RIPv2の自動経路集約(Auto Summary)について

RIPv2の動作検証をしていた際に想定と違う動作をしたため
その時に調べた内容や検証した内容についてのメモです。

概要

RIPv2はデフォルトで自動経路集約(Auto Summary)が有効になっているが、
ある条件の経路については集約されなかった。

ざっくり構成図

各機器Config

router1

router2#sh run
interface GigabitEthernet0
ip address 172.16.1.1 255.255.255.0

interface Vlan11
ip address 10.1.1.254 255.255.255.0
!
interface Vlan12
ip address 10.1.2.254 255.255.255.0
!
interface Vlan172
ip address 172.16.2.254 255.255.255.0
!
interface Vlan173
ip address 172.16.3.254 255.255.255.0
!
interface Vlan191
ip address 192.168.1.254 255.255.255.240

router rip
version 2
redistribute connected
network 172.16.0.0

router2

router2#sh run
interface GigabitEthernet0
ip address 172.16.1.2 255.255.255.0

router rip
version 2
network 172.16.0.0

各機器ルーティングテーブル

router1

router1#sh ip route
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.1.1.0/24 is directly connected, Vlan11
L 10.1.1.254/32 is directly connected, Vlan11
C 10.1.2.0/24 is directly connected, Vlan12
L 10.1.2.254/32 is directly connected, Vlan12
172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
C 172.16.1.0/24 is directly connected, GigabitEthernet0
L 172.16.1.1/32 is directly connected, GigabitEthernet0
C 172.16.2.0/24 is directly connected, Vlan172
L 172.16.2.254/32 is directly connected, Vlan172
C 172.16.3.0/24 is directly connected, Vlan173
L 172.16.3.254/32 is directly connected, Vlan173
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.240/28 is directly connected, Vlan191
L 192.168.1.254/32 is directly connected, Vlan191

router2

router2#sh ip route
R 10.0.0.0/8 [120/1] via 172.16.1.1, 00:00:04, GigabitEthernet0
172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
C 172.16.1.0/24 is directly connected, GigabitEthernet0
L 172.16.1.2/32 is directly connected, GigabitEthernet0
R 172.16.2.0/24 [120/1] via 172.16.1.1, 00:00:04, GigabitEthernet0
R 172.16.3.0/24 [120/1] via 172.16.1.1, 00:00:04, GigabitEthernet0
R 192.168.1.0/24 [120/1] via 172.16.1.1, 00:00:04, GigabitEthernet0

10.x.x.xと192.168.1.xについては経路集約されているが、
172.16.2.0と172.16.3.0は経路集約がされなかった。
この動作についてはCiscoのドキュメントにて説明されている
https://www.cisco.com/c/dam/global/ja_jp/td/docs/ios-xml/ios/iproute_rip/configuration/xe-16/irr-xe-16-book.pdf

RIP Version 2 は、デフォルトで自動ルート集約をサポートしています。クラスフル ネットワーク
境界を越えるとき、サブプレフィックスはクラスフル ネットワーク境界に集約されます。

クラスレス、クラスフルとは

クラスレスネットワーク:先頭3ビットでネットワーク部とホスト部を区別する
クラスフルネットワーク:CIDR表記(IPアドレス/サブネットマスクの1個数)でネットワーク部とホスト部を区別する

debugログ

debugログを見ても172.16.2.0と172.16.3.0は経路集約されずに広告/学習されています。
広告学習するI/Fと同一クラスフルネットワーク内のルートについては
経路集約されていないことがわかりました。
router1#
*May 4 10:44:53.699: RIP: sending v2 update to 224.0.0.9 via GigabitEthernet0 (172.16.1.1)
*May 4 10:44:53.699: RIP: build update entries
*May 4 10:44:53.699: 10.0.0.0/8 via 0.0.0.0, metric 1, tag 0
*May 4 10:44:53.699: 172.16.2.0/24 via 0.0.0.0, metric 1, tag 0
*May 4 10:44:53.699: 172.16.3.0/24 via 0.0.0.0, metric 1, tag 0
*May 4 10:44:53.699: 192.168.1.0/24 via 0.0.0.0, metric 1, tag 0
router2#
*May 4 08:54:47.099: RIP: received v2 update from 172.16.1.1 on GigabitEthernet0
*May 4 08:54:47.099: 10.0.0.0/8 via 0.0.0.0 in 1 hops
*May 4 08:54:47.099: 172.16.2.0/24 via 0.0.0.0 in 1 hops
*May 4 08:54:47.099: 172.16.3.0/24 via 0.0.0.0 in 1 hops
*May 4 08:54:47.099: 192.168.1.0/24 via 0.0.0.0 in 1 hops

結論

RIPv2がRIPデータベースのクラスフル境界内に複数のサブプレフィックスを持ち、
同じクラスフル境界内のサブプレフィックスを所有するインターフェイスからアップデートを送信する場合、
RIPv2は自動経路集約(Auto Summary)を実行しません。

(Cisco)ルータのACLでステートフルインスペクション

何をするか

CiscoルータのACLでステートフルインスペクションを機能させて
FWっぽい動きをさせる。
↓ざっくり構成図

ステートフルインスペクションとは

 発信側のパケットをルータ(又はFW)で記憶して
 対応する戻りの通信の通過を動的に許可する仕組みのことです。
 FWではこの機能を標準搭載しています。

続きを読む

(Cisco)DHCPで払い出されたIPv6アドレスでIPSecVPNを張る

何をするか

IPv6アドレスを使用してサイトA-B間でVPNを張る。
↓ざっくり構成図

前提条件

 ・アドレス払い出しの方式はDHCP
 ・ピア1のIP
      2001:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA
 ・ピア2のIP
  2001:BBBB:BBBB:BBBB:BBBB:BBBB:BBBB:BBBB
※デフォから変更する項目を中心に記載してます。

続きを読む

Cisco機器の基本コマンド

本記事は下記の記事を見ている事が前提です

機器にコンフィグを設定する際の必須コマンド

※ルータ、スイッチ共通

・コンフィグを設定出来るモードへ移行
 Router> enable ← 特権モードへ移行
 Router# configure terminal ← グローバルコンフィグレーションモードへ移行

・特権モードへ戻る
 Router(config)# end

・現在のコンフィグ(running-config)を確認
 Router> enable ← 特権モードへ移行
 Router# show running-config ← 現在のコンフィグを確認

・設定を保存
 Router# copy running-config startup-config
 Destination filename [startup-config]? ← Enterキーを押下

・機器の初期化
 Router# erase startup-config
 Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] ← Enterキーを押下
 Router# reload
 System configuration has been modified. Save? [yes/no]:no ← running-configをstartup-configに保存するか聞かれる
 Proceed With reload? [confirm] ← Enterキーを押下

エラーメッセージについて

・% Ambiguous command:
 その文字から始まるコマンドが複数あるので、どのコマンドか判断出来ません。

・% Invalid input detected at ‘^’ marker.
 「^」のところで入力間違いをしています。または、そのモードで使用できないコマンドです。

・% Incomplete command.
 コマンドの入力が不完全です。引数が足りていない可能性があります。

tips(お役立ち事項)

・Tab補完機能
 「configure terminal」をフルスペルで入力するのは面倒だと思います。
 そんな時にキーボード「Tabキー」を使って補完出来ます。
 Router# con ← Tabキーを押下
 Router# configure ← 補完される
 Router# configure t ← Tabキーを押下
 Router# configure terminal ← 補完される

・省略機能
 「configure terminal」は「conf t」と省略して入力できます。
 他にもありますのでよく使うコマンドは覚えておきましょう。
 en ← enable
 sh run ← show running-config
 erase start ← erase startup-config

・ヘルプ機能
 コマンドを全部覚えるのはかなり大変です。
 コマンドがわからないときは「?」を入力しEnterキーを押下すると使用可能なコマンドが表示されます。
 使用できるコマンドの一覧が表示されます。
 Router#? ← 「?」だけを入力してEnterキーを押下
 Exec commands:
 access-enable Create a temporary Access-List entry
 access-profile Apply user-profile to interface
 access-template Create a temporary Access-List entry
 bfe For manual emergency modes setting
 cd Change current directory
  …

 Router#show ? ← 「show ?」と入力してEnterキーを押下
 access-expression List access expression
 access-lists List access lists
 accounting Accounting data for active sessions
 adjacency Adjacent nodes
 aliases Display alias commands
  …

Cisco機器の基本

ここではルーターとスイッチを中心に説明します。

■必須アイテム
・コンソールケーブル
 Cisco機器を始めとするネットワーク機器にはコンソールポートと呼ばれるポートがあり、初期の状態からは専用のケーブルを接続し機器の操作を行います。
 水色のところがコンソールポート↓

 水色のケーブルです。Amazonで買えます。

・ターミナルソフト
 Tera Term等のソフトをPCにインストールしましょう。
 コンフィグ(設定)が入っていない状態からの操作は
 基本的に下記のように接続して操作を行います。

■ルーターとスイッチの違い
・ルーター
 IPアドレス(L3)で通信
・スイッチ
 MACアドレス(L2)で通信
 スイッチにはL3,4スイッチ等もありますが、
 スイッチ=L2スイッチを指すことが多いです。

■初回起動時
下記のようなメッセージが出力されます。
—-
please answer ‘yes’ or ‘no’.
would you like to enter the initial configuration dialog? [yes/no] :
—-
これは、コンフィグ(設定)が入っていないけど初期設定を対話形式でやる?
といったメッセージなので「no」を入力し「Enter」
コマンドを入力してコンフィグを入れていくのが一般的です。

■モード
Cisco機器の操作の際にはモードと呼ばれる概念があり
モードによって使用できるコマンドが変わります。

[]内にはプロンプトを表示しています。
プロンプト:コマンドが入力可能な状態の時に表示される文字
・ユーザモード[>]
 基本的な動作確認を行うモード。
・特権モード[#]
 管理者が動作確認、設定確認を行うモード。
・グローバルコンフィグレーションモード[(config)#]
 機器の設定を行うモード。下3つのモードに昇格するには
 まずこのモードに入る必要がある。
・インタフェースコンフィグレーションモード[(config-if)#]
 IPアドレス等のインタフェースに関連する設定を行うモード。
・ラインコンフィグレーションモード[(config-line)#]
 コンソールやtelnet等の機器接続に関連する設定を行うモード。
・ルータコンフィグレーションモード[(config-router)#]
 ルーティングプロトコルに関連する設定を行うモード。

■メモリの種類
Cisco機器は下記の4種類のメモリで構成されています。
それぞれの役割を理解していないと、
「頑張ってコンフィグ作ったのに設定が消えた…。」
なんて事になってしまいます。

・ROM
 読み込み専用のメモリで削除不可です。下記の3つが入っています。
 POST:起動時にハードウェアの診断を行う。
 ブートストラップ:起動時にIOS(CiscoのOS)を読み込む。
 ROMMON:パスワード忘れ等のトラブルが発生した時用。
・RAM(running-config)
 現在の設定情報が入っています。電源OFFで消えてしまいます。
・NVRAM(startup-config、コンフィグレーションレジスタ)
 startup-config:起動時はここの設定を読み込みます。
 コンフィグレーションレジスタ:起動モードを決める値。
・flashメモリ(IOS、vlan.dat)
 IOS:CiscoのOS。
 vlan.dat:VLANの情報が入ったデータベース。
 

Ciscoってなんですか?

Ciscoの概要

 ネットワーク機器の開発を行っている海外のメーカーです。
 有名な製品としてはルーターやスイッチなどがあり、
 Cisco社製の機器はCisco機器と呼ばれたりもします。
 

Cisco社の資格について

 Cisco社はネットワーク分野の資格試験を実施しており
 業界内での認知度も非常に高いです。資格の所持は
 スキルの証明にもなるので是非取得を目指しましょう。