FC2ブログ
自分の備忘録ぐらいに適当に。 ネットワークと宇宙開発と天文とそれと自転車を徒然と。
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

備忘録。

password encryption aes

Cisco IOS ルータの暗号化事前共有キーの設定例
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46420-pre-sh-keys-ios-rtr-cfg.pdf


Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key ?
  chain       Key-chain management
  config-key  Set a private configuration key for general use

Router(config)#key con
Router(config)#key config-key ?
  1                 Set a private configuration key for general use
  password-encrypt  Set a private configuration key for password encryption

Router(config)#key config-key pa
Router(config)#key config-key password-encrypt ?
  LINE  The config-key
  <cr>

Router(config)#key config-key password-encrypt [CONFIG-KEY]
Router(config)#pas
Router(config)#password ?
  encryption  Encrypt system passwords
  logging     Enable password operations logging

Router(config)#password en
Router(config)#password encryption ?
  aes  Enable stronger (AES) password encryption

Router(config)#password encryption a
Router(config)#password encryption aes ?
  <cr>

Router(config)#password encryption aes
Router(config)#end



スポンサーサイト

【2019/02/24 19:47】 | IOS・設定関連
トラックバック(0) |

備忘録。

ip access-list resequence [ACL Name|ACL No.] 10 10


Router#sh ip access-lists
Load for five secs: 2%/0%; one minute: 2%; five minutes: 2%
Time source is NTP, 11:43:25.257 JST Wed Feb 18 2019

Extended IP access list in-acl
    10 permit ip host 133.232.CCC.DDD any (21307 matches)
    20 permit tcp host 192.168.101.1 eq www 192.168.254.0 0.0.0.255 established
    21 permit tcp host 192.168.101.1 eq www host 192.168.101.239 established
    30 permit icmp any any ttl-exceeded
    40 permit icmp any any echo-reply
Router#
Router#
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip access-list resequence ?
  <1-99>       Standard IP access-list number
  <100-199>    Extended IP access-list number
  <1300-1999>  Standard IP access-list number (expanded range)
  <2000-2699>  Extended IP access list number (expanded range)
  WORD         Access-list name

Router(config)#ip access-list resequence in-acl
% Incomplete command.

Router(config)#ip access-list resequence in-acl ?
  <1-2147483647>  Starting Sequence Number

Router(config)#ip access-list resequence in-acl 10 ?
  <1-2147483647>  Step to increment the sequence number

Router(config)#ip access-list resequence in-acl 10 10 ?
  <cr>

Router(config)#ip access-list resequence in-acl 10 10
Router(config)#
Router(config)#end
Router#
Router#sh ip access-lists
Load for five secs: 3%/0%; one minute: 2%; five minutes: 2%
Time source is NTP, 11:44:39.233 JST Wed Feb 18 2019

Extended IP access list in-acl
    10 permit ip host 133.232.CCC.DDD any (21315 matches)
    20 permit tcp host 192.168.101.1 eq www 192.168.254.0 0.0.0.255 established
    30 permit tcp host 192.168.101.1 eq www host 192.168.101.239 established
    40 permit icmp any any ttl-exceeded
    50 permit icmp any any echo-reply
Router#




【2019/02/24 19:37】 | IOS・設定関連
トラックバック(0) |
備忘録。

show processes cpu sort | exclude 0.0
show processes cpu detailed process iosd sort | ex 0.0
show processes cpu detailed process fed sorted | ex 0.0


Catalyst 3850 シリーズ スイッチでの CPU 高使用率のトラブルシューティング
http://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-3850-series-switches/117594-technote-hicpu3850-00.html

ISR4300 シリーズの CPU使用を監視して下さい
http://www.cisco.com/c/ja_jp/support/docs/routers/4000-series-integrated-services-routers/210760-Monitor-CPU-Usage-On-ISR4300-Series.html



【2017/08/03 00:28】 | IOS・設定関連
トラックバック(0) |
備忘録。

Network Management Configuration Guide, Cisco IOS XE Release 3SE (Catalyst 3650 Switch)
Chapter: Configuring Simple Network Management Protocol
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3650/software/release/3se/network_management/configuration_guide/b_nm_3se_3650_cg/b_nm_3se_3650_cg_chapter_0100.html


SNMP ifIndex MIB Object Values

In an NMS, the IF-MIB generates and assigns an interface index (ifIndex) object value that is a unique number greater than zero to identify a physical or a logical interface. When the switch reboots or the switch software is upgraded, the switch uses this same value for the interface. For example, if the switch assigns a port 2 an ifIndex value of 10003, this value is the same after the switch reboots.

The switch uses one of the values in the following table to assign an ifIndex value to an interface:

Table 3 ifIndex Values
Interface TypeifIndex Range
SVI31–4999
EtherChannel5000–5012
Loopback5013–5077
Tunnel5078–5142
Physical (such as Gigabit Ethernet or SFP4-module interfaces)10000–14500
Null14501
3 SVI = switch virtual interface
4 SFP = small form-factor pluggable








【2017/08/03 00:19】 | IOS・設定関連
トラックバック(0) |
備忘録。

!---------------------------------------------------
aaa new-model
aaa authentication login EasyVPN-user local
aaa authorization network EasyVPN-list local
!
username <USERNAME> secret <PASSWORD>
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group EasyVPN-IKE-conf
 key <PRESHARD KEY>
 dns <1ST DNS SERVER> <2ND DNS SERVER>
 domain <DOMAIN NAME>
 pool EasyVPN-pool
 acl EasyVPN-route
 save-password
!
crypto isakmp profile EasyVPN-IKE-prof
   match identity group EasyVPN-IKE-conf
   client authentication list EasyVPN-user
   isakmp authorization list EasyVPN-list
   client configuration address respond
   client configuration group EasyVPN-IKE-conf
   virtual-template 111
!
crypto ipsec transform-set EasyVPN-IPsec-TS esp-aes esp-sha-hmac
 mode tunnel
!
crypto ipsec profile EasyVPN-IPsec-prof
 set transform-set EasyVPN-IPsec-TS
 set isakmp-profile EasyVPN-IKE-prof
!
interface Loopback111
 ip address 192.168.111.1 255.255.255.0
!
interface Virtual-Template111 type tunnel
 ip unnumbered Loopback111
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile EasyVPN-IPsec-prof
!
ip local pool EasyVPN-pool 192.168.111.2 192.168.111.254 group EasyVPN-IKE-conf
!
ip access-list extended EasyVPN-route
 remark ### Split-Tunnel ###
 remark ### Private Address ###
 permit ip 10.0.0.0 0.255.255.255 any
 permit ip 172.16.0.0 0.15.255.255 any
 permit ip 192.168.0.0 0.0.255.255 any
!
!---------------------------------------------------

ちなみにVirtual-Templateを使うとinterface Dialerなどにcrypto-mapは何故か不要。




【2015/08/02 22:01】 | IOS・設定関連
トラックバック(0) |

備忘録。


!-------------------------------------------------------
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service password-encryption
!
hostname BBrouter
!
logging buffered 512000 debugging
enable secret <PASSWORD>
!
clock timezone JST 9 0
!
no ip source-route
ip cef
!
ip dhcp pool LAN
 network 192.168.1.0 255.255.255.0
 dns-server 192.168.1.254
 default-router 192.168.1.254
 domain-name test.local
!
ip inspect name INSPECT tcp
ip inspect name INSPECT udp
ip inspect name INSPECT ftp
!
username <USERNAME> secret <PASSWORD>
!
interface FastEthernet8
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1414
!
interface Dialer1
 mtu 1454
 ip address negotiated
 no ip unreachables
 ip nat outside
 ip inspect INSPECT out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname <USERNAME>
 ppp chap password <PASSWORD>
 ppp ipcp dns request accept
 ppp ipcp route default
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list LAN interface Dialer1 overload
!
ip access-list extended LAN
 permit ip 192.168.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
no cdp run
!
line con 0
 exec-timeout 0 0
 password <PASSWORD>
 logging synchronous
 login
 exec prompt timestamp
 transport preferred none
line aux 0
 exec-timeout 0 0
 password <PASSWORD>
 logging synchronous
 login
 exec prompt timestamp
 transport preferred none
line vty 0 4
 exec-timeout 10 0
 password <PASSWORD>
 logging synchronous
 login
 exec prompt timestamp
 transport preferred none
!
ntp source Dialer1
ntp update-calendar
ntp server ntp.nict.jp prefer
ntp server ntp1.jst.mfeed.ad.jp
ntp server ntp2.jst.mfeed.ad.jp
ntp server ntp3.jst.mfeed.ad.jp

!-------------------------------------------------------

<メモ>

  • no ip domain-lookupを使うとDNSの名前の解決ができなくなりそうなので各lineで"transport preferred none"を設定
  • デフォルトルートは"ppp ipcp route default"でISPとのIPCPのやりとりで貰ってくる
  • DNSサーバのアドレスは"ppp ipcp dns request accept"で貰ってくる
  • "ip mtu 1454"(MTU用の設定)は設定してみたが"mtu 1454"(MRU用の設定)を設定するとそちらが優先するらしい
  • "dialer persistent"を設定すると"dialer idle-timeout 0"も自動的に入ってくる


もしかしたらNTPやDNSはip inspectに追加しないと行けないかも。
!------------------------------
ip inspect name INSPECT dns
ip inspect name INSPECT ntp
!------------------------------
※場合によってはInboundのACLでNTPとDNSは許可する必要があるかも。





追記。

参考にしたページなど。

フレッツネクスト接続設定例(ルーテッドポートの場合)
http://www.cisco.com/cisco/web/support/JP/107/1074/1074940_router_crb.html

フレッツネクスト接続設定例(SVI の場合)
http://www.cisco.com/cisco/web/support/JP/107/1074/1074941_router_irb.html

端末型払い出し方式で IP アドレスを提供するサービスプロバイダへの PPPoE 接続設定例
http://www.cisco.com/cisco/web/support/JP/102/1020/1020018_pppoe_client.html

LAN 型払い出し方式で IP アドレスを提供するサービスプロバイダへの PPPoE 接続設定例
http://www.cisco.com/cisco/web/support/JP/102/1020/1020019_pppoe_lan.html

フレッツ・光プレミアムのPPPoE接続に関して
https://supportforums.cisco.com/ja/discussion/10990901

フレッツ 光ネクストIPv6トンネル方式、接続設定例 協力 IIJ様
https://supportforums.cisco.com/ja/document/65046

IPv6 インターネット接続設定例(IPv6 PPPoE 方式)
http://www.cisco.com/cisco/web/support/JP/111/1115/1115275_pppoe-v4v6-tunnel.html

IPv6 インターネット接続設定例(IPv6oE方式)
http://www.cisco.com/cisco/web/support/JP/111/1115/1115512_IPoE.html

国立研究開発法人 情報通信研究機構
電磁波計測研究所 時空標準研究室 日本標準時G 公開NTPサービス

http://www2.nict.go.jp/aeri/sts/tsp/PubNtp/
ntp.nict.jp
 133.243.238.163
 133.243.238.164
 133.243.238.243
 133.243.238.244

インターネットマルチフィード 時刻情報提供サービス for Public
http://www.jst.mfeed.ad.jp/service/02.html
ntp1.jst.mfeed.ad.jp 210.173.160.27
ntp2.jst.mfeed.ad.jp 210.173.160.57
ntp3.jst.mfeed.ad.jp 210.173.160.87



【2015/08/02 21:02】 | IOS・設定関連
トラックバック(0) |
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。