悪用厳禁 NMAP 使用例

■■注意■■

他者・他社・他組織に対するポートスキャンなどで得た情報を元に侵入を試みたり第三者に提供すると違法となり罪に問われる可能性があります

 

 

NMAP

 ネットワークの調査や監査などに使用するツールの事です。ネットワーク上の利用可能なホストやホストが実行しているOS名とバージョンを確認するなど、ネットワークの状況をリモートからもスキャンできます。

 

 nmapの代表的な使用方法に、ポートスキャンがあります。

 

例えば、「nmap target」コマンドではターゲットのホスト上にある1660個近くのTCPポートをすべてスキャンする。そして、ポートの状態をopen(開いている)やclosed(閉じている)、filtered(フィルタリングされている)など6種類に分類し、一覧表示します。

 

 nmapには、ファイアウォールやIDSをすり抜ける機能やステルススキャン機能などが搭載されています。これらはセキュリティ機器が正常に稼働しているかどうかを確認する目的で使用するとされていますが、悪用の危険性も指摘されています。

ポートスキャンの状態

ここでは主にopenとcloseを取り上げます。

open
このポートでは、アプリケーションがTCPコネクションやUDPパケットをアクティブに受け入れています。多くの場合、ポートスキャンの第一の目的は、この種のポートを見つけることであり、openポートが攻撃者の通り道になること意味しています。

攻撃者は、このopenポートの弱点を突こうとする一方で、管理者は正規ユーザの利用を妨げることなく、これらのポートをファイアウォールで閉じたり防御したりしようとします。また、Openポートを見ると、ネットワーク上で利用可能なサービスが何かわかるようになっています。

 

closed
closed(閉じた)ポートは、あるIPアドレスでホストが稼動中であることを確認する場合(ホスト発見やpingスキャン)や、OS検出の一環として役に立つ場合もあります。closedポートは到達可能なので、後にその一部が開放された場合は、スキャンの対象になる可能性があります。管理者がこの種のポートもファイアウォールでブロックすることを検討する場合もあります。

 

実行例

ポートスキャン時によく使うオプションは以下の通りです。

 

以下は192.168..3.10に対してTCPポート番号79-80をスキャンした場合の例です。

C:\Users\>nmap -p 79-80 192.168.3.10
Nmap scan report for 192.168.3.10
Host is up (0.00s latency).

PORT   STATE  SERVICE
79/tcp closed finger
80/tcp closed http

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

C:\Users\>

79番も80番も閉じています。

 

次に192.168.3.10に対してUDPポート番号52,53をスキャンした場合の例です。


C:\Users>nmap -p 52,53 192.168.3.10
Nmap scan report for 192.168.3.10
Host is up (0.00s latency).

PORT   STATE  SERVICE
52/tcp closed xns-time
53/tcp closed domain

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

C:\Users\>

52番も53番も閉じています。

 

TCPUDP両方を一度にスキャンする場合は以下のように指定します

C:\Users\>nmap -sU -sS -p 79-80 192.168.3.10
Nmap scan report for 192.168.3.10
Host is up (0.00s latency).

PORT   STATE  SERVICE
79/tcp closed finger
80/tcp closed http
79/udp closed finger
80/udp closed http

Nmap done: 1 IP address (1 host up) scanned in 0.58 seconds

C:\Users\>

TCP UDPの79.80番ポートも閉じています。


ここでは割愛しますが、

 

TCPでスキャンする場合は

nmap -sS 192.168.3.10 

 

UDPでスキャンする場合は

nmap -sU 192.168.3.10

 

 

 

を実行します。

 

 

 

 

F5 BIG IP showコマンド コマンド例

###バージョン/ハードウェア
tmsh show sys version 
tmsh show sys hardware
tmsh show sys failover                                ###Act/Stb表示
tmsh show cm traffic-group
tmsh show sys memory                                    メモリ情報
tmsh show sys performance system         システムの現在・平均・最大の負荷情報
tmsh show sys performance throughput       トラフィックの現在・平均・最大の負荷情報


【 HA 】
tmshコマンド    説明
tmsh show sys failover                                 自身がActive機かStandby機であるかの情報
tmsh show sys ha-status all-properties             全てのHA Status Featureのステータス情報
tmsh show sys ha-group                                 設定したHA Groupのスコア情報
tmsh show sys ha-group detail                          設定したHA Groupのスコアの詳細情報
tmsh show cm failover-status                            traffic-groupごとのFailoverステータス
tmsh show cm failover-status traffic-group-1      traffic-group-1における詳細なFailoverステータス

###ネットワーク
tmsh show net fdb all                                           ###MACアドレステーブル
tmsh show net arp all                                           ###ARPテーブル 
tmsh show net interface 
tmsh show net vlan all                                          ###VLAN
tmsh list net route
tmsh show net route all
tmsh show sys connection                                   ###システム全体のconnection。protocol tcpをつけるとTCPプロトコルに絞って表示
tmsh list ltm pool
tmsh show ltm node                                            ###ノード単位のコネクション表示
tmsh show ltm persistence persist-records         ###LBが保持しているパーシステンステーブルを表示
tmsh list ltm pool
tmsh show ltm pool                                            ###ノードとプールの情報を表示

###ログ
tmsh show sys log all
tmsh show sys log ltm lines 100
tail -f /var/log/ltm

【 コネクション 】
tmah show sys connection                         コマンド入力時にBIG-IPが保持しているコネクション情報
tmsh show sys connection オプション      指定したオプション値に合致したコネクション情報の一覧
tmsh  show sys performance connection     コネクション数の現在値、平均値、最大値の情報

###その他
list ltm monitor                                                ###ヘルスチェックの設定確認
/config/snmp/snmpd.conf                               ###SNMPLinuxと同じようにviで設定

 

コマンド例

設定の保存
(tmos)# save sys config


マネジメントIPの設定

create / sys management-ip 192.168.1.245/24

 

ホスト名の確認
list sys global-settings hostname

# tmsh 
(tmos)# modify sys global-settings hostname bigip2.example.net

HA用のSelf-IPの設定 --net self --
# tmsh 
(tmos)# create net self HA-ip address 10.0.0.1/30 vlan HA allow-service default

設定の保存
(tmos)# save sys config

設定確認コマンド
(tmos)# list net self


Internal用のSelf-IPの設定 -- net self --
 tmsh 
(tmos)# create net self HA-ip address 10.0.0.1/30 vlan internal allow-service add { udp: 3333 

上記の例ではUDPの任意のサービスを許可しています。

設定の保存
(tmos)# save sys config
設定確認コマンド
(tmos)# list net self

 

 

Internal Floating用のSelf-IPの設定 --net self --
floating IPはBIG-IPのActive機側に付与されるIPアドレスで障害発生時は旧Standby機側にIPアドレスが引き継がれます。floating IP向けに通信を発生させる事によって、障害が発生してもサービスを継続する事ができます。

pip 物理アドレス

 

# tmsh 
(tmos)# create net self internal-flo-ip address 172.16.10.254/24 traffic-group traffic-group-1 vlan internal allow-service default 
設定の保存
(tmos)# save sys config
設定確認コマンド
(tmos)# list net self

 

 

External用のSelf-IPの設定 --net self --

クライアント側セグメントのVLANにIPアドレスを設定したい場合は次のコマンドを実行します。

allow-service noneオプションは、VLANがプロトコル/サービス(httpやssh)を処理しない設定です。この設定は、Self-IPアドレスのデフォルト設定です。

# tmsh 
(tmos)# create net self external-ip address 172.16.20.11/24 vlan external allow-service none
設定の保存
(tmos)# save sys config
設定確認コマンド
(tmos)# list net self

 

 

External Floating用のSelf-IPの設定 --net self --

この項の設定では、クライアント側セグメント(External)のFloating IPの設定を行います。

実行例
# tmsh 
(tmos)# create net self external-flo-ip address  176.16.20.254 traffic-group traffic-group-1 vlan external allow-service none 
設定の保存
(tmos)# save sys config
設定確認コマンド
(tmos)# list net self

 

 

デフォルトゲートウェイの設定 -- net route --
# tmsh 
(tmos)# create net route default gw 10.99.1.254 network default 
設定の保存
(tmos)# save sys config
設定確認コマンド
(tmos)# list net route default


VLANの設定

create net vlan VLAN20 interfaces replace-all-with { 1.2 { untagged } } tag 20
create net vlan VLAN40 interfaces replace-all-with { 1.4 { untagged } } tag 30
create net vlan VLAN60 interfaces replace-all-with { 1.6 { untagged } } tag 60

 

セルフIPの設定
create net self PIP0020 address 10.20.20.2/24 vlan VLAN20 allow-service all traffic-group traffic-group-local-only
create net self PIP0040 address 10.40.40.4/24 vlan VLAN40 allow-service all traffic-group traffic-group-local-only
create net self PIP0060 address 10.60.60.6/24 vlan VLAN60 allow-service all traffic-group traffic-group-local-only

 

ヘルスチェック

create / ltm node 10.10.10.1 { monitor icmp }
create / ltm node 10.20.20.1 { monitor icmp }

 

プールの設定

create / ltm pool POOL_10.10.10.2_http
modify / ltm pool POOL_10.10.10.2_http members add { 10.10.10.1:http }
modify / ltm pool POOL_10.10.10.2_http members add { 10.20.20.1:http }

プールの作成・負荷分散方式設定・メンバー設定・モニター設定を一度に実施する¶
プール関連の設定を一度に実施する場合は、以下のようになります。


(tmos)# create / ltm pool POOL_10.10.10.2_http load-balancing-mode least-connections-member members add { 10.10.10.1:http 10.20.20.1:http  } monitor http


バーチャルサーバ(Virtual Server)を設定する¶
ltm モジュールの virtual コンポーネントが該当します。まず、バーチャルサーバそのものを設定します。


(tmos)# create / ltm virtual VIRTUAL_10.10.10.2_http
次にアドレスを設定します。今回は "10.10.10.2/32" を設定します。


(tmos)# modify / ltm virtual VIRTUAL_10.10.10.2_http destination 10.10.10.2:http mask 255.255.255.255
続いてプロトコル / プロファイル関連を設定します。今回は IP プロトコルとして TCP を指定し、プロファイルは "http" と "tcp" を指定します。


 modify / ltm virtual VIRTUAL_10.10.10.2_http ip-protocol tcp 
 modify / ltm virtual VIRTUAL_10.10.10.2_http profiles replace-all-with { http { } tcp { } }
仕上げにデフォルトプールを指定します。今回は先ほど作成した "POOL_10.10.10.2_http" を設定します。


(tmos)# modify / ltm virtual VIRTUAL_10.10.10.2_http pool POOL_10.10.10.2_http

 

 

 

 

 

PBR(ポリシーベースルーティング)概要 (OSPFでの設定例)

PBR(ポリシーベースルーティング)とは、ルーティングテーブルに従ってパケットを転送するのではなく、「送信元アドレス、プロトコル、ポート番号、パケットサイズ、入力I/F」の情報に基づき、ルーティングを行える技術のことです。


様々なルーティング処理を行えるPBRですが、実装上の注意点があるため、過度な利用は推奨しません。利用は最小限に留めます。

 

デメリット


-1-

行きと帰りのルートが異なる経路になりやすい-

PBRは、通常のルーティングとは異なる経路へ転送するため、行きの通信と戻りの通信が違う経路になることがあります。経路上にファイアウォールなどのネットワーク機器が存在すると、往復通信が異経路になっていることが原因で、通信不可となる可能性があります。

 

-2-

ルータに負荷がかかる。遅延が発生する可能性がある-

PBRは、指定されたインターフェスに着信する全てのパケット対して、PBR対象かどうかをチェックします。そのため、ルーターに負荷がかかる、パケットの転送に遅延が発生する可能性があります。

 

-3-

ルーティングが設計が複雑になる-

PBRを多用していると、ルーティング設計が複雑になり、管理しきれないネットワーク環境となってしまいます。

 

ルートマップのルール

 ・ ルートマップにはシーケンス番号があり、シーケンス番号の小さい値のroute-mapから処理されます。
 ・ 合致したroute-mapがあればそれが実行され、以降で定義しているroute-mapの処理は行われません
 ・ access-list、ip prefix-listコマンド同様に、route-mapコマンドの最後には暗黙のdenyが存在します。

 

[コマンド構文:PBR用のルートマップの設定]
(config)#route-map {マップ名} [permit | deny] [シーケンス番号]
(config-router-map)#match {条件}
(config-router-map)#set {動作}


マップ名 ・・・任意の名前を入力
permit ・・・ポリシーベースルーティングを行います。
deny ・・・ポリシーベースルーティングを行わずに通常のルーティングを行います。
シーケンス番号 ・・・ルートマップの処理を行う順番(若い番号から順に処理される)

 

match ip address {ACL}・・・一致条件にACL番号またはACL名を使用すします。


match length {最小値} {最大値} ・・・一致条件にL3のパケット長を使用します。

set ip next-hop {IPアドレス} ・・・「match」に一致したトラフィックを指定したIPアドレスに転送します。


set ip default next-hop {IPアドレス} ・・・ルーティングテーブルに宛先が無かった場合「ip next-hop」の動作をします。


set interface {インターフェース} ・・・「match」に一致したトラフィックを指定したインターフェースから転送します。


set default interface {インターフェース} ・・・ルーティングテーブルに宛先が無かった場合「interface」の動作をします。


set ip precedence {値} ・・・「match」に一致したトラフィックのIP precedence値(優先度を示す値)を書き換えて転送します。

 

「set ip default next-hop {IPアドレス}」は、ルーティングテーブルに宛先ルートがある場合はルーティングテーブルに従った転送を行い、ルーティングテーブルに宛先ルートが無かった場合は指定したIPアドレスへの転送(ポリシーベースルーティング)を行います。

 

OSPFでのconfig例

 

 

NW構成図


全ルータ(R1~R5)はOSPFでルーティングしている。
OSPF Costを設定し、正常時以下の経路になるようにします。

*注 OSPFのメトリックはコストの小さい方を優先します。

 

  • PC1 -> R1 -> R2 -> R5-> PC3
  • PC2 -> R1 -> R2 -> R5 -> PC3

config

--R1--

hostname R1
!
interface GigabitEthernet0/0
 ip address 192.168.1.254 255.255.255.0
 no sh
 ip policy route-map R-MAP
 ip ospf cost 5
!
interface GigabitEthernet0/1
 ip address 10.12.1.1 255.255.255.0
 no sh
 ip ospf cost 100
!
interface GigabitEthernet0/2
 ip address 10.13.1.1 255.255.255.0
 no sh
 ip ospf cost 200
!
interface GigabitEthernet0/3
 ip address 10.14.1.1 255.255.255.0
 no sh
 ip ospf cost 300
!
router ospf 1
 passive-interface GigabitEthernet0/0
 network 0.0.0.0 255.255.255.255 area 0
!
ip access-list extended PBR
 permit ip host 192.168.1.100 host 5.5.5.5
!
route-map R-MAP permit 10
 match ip address PBR
 set ip next-hop 10.13.1.3
!

end

 

--R2--

hostname R2
!
interface GigabitEthernet0/0
 ip address 10.12.1.2 255.255.255.0
 no sh
 ip ospf cost 10
!
interface GigabitEthernet0/1
 ip address 10.25.1.2 255.255.255.0
 no sh
 ip ospf cost 100
!
router ospf 1
 network 0.0.0.0 255.255.255.255 area 0
!
!
end

 

--R3--

hostname R3
!
interface GigabitEthernet0/0
 ip address 10.13.1.3 255.255.255.0

no sh
 ip ospf cost 10
!
interface GigabitEthernet0/1
 ip address 10.35.1.3 255.255.255.0

 no sh
 ip ospf cost 100
!
router ospf 1
 network 0.0.0.0 255.255.255.255 area 0
!
!
end

 

--R4--

hostname R4
!
interface GigabitEthernet0/0
 ip address 10.14.1.4 255.255.255.0
 no sh
 ip ospf cost 10
!
interface GigabitEthernet0/1
 ip address 10.45.1.4 255.255.255.0
 no sh
 ip ospf cost 100
!
router ospf 1
 network 0.0.0.0 255.255.255.255 area 0
!
!
end

 

--R5--

hostname R5
!
interface GigabitEthernet0/0
 ip address 192.168.10.254 255.255.255.0

no sh
 ip ospf cost 5
!
interface GigabitEthernet0/1
 ip address 10.25.1.5 255.255.255.0

no sh
 ip ospf cost 100
!
interface GigabitEthernet0/2
 ip address 10.35.1.5 255.255.255.0

no sh
 ip ospf cost 200
!
interface GigabitEthernet0/3
 ip address 10.45.1.5 255.255.255.0

no sh
 ip ospf cost 300
!
router ospf 1
 passive-interface GigabitEthernet0/0
 network 0.0.0.0 255.255.255.255 area 0
!

!
end

 

PBRの設定

 

この構成での場合、R1に以下の設定が必要です

 

① PBRを適用するトラフィックACLで定義します。
ip access-list extended PBR
 permit ip host 192.168.1.100 host 192.168.10.100

 

② route-mapでACLにマッチしたトラフィックネクストホップを定義します。
route-map R-MAP permit 10
 match ip address PBR
 set ip next-hop 10.13.1.3

 

③ Inboundのインターフェイスにpolicy route-mapを定義します。
interface GigabitEthernet0/0
 ip policy route-map R-MAP

 

[set ip next-hop] を設定した結果

 

PBR設定無し
PC1 -> R1 -> R2 -> R5 -> PC3
PC2 -> R1 -> R2 -> R5 -> PC3

PBR設定有り
PC1 -> R1 -> R3 -> R5 -> PC3
PC2 -> R1 -> R2 -> R5 -> PC3

 set ip next-hop 10.13.1.3 を設定したので、10.13.1.3(R3)の経路を通っています。

 

以上

 

 

 

 

 

 

 

 

 

阪神タイガース アレンパについて

2023年、圧倒的な力で18年ぶりのリーグ優勝と38年ぶりの日本一になった阪神タイガース

 

私は甲子園での第3戦から第5戦までは、全く見れませんでしたが、第6戦は東京から大阪まで飛んで行きました。

昨シーズン、心残りは、胴上げを現地で見れなかった事、ファン感謝デーで、栄光の架け橋を歌えなかった事ですね。

 

私、2001年か2002年くらいから阪神ファンでしたが、2003年優勝した時は、にわかでしたし、18年ぶりのリーグ優勝、38年ぶりの日本一は格別で、大号泣でした。

 

2016.2018年の広島、

2017年のDeNA.

2019.2020年の巨人は

 

日本シリーズで全てパリーグに跳ね返されてるので、この3チームのファンの方は、阪神ファンが羨ましいのではと勝手に思っています。

 

もうすぐ、キャンプインですし、沖縄まで行こうか悩んでいます。

 

そこで、阪神タイガースの2024年の戦力考察を勝手に行いたいと思います。

 

岡田監督は、2年契約で今季で勇退がささやかれていますが、どうでしょうか。

次期監督は打撃コーチの今岡誠

阪神OBの鳥谷敬

阪神OBの藤川球児氏 が候補に上がっていますが、私は今岡誠氏の監督昇格を推します。

現役時代、今岡誠氏はプロ野球歴代3位の打点を挙げており、天才と言われましたが、その分苦労して、選手の寄り添う指導をするようになり、人間的にも変わったと私は思っています。

今岡誠氏の名言として、10000回失敗しても、一回の成功でその失敗を笑う事ができると言う名言は私も救われた事があります。

 

昨シーズン、岡田監督の功績が讃えられていましたが、岡田監督は今岡誠氏のおかげで優勝できたと言うほど絶大なる信頼をおいており、今岡氏の監督昇格を私は推します。

 

投手

大竹、村上などの新戦力

才木はトミージョン手術からの復活

西勇、青柳、伊藤将司の実績組が昨シーズンは活躍しました。

 

これに加えて、新戦力の門別、復活を期す

高橋遥人、秋山拓巳、西純、などもおり、投手陣は飽和状態です。

 

死角があるとすれば、大竹や村上はまだ一年しか活躍していない事でしょうか。

 

中継ぎ

加治屋、石井、岩貞、桐敷、島本などが、大車輪の活躍でした。昨シーズンは不調でしたが、浜地や、及川などの活躍も期待されます。

特に戦力外から這い上がってきた加治屋、

トミージョン手術から這い上がってきた島本には、直接私が、ありがとうって声をかけるくらいでした。馬場や、ケラーがライバルチームに行ったのは残念です。

 

抑え

岩崎、湯浅、ゲラ

ゲラは未知数ですが、スアレス以上の逸材と言われています。湯浅、ゲラの活躍がリリーフ陣の鍵を握るはずです。

 

捕手

昨年は、梅野の離脱で、坂本が初のゴールデングラブ賞に輝きました。坂本にマスクをお願いしたいですが、梅野もこのままでは終わらないでしょう。

 

一塁手

大山一択。移籍しないでください。

 

二塁手

中野がコンバートされて、ゴールデングラブ賞や、最多安打に輝きましたが、糸原にも頑張ってほしいです。

 

遊撃手

木浪がベストナインゴールデングラブ賞は誰が予想したか。小幡にも頑張ってほしいです。

 

三塁手

佐藤輝明

好不調の波が激しいが、それがなければ、30本100打点は狙えるはずです。ちなみに昨シーズン、私が佐藤輝明に猛ゲキを飛ばしてから、8月9月って成績が上がったのは、私の妄想でしょうか。

 

レフト

ノイジーが有力ですが、若手の前川や野口も頑張ってほしい。ちなみに私は日本シリーズで大車輪の活躍をしたノイジーのサインを転売はしてないけど、知り合いに譲ってしまいました。

 

センター

近本

鉄板。3億円プレーヤ。変わりはいない

 

ライト

森下。昨年は、6月まで本塁打0でしたが、以降は、チャンスで大活躍でした。

 

他球団の戦力を見ると

 

広島は西川がオリックス移籍

DeNAは今永メジャー、ソトがロッテに移籍で

、バウアー去就不明で、DeNAはかなり厳しいでしょうね。

 

なんで、ソトを戦力外にしたのか理解に苦しみます。

 

巨人は投手陣の整備が必須ですが、元阪神の馬場とケラーが阪神戦で投げるのは本当に見たくないです。

 

中日は中田翔次第じゃないでしょうか。

 

個人的にはソフトバンクの森と嘉弥真が欲しかったですね。

ソフトバンクは迷走していますね。

 

私は阪神の黄金時代到来を祈っています。

 

 

 

 

 

 

 

 

 

 

GRE over IPsec 設定例

GRE tunnelのみだと暗号化されませんが、GRE over IPsecを使うことで、通信を暗号化することができます。Tunnel インターフェースを使用するルートベースでは、Tunnel を通る通信はすべて暗号化されます。

 

ルートベース VPN は、Tunnel インターフェースを使用するので、GRE over IPsec の一種であるといえます。

 

どの通信が暗号化されるかは、ルーティングテーブルに基づいて決定されます。

 

推奨される最小限のセキュリティアルゴリズムがあり、そちらはメーカのHP参照をお願いします。

 

Wiresharkで通信が暗号化されているキャプチャ画面を記載したいですが、割愛します。

 

 

構成図です。

 

投入コンフィグ

■R1■

hostname R1
!
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 15
crypto isakmp key ipsec-password address 192.168.2.2
!
crypto ipsec transform-set TF-SET esp-aes 256 esp-sha-hmac
 mode transport
!
crypto ipsec profile PROF-IPsec
 set transform-set TF-SET
!
!interface Loopback1
 ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
 ip address 192.168.10.1 255.255.255.0
 tunnel source GigabitEthernet0
 tunnel destination 192.168.2.2
 tunnel protection ipsec profile PROF-IPsec
 no sh
 !
!
interface FastEthernet8
 ip address 10.10.10.2 255.255.255.0
 no sh
!
!
interface GigabitEthernet0
 ip address 192.168.1.1 255.255.255.0
 no sh
!
router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
 network 1.1.1.0 0.0.0.255 area 0
 network 10.10.10.0 0.0.0.255 area 0
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.10.0 0.0.0.255 area 0
!

■R2■

hostname R2
!
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 15
crypto isakmp key ipsec-password address 192.168.1.1
!
!
crypto ipsec transform-set TF-SET esp-aes 256 esp-sha-hmac
 mode transport
!
crypto ipsec profile PROF-IPsec
 set transform-set TF-SET
!
interface Loopback1
 ip address 2.2.2.2 255.255.255.255
!
interface Tunnel0
 ip address 192.168.10.2 255.255.255.0
 tunnel source GigabitEthernet0/4
 tunnel destination 192.168.1.1
 tunnel protection ipsec profile PROF-IPsec
 no sh
!
interface GigabitEthernet0/4
 ip address 192.168.2.2 255.255.255.0
 no sh
!
interface GigabitEthernet0/5
 ip address 10.20.20.1 255.255.255.0
 no sh
!
router ospf 10
 router-id 2.2.2.2
 network 2.2.2.0 0.0.0.255 area 0
 network 10.20.20.0 0.0.0.255 area 0
 network 192.168.2.0 0.0.0.255 area 0
 network 192.168.10.0 0.0.0.255 area 0
!
end


■SW■

SW
conf t
hostname SW
!
ip routing
!
interface GigabitEthernet1/0/1
 no switchport
 ip address 192.168.1.2 255.255.255.0

no sh

!
interface GigabitEthernet1/0/2
 no switchport
 ip address 192.168.2.1 255.255.255.0

no sh
!
router ospf 10
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.2.0 0.0.0.255 area 0
!

R1、R2確認コマンド

show crypto engine connection active

show crypto session

show crypto ipsec sa(長いので割愛)

SW

show ip ospf neighbor

 

■R1■

R1#show crypto engine connection active
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
    3  IPsec   AES256+SHA                0       58       58 192.168.1.1
    4  IPsec   AES256+SHA               59        0        0 192.168.1.1
 2001  IKE     SHA+AES256                0        0        0 192.168.1.1

R1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 192.168.2.2 port 500
  IKE SA: local 192.168.1.1/500 remote 192.168.2.2/500 Active
  IPSEC FLOW: permit 47 host 192.168.1.1 host 192.168.2.2
        Active SAs: 2, origin: crypto map

■R2■

R2#show crypto engine connection active
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
    3  IPsec   AES256+SHA                0       80       80 192.168.2.2
    4  IPsec   AES256+SHA               91        0        0 192.168.2.2
 2001  IKE     SHA+AES256                0        0        0 192.168.2.2

R2#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 192.168.1.1 port 500
  Session ID: 0
  IKEv1 SA: local 192.168.2.2/500 remote 192.168.1.1/500 Active
  IPSEC FLOW: permit 47 host 192.168.2.2 host 192.168.1.1
        Active SAs: 2, origin: crypto map

■SW■

Switch#show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.2.2       1   FULL/DR         00:00:36    192.168.2.2     GigabitEthernet1/0/2
192.168.1.1       1   FULL/DR         00:00:36    192.168.1.1     GigabitEthernet1/0/1
Switch#
Switch#show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
2.2.2.2           1   FULL/BDR        00:00:39    192.168.2.2     GigabitEthernet1/0/2
1.1.1.1           1   FULL/BDR        00:00:36    192.168.1.1     GigabitEthernet1/0/1
Switch#

 

 

MPLS 概要

前にいた現場でバックボーンの設計構築をやったことがありますが、構成が非常に複雑でした。今のPJで久々にダイナミックルーティングに関わっています。

 

 

簡易ネットワーク構成



IP-VPNとはインターネットとは別に構築された
IPネットワークを利用したVPNです。 
MPLSはレイヤー2スイッチングとレイヤー3ルーティングの機能を併せ持ち、レイヤーではレイヤー2とレイヤー3の間の2.5と言われています。

 

MPLSの欠点


MPLSは暗号化されません。誰でもそれを平文で読むことができます。暗号化は別にセットアップします。

 

■用語■

 

1ルートリフレクタ
ルートリフレクタとは、膨大になってしまったIBGPのピアの数を、親ルーターを設定することで減らす方法です。

 

2VRF

1台のルーターのルーティングテーブルを論理的に分割して利用できます。
セグメントをVLANで分けるのに対して、VRFはルーティングテーブルをわけます

 

3フルルート
インターネット上の全ての経路情報です。

 

4
MP-BGP

MPLSを実現するためのPE間で利用するルーティングプロトコルです。

 

5
P(Provider Router)
MPLSの中継ルーターです。

 

9
PE(Provider Edge Router)
Pと複数のCEと接続します。

 

 

CE(Customer Edge Router)

顧客側のルータです。

 

 

L2TP over IPsec, GRE over IPSecについて。

◾️L2TP over IPseb◾️

通常のインターネット接続では、データは暗号化されずに送信されているため、中間にいるハッカーによって傍受されることがあります。しかし、L2TP over IPsecを使用することで、データを暗号化して送信するため、傍受される心配がありません。

L2TPのみだと暗号化されませんが、L2TP over IPsecを使うことでより安全にインターネットを使うことができます。

 

GRE over IPSecとは■
I GRE over IPSecとは、IPsec上でGREを動作させることです。

IPsecにはユニキャストパケット(単一の送信相手を指定してデータを送信するパケット)しか転送できないという欠点があり、 GREはユニキャストもマルチキャストパケット(複数の送信相手に対して同時にデータを送信するパケット)の転送ができ、この二つを組み合わせる必要があります。

 

GRE over IPsecを利用する目的□→OSPFのマルキャストを通すため。

GREマルチキャストカプセル化できますが暗号化機能がないため、GRE over IPsecによって暗号化した上でマルチキャストを送信することが可能になります。インターネット環境でOSPFを利用するネットワークでは、GRE over IPsecが必要となります。