タグ : ios

Ansibleのnetwork moduleを使ってCisco IOS機器を制御する

ansible-thumbnail

複数台のCisco IOSルータから定期的にコマンドを取得する必要があったので、せっかくなのでAnsibleを使って制御してみました。

Ansibleは標準で多くのネットワーク機器をサポート

Ansible 2.0から多くのNetwork Moduleに対応しています。

Network Modules — Ansible Documentation

CiscoはもちろんJuniperやArista、F5などなど一般的なベンダーは一通りサポートしています。

数台の機器であれば、がんばって1台ずつ設定するのもアリですが、数十台、数百台の設定となるとこれはもう機械的にやった方が楽ですし間違いも起きないので、コードを書くことが苦手なインフラエンジニアも覚えておいて損はないと思います。

続きを読む

Cisco IOSで間違いやすい設定トップ10

medium_5496629643

Cisco IOSで間違いやすい設定トップ10という記事がありました。

Top 10 Cisco IOS Configuration Mistakes

個人的には書かれているものよりも、もっと他にも間違えるポイントあんじゃね?とか思ったりしましたが、ご参考までにご紹介。

  1. Password Verification

    1位はパスワードに間違い。確かにあるある-。

    IOSでパスワード設定を間違えてしまう大きな原因は、パスワード設定をする際に再入力処理がないから。

  2. Wildcard Masks

    2位はワイルドカードマスク。
    OSPFのNetworkコマンドやACLの設定はは、サブネットマスクではなくてワイルドカードマスクで設定するのですが、確かにたまに間違えるわ。

  3. Clock Rate vs Bandwidth

    3位はClock Rate 設定と Bandwidth設定を混同してしまう間違い。

    Clock Rateはインタフェースの物理速度を設定する場合に使いますが、Bandwidthはルーティングのメトリック計算やインタフェースの統計上なんかに使用されます。

  4. Telnet vs SSH

    4位はTelnetとSSHの違いを認識していないことらしい。

    「セキュリティを考慮しないで、Telnetを使い続けている場合が多いので、SSHを使うようにしてください」だそうです。

    個人的には、TelnetとSSHは理解した上で使い分けているんじゃないかなぁと思うので、4位というのは少し意外。

  5. Ethernet Duplex
    5位はイーサネットとDuplexについて。

    あるわー、これはあるわぁ。

    基本的にはDuplex Autoなので、気にしなくても繋がりますが、相手がStaticに設定していたりするとうまく繋がらないなんてことよくあります。

    オートネゴシエーションについて

  6. Process-ID vs Autonomous System Number

    OSPFのプロセスIDとEIGRPのASNは混同しがちらしい。

    個人的にEIGRPなんて、ほとんど使ったこと無いのであまり現実味ないっす。

  7. EIGRP Auto-Summary

    7位もEIGRP関連の間違い。

    IOS Version 15よりも前のVersionでEIGRPを設定すると、デフォルトでAuto-Summaryが有効だったらしいですが、Version 15からはデフォルト無効に変更されてようで、よく間違えるんだそうで。

  8. Split Horizon

    8位はスプリットホライズンのよくある間違い。

    スプリットホライズンの動きを理解しないで、マルチポイントネットワークの設計をすると嵌まりますよと。

    スプリットホライズンについて

  9. Simple Management Network Protocol (SNMP) Communities

    9位はSNMP communitiesに関すること。

    確かにSNMPのcommunitiesをデフォルトのpublicのまま運用していることってありますなぁ。

    セキュリティに観点から考えるとありえない運用ですね。

  10. Switchport Security

    そして10位がSwitchportセキュリティについて。

    インタフェースにSwitchport設定をすると、デフォルトは「1」が設定されるので、セキュリティ気をつけてねということらしい。

Cisco IOSでSkypeを遮断する設定例

Cisco IOSを使って、Skypeプロトコルを遮断するPolicy-mapの記述例がありましたので個人的メモ。

Broadband Traffic Management: How to Block Skype in Cisco Routers?

すぐに試せる環境がないのですが、試してみた方はぜひUpdateお願いします−。