ネットワークのおべんきょしませんか?

ネットワークのおべんきょしませんか?Vol.1100 Telnetのトラブル 解答と解説

カテゴリー: 2011年03月25日
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
実践的な問題と詳しい解説でCCENT/CCNA合格を目指してください!
試験に合格するだけではなく、実践的な技術を身につけられることを目的とし
て執筆しています!!
ソフトバンククリエイティブ「CISCO CCENT/CCNA問題集」
www.amazon.co.jp/exec/obidos/ASIN/4797360216/networkstudy-22/ref=nosim/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【日本語で勉強できる】
  CCIE Routing & Switching ラボ模擬試験 Vol.1
  http://www.n-study.com/library/2010/07/ccie_routing_switching_vol1.html
  CCIE Routing & Switching Trouble Shooting対策 Part1
  http://www.n-study.com/library/2010/09/ccie_routing_switching_trouble.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐
|                                                                     |
| ネットワークのおべんきょしませんか?                                |
| http://www.n-study.com/                                             |
└─────────────────────────ALL_@bout_Network─┘
2011/3/25 Vol.1100 発行部数 約30000

Back Number: http://blog.mag2.com/m/log/0000046467
有料版PREMIUM: http://www.n-study.com/premium/index.htm
広告掲載について: http://www.n-study.com/2006/12/post_1.html
WEBサイト広告掲載:http://www.n-study.com/2006/12/web.html
コンテンツ提供: http://www.n-study.com/2006/12/post_2.html

※メルマガ解除は自己責任で行ってください。発行者ではいっさい対応しませ
ん。メルマガの最後に各発行スタンドへのリンクを記載しています

┌──ALL_@bout_Network────────────────────────┐

~INDEX~

        ◆はじめに
        ◆Telnetのトラブル 【CCNP/CCIEレベル】
        ◆Dynamips/Dynagen 解説リンク
        ◆Geneが講師を担当するセミナー情報
    ◆終わりに

└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
『キーマンズネット』 http://www.n-study.com/books/2005/03/it.html
リクルートが提供するIT製品情報提供サイトです。無料で利用することができ
ます。

IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ
ーマンズネットへの登録をオススメします!
キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。
http://www.n-study.com/books/2005/03/it.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「はじめに」

こんにちは、発行者の Gene(じーん) です。

前回のTelnetのトラブルについて解答と解説をお届けします。次のような設定
ミスを仕込んでいました。


・CoPP
・VTYラインのプロトコル
・AAA


あまり細かい仕組みまでは解説していませんが、CoPPとかAAAの仕組みをしっ
かりと復習していただければ、いろいろと応用していただけると思います。

あと、前回Dynamips設定ファイルのリンクを忘れていました。

http://www.n-study.com/MM_Vol1099.net

Dynamipsの環境がある方は、一度、起動して確認していただけるとより一層理
解が深まるでしょう。


└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ネットワークインフラがかなり整ってきて、そのインフラ上でさまざまなサー
ビスやアプリケーションが提供されるようになってきています。
ネットワークのサービスやアプリケーションの最新情報をキャッチアップする
ために、日経コミュニケーションはとても役に立ちます。
いろんな企業ネットワークの構築事例も載せられていて、自分自身の技術の引
き出しを増やすのにとてもよい雑誌です。

日経コミュニケーションのご購読申し込みは下記URLから↓
http://www.n-study.com/books/2005/06/post.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「Telnetのトラブル  解答と解説 【CCNP/CCIEレベル】」

~解答~

・R1にTelnetできない理由は何ですか。

CoPPでTelnetパケットがドロップされている。また、VTYラインでTelnetが無
効化されている。さらに、AAA認証が有効になっているが、有効なメソッドリ
ストが定義されていない状態で、認証できない


・R1にTelnetできるようにするためには、どのように設定を修正すればよいで
  すか。

R1
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
policy-map Telnet
 class Telnet
    police 8000 conform-action transmit
!
line vty 0 4
 transport input telnet
!
aaa authentication login default line
!
line vty 0 4
 password cisco
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


~ワンポイント~

・CoPPによってコントロールプレーンで処理するパケットを制御できる
・VTYライン上でtransport inputコマンドによって、VTYラインで利用するプ
  ロトコルを指定できる
・AAAを有効にすると、Telnetアクセスに対して自動的にdefaultの認証メソッ
  ドリストが適用される


~解説~

通常のIP通信はできるけど、Telnetができないというトラブルです。今回の問
題では、次の3点について設定ミスがあります。

・CoPP
・VTYラインのプロトコル
・AAA認証


【CoPP】

CoPP(Control Plane Policing)によって、ルータのコントロールプレーンで処
理するパケットを制御することができます。CoPPは、DoS攻撃の対策として利
用することができます。ルータあての不正なICMPパケットをポリシングして、
DoS攻撃の影響を限定することができます。R1では、Telnetパケットを制御す
るためのCoPPの設定が行われています。CoPPの設定を確認するために、
show plolicy-map control-palneコマンドを利用します。また、関連してshow policy-map、
show class-map、show access-listを確認すると、以下のような出力になりま
す。


R1 show policy-map control-plane/show policy-map/show class-map/show access-list
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1#show policy-map control-plane 
 Control Plane 

  Service-policy input: Telnet

    Class-map: Telnet (match-all)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: access-group 100
      police:
          cir 8000 bps, bc 1500 bytes
        conformed 0 packets, 0 bytes; actions:
          drop 
        exceeded 0 packets, 0 bytes; actions:
          drop 
        conformed 0 bps, exceed 0 bps

    Class-map: class-default (match-any)
      267 packets, 30071 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any 
     5 minute offered rate 0 bps, drop rate 0 bps
      Match: any 
R1#show policy-map
  Policy Map Telnet
    Class Telnet
     police cir 8000 bc 1500
       conform-action drop 
       exceed-action drop 
R1#show class-map 
 Class Map match-all Telnet (id 1)
   Match access-group  100 

 Class Map match-any class-default (id 0)
   Match any 

R1#show access-lists 
Extended IP access list 100
    10 permit tcp any any eq telnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


コントロールプレーンでTelnetパケットを8000pps(packet per second)に制限
しようとしていますが、conform-action を drop にしています。これでは、
すべてのTelnetパケットが drop されてしまいコントロールプレーンでTelnet
パケットを処理することができません。これを解消するために、CoPPで適用し
ているポリシーマップ「Telnet」を以下のように変更します。


R1
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
policy-map Telnet
 class Telnet
    police 8000 conform-action transmit
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


【VTYラインのプロトコル】

CoPPの設定を修正したあと、R2からR1へTelnetすると、次のようなログになり
ます。


R2 R1へTelnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R2#telnet 192.168.0.1
Trying 192.168.0.1 ... 
% Connection refused by remote host
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


CoPPでTelnetパケットがdropされているときには、単純にタイムアウトしてい
ました。CoPPの設定を修正すると、「% Connection refused by remote host」
となり、R1でTelnetアクセスを拒絶していることがわかります。そこで、R1で
line vtyの設定を確認すると、次のようになっています。


R1 show running-config | section line vty
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1#show running-config | section line vty
line vty 0 4
 transport input none
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


VTYラインにtransport input noneが設定されているため、VTYアクセスがすべ
て無効化されています。Telnetアクセスを受け入れるためには、次のように設
定を修正します。


R1 VTYラインでTelnetを有効化
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
line vty 0 4
 transport input telnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━



【AAA認証】

VTYラインでTelnetを有効化したあと、再びR2からR1へTelnetします。


R2 R1へTelnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R2#telnet 192.168.0.1
Trying 192.168.0.1 ... Open


User Access Verification

Username: 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


すると、R2からR1へTelnetできていますが、認証が求められています。そこで、
あらためてR1の設定を確認します。


R1 認証の設定確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1#show running-config | include aaa
aaa new-model
aaa session-id common
line vty 0 4
 transport input telnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


R1では、AAAが有効化されています。VTYラインには特に認証メソッドリストが
適用されていません。つまり、defaultの認証メソッドリストが有効です。と
ころがdefaultの認証メソッドリストが定義されていないため、Telnetアクセ
スの認証を行うことができません。VTYラインでのAAA認証ができるように設定
しなければいけません。今回はdefaultの認証メソッドリストを定義します。
認証メソッドはVTYラインのパスワードを利用するものとして、VTYラインパス
ワード「cisco」を設定します。


R1 VTYラインのAAA認証の設定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
aaa authentication login default line
!
line vty 0 4
 password cisco
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


そして、R2からR1へのTelnetを確認すると、次のようになります。


R2 R1へTelnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R2#telnet 192.168.0.1
Trying 192.168.0.1 ... Open


User Access Verification

Password: 

R1>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


【設定ミスのまとめ】

R1にTelnetができなかった設定ミスをまとめたものが次の図です。

http://www.n-study.com/network/image/telnet_trouble02.html
図 Telnetのトラブル 設定ミス


└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
10年前、Geneはネットワーク技術のことをまったく知らない状態でした。2000
年5月の創刊号からずっと日経NETWORKを購読して、最初の一年は日経NETWORK
を繰り返し読んで、それをベースにWebサイトなどを調べて勉強していきました。

          「ネットワーク技術の勉強したい!!!」

という方には、日経NETWORKを購読して「繰り返し読む」ということをオスス
メします。

日経NETWORKの詳細とご購読は下記URLから。
http://www.n-study.com/books/2005/06/network.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐

  「Dynamips/Dynagen 解説リンク」
    http://www.n-study.com/network/dynamipsdynagen/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamipsでエミュレートするために必要なソフトウェアと要求スペック
  http://www.n-study.com/network/2010/06/dynamips_1.html

~必要なソフトウェア~

Dynamips/Dynagenでエミュレートするために必要なソフトウェアは次の通りで
す。

・Dynamips
・Dynagen
・WinPcap
・Cisco IOS

Dynamips/Dynageのインストールファイル入手先
http://sourceforge.net/projects/dyna-gen/files/

WinPcapのインストールファイル入手先
http://www.winpcap.org/install/default.htm

個人でIOSを入手するには、オークションなどで中古のルータを購入すること
ば一番手っ取り早いです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamips/Dynagenのインストール手順
  http://www.n-study.com/network/2010/06/dynamipsdynagen_1.html

Dynamips/Dynagenのインストールは、

1.Dynamips/Dynagenのインストール
2.WinPcapのインストール

を行います。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamips/Dynagenの起動手順
  http://www.n-study.com/network/2010/06/dynamipsdynagen_2.html

Dynamips/DynagenによってCiscoルータのネットワーク構成をエミュレートす
る手順は次の通りです。

1.IOSの準備
2.Dynagen設定ファイル(.netファイル)の作成
3.Dynampisの起動
4.ルータへ接続

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynagen設定ファイルの記述
  http://www.n-study.com/network/2010/06/dynagen.html

ここでは、Dynagen設定ファイル(.netファイル)の記述について解説します。
先にも触れたように、.netファイルにはエミュレートするネットワーク構成の
情報を記述します。起動手順で編集したsimple1_c3640.netを例にして、Dynagen
設定ファイルについて解説します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynagen設定ファイルの記述(続き)
  http://www.n-study.com/network/2010/06/dynagen_1.html

~ブリッジ接続~

ルータのイーサネットインタフェースを同一ネットワークとみなすブリッジ接
続を行うことができます。そのために、インタフェースの接続状況の部分に「LAN」
というキーワードを使います。
R1のFa0/0とR2のFa0/0を同一ネットワークとみなすブリッジ接続の記述例は次
のようになります。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynagenの主なコマンド
  http://www.n-study.com/network/2010/06/dynagen_2.html

Dynagen上でエミュレートしているルータの管理を行うことができます。次の
表は、Dynagenで利用できる主なコマンドをまとめたものです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamipsでエミュレートするルータの設定管理
  http://www.n-study.com/network/2010/07/dynamips_2.html

Dynamipsでエミュレートしているルータを起動すると、ハードディスクにルー
タのNVRAMやフラッシュ用のファイルが生成されます。

・NVRAM:[ルータモデル]_[ルータ名]_nvram
・フラッシュ: [ルータモデル]_[ルータ名]_disk0
 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamips パフォーマンスの調整 その1
  http://www.n-study.com/network/2010/07/dynamips_1_1.html

ルータ数台程度のエミュレートであれば特に意識する必要はありませんが、
CCIEラボ試験レベルの検証環境を作るときにはパフォーマンスの調整が必要で
す。主なパフォーマンスの調整について解説します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamips パフォーマンスの調整 その2
  http://www.n-study.com/network/2010/07/dynamips_2_1.html

~プロセスの分散化~

1つのDynamipsプロセスでたくさんの仮想ルータを稼働させると、適切なidlepc
値を指定していてもCPU負荷が高くなり、設定のレスポンスが悪くなります。
また、シリアルインタフェースがフラッピングしたり、EIGRPネイバーがフラ
ッピングするなどの影響が出てきます。
そのような場合、複数のDynamipsプロセスを起動して、仮想ルータを複数のプ
ロセスに分散して稼働させると、CPU負荷を低下させることができます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・DynamipsでCCIEラボ試験の勉強を快適に行うためのオススメPC
  http://www.n-study.com/network/2010/07/dynamipscciepc.html

~CCIE Routing & Switchingラボ試験の機器~

CCIEラボ試験で利用する機器は、次の通りです。

・Trouble Shooting
  ルータ30台程度 
・Configuration
  ルータ:5台 + 3台(バックボーン)
  スイッチ:4台

※ Trouble Shootingは、実機ではなくエミュレータでネットワーク構成を作
   っているようです。

Trouble Shootingでは、ルータ30台全部に関わるような条件はありません。
Trouble Shootingの問題は、それぞれせいぜいルータ3~4台程度が関連してい
るぐらいです。そのため、30台ものルータでネットワークを構成して、検証を
行う必要はありません。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamips 設定の管理と検証の中断・再開についての動画解説
  http://www.n-study.com/network/2010/07/dynamips_3.html

Dynamips/Dynagenでルータをエミュレートしているとき、ルータの設定をどの
ように管理しているかについて解説をあまり見たことがありません。そして、
検証を中断・再開するための方法についての解説も見かけたことがありません
でした。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・Dynamips パフォーマンス調整についての動画解説
  http://www.n-study.com/network/2010/07/dynamips_4.html

Dynamips/Dynagenでたくさんのルータをエミュレートするときには、適切なパ
フォーマンス調整を行うことがポイントです。パフォーマンス調整しないと10
台以上の検証環境を作ることはとても難しくなってしまいます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
『キーマンズネット』 http://www.n-study.com/books/2005/03/it.html
リクルートが提供するIT製品情報提供サイトです。無料で利用することができ
ます。

IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ
ーマンズネットへの登録をオススメします!
キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。
http://www.n-study.com/books/2005/03/it.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
たまにはシティーホテルでのんびり過ごしたいなぁって言う方は
一休ドットコムの高級ホテル・旅館の予約
≪ http://www.n-study.com/ikkyu/ ≫ 

 ホテル体験レポートもありますよ!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「終わりに」

夏になると、計画停電の範囲が広くなることが予想されていますね。1000万KW
以上の電力が足りなくなるそうです。電力不足に対応するためには、電力のピ
ークシフトが重要です。日中や夕方のピークの電力消費を他の時間帯に移せれ
ば、いまの電力供給能力でも相当程度まかなえると思います。
政府はとっくに検討していると思いますが、一部の企業の操業日を土日にする
などの対策を早く明確にして欲しいです。

└─────────────────────────ALL_@bout_Network─┘


                    ★ご購読ありがとうございました★
┌──ALL_@bout_Network────────────────────────┐
|                                                                     |
|WRITTEN BY:Engineer Support info@n-study.com                        |
|WEB PAGE :http://www.n-study.com/                                   |
|                                                                     |
| Copyright(C) 2010 Engineer Support All Rights Reserved             |
|                                                                     |
|このメールマガジンは以下のシステムを利用して発行しています。解除、メ |
|ールアドレス変更は以下のリンクからご自分で行ってください。代行は行い |
|ません。                                                             |
|なお、このメールマガジンの内容について、いかなる損害が生じても補償を |
|することはできません。記載されている情報は、読者の方々の各自のご判断 |
|でご利用ください。                                                   |
|                                                                     |
|◆めろんぱん http://www.melonpan.net/                                |
| http://www.melonpan.net/melonpa/mag-detail.php3?mag_id=000105       |
|◆インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/          |
| http://www.mag2.com/m/0000046467.htm                                |
|◆総合メールマガジンポータルサイト melma! http://www.melma.com       |
| http://www.melma.com/mag/01/m00017301/                              |
|◆E-Magazine                                                         |
| http://www.emaga.com/info/gene.html                                 |
|                                                                     |
└─────────────────────────ALL_@bout_Network─┘

ネットワークのおべんきょしませんか?

発行周期: 週3回程度 最新号:  2019/03/15 部数:  10,621部

ついでに読みたい

ネットワークのおべんきょしませんか?

発行周期:  週3回程度 最新号:  2019/03/15 部数:  10,621部

他のメルマガを読む