今日はBGPの動作検証をしました!
こんにちは。
皆さんご無沙汰にしておりました。
ブログを書くのは1年ぶりですが、今日からまた頑張っていきたいと思います。
今日は日曜日ですが、とても暑くて外出する気分ではないですね。
ということで自宅ラボでBGPの動作検証をやってました。
BGPはEIGRPやOSPFと違って、「ん!はっ?」というところが多かったり、変な動きが
多いので結構世話をやかせてくれます・・・。
ASが一つ・・・二つ・・・ と増えていくたびに、頭が「あ!あーーー○△□×!?」
でも、会社(一応SEです。)で「僕、BGPいじれますよ。」って言うと、上司が「ヒョエー!!?」の
反応だったりします。(鼻た~か~だか!)
就職や昇進にも有利かもしれません。
目指せBGPスペシャリスト!!
Reload scheduleの設定・キャンセル
遠隔地からリモートでCisco機器に接続し、設定変更するケースがよくあります。
そこで最も泣かせてくれるのが、設定変更によるイレギュラーなリモート不可です。
私も何度か経験があるのですが、Teratermが固まったと思った瞬間「あっ!やばい!」
いつも事が起こってから気付くのです。「もうtelnetで入れない・・・。」
皆さんもこんな経験ありませんか?
そこで、作業中の機器のreloadがOKな運用のケースでは、設定変更前に“Reload scheduleを設定”しておくとよいでしょう。
万一、設定変更によるリモート不可が発生したとしても、wr memしていなければ、指定時間にReloadし元の設定状態で起動してくれるというわけです。これで、再度リモート接続できます。
では、指定時間前に問題なく設定変更が終わったら・・・。実は、Reload scheduleを設定したままでは、不要なReloadが走ってしまいます。設定変更が無事に済んだら、速やかにReload scheduleのキャンセルを行いましょう!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
●reloadコマンドの確認
# reload ? コマンドを入力すると、以下の関連するコマンドが表示されます。
# at=時間指定、in=何分後など、reload方法の選択が可能です。
C1812J_******#
C1812J_******#
C1812J_******#reload ?
/noverify Don't verify file signature before reload.
/verify Verify file signature before reload.
LINE Reason for reload
at Reload at a specific time/date
cancel Cancel pending reload
in Reload after a time interval
warm Reload should be warm
<cr>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
●in形式でreload設定
# 今回はin形式でreload設定してみます。
# 設定から5分後にreloadさせたいので、reload in 5 コマンドを入力します。
# Proceed with reload? [confirm]で、Enterを入力します。
# SHUTDOWN in 0:05:00 が表示されれば、reloadに向かってカウントダウン開始です。
C1812J_******#
C1812J_******#reload in 5
System configuration has been modified. Save? [yes/no]: n
Reload scheduled for 00:14:18 JST Thu Sep 30 2010 (in 5 minutes) by console
Reload reason: Reload Command
Proceed with reload? [confirm]
C1812J_******#
C1812J_******#
***
*** --- SHUTDOWN in 0:05:00 ---
***
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
●Reload scheduleを確認する。
# sh reloadコマンドを入力します。
# Reload scheduled for.... (in 4 minutes and 45 seconds)のように表示されますが、
カッコ内がReload scheduleとなります。reloadまであと4分45秒という意味ですね。
C1812J_******#
C1812J_******#sh reload
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 00:09:34.644 JST Thu Sep 30 2010
Reload scheduled for 00:14:19 JST Thu Sep 30 2010 (in 4 minutes and 45 seconds) by console
Reload reason: Reload Command
C1812J_******#
C1812J_******#
C1812J_******#
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
●Reload scheduleをキャンセルする。
# reload cancelコマンドを入力します。
# SHUTDOWN ABORTED が表示されれば、Reload scheduleがキャンセルに。
# 再度 sh reloadコマンドを入力し、Reload scheduleを確認します。
# No reload is scheduled. と表示されれば、Reload scheduleが存在しないことを意味します。
C1812J_******#
C1812J_******#reload cancel
C1812J_******#
***
*** --- SHUTDOWN ABORTED ---
***
C1812J_******#
C1812J_******#sh reload
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 00:10:50.029 JST Thu Sep 30 2010
No reload is scheduled.
C1812J_******#
C1812J_******#
【ACL削除・追加】昔の考えでは・・・
はじめての記事となります、今後ともよろしくお願いいたします。
それでは、手はじめにACLの削除・追加のネタについて。
よくほかのネットワークエンジニアから「不要なACLを消すためには、一旦同じGroupのすべてのACLを削除してから、必要なACLを入れなおす手順じゃないと無理だよねー。」という内容を聞いたりします。
それを聞くたびに、えっ!?と思ったりしています。
逆に運用稼動中のACL設定変更はどのようにされていたのかな?という疑問のほうが強いのですが、まさか「ACLを入れなおすので、一旦通信断が発生します。」とか、「EIGRPのneighborsが一旦切れます。」とか、エンドユーザに説明してませんよね?
確かにひと昔前までのCisco機器では、上記のような手順でしかACLの削除・追加ができませんでしたが、最近では「ip access-list extended access-list Group」というコマンドが使用できるようになりました。
この方法なら運用中のトラフィックに影響を与えずに、ACLの削除・追加が可能です。ただし、Cisco_IOSのVersionによって異なってくるので、使えるか使えないか?まずはip access-list extended でコマンドが入るか試したほうがよいですね。
やはり「不要なACLを消すためには、一旦同じGroupのすべてのACLを削除してから・・・」というの時代遅れの認識は、怖いです。
それでは、具体的な設定方法について書いて見ます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
●ACLの削除
# sh ip access-lists コマンドで、削除したいACLを確認します。
# 今回は、青部分のACLを削除していきます。
C1812J_******#sh ip access-lists
Load for five secs: 7%/0%; one minute: 2%; five minutes: 1%
Time source is NTP, 21:43:24.463 JST Thu Sep 23 2010
Standard IP access list 1
10 permit 138.244.64.0, wildcard bits 0.0.0.255 (83921 matches)
20 permit 172.16.64.0, wildcard bits 0.0.0.255 (6184 matches)
Standard IP access list 12
10 permit 138.244.64.1
Standard IP access list 23
10 permit 172.16.64.0, wildcard bits 0.0.0.255
20 permit 138.244.64.0, wildcard bits 0.0.0.255 (2 matches)
Extended IP access list 110
10 permit icmp any any
20 permit ip any 172.16.64.0 0.0.0.255
30 permit ip any 138.244.64.0 0.0.0.255
40 permit udp any 224.0.0.0 0.0.0.255
50 permit udp any any eq rip
60 permit tcp any any eq www
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# 青箇所のACLはlist Group110番なので、ip access-list extended 110 をコマンド入力
# これで、list Group110番のconfig-ext-naclに入れました。
# 次に、青箇所のACLはlist Nunberが30番なので、no 30 をコマンド入力
# 設定を終える場合は、end コマンド入力
C1812J_******#conf t
Enter configuration commands, one per line. End with CNTL/Z.
C1812J_******(config)#ip access-list extended 110
C1812J_******(config-ext-nacl)#no 30
C1812J_******(config-ext-nacl)#end
C1812J_******#
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# 再び sh ip access-lists をコマンド入力すると・・・ ちゃんと削除されていますね!
C1812J_******#sh ip access-lists
Load for five secs: 7%/0%; one minute: 2%; five minutes: 1%
Time source is NTP, 21:45:29.403 JST Thu Sep 23 2010
Standard IP access list 1
10 permit 138.244.64.0, wildcard bits 0.0.0.255 (83921 matches)
20 permit 172.16.64.0, wildcard bits 0.0.0.255 (6184 matches)
Standard IP access list 12
10 permit 138.244.64.1
Standard IP access list 23
10 permit 172.16.64.0, wildcard bits 0.0.0.255
20 permit 138.244.64.0, wildcard bits 0.0.0.255 (2 matches)
Extended IP access list 110
10 permit icmp any any
20 permit ip any 172.16.64.0 0.0.0.255
40 permit udp any 224.0.0.0 0.0.0.255
50 permit udp any any eq rip
60 permit tcp any any eq www
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ちなみに、削除した箇所に、下記の新しいACLを追加する場合を書いてみます。
permit ip any 138.246.64.0 0.0.0.255
●ACLの追加
# list Group110番にACLを入れたいので、ip access-list extended 110 をコマンド入力
# これで、list Group110番のconfig-ext-naclに入れました。
# 次に、追加したいlist Nunberが30番なので、30 permit ip any 138.246.64.0 0.0.0.255 をコマンド入力
# これで追加できました。設定を終える場合は、end コマンド入力
C1812J_******#conf t
Enter configuration commands, one per line. End with CNTL/Z.
C1812J_******(config)#ip access-list extended 110
C1812J_******(config-ext-nacl)#30 permit ip any 138.246.64.0 0.0.0.255
C1812J_******(config-ext-nacl)#end
C1812J_******#
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# 再び sh ip access-lists をコマンド入力すると・・・ ちゃんと追加されていますね!
C1812J_******#sh ip access-lists
Load for five secs: 7%/0%; one minute: 2%; five minutes: 1%
Time source is NTP, 21:47:45.422 JST Thu Sep 23 2010
Standard IP access list 1
10 permit 138.244.64.0, wildcard bits 0.0.0.255 (83921 matches)
20 permit 172.16.64.0, wildcard bits 0.0.0.255 (6184 matches)
Standard IP access list 12
10 permit 138.244.64.1
Standard IP access list 23
10 permit 172.16.64.0, wildcard bits 0.0.0.255
20 permit 138.244.64.0, wildcard bits 0.0.0.255 (2 matches)
Extended IP access list 110
10 permit icmp any any
20 permit ip any 172.16.64.0 0.0.0.255
30 permit ip any 138.246.64.0 0.0.0.255
40 permit udp any 224.0.0.0 0.0.0.255
50 permit udp any any eq rip
60 permit tcp any any eq www