カテゴリー: 認定資格

FHRP を学ぶ (0) FHRP の種類

投稿者作成者: K&K International :)
投稿日 4月 2, 2022

にほんブログ村

FHRP: First Hop Redundancy Protocol

複数のゲートウェイルータを1つのグループに構成し、ゲートウェイルータの高速フェイルオーバを実現させます。簡単に言えば、デフォルトゲートウェイの冗長化です。

通常、PC には1つのデフォルトゲートウェイを設定します。

ゲートウェイが2つ存在したとしても、障害などでデフォルトゲートウェイに指定したルーターにたどり着けなければ、別のセグメントとは通信ができません。

FHRP の仕組みの基本的なコンセプトは、PC やサーバにとって複数のルータを、仮想的に1つであるかのように見せることにあります。

FHRP の種類

HSRP: Hot Standby Routing Protocol

規格	シスコ独自
ルーターの呼び方	アクティブルーター、スダンバイルーター

優先度の高いルーターがアクティブとなり通信を処理する。優先度のデフォルト値は 100

VRRP: Virtual Router Redundancy Protocol

規格	RFC 3768 で標準化
ルーターの呼び方	マスタールーター、バックアップルーター

優先度の高いルーターがアクティブとなり通信を処理する。優先度のデフォルト値は 100

GLBP: Gateway Load Balancing Protocol

規格	シスコ独自
ルーターの呼び方	AVG (Active Virtual Gateway) AVF (Active Virtual Forwarder)

ロードバランス方式でパケットを転送

FHRP の動作

複数のルーターやスィッチをグループ化し、デフォルトゲートウェイとなるルーターの高速なフェールオーバーを実現させるプロトコルです。

複数のルーターをグループ化して仮想ルーターを構成し、その仮想ルーターに仮想 IPアドレスを割り当て、それをクライアント PC でデフォルトゲートウェイととして使用します。

仮想ルーターには、仮想 MAC アドレスも割り当てられます。

パケットを転送しているルーターで障害が起こった場合、グループ内の他のルーターが代理で動き出します。仮想 IPアドレスと仮想 MACアドレスはグループ内で維持されるので、クライアントPCのデフォルトゲートウェイは変わらないという仕組みとなります。

次回から、FHRP の1つである HSRP (Hot Standby Routing Protocol) についてまとめていきたいと思います。

この参考書を使って勉強してます。

posted with カエレバ

Cisco ルーターでリモートアクセス VPN の設定6月 15, 2022
FHRP を学ぶ (0) FHRP の種類4月 2, 2022
Cisco EEMを用いた自動化: イベント管理をマスターする3月 6, 2022
Cisco 認定資格 CCNP の更新時期が迫ってきた2月 16, 2022
ダイナミックルーティングのためのGREトンネル2月 15, 2022
CiscoルーターでのIPSec VPN設定ガイド2月 14, 2022
Cisco ルーターでダイナミック DNS を使う1月 20, 2022

おもしろかったら、フォローしてください！

Cisco EEMを用いた自動化: イベント管理をマスターする

投稿者作成者: K&K International :)
投稿日 3月 6, 2022

にほんブログ村

EEM とは

EEM (Embedded Event Manager) を使うことで、何らかのイベント発生時をトリガーとして、指定したアクションを実行することが可能となります。

IOS、IOS XR、IOS XE、NX-OS で利用ができ、EEM は IPBASE から利用できるので、安価なモデルでも使用可能となります。

利用シーンとして例えば、以下のようなケースがあります。

特定のインターフェースを監視し、そのインターフェースがっダウンとなったら、管理者へメールを送信
CPU 使用率を監視し、事前に決めた閾値を超えたら、CPU 使用率の情報を取得してシスログで送信
インターフェースのエラー率を監視し、事前に決めたエラー率を超えた場合、該当インターフェースをシャットダウンさせSNMP トラップを送信

私のケースでは、IOS version 15.9 を使用して確認してます。

EEM の構成要素

以下の3つから構成されます。

Event Director
Policy
EEMサーバ

事前に定義した Event と Action を Policy と呼びます。

Event Director が Policy に従ってイベントを監視し、

アクションを実行させる場合に、EEM サーバーに通知をします。

具体的には、Event Manager の中で、以下の項目を指定できます。

C892-02(config)#event manager ?
  applet       Register an Event Manager applet
  detector     Set Embedded Event Manager detector information
  directory    Set Embedded Event Manager directory information
  environment  Set an Embedded Event Manager global environment variable
  history      Set Embedded Event Manager history information
  policy       Register an Embedded Event Manager policy
  scheduler    Set Event Manager scheduler options
  session      Set Embedded Event Manager session attributes

Event Director で監視可能な対象（よく使うだろうもの）は、以下の通りとなります。

SNMP
SNMP MIBオブジェクトを監視し、オブジェクトの値が任意の値とマッチするか、任意の閾値を越えた場合にイベント通知
Syslog
事前に定義した文字列をトリガーにイベント通知
Timer
absolute-time-of-day、countdown、watchdog、CRON の 4 タイプのタイマーをサポートし、それぞれイベントを通知
Interface Counter
インタフェースカウンタが閾値を超えた際にイベントを通知
CLI
CLIを正規表現で検査し、マッチした場合にイベントを通知
OIR
モジュール等のOIRを検知した場合にイベント通知（Online Insertion and Removal：活性挿抜（いわゆるホットスワップ））
SNMP Proxy
外部からのSNMPトラップを受けてイベントを通知
Routing
ルーティングテーブルの変化を検知した際にイベントを通知
NetFlow
NetFlow情報監視し、オブジェクトの値が任意の値とマッチ、あるいは任意の閾値を越えた場合にイベント通知
Neighbor Discovery
CDPまたはLLDPによる情報を受けてイベントを通知
Mac Address Table
MACアドレステーブルの変化を検知した際にイベントを通知

Event Director の監視対象イベントとして設定できる項目全ては、以下の通りです。

C892-02(config-applet)#event ?
  application         Application specific event
  cli                 CLI event
  config              Configuration policy event
  counter             Counter event
  env                 Environmental event
  identity            Identity event
  interface           Interface event
  ioswdsysmon         IOS WDSysMon event
  ipsla               IPSLA Event
  neighbor-discovery  Neighbor Discovery event
  nf                  NF Event
  none                Manually run policy event
  oir                 OIR event
  resource            Resource event
  rf                  Redundancy Facility event
  routing             Routing event
  rpc                 Remote Procedure Call event
  snmp                SNMP event
  snmp-notification   SNMP Notification Event
  snmp-object         SNMP object event
  syslog              Syslog event
  tag                 event tag identifier
  timer               Timer event
  track               Tracking object event

イベントを受けた後に実行出来る主なアクションは、以下の通りです（よく使われるもの）。

コマンドの実行や結果の取得
SNMPへのアクセス
再起動
EEM Policyの呼び出し
スイッチオーバー
Eメール送信
SNMP Trap送信
Syslog送信

アクションとして設定できる項目全ては、以下の通りです。

C892-02(config-applet)#action 1.0 ?
  add                Add
  append             Append to a variable
  break              Break out of a conditional loop
  cli                Execute a CLI command
  cns-event          Send a CNS event
  comment            add comment
  context            Save or retrieve context information
  continue           Continue to next loop iteration
  counter            Modify a counter value
  decrement          Decrement a variable
  divide             Divide
  else               else conditional
  elseif             elseif conditional
  end                end conditional block
  exit               Exit from applet run
  file               file operations
  force-switchover   Force a software switchover
  foreach            foreach loop
  gets               get line of input from active tty
  handle-error       On error action
  help               Read/Set parser help buffer
  if                 if conditional
  increment          Increment a variable
  info               Obtain system specific information
  mail               Send an e-mail
  multiply           Multiply
  policy             Run a pre-registered policy
  publish-event      Publish an application specific event
  puts               print data to active tty
  regexp             regular expression match
  reload             Reload system
  set                Set a variable
  snmp-object-value  Specify value for the SNMP get request
  snmp-trap          Send an SNMP trap
  string             string commands
  subtract           Subtract
  syslog             Log a syslog message
  track              Read/Set a tracking object
  wait               Wait for a specified amount of time
  while              while loop

EEM の設定例

1. インターフェースが “Administratively down” されたら、”no shutdown” コマンドを発行

インタフェースがシャットダウンされると「Interface , changed state to administratively down」というログが出力されます。このシステムログのメッセージをイベントとして検出してそれをトリガーとして、CLI コマンドで “no shutdown” を発行するアクションを定義します。

まず、VLAN113をシャットダウンした時のシスログメッセージを確認します。

C892-02(config)#int vlan 113
C892-02(config-if)#shutdown
C892-02(config-if)#
017611: Mar  3 18:51:50.925: %LINK-5-CHANGED: Interface Vlan113, changed state to administratively down

上記のメッセージが出力されるのが分かります。

event manager applet No_Shutdown_VLAN113
 description "issue no shut"
 event syslog pattern "Interface Vlan113, changed state to administratively down"
 action 1.0 cli command "enable"
 action 2.0 cli command "config t"
 action 3.0 cli command "interface vlan113"
 action 4.0 cli command "no shutdown"

アクションを定義する時のポイントは、 “enable” や “config t”, “interface xxx” など、対象となるコマンドが発行できるモードまで進むコマンドも併せて定義するところです。

実行されたEEM のログを見たい場合、デバッグコマンドを実行しておきます。

debug event manager action cli

デバッグコマンド投入後、1の例の EEM を実行すると、以下のようなログが出力されます。VLAN113 がシャットされたことを検知して、”no shut” コマンドが発行されて、再び VLAN113 が Up になってますね。

C892-02(config)#int vlan 113
C892-02(config-if)#shut
C892-02(config-if)#
017631: Mar  3 18:58:36.864: %FW-6-DROP_PKT: Dropping tcp session 116.223.132.218:443 172.16.23.4:49699  due to  RST inside current window with ip ident 64807 tcpflags 0x8014 seq.no 3652153217 ack 1529682709
017632: Mar  3 18:58:38.468: %LINK-5-CHANGED: Interface Vlan113, changed state to administratively down
017633: Mar  3 18:58:38.472: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : CTL : cli_open called.
017634: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : CCC
017635: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : Cisco 982 (Serial Number: FGL151727WV)
017636: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : This is Cisco 982-02 @ Living room for Internet settings.
017637: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : No one is allowed to login to this system except Kanta Nakashima.
017638: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT :
017639: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02>
017640: Mar  3 18:58:38.480: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02>enable
017641: Mar  3 18:58:38.492: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02#
017642: Mar  3 18:58:38.492: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02#config t
017643: Mar  3 18:58:38.508: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : Enter configuration commands, one per line.  End with CNTL/Z.
017644: Mar  3 18:58:38.508: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02(config)#
017645: Mar  3 18:58:38.508: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02(config)#interface vlan113
017646: Mar  3 18:58:38.520: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02(config-if)#
017647: Mar  3 18:58:38.520: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : IN  : C892-02(config-if)#no shutdown
017648: Mar  3 18:58:38.532: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : OUT : C892-02(config-if)#
017649: Mar  3 18:58:38.532: %HA_EM-6-LOG: No_Shutdown_VLAN113 : DEBUG(cli_lib) : : CTL : cli_close called.
017650: Mar  3 18:58:38.536:
017651: Mar  3 18:58:38.536: tty is now going through its death sequence
017652: Mar  3 18:58:40.524: %LINK-3-UPDOWN: Interface Vlan113, changed state to up
C892-02(config-if)#

2. 定期的にコマンドを実行し、その結果を NVRAM に書き込む

例えば、毎日午前 7時に “show ip route” コマンドを実行し、その内容を NVRAM に書き込んでいきます。

event manager applet Router-02
event timer cron name _EEMinternalname0 cron-entry "0 7 * * *"
action 1.0 cli command "enable"
action 2.0 cli command "show ip route | append nvram:Router-02"

まず、毎日午前7時という cron タイマをイベントとして登録します。「毎日午前7時」なので、cron-entry のあとに ”0 7 * * *” を指定します。

ちなみに、”0 18 * * *” だと「午後の6時」になります。

そして、アクションとして ”show ip route | append nvram:Router-02” の CLI コマンドを実行します。

“show ip route” の出力先として NVRAM 上の Router-02 ファイルを追記で指定しています。

NVRAM 上のファイルを表示する場合は、 more コマンドを使って、ファイルなを指定します。

more nvram:Router-02 <<< ファイル名を指定

EEM は CLI を使った設定と、Tcl スクリプトを使ってプログラミングする方法の 2種類があります。

CLI ベースは設定が簡単である反面、細かい制御をすることは出来ません。

逆に Tcl ベースだと、細かい制御をすることが出来ますが、Tcl スクリプトを扱えないといけませんので、若干敷居が高いかもしれません。ちょっとしたことをやりたいだけなら、CLI での設定でも十分でしょう。

この EEM はちょっといろいろ使えそうです。自宅の実環境で使ってみて、具体例をまた紹介したいと思います。

posted with カエレバ

おもしろかったら、フォローしてください！

Cisco 認定資格 CCNP の更新時期が迫ってきた

投稿者作成者: K&K International :)
投稿日 2月 16, 2022

2022年6月15日更新

にほんブログ村

2019年7月に、資格期限が切れてしまった CCNP (R&S) を新たに取得しました。CCNP の資格期限は 3年。ということは 2022年7月が期限です。今年更新をしなければ、また一からやり直しになってしまいます。

ということで、あと 5ヶ月弱あるので、そろそろ更新準備を始めようと思いました。

2020年に CCNP の試験が改変され、新しい試験内容になっていることは知っていましたが、じゃあ、具体的に何を取得すれば更新できるのか？ひょっとして更新はできず、一から取得しかないのかすらわからず、気になりまとめてみました。

私が今回更新して取得したいのは、CCNP Enterprise です。

2022年6月15日追記です。

CCNP ENCORの試験に合格しました。これで晴れてCCNP Enterprise で更新です。

試験勉強で参考にしたもの

Cisco Pressの本

本ページの下の方にもリンクを張ってますが、この本が一番です。英語でしか販売してませんが、一番詳しく書かれてます。

CCNP and CCIE Enterprise Core ENCOR 350-401 Official Cert Guide

2. CCNP Router & Switchingの時の参考書

L2/L3ネットワークの部分は、これを使うのが良いです。しっかりポイントはカバーできています。ただ、これで足りないのが、Wirelwss、マルチキャスト、LISP、SD-WAN、SD-LANなどです。ここは、Cisco Pressの本を読んで理解していく必要があります。

3. Udemy

Complete CCNP ENCOR (350-401) Master Class

英語なのですが、このコースでCCNP ENCORの範囲全体を説明してくれてます。これも役立ちました。

4. Ping-t

勉強した後の仕上げと自分の弱いところを見えるかするにはかなり良いツールです。ただし、ここに出ている問題はそのままは出題されません。なぜ、その答えが正しいのか、なぜそれ以外が間違いなのかをちゃんと説明できることが重要です。その上で、解説に書いてある内容までしっかり理解する必要があります。

5. Kindle の問題集

英語の問題集がKindleに出てます。ここからは、ほぼ同じと思える内容が数個出てました。ただし、この問題集の答えはかなり怪しいです。絶対に間違いないと自信があるものは良いですが、少しでも自信がないものに関しては、問題をインターネットに貼り付けて検索すると、いろんなサイトで説明が出ています。全て英語ですが、これはやっておいて損はないです。

CCNP 試験項目

新しい試験では、コア試験1科目が必須と、コンセントレーション試験6科目の中から1つ選択という形になってます。

必須試験	推奨トレーニング
コア試験:
350-401 ENCOR	Implementing and Operating Cisco Enterprise Network Core Technologies (ENCOR)
コンセントレーション試験 (1つ選択):
300-410 ENARSI	Implementing Cisco Enterprise Advanced Routing and Services (ENARSI)
300-415 ENSDWI	Implementing Cisco SD-WAN Solutions (SDWAN300)
300-420 ENSLD	Designing Cisco Enterprise Networks (ENSLD)
300-425 ENWLSD	Designing Cisco Enterprise Wireless Networks (ENWLSD)
300-430 ENWLSI	Implementing Cisco Enterprise Wireless Networks (ENWLSI)
300-435 ENAUTO	Implementing Automation for Cisco Enterprise Solutions (ENAUI)

そしてこれが、今回私にとって一番重要な CCNP を更新するために必要な内容です。

プロフェッショナル – 3 年

1. テクノロジーコア試験の 1つに合格
2. プロフェッショナルコンセントレーション試験の 2つに合格
3. CCIE ラボ試験の 1つに合格

結論

コア試験 (ENCOR 350-401) に合格するか
コンセントレーション試験 2つに合格するか
CCIE ラボ試験の 1つに合格

のどれかとなります。選択肢は 1 か 2 が良さそうです。

そうなると、金額面が気になります。

コア試験：49,280 (税込)
コンセントレーション試験：36,960 (税込)

になりますので、コンセントレーション試験 2科目分の 73,920円を支払うよりも、コア試験を受験した方が 24,640円も受験料を削減できます。

この為、ENCOR の受験が一番良いということになります。

CCNP ENCORの合格点

825点が合格点のようです。

受験料：49,280円 (税込)
出題数：103問
時間：120分 (チュートリアル除く)

CCNP ENCOR の試験範囲

見た感じ、かなり範囲が広いです。前回の CCNP 取得時には期限が切れていたので、CCNA から取得しなければならず、CCNA も勉強したのですが、その時を思い出します。「今の CCNAって、こんな幅広くいろんなことを勉強しないと受からないんだな」と思いました。

CCNP もそれと同じになってます。ですが上位資格の CCNP なので、当然もっと難しいことを質問してきます。

15% 1.0 Architecture

1.1 エンタープライズネットワークで使用されるさまざまな設計原則を説明する

2ティア、3ティア、ファブリックキャパシティプランニングなどのエンタープライズネットワーク設計
冗長性、FHRP、SSO などの高可用性技術

1.2 WLAN 展開の設計原則を分析する

ワイヤレス展開モデル（集中型、分散型、コントローラーレス、コントローラーベース、クラウド、リモートブランチ）
WLAN 設計のロケーションサービス

1.3 オンプレミスとクラウドインフラストラクチャの展開を区別する

1.4 Cisco SD-WAN ソリューションの動作原理を説明する

SD-WAN 制御およびデータプレーン要素
従来の WAN および SD-WAN ソリューション

1.5 Cisco SD-Access ソリューションの動作原理を説明する

SD-Access コントロールおよびデータプレーン要素
SD-Access と相互運用する従来のキャンパス

1.6 有線およびワイヤレス QoS の概念の説明

QoS コンポーネント
QoS ポリシー

1.7 ハードウェアとソフトウェアの切り替えメカニズムの差別化

プロセスと CEF
MAC アドレステーブルと TCAM
FIB 対 RIB

10% 2.0 Virtualization

2.1 デバイス仮想化テクノロジーの説明

ハイパーバイザータイプ 1 および 2
仮想マシン
仮想スイッチング

2.2 データパス仮想化テクノロジーの設定と検証

VRF
GRE および IPsec トンネリング

2.3 ネットワーク仮想化の概念を説明する

LISP
VXLAN

30% 3.0 Infrastructure

3.1 レイヤー 2

静的および動的 802.1q トランキングプロトコルのトラブルシューティング
静的および動的 EtherChannel のトラブルシューティング
共通のスパニングツリープロトコル（RSTP および MST）の構成と検証

3.2 レイヤー 3

EIGRP と OSPF のルーティングの概念を比較します（高度な距離ベクトル vs. リンク状態、負荷分散、パス選択、パス操作、メトリック）
複数の通常を含む単純な OSPF 環境を設定および検証するエリア、要約、およびフィルタリング（隣接関係、ポイントツーポイント、およびブロードキャストネットワークタイプ、およびパッシブインターフェイス）
直接接続されたネイバー間で eBGP を設定および検証する（ベストパス選択アルゴリズムと隣接関係）

3.3 ワイヤレス

RF 電力、RSSI、SNR、干渉ノイズ、帯域とチャネル、無線クライアントデバイス機能などのレイヤー 1 の概念を説明する
AP モードとアンテナタイプの説明
アクセスポイントの検出と参加プロセスの説明（検出アルゴリズム、WLC 選択プロセス）
レイヤー 2 およびレイヤー3ローミングの主な原則とユースケースを説明する
WLAN 設定とワイヤレスクライアント接続の問題のトラブルシューティング

3.4 IP サービス

ネットワークタイムプロトコル（NTP）の説明
NAT / PAT の設定と検証
HSRP や VRRP などのファーストホップ冗長プロトコルの構成
PIM や IGMP v2 / v3 などのマルチキャストプロトコルの説明

10% 4.0 Network Assurance

4.1 デバッグ、条件付きデバッグ、トレースルート、ping、SNMP、syslog などのツールを使用してネットワークの問題を診断する

4.2 リモートロギング用の syslog を使用したデバイス監視の設定と検証

4.3 NetFlow および Flexible NetFlow の設定と検証

4.4 SPAN / RSPAN / ERSPAN の設定と検証

4.5 IPSLA の設定と検証

4.6 ネットワーク構成、監視、および管理を適用するためのCisco DNA Center ワークフローの説明

4.7 NETCONF および RESTCONF の設定と検証

20% 5.0 Security

5.1 デバイスのアクセス制御の構成と検証

回線とパスワード保護
AAA を使用した認証と承認

5.2 インフラストラクチャセキュリティ機能の構成と検証

ACL
CoPP

5.3 REST API セキュリティの説明

5.4 ワイヤレスセキュリティ機能の構成と検証

EAP
WebAuth
PSK

5.5 ネットワークセキュリティ設計のコンポーネントの説明

脅威防御
エンドポイントセキュリティ
次世代ファイアウォール
TrustSec、MACsec
802.1X、MAB、および WebAuth によるネットワークアクセス制御

15% 6.0 Automation

6.1 基本的な Python コンポーネントとスクリプトの解釈

6.2 有効な JSON エンコードファイルの作成

6.3 YANG のようなデータモデリング言語の高レベルの原則と利点を説明する

6.4 Cisco DNA Center および vManage の API の説明

6.5 Cisco DNA Center と RESTCONF を使用して、ペイロードで REST API 応答コードと結果を解釈する

6.6 EEM アプレットを構築して、構成、トラブルシューティング、またはデータ収集を自動化する

6.7 Chef、Puppet、Ansible、SaltStack などのエージェントとエージェントレスオーケストレーションツールの比較

個人的には、Cisco SD-WAN、Netconf、Flexible Netflow、EEM あたりが特に興味がありますので、これを機会にしっかり勉強したいと思います。

CCNP ENCOR 勉強のための参考書

もう、試験が変更になって 2年になるというのに、日本語の参考書がないみたいです。いろいろ探しているのですが、見つかりません。

調べてみると、これが一番良いみたいです。英語版です。

Kindle 版を購入すると 3千円くらい安いので、私はそちらにしようと思います。

CCNP and CCIE Enterprise Core ENCOR 350-401 Official Cert Guide

CCNP and CCIE Enterprise Core ENCOR 350-401 Official Cert Guide

本書は Enterprise の ENCOR の参考書となっています。ENCOR はコア試験であり必ず全員が受験することになるため、まずはこちらで学習するのが良いです。

公式が出版している参考書のため内容が濃く、これ 1冊で試験対策ができるでしょう。ENCOR の試験範囲であるデュアルスタックアーキテクチャ、仮想化、インフラストラクチャなどを全般的に学べます。

posted with カエレバ

Ping-t で本番対策

参考書を読んで知識を付けたら、次は腕試しです。これには Ping-t が良いです。前回の CCNP R&W 試験取得の際のテスト前腕試しに使いました。

Ping-t はオンラインで CCNP などの IT資格の勉強ができるサイトです。数多くの問題が掲載されいる上に解説も丁寧であるため、参考書と併せて利用したいサイトです。

おもしろかったら、フォローしてください！

ダイナミックルーティングのためのGREトンネル

投稿者作成者: K&K International :)
投稿日 2月 15, 2022

にほんブログ村

前回は、サイト間 IPSec 接続を試しました。

CiscoルーターでのIPSec VPN設定ガイド2月 14, 2022

今度は、IPSec トンネルの中に GRE トンネルを通し、インターネット越しにダイナミックルーティングプロトコルのやり取りができるようにしてみたいと思います。

いわゆる GRE over IPSec というやつです。

今回は、両側のルーターで OSPF を動かし、お互いの LAN 側の経路情報をインターネット越しに交換させます。

最終系は、こんなイメージです。

GRE の設定

GRE over IPSec と聞くと、何だか難しく聞こえますが、結局やっていることは、GRE トンネルの設定と IPSec トンネルの設定です。これらを同時に使っているだけです。

まずは、GRE トンネルの設定から見てみます。

2台のルーター間で GRE トンネルを確立させるためには、Tunnel インターフェスが必要となります。

この Tunnel インターフェースで設定した IPアドレスを使って、通信をカプセリングします。カプセリングをすることにより、ダイナミックルーティングの情報がインターネット越しにできる（GRE トンネルの中を通過する）ようになります。

interface Loopback1
 ip address 111.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.1 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1 <<< 1
 tunnel destination 222.1.1.1 <<< 2

Tunnel インターフェースでは、IPアドレス以外にも設定すべき項目が 2つあります。この2つの設定も行わないと、インターフェースは Up/Up にはなりません。

Tunnel Source
Tunnel Destination

1 の Tunnel Source ですが、物理インターフェースであっても、Loopback インターフェースであってもどちらでも良いです。

Loopback インターフェースはダウンすることがないですので、こちらを使った方が良いでしょう。特にインターネットルーターで、DHCP でアドレスをもらっている場合、IPアドレスが変わってしまいます。変更の度に Tunnel Source/Destinatio の設定も変えないといけなくなるので、それを避けるためにもLoopback インターフェースが良いです。

Tunnel インターフェースには、他にも色々と設定項目はありますが、上記2つが最低限必要となる設定です。

MTU は 1372 に変更しておきます。

今回の設定では、R1 の Loopback 1 インターフェースのIPアドレスを使用してます。

次に２の Tunnel Destination です。

今回は、対向側になる R2 の Loopback インターフェースの IPアドレスを指定します。

最後に、Network コマンドを使って、Tunnel インターフェースでも OSPF を有効にします。

これにより、Tunnel インターフェースが OSPF の広報をするタイミング GRE トンネルが作成され、OSPF の広報情報が GRE でカプセリングされ、OSPF のネイバーが張れます。

router ospf 1
 log-adjacency-changes
 network 172.16.16.0 0.0.7.255 area 0 <<< LAN segment
 network 192.168.1.1 0.0.0.0 area 0 <<< Tunnel 1

対向側になる R2 の設定は、こんな感じです（GRE の設定に関連する部分のみを抜粋しています）。

interface Loopback1
 ip address 222.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.2 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1
 tunnel destination 111.1.1.1
 !
router ospf 1
 log-adjacency-changes
 network 172.16.24.0 0.0.0.127 area 0 <<< LAN segment
 network 192.168.1.2 0.0.0.0 area 0 <<< Tunnel 1

これで、GRE トンネル経由で、2つのルーター間の OSPF ネイバーが張れます。

R1#sh ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.1.254     0   FULL/  -        00:00:36    192.168.2.254     Tunnel1

GRE over IPSec の設定

さて、いよいよ本題の GRE over IPSec の設定に入ります。

以下では、暗号化マップを使った IPSec の設定を行います。

と言っても、基本的には先ほどの GRE トンネルの設定と IPSec トンネルの設定を組み合わせるだけです。

組み合わせた時の設定のポイントですが、Crypto マップのポリシーで指定している「IPSec の対象とするアドレス」です。

crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.253
 set transform-set IPSEC 
 match address A-ipsec <<< IPSec 対象アドレス

今回、A-ipsec という ACL を指定していますが、その中が以下のものです。

ip access-list extended A-ipsec
 permit gre host 111.1.1.1 host 222.1.1.1

111.1.1.1 と 222.1.1.1 を指定していますね。つまり、Tunnel インターフェースの IPアドレスです。つまり、これらのIPアドレスは、GRE トンネルの Source と Destination で指定ている IPアドレスです。

ということは、動作としては、

OSPF のネイバーを張ろうとすると、
GRE トンネルを張ろうとし、
IPSec トンネルが形成される
それからGRE トンネルが形成され、
OSPF のネイバーが張れる

という流れになります。

同じ考え方で R2 も設定します。

crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.254
 set transform-set IPSEC 
 match address A-ipsec
!
ip access-list extended A-ipsec
 permit gre host 222.1.1.1 host 111.1.1.1

これで GRE over IPSec の設定が完了です。R2 のルーティングテーブルを見てみましょう。

R2#sh ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S*    0.0.0.0/0 is directly connected, FastEthernet0
      10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O E2     10.0.1.135/32 [110/20] via 192.168.1.1, 00:14:09, Tunnel1
O IA     10.74.6.0/24 [110/1002] via 192.168.1.1, 00:14:09, Tunnel1
O IA     10.200.1.0/24 [110/1002] via 192.168.1.1, 00:14:09, Tunnel1
      172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
O E2     172.16.0.0/27 [110/20] via 192.168.1.1, 00:14:09, Tunnel1
O E2     172.16.0.32/27 [110/20] via 192.168.1.1, 00:14:09, Tunnel1
O        172.16.16.0/21 [110/1001] via 192.168.1.1, 00:14:09, Tunnel1
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, Tunnel1
L        192.168.1.2/32 is directly connected, Tunnel1
      222.1.1.0/32 is subnetted, 1 subnets
C        222.1.1.1 is directly connected, Loopback1

R1 の LAN 側になるセグメント情報（172.16.16.0 /21）が R2 のルーティングテーブル上で見えますね。これで GRE over IPSec の設定は完了です。

ですがここで一つ疑問が湧いてきました。

Loopback インターフェースで指定している IPアドレスって、到達不能のものであるはずなのに、GRE トンネルってどうやって張れるのだろう？

不思議だったので調べてみたら、Cisco の GRE の説明のページに記載がありました。

有効なトンネル送信元は、それ自体がアップ/アップ状態で、IPアドレスが設定されているインターフェースで構成されます。
有効なトンネル宛先は、ルーティング可能な宛先です。ただし、到達可能である必要はありません。

Tunnel Destination の IPアドレスは、到達可能でなくても良いのです。なるほどです。

設定内容

R1#sh run 
Building configuration...

Current configuration : 2235 bytes
!
! Last configuration change at 01:30:10 UTC Wed Feb 14 2022
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 cisco
enable password cisco-ena
!
no aaa new-model
!
!
!
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn xxxxxxx
!
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.253
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac 
 mode transport
!
crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.253
 set transform-set IPSEC 
 match address A-ipsec
!
!
!
!
!
interface Loopback1
 ip address 111.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.1 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1
 tunnel destination 222.1.1.1
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.254 255.255.255.0
 duplex auto
 speed auto
 crypto map M-ipsec
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet2
 switchport access vlan 100
 !
!
interface FastEthernet3
 switchport access vlan 100
 !
!
interface FastEthernet4
 switchport access vlan 100
 !
!
interface FastEthernet5
 switchport access vlan 100
 !
!
interface FastEthernet6
 switchport access vlan 100
 !
!
interface FastEthernet7
 switchport access vlan 100
 !
!
interface FastEthernet8
 switchport access vlan 100
 !
!
interface FastEthernet9
 switchport access vlan 100
 !
!
interface Vlan1
 no ip address
 !
!
interface Vlan100
 ip address 172.16.23.254 255.255.248.0
 !
!
router ospf 1
 log-adjacency-changes
 network 172.16.16.0 0.0.7.255 area 0
 network 192.168.1.1 0.0.0.0 area 0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
ip access-list extended A-ipsec
 permit gre host 111.1.1.1 host 222.1.1.1
!
!
!
!
!
!
!
control-plane
 !
!
!
line con 0
 password cisco-con
 login
line aux 0
line vty 0 4
 password cisco-vty
 login
!
end

R2#sh run 
Building configuration...

Current configuration : 2393 bytes
!
! Last configuration change at 01:19:06 UTC Wed Feb 14 2022
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
enable secret 5 cisco
enable password cisco-ena
!
no aaa new-model
!
!
!
memory-size iomem 25
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn xxxxxx
!
!
vlan 100
 name home-data
!
vlan 111
 name MGMT
!
vlan 200
 name PBR-test
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.254
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac 
 mode transport
!
crypto map M-ipsec 1 ipsec-isakmp 
 set peer 10.0.0.254
 set transform-set IPSEC 
 match address A-ipsec
!
!
!
!
!
interface Loopback1
 ip address 222.1.1.1 255.255.255.255
 !
!
interface Tunnel1
 ip address 192.168.1.2 255.255.255.0
 ip mtu 1372
 tunnel source Loopback1
 tunnel destination 111.1.1.1
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.253 255.255.255.0
 duplex auto
 speed auto
 crypto map M-ipsec
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet2
 switchport access vlan 100
 !
!
interface FastEthernet3
 switchport access vlan 100
 !
!
interface FastEthernet4
 switchport access vlan 100
 !
!
interface FastEthernet5
 switchport access vlan 100
 !
!
interface FastEthernet6
 switchport access vlan 100
 !
!
interface FastEthernet7
 switchport access vlan 100
 !
!
interface FastEthernet8
 switchport access vlan 100
 !
!
interface FastEthernet9
 switchport access vlan 100
 !
!
interface Vlan1
 no ip address
 !
!
interface Vlan100
 ip address 172.16.24.126 255.255.255.128
 !
!
router ospf 1
 log-adjacency-changes
 network 172.16.24.0 0.0.0.127 area 0
 network 192.168.1.2 0.0.0.0 area 0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
ip access-list extended A-ipsec
 permit gre host 222.1.1.1 host 111.1.1.1
!
!
!
!
!
!
!
control-plane
 !
!
!
line con 0
 password cisco-con
 login
line aux 0
line vty 0 4
 password cisco-vty
 login
!
end

おもしろかったら、フォローしてください！

CiscoルーターでのIPSec VPN設定ガイド

投稿者作成者: K&K International :)
投稿日 2月 14, 2022

にほんブログ村

私の自宅では、インターネットルーターに Cisco ルーターを使用していますので、父親の家でも Cisco ルーターを使って、父親の家と私の自宅を IPSec VPN で接続してみようかなと考えました。

以前は、Buffalo ルーターを使って、父親の家と VPN 接続していたのですが、それが壊れてしまいました。これがきっかけです。

今回考えているのは、以下のような構成です。

単純にインターネット越しに 2つのサイトを VPN 接続するという構成です。

今回の動作確認で使用したのは、Cisco 1812J です。2台のルーターをバックトゥバックで接続しています。

サイト間 VPN の動作確認

自宅に 2台の Cisco ルーターを用意し、テスト構成を作成して、IPSec の設定を行いました。

テスト構成は、以下のアドレス体系としています。

以下のIPSecの設定は、暗号化マップを使った方式となります。

IPsec の設定

まず、ISAKMP ポリシーを作成します。
ここでは、「共通鍵を使用しますよ」と宣言を行います。
次に、IPSec 接続の際に使用するキーを指定し、そして、そのキーを使用して IPSec 接続する対向先のルーターの IPアドレスを指定します。

crypto isakmp policy 10 <<< 1
 hash md5
 authentication pre-share <<< 2
 crypto isakmp key vpnuser address 10.0.0.253 <<< 3

10.0.0.253 が R2 の Fast Ethernet の IPアドレスです。これは、インターネット越しで到達可能な IPアドレスである必要があります。

つまり、「このインターフェースとの IPSec 接続には、このキーを使用しましょう」ということです。

次に、Transform セットを作成します。

ここでは、IPSec 接続の際に使用する暗号化の方式を定義します。

crypto ipsec transform-set myset esp-des esp-md5-hmac

ここで使用している「myset」が、このTransform セットの名前になります。

使用する暗号化方式は、「esp-des esp-md5-hmac 」です。

次に、Cryptoマップ（暗号化マップ）を作成します。

このマップ内では、

どの IPアドレスが IPSec の接続先なのか
どの通信を IPSec トンネルの対象にするのか（トンネルの中に通すのか）
使用する Transform セットの名前

を定義します。

crypto map mymap 10 ipsec-isakmp 
 set peer 10.0.0.253 <<< 1
 set transform-set myset <<< 2
 match address 100 <<< 3

この Crypto マップの名前は「mymap」としています。
set peer で指定しているのが、IPSec の張り先となるIPアドレスです。
このマップを使用する時には、「myset」という Transform セットを使いなさいとします。
match address でしてしている番号が、ACL の番号となります。この ACL で IPSec トンネルの中に入れる対象となるトラフィックはどれなのかを定義します。

最後に、ACL を作成します。

2台のルーターの、それぞれの LAN 側のセグメントを指定します。

access-list 100 permit ip 172.16.16.0 0.0.7.255 172.16.24.0 0.0.0.127

「R1 の LAN 側（172.16.16.0 /21) から、R2 の LAN 側（172.16.24.0 /25) へ向かうトラフィックを IPSec トンネルの中に入れますよ」ということです。

これで、IPSec の基本設定は完了です。

IPSec のCrypto マップを適用

仕上げとして、作成した Crypto マップを、対象となるインターフェースに適用しましょう。

適用するインターフェースは、WAN 側（インターネット側）に面しているインターフェースです。つまり、対向側ルーターが IPSec トンネルを張ってくる宛先となるインターフェースです。

先ほど作成した Crypto マップは「mymap」でしたね。

crypto map コマンドで、そのマップの名前を指定して、インターフェースに適用します。

interface FastEthernet0
 ip address 10.0.0.254 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap

私が Crypto マップを適用しているのは、Fast Ethernet 0 インターフェースになります。

そうそう、このルーターはインターネットルーターですので、デフォルトルートは Fast Ethernet 0 (インターネットに面しているインターフェース）に向けておきましょう。

これを忘れると、インターネット向けの通信ができません。

ip route 0.0.0.0 0.0.0.0 FastEthernet0

これで、IPSec の設定適用は完了です。

これと同じことを、R2 側でも行います。IPSec トンネルの接続先が R1 になる点だけが異なります。

以下、IPSec 接続に必要な部分の設定のみを抜粋しています。

crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.254
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac 
!
crypto map mymap 10 ipsec-isakmp 
 set peer 10.0.0.254
 set transform-set myset 
 match address 100
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.253 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
 !
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
access-list 100 permit ip 172.16.24.0 0.0.0.127 172.16.16.0 0.0.7.255

IPSec の接続確認コマンド

実際に通信をして確認をしてみます。

show crypto isakmp sa

R1#sh crypto isakmp sa 
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.0.0.253       10.0.0.254       QM_IDLE           2001 ACTIVE

ステータスが「QM_IDLE」になっていれば、ISAKMP 接続は完了です。

「QM_IDLE」以外のステータスの場合、このページが参考になります。

show crypto ipsec sa

C1812-test#sh crypto ipsec sa 

interface: FastEthernet0
    Crypto map tag: M-ipsec, local addr 10.0.0.254

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/47/0)
   current_peer 10.0.0.253 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 97, #pkts encrypt: 97, #pkts digest: 97
    #pkts decaps: 94, #pkts decrypt: 94, #pkts verify: 94
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 134, #recv errors 0

     local crypto endpt.: 10.0.0.254, remote crypto endpt.: 10.0.0.253
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xD8FB69D5(3640355285)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xD6CE8456(3603858518)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: Onboard VPN:1, sibling_flags 80000046, crypto map: M-ipsec
        sa timing: remaining key lifetime (k/sec): (4420763/2793)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xD8FB69D5(3640355285)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: Onboard VPN:2, sibling_flags 80000046, crypto map: M-ipsec
        sa timing: remaining key lifetime (k/sec): (4420762/2793)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

カウンターの数値が上がっていれば、IPSec トンネルの中に通信が通過しています。

うまく接続できない時は、デバッグコマンドが役に立ちます。

debug crypto isakmp
debug crypto ipsec

設定内容

R1#sh run 
Building configuration...

Current configuration : 1842 bytes
!
! Last configuration change at 06:21:16 UTC Tue Feb 23 2021
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
!
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn xxxxxxx
!
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.253
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac 
!
crypto map mymap 10 ipsec-isakmp 
 set peer 10.0.0.253
 set transform-set myset 
 match address 100
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.254 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet2
 switchport access vlan 100
 !
!
interface FastEthernet3
 switchport access vlan 100
 !
!
interface FastEthernet4
 switchport access vlan 100
 !
!
interface FastEthernet5
 switchport access vlan 100
 !
!
interface FastEthernet6
 switchport access vlan 100
 !
!
interface FastEthernet7
 switchport access vlan 100
 !
!
interface FastEthernet8
 switchport access vlan 100
 !
!
interface FastEthernet9
 switchport access vlan 100
 !
!
interface Vlan1
 no ip address
 !
!
interface Vlan100
 ip address 172.16.23.254 255.255.248.0
 !
!
router ospf 1
 log-adjacency-changes
 network 172.16.16.0 0.0.7.255 area 0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
access-list 100 permit ip 172.16.16.0 0.0.7.255 172.16.24.0 0.0.0.127
!
!
!
!
!
!
control-plane
 !
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

R2#sh run 
Building configuration...

Current configuration : 1980 bytes
!
! Last configuration change at 06:07:15 UTC Sun Feb 13 2022
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
!
memory-size iomem 25
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn xxxxxxx
!
!
vlan 100
 name home-data
!
vlan 111
 name MGMT
!
vlan 200
 name PBR-test
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key vpnuser address 10.0.0.254
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac 
!
crypto map mymap 10 ipsec-isakmp 
 set peer 10.0.0.254
 set transform-set myset 
 match address 100
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 ip address 10.0.0.253 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet2
 switchport access vlan 100
 !
!
interface FastEthernet3
 switchport access vlan 100
 !
!
interface FastEthernet4
 switchport access vlan 100
 !
!
interface FastEthernet5
 switchport access vlan 100
 !
!
interface FastEthernet6
 switchport access vlan 100
 !
!
interface FastEthernet7
 switchport access vlan 100
 !
!
interface FastEthernet8
 switchport access vlan 100
 !
!
interface FastEthernet9
 switchport access vlan 100
 !
!
interface Vlan1
 no ip address
 !
!
interface Vlan100
 ip address 172.16.24.126 255.255.255.128
 !
!
router ospf 1
 log-adjacency-changes
 network 172.16.24.0 0.0.0.127 area 0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
access-list 100 permit ip 172.16.24.0 0.0.0.127 172.16.16.0 0.0.7.255
!
!
!
!
!
!
control-plane
 !
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

おもしろかったら、フォローしてください！

Cisco ルーターでダイナミック DNS を使う

投稿者作成者: K&K International :)
投稿日 1月 20, 2022

にほんブログ村

自宅のインターネットルーターで Cisco 891F を使用していて、ダイナミック DNS が使いたかったので、設定をまとめてみました。

ちなみに、私が契約しているダイナミック DNS は、Dyndns です。

インターネット上の DNS サーバーを参照できるようにします。

ip dns server: DNS サーバー参照を有効化
ip name-server: 参照する DNS サーバーの IPアドレス

C892-02# configure terminal
C892-02(config)# ip dns server
C892-02(config)# ip name-server 4.2.2.6

DDNS の設定を入れていきます。

ip ddns update method: 契約している DDNS のサービス
http: HTTP を使用して更新

この例では、Dyndnsをサービスとして使っています。

C892-02(config)#ip ddns update method DynDNS
C892-02(DDNS-update-method)#http

次に、Dyndns で契約しているサービスのアカウント情報を指定します。Dyndns の場合、構文は以下の内容になります。

https://username:password@members.dyndns.org/nic/update?system=dyndns&hostname=&myip=

C892-02(DDNS-HTTP)# add http://kkinternational:pass-kk@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>

次に、アップデートのインターバルを指定します。

interval maximum: DDNS の更新間隔

日　時間　分　秒　の順になります。以下の例だと 5分毎という指定です。このインターバルは時間が短すぎると、サービスによっては拒否されますので、適当な長さで指定した方が良いです。

C892-02(DDNS-HTTP)# interval maximum 0 0 5 0

これで、ダイナミック DNS の設定は完了です。

DDNS として No-IP を使用している場合、こちらが参考になります。

最後に、この設定をインターネットに面しているインターフェースに適用していきます。

ip ddns update hostname: 契約している DDNS のホスト名
ip ddns update: 契約しているサービス名

C892-02(DDNS-update-method)# interface dialer0
C892-02(config-if)# ip ddns update hostname kkinternational.dyndns.org
C892-02(config-if)# ip ddns update dyndns
C892-02(config-if)# ip address dhcp

動作確認には、このデバッグコマンドが使えます。

C892-02#debug ip ddns update 
Dynamic DNS debugging is on

この設定を使って、リモートからの IPSec VPN 接続を行おうと設定をしています。こちらの設定についても、まとめたら公開していきたいと思います。

おもしろかったら、フォローしてください！

MS Azure を学ぶ (0) 用語比較

投稿者作成者: K&K International :)
投稿日 9月 19, 2021

にほんブログ村

用語比較

並べて比較してみると、やはり分かりやすいです。

Azure の言葉も何となくは知っていたのですが、これではっきりしました。

AWS 用語	Azure 用語
EC2 (Elastic Compute Cloud）	Virtual Machines

仮想サーバーにより、OS やサーバーソフトウェアをデプロイしたり、管理や保守が行える。

AWS 用語	Azure 用語
Auto Scaling	Virtual Machine Scale Sets

負荷を見て、VM インスタンスの数を自動的に変更する。

AWS 用語	Azure 用語
VPC (Virtual Private Cloud)	VNET (Virtual Network)

クラウド内の分離されたプライベート環境のこと。ユーザーは、独自の IP アドレス範囲の選択、サブネットの作成したりして、自分の仮想ネットワーク環境を制御できる。

AWS 用語	Azure 用語
NAT Gateways	Virtual Network NAT

仮想ネットワークでアウトバウンド専用のインターネット接続が簡単になるサービス。プライベートサブネットで外部ネットワークと通信する際に使用する。

AWS 用語	Azure 用語
VPN Gateway	VPN Gateway

仮想ネットワークを他の仮想ネットワーク、または顧客のオンプレミスネットワークに接続 (サイト間) できる。

AWS 用語	Azure 用語
Route 53	DNS

サービスで提供される DNS。これにより、各 DNS レコードを管理する。

AWS 用語	Azure 用語
Direct Connect	Express Route

ある場所からクラウドプロバイダーへの (インターネット経由ではなく) 専用のプライベートネットワーク接続を確立する。

AWS 用語	Azure 用語
ALB (Application Load Balancer)	Application Gateway

レイヤー 7 のロードバランサー。 SSL ターミネーションやラウンドロビンによるトラフィックの負荷分散をサポートする。

AWS 用語	Azure 用語
NLB (Network Load Balancer)	Load Balancer

レイヤー 4 (TCP または UDP) でトラフィックを負荷分散する。

AWS 用語	Azure 用語
CloudFront	Azure CDN

クラウドプロバイダーで提供される CDN サービス

AWS 用語	Azure 用語
Certification Manager	ポータルで使用可能な App Service 証明書

クラウド内で証明書をシームレスに作成、管理できるようにするサービス。

AWS 用語	Azure 用語
S3 (Simple Storage Services)	Blob Storage

バックアップ、アーカイブ、ディザスターリカバリーなど向けのオブジェクトストレージサービス。

AWS 用語	Azure 用語
EBS (Elastic Block Storage)	マネージドディスク

I/O 集中型読み取り/書き込み操作用に最適化された SSD ストレージ。

AWS 用語	Azure 用語
S3 Glacier	Storage アーカイブアクセス層

ストレージコストが最も低くいアーカイブストレージ。

Azure Administrator (AZ-104）の教材

私がAZ-104に合格するまでに使った教材を紹介します。

合格対策Microsoft認定試験AZ-104:Microsoft Azure Administratorテキスト&演習問題

Amazonで購入

posted with カエレバ

Azure をあまり触ったことのない人は、これから始めるのが良いかと思います。

内容は分かりやすく、全分野をカバーはしています。ただ、深いところまでは説明がなく、これだけで合格は厳しいと思います。

（模擬試験付き）徹底攻略 Microsoft Azure Administrator 教科書 [AZ-104] 対応

Amazonで購入

posted with カエレバ

この教材が一番良いのではと思います。試験内容をカバーしているのは当然ですが、説明もしっかりしています。

ただ、この教材に付いている模擬問題は、本番の内容に比べると簡単なので、この問題を解ければ合格とは思わない方がいいです。

試験前の力試しには、やはりUdemyの問題が良いです。

私は以下の2つを使いましたが、本番を想定した内容となっており、しかも、いくつかはほぼ同じ内容の問題も出ていました。

AZ-104: Microsoft Azure Administrator 模擬試験問題集

AZ-104: Microsoft Azure Administrator 2022年模擬試験問題集

クラウドサービス：AWSとAzureの違い

投稿者作成者: K&K International :)
投稿日 9月 19, 2021

にほんブログ村

AWS シリーズ

AWSを学ぶ（1）VPCを理解しよう8月 19, 2020
AWSを学ぶ（2）VPCを作ってみよう8月 19, 2020
AWSを学ぶ（3）ゲートウェイとセキュリティーについて8月 19, 2020
AWSを学ぶ（4）EC2を理解しよう8月 19, 2020
AWSを学ぶ（5）EC2の性能とコストの考え方8月 19, 2020
AWSを学ぶ（6）EC2 を使ってみよう8月 19, 2020
AWSを学ぶ（7）Route 53 について8月 19, 2020
AWSを学ぶ（8）CloudFront って何だろう8月 19, 2020
AWSを学ぶ（9）ELB を使ってみよう8月 19, 2020
AWSを学ぶ（10）RDSとは8月 20, 2020
AWSを学ぶ（11）ストレージサービス8月 24, 2020
AWSを学ぶ（12）EC2のイメージ取得と起動8月 25, 2020
AWSを学ぶ（13）VPC、EC2、ELB、Route 53 を使ってみる8月 28, 2020
AWSを学ぶ（14）S3とは8月 31, 2020
AWSを学ぶ（15）Glacier とは何か？どの様に使うのか？9月 5, 2020
AWSを学ぶ（16）IAMについて9月 16, 2020
AWS を学ぶ（17）CloudWatch を使ってみる9月 22, 2020
AWS を学ぶ（18）CloudFront を使ってみる9月 24, 2020
AWS を学ぶ（19）AWS の暗号化サービス9月 24, 2020
AWS を学ぶ（20）AWS Certificate Manager を使ってみる9月 25, 2020
AWS を学ぶ（21）Elastic Beanstalk って何だろう？9月 25, 2020
AWS を学ぶ（24）3つのメッセージングサービス11月 4, 2020
クラウドサービス：AWSとAzureの違い9月 19, 2021
MS Azure を学ぶ (0) 用語比較9月 19, 2021
AWSを学ぶ（25）VPCエンドポイントを理解しよう8月 19, 2022

Microsoft Azure シリーズ

クラウドサービス：AWSとAzureの違い9月 19, 2021
MS Azure を学ぶ (0) 用語比較9月 19, 2021
MS Azure を学ぶ (1) リソースグループの作成と管理11月 23, 2022
MS Azure を学ぶ（2）Azure Active Directory とオンプレ Active Directory の違い2月 15, 2023
MS Azure を学ぶ (3) リソースグループの作成と管理 27月 22, 2024

2021年おもしろガジェット唐揚げ唐揚検定揚師検定料理認定資格

カラアゲニスト・パーフェクトガイド（唐揚検定）

投稿者作成者: K&K International :)
投稿日 9月 11, 2021

にほんブログ村

私はカラアゲニストであり、揚師検定二級も持っています。

唐揚げは私の大好きな料理の一つです。

このブログにたどり着いた方の多くは、カラアゲニストという資格の名前を知ったからかも知れません。

究極の唐揚げ愛：認定試験でスキルを証明8月 19, 2020

まずは、唐揚検定試験を受けてみてください。

インターネットで受験できますし、無料で何度でも受けられます。

テストを受けてみると、意外と難しいと感じるかと思います。一言で唐揚げと言っても、奥が深いということです。

そこで個人的に、唐揚検定ガイドを作ってみました。

この解答を見てカラアゲニストになるのもアリなんですが、なぜその解答が正しいのかも理解できるように、私なりの解説をしてみました。

唐揚検定をきっかけにして、唐揚げのことをもっと理解し、もっと知りたいと思って頂けますと嬉しいです。

1）唐揚検定試験唐揚げの「唐」は現在のどの地域を指しているかきごうで答えよ。

A.印度
B.中国
C.西班牙
D.高句麗
E.佛蘭西

これは簡単ですよね。中国です。

唐揚の「唐」は、昔の中国の唐王朝のことです。現在の山東省のあたりです。

唐揚げの起源は奈良時代に遡り、遣唐使を通じて食物を揚げる技法が伝わったとされています。

江戸時代初期には、中国から伝わった普茶料理で「唐揚げ」と呼ばれ、江戸時代後期から明治時代にかけて広まったそうです。

「空揚げ」とか「唐揚げ」と記載されているのですが、一般的に「唐揚げ」と書かれるのは、このためとのことです。

ということで、答えば B です。

２）唐揚げとは何を使用して調理した料理か記号を答えよ。

A.鶏肉
B.鳥肉
C.もも肉
D.むね肉
E.油

ぱっと見、難しい問題ですね。どれを見ても正しい解答に見えます。

まずは最初の二つ A と B、鳥肉と鶏肉の違いを理解する必要がありますね。

「鶏肉」とは「ニワトリの肉」を指しています。鶏とはニワトリのことですね。

一方で「鳥肉」ですが、「ニワトリを含む鳥類全体の肉」を指します。

キジ肉を使った唐揚げもあるので、A も B も正しいということになります。

次に C と D です。「もも肉」か「むね肉」か。これは好みです。

むね肉はパサパサしてるから、という意見もありますが、料理の仕方次第で美味しく食べられます。つまり、C も D も正しいですよね。

この問題の答えは E です。この問題の解答は、「油を使用して調理した料理」と言わせたいのです。

３）唐揚げを作る際に粉にまぶして料理するのが一般的だが、この粉２種類の記号を答えよ。

A.からあげ粉　－　ガーリックパウダー
B.小麦粉　－　片栗粉
C.小麦粉　－　メリケン粉
D.上新粉　－　小麦粉
E.ガーリックパウダー　－　小麦粉

これは、基本的な唐揚げの作り方を理解しているかを問う問題です。

ガーリックパウダーを使って味を変えることもありますが、それはあくまでオプションです。

また、日清などから唐揚げ粉というものが発売されています。唐揚げ粉を使えば手軽に唐揚げが作れるのは事実ですが、これも基本ではありません。

次に上新粉ですが、これも実際に使われることがあります。唐揚げのサクサク感を出すために、上新粉が決め手というのがあります。しかし、これも基本ではなく、オプションですね。

唐揚げは「小麦粉」と「片栗粉」を使います。つまり答えは B です。

日本唐揚協会の会長である「やすひさてっぺい」さんのオフィシャルウェブページに、材料や作り方が紹介されています。

４）代表的な料理例として鶏肉が挙げられるが、魚類ではどのような魚類が唐揚げに向いているか記号を答えよ。

A.蛸・烏賊
B.イソギンチャク
C.鰈・グルクン
D.青魚
E.白身魚

唐揚げというと若鶏の唐揚げを想像するので、この問題は唐揚げじゃないじゃん！と思っちゃうのですが、魚の唐揚げだって実際にあるんです。

例えば、グルクンの唐揚げ。海水魚の一種であるタカサゴは、沖縄ではグルクンと呼ばれています。

グルクンは、鮮度が落ちやすく淡白な味の魚なのですが、これを油で揚げることで臭みを消し、旨味をつけられます。これがグルクンの唐揚げです。

ちなみに、魚の唐揚げは、台湾やタイなどの南方の国々ではポピュラーな調理法です。

つまり、答えは E です。

ちなみに、野菜の唐揚げだってあります。

５）竜田揚げは唐揚げの一種であるが、唐揚げとの違いはタレに漬け込んだ後調理する点である。このタレは何と何からつくるか調味料の記号を答えよ。

A.にんにく　－　しょうが
B.醤油　－　ニンニク
C.味噌　－　醤油
D.みりん　－　醤油
E.酒　－　にんにく

竜田揚げの作り方の基本を理解しているかを問う問題です。

「竜田揚げ」は、奈良県の生駒地方に流れる竜田川にちなんで付けられた名称です。ちなみに竜田川は、紅葉で有名です。

竜田揚げは、「肉や魚などに下味を付けて、衣（主に片栗粉）には味を付けないで揚げる」というのが調理法になります。

揚げた時に衣の厚い部分が白く、薄い部分は赤褐色に見えるのが、「川面に紅葉が映える風情を盛り込んだ料理」とされています。

日本発祥の竜田揚げは、ニンニクをほとんど使わず、下味は醤油とみりんというのが基本になります。

つまり、答えは D です。

６）正しい文章の記号を答えよ

A.名古屋の『手羽先』は甘辛いタレとコショウをじっくり漬け込み、それを揚げた物である
B.宮崎県の『チキン南蛮』は鶏のモモ肉やムネ肉を使った、唐揚げを昇華させたおいしい食べ物である
C.愛媛県今治市の郷土料理『せんざんき』はキジの唐揚げのことを指す

まず手羽先です。

手羽に塩胡椒をし、片栗粉をまぶし、それを揚げます。揚げた後、手羽にタレを塗り、胡椒をまぶします。漬け込むことはしませんので、A は間違っています。

次にチキン南蛮ですが、これは宮崎県発祥の鶏肉料理です。

鶏肉に小麦粉をふり、卵液を絡めたものを揚げ、甘酢に浸して作ります。

元来はむね肉を使用することが一般的でしたが、現在は、脂肪分が多くボリューム感があるもも肉を使う料理店が増えてきているみたいです。

つまり、答えは B です。

最後にセンザンギです。

鶏料理が盛んな愛媛県今治市に伝わる江戸時代からの郷土料理になります。

元々は、今治市に多かったキジ肉を使って揚げ物にした料理でしたが、現在では、下味を付けた鶏の唐揚げのことを指し、料理店によっては、骨付きで提供するケースもあります。

現在の形になったのは1930年代で、鶏を料理する際に残った骨付き肉を、タレに付けてあげたものが始まりとされています。

つまり、キジ肉には限定されていませんので、C も間違いです。

７）下記の地図の赤丸部分にある、唐揚げの聖地といわれる都市名を答えなさい。

A.大分県宇佐市
B.福岡県行橋市
C.福岡県福岡市博多区中洲
D.福岡県北九州市
E.大分県中津市

唐揚げの聖地がどこであるかを問う問題です。

大分県中津市です。大分県宇佐市という説もありますが、「中津市を唐揚げの聖地」、「宇佐市は唐揚げ専門店の発祥地」とするのが、日本唐揚協会の認識となります。

カラアゲニストは、日本唐揚協会の試験です。これに従いましょう。

つまり、答えは E です。

8）下記の地図AからJより、「ザンギ」を食する地域を記号で答えなさい。

ザンギと言えば、北海道の料理というのが一般的です。

実際には、四国・中国地方の一部でもそう呼ばれていますが、北海道の文化として唐揚げという調理法にて料理されたものがザンギと言われています。

ちなみにザンギの発祥地ですが、北海道釧路市の飲食店と言われてます。

ザンギとは、食材に下味を付け、粉をまぶした揚げ物のことでで、唐揚げとよく似た料理です。

最も有名なのは、鶏肉のザンギですが、タコなど魚介類を揚げたものも、ザンギと呼ばれます。

ザンギという名前の由来は、中国語で鶏の唐揚げを意味する「炸鶏」に、演技を担ぎ「運」の「ん」を加えたものとされてます。

つまり、答えは A です。

ちなみに、中国語（普通語）で唐揚げは、炸鸡 (Zha Ji)と発音されます。この音をカタカナで書くなら、「ザーギー」ではなく「ザージー」です。なので、先ほどの説は、個人的にはどうなのかなとも思っています。

９）唐揚げを食べる際のマナーとして「レモン」の扱いで正しいものを記号で答えなさい。

A.皆が食べやすいように全体にかかるように絞りまぶす
B.レモンをかけるゾーンとかけないゾーンをつくりそちらにのみかける
C.レモンはかけずに各自が取り皿に絞り使用する

これは、唐揚げを食べる人のマナーに関する問題です。

私は唐揚げにレモンは合うと思っていますが、レモンが嫌いな人もいますし、レモンアレルギーの人だっているかも知れません。

それを考えると、自分の皿にレモンを絞り、みんなの食べる唐揚げと自分が食べる唐揚げを分けて考えるのがマナーと言えます。

カラアゲニストとは、自分のことだけでなく、他人のことも考えるべきなのです。

つまり、答えは C です。

10）唐揚げを食べる際のマナーとして「最後の一個」の扱いで正しいものを記号で答えなさい。

A.思い切ってすばやく自分の皿へ唐揚げを移す
B.唐揚げを半分に割って、半分を皿に残し、半分を食す
C.手を出さない

これも、唐揚げを食べる人のマナーに関する問題です。

半分に切って半分だけ食べるというのもありですが、二人だけで食べているとは限らないですよね。8人で食べてたら八当分にしますか？

自分は手を出さない、我慢する、というのもありです。

ですが、カラアゲニストとなる人は、最後の唐揚げ一つを見つけたら、素早く自分の皿に乗せましょう。唐揚げを愛するカラアゲニストに食べてもらった方が、唐揚げも幸せです！

つまり、答えは A です。

11）あなたの唐揚げに対する思いを書いてください。

この問題に正解はありません。

あなたの唐揚げに対する熱い思いをぶつけてください！

AWS を学ぶ（24）3つのメッセージングサービス

にほんブログ村

AWS には、SNS（Simple Notification Service）、SQS（Simple Queue Service）、SES（Simple Email Service）といった 3 つのサービスがあります。

これらの違いは以下のようになります。

Amazon SNS：プッシュ型の通知が得意。メール通知、SMS、モバイルプッシュが可能。要領制限があり、長文メッセージには向いていない。
Amazon SES：Eメールでの配信が得意。コンテンツ配信に向いているが、メール以外での配信はできない。
Amazon SQS：プル型のメッセージ処理が得意。非同期型のメッセージをキューイングする。

Amazon SNSとは

Amazon SNS（以下、SNS）は、わざわざそのためだけにサーバーを用意しなくても、SNS サービスを利用することで、アプリケーションからの通知を可能にします。ユーザーが何かを行ったタイミングを起点としてで通知するメッセージングを手軽に実現できます。

具体的な通知の例としては、商品が発送されたタイミンングでの発送完了通知や、フリーマーケットで商品が売れた時の通知などがあります。

またこれだけでなく、登録ユーザー全員に一斉告知のメッセージを送るという使い方もできます。

SNSの特徴

イベントをトリガーとしてのメッセージ

商品の購入、アカウント情報の変更、コンテンツの更新などの利用できます。

モバイル端末へのプッシュ機能

iOS、Android などのスマートフォンに対してプッシュ通知が行えます。

セキュリティーを確保

HTTPS API による通信のセキュアな状態を保つことが可能です。

サービスとしての利用

前払いや最低料金などはなし。完全な従量課金制で使った分しか支払う必要がありません。

Amazon SES とは

Amazon SES (以下、SES）は、AWS が提供するメールサービスです。メールサーバーをわざわざ用意しなくても、SES サービスを利用すれば、メール配信が可能になります。

具合的な使い方としては、マーケティングメールの配信やメールマガジンの配信などがあります。

SES は、導入コストが安いことや、固定費用が掛からず従量課金という点で、企業レベルでの利用だけでなく、個人レベルでの利用にも向いています。

SES の特徴

安い導入コスト

AWS のアカウントとメールアドレス、利用可能なドメインがあれば利用できます。

低価格な料金

固定費用や最低料金はなし、従量課金で利用できます。

EC2 でホストされているアプリケーションからの配信の場合、毎月最初の 62,000 通は無料です。その後でも、1,000 通毎に、0.1 USDしかかかりません。

高い信頼性

SES には、送信したメールが確実に届く様に、信頼性を高める機能があります。送信頻度のコントロールやアドレス偽装対策などです。

Amazon SQS とは

Amazon SQS（以下、SQS)は AWS が提供するキューイングサービスです。アプリケーションの切り離し（疎結合）とスケジューリングといった処理を、AWS のサービスで行えます。

キューとは、メッセージを管理するための入れ物のようなものです。

エンドポイントと呼ばれるURLを介して、キューに入ったメッセージを利用します。

SQS の利用パターン例

一回の処理で許容する処理時間を超過しそうな場合
一度に大量のデータ件数を処理する場合

キューの種類

キューの種類には、以下の 2種類があります。

処理数が優先なら標準キュー、順序が重要なら FIFO キューといった使い方になります。

標準キュー（Stanadrdキュー）

ほぼ無制限のトランザクション数（TPS）を処理します。

ただし、メッセージを受け取った時とは異なる順序で配信されることもあります。また、複数の同じメッセージのコピーが配信されることもあります。

FIFO キュー

バッチ処理なしで毎秒最大 300 件、バッチ処理ありで最大3,000件のトランザクション (TPS)をサポートします。また、メッセージが送信または受信された順序が厳密に保持されます (先入れ先出し)。

トランザクション処理は、標準キューより下がります。

SQS 向けの機能

可視性タイムアウト

設定した期間、重複したメッセージ配信が行われないようにする機能

メッセージは、受信しただけでは削除されず、クライアント側からの明示的な削除指示を受けた際に削除されます。そのため、メッセージの受信中に、たのクライアントが取得してしまう可能性もあります。それを防ぐ機能となります。

デフォルトは30秒で、最大12時間まで設定できます。

ショートポーリングとロングポーリング

キューからのメッセージ取得の際で、対象のキューがない場合、キューに新規登録されるのを一定時間待つ機能。

待機する（メッセージがある場合にレスポンスを返す）のをロングポーリング、待機しない（リクエストを受け取ると、メッセージがあるなしに関わらず、即レスポンスを返す）のをショートポーリングと呼びます。

デフォルトはショートポーリングになります。

デットレターキュー

正常に処理できないデータを別のキュー（デッドレターキュー）に格納する機能

問題のあるメッセージ（処理失敗を1ー1,000回で設定）を分離して、処理が成功しない理由を調べることができるため、デッドレターキューは、アプリケーションやメッセージングシステムのデバッグに役立ちます。

遅延キュー

キューに送られたメッセージを、一定時間見えなくする機能

メッセージタイマー

個々のメッセージを一定間隔見えなくする機能

メッセージサイズ

キューに格納できるメッセージサイズの最大は256KBとなります。

大きなサイズのデータを扱う際には、S3やDunamoDBに一旦格納し、そこへのパスやキーといったポインターとなる情報を渡すことで対応できます。

この教材を使って勉強してます。

「AWS認定資格試験テキスト　AWS認定ソリューションアーキテクト-アソシエイト」

AWSに関連する記事：

AWSを学ぶ（25）VPCエンドポイントを理解しよう8月 19, 2022
MS Azure を学ぶ (0) 用語比較9月 19, 2021
SSL証明書を簡単に取得する方法 – Wiresharkで証明書を抽出7月 18, 2021
オンラインで簡単に証明書を発行する方法6月 4, 2021
AWS を学ぶ（24）3つのメッセージングサービス11月 4, 2020
AWS を学ぶ（23）CloudFormation を使ってみる10月 3, 2020
AWS を学ぶ（22）CloudFormation とは何か？9月 28, 2020
AWS を学ぶ（21）Elastic Beanstalk って何だろう？9月 25, 2020
AWS を学ぶ（20）AWS Certificate Manager を使ってみる9月 25, 2020
AWS を学ぶ（19）AWS の暗号化サービス9月 24, 2020
AWS を学ぶ（18）CloudFront を使ってみる9月 24, 2020
AWS を学ぶ（17）CloudWatch を使ってみる9月 22, 2020
AWSを学ぶ（16）IAMについて9月 16, 2020
AWSを学ぶ（15）Glacier とは何か？どの様に使うのか？9月 5, 2020
AWSを学ぶ（14）S3とは8月 31, 2020
AWSを学ぶ（13）VPC、EC2、ELB、Route 53 を使ってみる8月 28, 2020
AWSを学ぶ（12）EC2のイメージ取得と起動8月 25, 2020
AWSを学ぶ（11）ストレージサービス8月 24, 2020
AWSを学ぶ（10）RDSとは8月 20, 2020
AWSを学ぶ（9）ELB を使ってみよう8月 19, 2020
AWSを学ぶ（8）CloudFront って何だろう8月 19, 2020
AWSを学ぶ（7）Route 53 について8月 19, 2020
AWSを学ぶ（6）EC2 を使ってみよう8月 19, 2020
AWSを学ぶ（5）EC2の性能とコストの考え方8月 19, 2020
AWSを学ぶ（4）EC2を理解しよう8月 19, 2020

FHRP の種類

FHRP の動作

関連する記事：

共有:

EEM とは

EEM の構成要素

EEM の設定例

関連する記事：

最近の記事：

共有:

試験勉強で参考にしたもの

CCNP 試験項目

CCNP ENCORの合格点

CCNP ENCOR の試験範囲

CCNP ENCOR 勉強のための参考書

Ping-t で本番対策

関連する記事：

最近の記事：

共有:

GRE の設定

GRE over IPSec の設定

設定内容

関連する記事：

最近の記事：

共有:

サイト間 VPN の動作確認

IPsec の設定

IPSec のCrypto マップを適用

IPSec の接続確認コマンド

設定内容

関連する記事：

最近の記事：

共有:

関連する記事：

最近の記事：

共有:

用語比較

Azure Administrator (AZ-104）の教材

関連する記事：

共有:

AWS シリーズ

Microsoft Azure シリーズ

共有:

関連する記事：

共有:

Amazon SNSとは

SNSの特徴

Amazon SES とは

SES の特徴

Amazon SQS とは

キューの種類

SQS 向けの機能

メッセージサイズ

AWSに関連する記事：

関連する記事：

最近の記事：

共有: