この記事は
http://blog.feasible-lab.com/ccie-recertify/
に移動しました。
5.20.2014
11.25.2013
ASAにおけるACLの挿入
結論:line numberを上書きでOK
特にどこかに明確に記述されていなかったので備忘。
ASA8.6で試しています(確か・・・)
ASAでextendedのACLを投入することはよくあると思いますが、router, switchと違って、seqナンバーでの整理ではなく、lineナンバーで記述されています。
例えばrouter/switch(r&s)の場合だとshow access-listsを叩くと以下のように表示されます。
Extended IP access list TEST
10 permit ip 192.168.1.0 255.255.255.0 any (400 matches)
20 deny ip any any (99186 matches)
上の例で何かのpermit条件をACL TESTに入れたい場合は、seq番号の20以下のどこかに投入していくことになります。
例えば、192.168.1.0/24のうち、192.168.1.1だけはdenyしたいといった要件の場合、seq10の前にまずhostで192.168.1.1を拒否するACLを入れる事になります。
(config)#ip access ext TEST
(config-ext-nacl)#9 deny ip host 192.168.1.1 any
これを入れると
Extended IP access list TEST
9 deny ip host 192.168.1.1 any
10 permit ip 192.168.1.0 255.255.255.0 any (400 matches)
20 deny ip any any (99186 matches)
このときに例えば、seq 10の部分に何かを投入しようとすると、
(config-ext-nacl)#10 per udp host 172.16.1.1 any eq domain
% Duplicate sequence number
「seqがかぶってるよ」とはじかれてしまいます。
ところがASAの場合は、こうではありません。
同じようにASAでshow access-listを叩くとこんな具合で表示されます。
access-list TEST line 1 extended permit ip 192.168.1.0 255.255.255.0 any
access-list TEST line 2 extended deny ip any any
seq番号の代わりにline番号となり、間が詰まっています。
この場合にr&sの感覚で192.168.1.1のみを拒否する設定を入れたいと思うと、line番号が詰まっているので投入できないと思ってしまいますが、ASAの場合は、line番号を上書きで対処できます。
(config)#access-list TEST line 1 extended deny ip host 192.168.1.1 any
show access-listを確認してみます。
access-list TEST line 1 extended deny ip host 192.168.1.1 any
access-list TEST line 2 extended permit ip 192.168.1.0 255.255.255.0 any
access-list TEST line 3 extended deny ip any any
つまり、ASAの場合はr&sと違ってline番号にACLを挿入できるということになります。さらに言うと、line番号をかなりの老番で設定したとしても、勝手に続き番号に変更されてしまうので、あまり意味がありません。
例えば
access-list TEST line 100 extended deny ip any any
これを投入していたとしても、line番号は勝手に2だとか3だとかに変えられてしまいます。
こういったベースの概念は統一してほしいところですが、まあなかなか難しいんでしょうかね。
8.03.2013
MacユーザのためのGNS3設定 CCIE学習お役立ちトポロジの共有
はじめに
トポロジを見ただけで嫌な気分がよみがえるんだけど・・・
CIERS1,2を受講した人は同じ気分になるんじゃないかな。
トポロジファイルを共有するので、ご自由にお使いください。
前回までの記事をまだごらんになっていない方は、前回までの記事をごらんいただいた方が理解がいいと思います。
MacユーザのためのGNS3(Dynamips)設定方法 基本編
MacユーザのためのGNS3設定 トポロジ構築編
CIERSってなに?
CIERS1, CIERS2という名の地獄の10日間研修というのが、同時申し込みで100万いかないくらい(だったと思う)でCiscoから提供されている。
CIERS1はぶっちゃけ講義があるのでたいしたストレスではないんだけど、CIERS2っていうのは本当に地獄で、毎日8時間みっちりCCIE本番試験に近しい試験を5日間連続で行う。
接続環境は米国にあって、インターネットでその環境にアクセスし、試験問題に応じた設定を行ってプログラムが自動採点するという試験を毎日繰り返す。
与えられた8時間の設定が完了した後は、接続環境を提供してもらえる限りの復習を行う。復習は自分の裁量で行うものなので、別にやらなくてもいいんだけど、研修中の試験ではなかなかいいスコアが取れない(人が多いと思う)ので、復習しないと全く意味がない研修になってしまう。
CIERS研修の中身って
このトポロジは天地無双の構えみたいになっていて、このトポロジを基本として様々な難問奇問が繰り出される。
だいたいBB1とかBB2がBGPあたりの設問で意地悪をしてくるっていうのがAssessmentあるあるなんだけど、BB1は設定情報を覗き見ることはできなくって、普通にピアを張ろうとすると張れないから一回debugかけて吐いてるアトリビュートとかエラーとか見て、それからBBに合わせた設定を自ルータに投入しーのでピアを張るみたいな、一筋縄ではいかないみたいな問題がおおい。
僕は自分で自分のことをルータconfiguration geekだと思っていたんだけど、この研修は本当にメンタルを攻められたし、自分がconfiguration geekじゃないなって謙虚に再認識させられた。
毎日CCIE認定への距離を眼前に突きつけられながら、「何言ってだこいつ」的問題と向き合い続けなければならないのだ。自信があればあるほど、折られた心を元に戻すのは大変なものだ。
研修自体は非常に役立つと思うし、研修を受けると特別なページから50題くらいのエクストラアセスメントみたいなのをダウンロードしたりできるので、受けさせてもらえる人は受けた方がいいと思う。
このトポロジ
実際の物理構成はSW1-4の部分がCatalyst 3560だったりするんだけど、GNS3ではシミュレートできないので、3640ルータにスイッチシミュレートモジュールを搭載して近しい環境を再現している。
トポロジは全く同じではないので、著作権を侵害するということはないと思うんだけど(問題あったらご指摘ください)、CIERSのAssessmentで出される問題は残念ながら公開できないので、研修を受けてもらうか、ベストフレンドの問題集を覗き見するか、google先生にどうすればいいか聞いてもらうかしかない。
ダウンロード
IOSは、ZIPを展開してできる同一ディレクトリ内のIOSフォルダに配置してください。
https://dl.dropboxusercontent.com/u/7808728/practice_topology.zip
CCIE RnSを目指す人のバイブル的ガイドのKindle版が発売されたみたい。
ここ数年でいい時代になったなあ。
製本版よりかなり安いし!!orz
8.02.2013
8.01.2013
7.31.2013
7.30.2013
7.29.2013
7.28.2013
7.24.2013
6.09.2013
12.05.2012
12.04.2012
11.27.2012
11.24.2012
11.19.2012
11.17.2012
11.16.2012
11.11.2012
11.06.2012
Cisco IOSを読み解く!その2
CiscoのIOSは、一見すると非常にわかりにくい表記になっています。
IOSのバージョンを選ぶ際など、結局書かれている数字やアルファベットの意味が分からず、とりあえずカレントバージョンでOKですと言ってしまいがちですが、見方をおぼえておいて損はないと思いますので、覚えておいたほうがいいでしょう。
前回はバージョン12.4以前について解説しましたので、今回はバージョン15.0以降について解説します。
登録:
投稿 (Atom)