20% 5.0 Security

5.1 デバイスのアクセス制御の構成と検証

  • 回線とパスワード保護
  • AAA を使用した認証と承認

5.2 インフラストラクチャセキュリティ機能の構成と検証

  • ACL
  • CoPP

5.3 REST API セキュリティの説明

5.4 ワイヤレスセキュリティ機能の構成と検証

  • EAP
  • WebAuth
  • PSK

5.5 ネットワークセキュリティ設計のコンポーネントの説明

  • 脅威防御
  • エンドポイントセキュリティ
  • 次世代ファイアウォール
  • TrustSec、MACsec
  • 802.1X、MAB、および WebAuth によるネットワークアクセス制御

15% 6.0 Automation

6.1 基本的な Python コンポーネントとスクリプトの解釈

6.2 有効な JSON エンコードファイルの作成

6.3 YANG のようなデータモデリング言語の高レベルの原則と利点を説明する

6.4 Cisco DNA Center および vManage の API の説明

6.5 Cisco DNA Center と RESTCONF を使用して、ペイロードで REST API 応答コードと結果を解釈する

6.6 EEM アプレットを構築して、構成、トラブルシューティング、またはデータ収集を自動化する

6.7 Chef、Puppet、Ansible、SaltStack などのエージェントとエージェントレスオーケストレーションツールの比較

個人的には、Cisco SD-WAN、Netconf、Flexible Netflow、EEM あたりが特に興味がありますので、これを機会にしっかり勉強したいと思います。

CCNP ENCOR 勉強のための参考書

もう、試験が変更になって 2年になるというのに、日本語の参考書がないみたいです。いろいろ探しているのですが、見つかりません。

調べてみると、これが一番良いみたいです。英語版です。

Kindle 版を購入すると 3千円くらい安いので、私はそちらにしようと思います。

CCNP and CCIE Enterprise Core ENCOR 350-401 Official Cert Guide

CCNP and CCIE Enterprise Core ENCOR 350-401 Official Cert Guide 

本書は Enterprise の ENCOR の参考書となっています。ENCOR はコア試験であり必ず全員が受験することになるため、まずはこちらで学習するのが良いです。

公式が出版している参考書のため内容が濃く、これ 1冊で試験対策ができるでしょう。ENCOR の試験範囲であるデュアルスタックアーキテクチャ、仮想化、インフラストラクチャなどを全般的に学べます。

posted with カエレバ

Ping-t で本番対策

参考書を読んで知識を付けたら、次は腕試しです。これには Ping-t が良いです。前回の CCNP R&W 試験取得の際のテスト前腕試しに使いました。

Ping-t はオンラインで CCNP などの IT資格の勉強ができるサイトです。数多くの問題が掲載されいる上に解説も丁寧であるため、参考書と併せて利用したいサイトです。

おもしろかったら、フォローしてください!

関連する記事

最近の記事:

カテゴリー
2022年 CCNP Enterprise Cisco VPN コマンド コンピューター トラブルシューティング ルーティング 技術一般 認定資格

Cisco ルーターで VPN (2) サイト間 GRE over IPSec VPN 接続


にほんブログ村

前回は、サイト間 IPSec 接続を試しました。

今度は、IPSec トンネルの中に GRE トンネルを通し、インターネット越しにダイナミックルーティングプロトコルのやり取りができるようにしてみたいと思います。

いわゆる GRE over IPSec というやつです。

今回は、両側のルーターで OSPF を動かし、お互いの LAN 側の経路情報をインターネット越しに交換させます。

最終系は、こんなイメージです。

GRE の設定

GRE over IPSec と聞くと、何だか難しく聞こえますが、結局やっていることは、GRE トンネルの設定と IPSec トンネルの設定です。これらを同時に使っているだけです。

まずは、GRE トンネルの設定から見てみます。

2台のルーター間で GRE トンネルを確立させるためには、Tunnel インターフェスが必要となります。

この Tunnel インターフェースで設定した IPアドレスを使って、通信をカプセリングします。カプセリングをすることにより、ダイナミックルーティングの情報がインターネット越しにできる(GRE トンネルの中を通過する)ようになります。

interface Loopback1
 ip address 111.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.1 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1 <<< 1
 tunnel destination 222.1.1.1 <<< 2

Tunnel インターフェースでは、IPアドレス以外にも設定すべき項目が 2つあります。この2つの設定も行わないと、インターフェースは Up/Up にはなりません。

  1. Tunnel Source
  2. Tunnel Destination

1 の Tunnel Source ですが、物理インターフェースであっても、Loopback インターフェースであってもどちらでも良いです。

Loopback インターフェースはダウンすることがないですので、こちらを使った方が良いでしょう。特にインターネットルーターで、DHCP でアドレスをもらっている場合、IPアドレスが変わってしまいます。変更の度に Tunnel Source/Destinatio の設定も変えないといけなくなるので、それを避けるためにもLoopback インターフェースが良いです。

Tunnel インターフェースには、他にも色々と設定項目はありますが、上記2つが最低限必要となる設定です。

MTU は 1372 に変更しておきます。

今回の設定では、R1 の Loopback 1 インターフェースのIPアドレスを使用してます。

次に2の Tunnel Destination です。

今回は、対向側になる R2 の Loopback インターフェースの IPアドレスを指定します。

最後に、Network コマンドを使って、Tunnel インターフェースでも OSPF を有効にします。

これにより、Tunnel インターフェースが OSPF の広報をするタイミング GRE トンネルが作成され、OSPF の広報情報が GRE でカプセリングされ、OSPF のネイバーが張れます。

router ospf 1
 log-adjacency-changes
 network 172.16.16.0 0.0.7.255 area 0 <<< LAN segment
 network 192.168.1.1 0.0.0.0 area 0 <<< Tunnel 1

対向側になる R2 の設定は、こんな感じです(GRE の設定に関連する部分のみを抜粋しています)。

interface Loopback1
 ip address 222.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.2 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1
 tunnel destination 111.1.1.1
 !
router ospf 1
 log-adjacency-changes
 network 172.16.24.0 0.0.0.127 area 0 <<< LAN segment
 network 192.168.1.2 0.0.0.0 area 0 <<< Tunnel 1

これで、GRE トンネル経由で、2つのルーター間の OSPF ネイバーが張れます。

R1#sh ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.1.254     0   FULL/  -        00:00:36    192.168.2.254     Tunnel1

GRE over IPSec の設定

さて、いよいよ本題の GRE over IPSec の設定に入ります。

以下では、暗号化マップを使った IPSec の設定を行います。

と言っても、基本的には先ほどの GRE トンネルの設定と IPSec トンネルの設定を組み合わせるだけです。

組み合わせた時の設定のポイントですが、Crypto マップのポリシーで指定している「IPSec の対象とするアドレス」です。

crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.253
 set transform-set IPSEC 
 match address A-ipsec <<< IPSec 対象アドレス

今回、A-ipsec という ACL を指定していますが、その中が以下のものです。

ip access-list extended A-ipsec
 permit gre host 111.1.1.1 host 222.1.1.1

111.1.1.1222.1.1.1 を指定していますね。つまり、Tunnel インターフェースの IPアドレスです。つまり、これらのIPアドレスは、GRE トンネルの Source と Destination で指定ている IPアドレスです。

ということは、動作としては、

  1. OSPF のネイバーを張ろうとすると、
  2. GRE トンネルを張ろうとし、
  3. IPSec トンネルが形成される
  4. それからGRE トンネルが形成され、
  5. OSPF のネイバーが張れる

という流れになります。

同じ考え方で R2 も設定します。

crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.254
 set transform-set IPSEC 
 match address A-ipsec
!
ip access-list extended A-ipsec
 permit gre host 222.1.1.1 host 111.1.1.1

これで GRE over IPSec の設定が完了です。R2 のルーティングテーブルを見てみましょう。

R2#sh ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S*    0.0.0.0/0 is directly connected, FastEthernet0
      10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O E2     10.0.1.135/32 [110/20] via 192.168.1.1, 00:14:09, Tunnel1
O IA     10.74.6.0/24 [110/1002] via 192.168.1.1, 00:14:09, Tunnel1
O IA     10.200.1.0/24 [110/1002] via 192.168.1.1, 00:14:09, Tunnel1
      172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
O E2     172.16.0.0/27 [110/20] via 192.168.1.1, 00:14:09, Tunnel1
O E2     172.16.0.32/27 [110/20] via 192.168.1.1, 00:14:09, Tunnel1
O        172.16.16.0/21 [110/1001] via 192.168.1.1, 00:14:09, Tunnel1
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, Tunnel1
L        192.168.1.2/32 is directly connected, Tunnel1
      222.1.1.0/32 is subnetted, 1 subnets
C        222.1.1.1 is directly connected, Loopback1

R1 の LAN 側になるセグメント情報(172.16.16.0 /21)が R2 のルーティングテーブル上で見えますね。これで GRE over IPSec の設定は完了です。

ですがここで一つ疑問が湧いてきました。

Loopback インターフェースで指定している IPアドレスって、到達不能のものであるはずなのに、GRE トンネルってどうやって張れるのだろう?

不思議だったので調べてみたら、Cisco の GRE の説明のページに記載がありました。

有効なトンネル送信元は、それ自体がアップ/アップ状態で、IPアドレスが設定されているインターフェースで構成されます。

有効なトンネル宛先は、ルーティング可能な宛先です。ただし、到達可能である必要はありません。

Tunnel Destination の IPアドレスは、到達可能でなくても良いのです。なるほどです。

設定内容

R1

R1#sh run 
Building configuration...

Current configuration : 2235 bytes
!
! Last configuration change at 01:30:10 UTC Wed Feb 14 2022
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 cisco
enable password cisco-ena
!
no aaa new-model
!
!
!
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn xxxxxxx
!
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.253
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac 
 mode transport
!
crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.253
 set transform-set IPSEC 
 match address A-ipsec
!
!
!
!
!
interface Loopback1
 ip address 111.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.1 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1
 tunnel destination 222.1.1.1
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.254 255.255.255.0
 duplex auto
 speed auto
 crypto map M-ipsec
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet2
 switchport access vlan 100
 !
!
interface FastEthernet3
 switchport access vlan 100
 !
!
interface FastEthernet4
 switchport access vlan 100
 !
!
interface FastEthernet5
 switchport access vlan 100
 !
!
interface FastEthernet6
 switchport access vlan 100
 !
!
interface FastEthernet7
 switchport access vlan 100
 !
!
interface FastEthernet8
 switchport access vlan 100
 !
!
interface FastEthernet9
 switchport access vlan 100
 !
!
interface Vlan1
 no ip address
 !
!
interface Vlan100
 ip address 172.16.23.254 255.255.248.0
 !
!
router ospf 1
 log-adjacency-changes
 network 172.16.16.0 0.0.7.255 area 0
 network 192.168.1.1 0.0.0.0 area 0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
ip access-list extended A-ipsec
 permit gre host 111.1.1.1 host 222.1.1.1
!
!
!
!
!
!
!
control-plane
 !
!
!
line con 0
 password cisco-con
 login
line aux 0
line vty 0 4
 password cisco-vty
 login
!
end

R2

R2#sh run 
Building configuration...

Current configuration : 2393 bytes
!
! Last configuration change at 01:19:06 UTC Wed Feb 14 2022
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
enable secret 5 cisco
enable password cisco-ena
!
no aaa new-model
!
!
!
memory-size iomem 25
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn xxxxxx
!
!
vlan 100
 name home-data
!
vlan 111
 name MGMT
!
vlan 200
 name PBR-test
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.254
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac 
 mode transport
!
crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.254
 set transform-set IPSEC 
 match address A-ipsec
!
!
!
!
!
interface Loopback1
 ip address 222.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.2 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1
 tunnel destination 111.1.1.1
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.253 255.255.255.0
 duplex auto
 speed auto
 crypto map M-ipsec
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet2
 switchport access vlan 100
 !
!
interface FastEthernet3
 switchport access vlan 100
 !
!
interface FastEthernet4
 switchport access vlan 100
 !
!
interface FastEthernet5
 switchport access vlan 100
 !
!
interface FastEthernet6
 switchport access vlan 100
 !
!
interface FastEthernet7
 switchport access vlan 100
 !
!
interface FastEthernet8
 switchport access vlan 100
 !
!
interface FastEthernet9
 switchport access vlan 100
 !
!
interface Vlan1
 no ip address
 !
!
interface Vlan100
 ip address 172.16.24.126 255.255.255.128
 !
!
router ospf 1
 log-adjacency-changes
 network 172.16.24.0 0.0.0.127 area 0
 network 192.168.1.2 0.0.0.0 area 0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
ip access-list extended A-ipsec
 permit gre host 222.1.1.1 host 111.1.1.1
!
!
!
!
!
!
!
control-plane
 !
!
!
line con 0
 password cisco-con
 login
line aux 0
line vty 0 4
 password cisco-vty
 login
!
end

おもしろかったら、フォローしてください!

関連する記事

最近の記事: