サブネットマスクの計算も、私はバカ正直にやっている。
例の8マスを書いて、
/28であれば、最初の3マスに1を書いて、
指を折りながらイチニッパ、イックニ、ニーニーヨン、ニヒャクヨンジュウと計算している。
| 1| 1| 1| 1| | | | |
|128|64|32|16|8|4|2|1|
255.255.255.224
が スラいくつなのかを計算するときは、
やはり指を折りながら、イチニッパ、イックニ、ニーニーヨン、ニヒャクヨンジュウ
4本指を折ったから24+4=28か、と。
/24以下(のサイズ)のサブネットについては、よく使うので大体覚えてしまっている。
/30 は 252
/25 は 128
など
/26は25から一個増えるだけだから、/192
/29は/30の一個前だから、/248
このあたりはパっと出るけど、
/27, /28, あたりはちょっと止まって、指を折って、イチニッパ、イックニ・・・とやらないとダメだ。
数式にするなら、
サブネットマスク値 = 256 - 2^(32 - マスク長)
/28 なら、
256 - 2^(4) = 256 - 16 = 240
ただし/24以上限定。
IPアドレスの計算、簡易版
ネットワークアドレス計算方法を書いていてわれながら効率悪すぎるだろうと思って検索したら、
簡単な計算法が見つかった。
http://www.infraexpert.com/study/ip7.html
ネットワークのことについて調べるとたいてい行き着くサイトである。
サブネットマスク終端がオクテットの途中にある場合、
サブネットマスクを10進数値にして、255でない部分は 256-マスクのオクテット値を計算すると、
そのマスクで分割されるアドレスの最小値が計算できる、というのだ。
172.16.64.110/26 であれば、
/26のマスクは 255.255.255.192
256-192 = 64
/26のサブネットは 64の倍数
110が含まれる最小の64の倍数は64
なるほど。
でも、これだと/29とかで後ろのほうにあるやつが面倒じゃないかな?
172.16.64.221/29 でやってみる。
/29のマスクは 255.255.255.248
256 - 248 = 8
221 / 8 = 27 余り 5
27 * 8 = 216
だから、 172.16.64.216/29 か。
たいしたことないな。2進数に変換するのにくらべれば。
簡単な計算法が見つかった。
http://www.infraexpert.com/study/ip7.html
ネットワークのことについて調べるとたいてい行き着くサイトである。
サブネットマスク終端がオクテットの途中にある場合、
サブネットマスクを10進数値にして、255でない部分は 256-マスクのオクテット値を計算すると、
そのマスクで分割されるアドレスの最小値が計算できる、というのだ。
172.16.64.110/26 であれば、
/26のマスクは 255.255.255.192
256-192 = 64
/26のサブネットは 64の倍数
110が含まれる最小の64の倍数は64
なるほど。
でも、これだと/29とかで後ろのほうにあるやつが面倒じゃないかな?
172.16.64.221/29 でやってみる。
/29のマスクは 255.255.255.248
256 - 248 = 8
221 / 8 = 27 余り 5
27 * 8 = 216
だから、 172.16.64.216/29 か。
たいしたことないな。2進数に変換するのにくらべれば。
IPアドレスの計算
ping-tでCCNAの問題をやってみた。
簡単ではあるが、サブネットとアドレスの計算が苦手であることがわかった。
172.16.64.64/26
172.16.64.110/26
172.16.64.70/26
このような3つのアドレスがある。同じセグメントに所属しているべきなのだが、
間違っているものはどれか、
という問題である。
サブネットを作るときには、
1. 必要なアドレス個数を決める(聞く)
2. 将来の拡張性を考える、つまりアドレスが増えそうかどうか。
3. 1,2の要件を満たすサブネットマスクを決める。
サブネットマスク長と使用できるアドレス個数は
/24=256個、/25=128個、/26=64個、/27=32個、/28=16個、/29=8個、/30=4個
(ただし、実際に使えるアドレスはマイナス2個)
/24より大きいアドレス範囲になると、
/23=512個、/22=1024個、/21=2048個、/22=4096個・・・・となる。
社員数の多い企業で利用するPCに割り当てる場合などに、/21とか/22を使用することが多い。
本来は、/24より小さいサブネットが例外というか、特別なサブネットなのであるが、
実際には/24より小さいサブネットがよく使われる。
あるネットワークに必要なノードが40個で、拡張性は考えなくてよいとすると、
適切なサブネットマスクは/26になる。
そのようなサブネットを作るなら、
172.16.0.0/26
172.16.0.64/26
172.16.0.128/26
・・・
となる。
こうして決めたサブネットから、各ノードに割り当てるアドレスを決めていく。
PC1: 172.16.0.1/26
PC2: 172.16.0.2/26
GW: 172.16.0.62/26
とか。
こういうことなら間違うことはあまりない。
が、最初にあげたように、すでに割り当てられたアドレスとマスク長から、
それが所属するサブネットはどこなのか、と判断するのはちょっと面倒だ。
/24ならいいのだが、 /26, /27, /28あたりだと。
そして、そのあたりのサブネットはよく使われる。
本題に戻る。
172.16.64.110/26 の所属するサブネットは何か。つまり、このアドレスのネットワークアドレスは何か。
パッとわかる簡単な公式は、ない(少なくとも私は知らない)。
バカ正直にやるなら、こうだ。
まず、マスク長が8, 16, 24である場合はオクテットで区切ればよい。
32はホストアドレス、ノードが一個しかないネットワークである。
それ以外である場合、つまり0~7, 9~15, 17~23, 25~31の場合は、
サブネットマスクの終端がオクテットの途中にあるから、
その場所をさがす。
マスク長が0~7の場合は第一オクテット、9~15は第二、17~23は第三、
25~31は第四オクテットの途中に終端がある。
わざわざ数式にするほどのことではないが、
あえて数式にすると、
マスク終端の存在するオクテット = マスク長 / 8 の商 + 1
マスク終端の存在するオクテット内のマスク長 = マスク長 / 8 の余り
/26なら、
26 /8 = 3 余り 2なので、
第四オクテットの2bit目までがマスク長となる。
ここまでわかったら、下記のように8等分されたマスを書き、
左からマスク長個を塗りつぶす。
■■□□|□□□□
そして、計算対象のIPアドレスの、同じオクテットの値を2進数に変換する。
今回対象となるのは 110である。
先ほどのように8等分したマスを書き、
今度はその下に一番左を128とし、
その右は左の数値を1/2した値を書いていく。
(一番右に1を書いて左に2倍した値を書いていってもよい)
| | | | | | | | |
|128|64|32|16|8|4|2|1|
マスの一番左から、変換対象値とマスの下の数値をくらべて、
対象値の方が大きいか等しければマスに1を書く。
そして、対象値からマスの下の数値を引く。
①128 : 110
|0 | | | | | | | |
|128|64|32|16|8|4|2|1|
これで110を2進数に変換した、 01101110 という値が得られた。
先ほどマスク長を求めたときに書いた、8個のマスの左二つを塗りつぶしたものを、
塗りつぶした部分を1、塗りつぶしていない部分を0として2進数にする。
11000000
この2つの8桁の2進数をタテに並べる。
01101110 → アドレス
11000000 → マスク
左から1桁ずつ、上下の数値の論理積(AND)を計算して3行目に書く。
論理積とは二つの数値がともに1なら1、そうでなければ(どちらかがゼロなら)0、
となる演算である。
01101110
11000000
--------------
01000000
「論理積を取る」などとムズカシく書いたが、
アドレスの、マスクで1になっているbitがアドレス部になる、ということである。
第四オクテット(110)のアドレス部は、64であることがわかった。
172.16.64.110/26 というIPアドレスの、ネットワークアドレスは、
172.16.64.64/26
である。
同様にして、最初にあげた3つのIPアドレスの残り二つも調べると、
すべてネットワークアドレスは同じ 172.16.64.64/26 であることがわかる。
ただし、172.16.64.64/26 というアドレスはネットワークアドレス、
つまりネットワーク全体を現すアドレスなので、ノード(PCなど)に割り当てることはできない。
もし割り当てたらどうなるのか・・・
ちなみにWindows7でやってみると・・・
---------------------------
Microsoft TCP/IP
---------------------------
IP アドレスとサブネット マスクの組み合わせは有効ではありません。IP アドレスのホスト アドレス部分のビットはすべて 0 に設定されています。IP アドレスとサブネット マスクの有効な組み合わせを入力してください。
---------------------------
OK
---------------------------
というダイアログが表示されて設定できない。
(Windowsダイアログの文字列は Ctrl + Shit + C でコピーできるって知ってた?)
Ciscoルータだと
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip add
R1(config-if)#ip address 172.16.64.64 255.255.255.192
Bad mask /26 for address 172.16.64.64
ちなみに、255という数字はブロードキャストアドレスとして使われるので、
/24のセグメントで 192.168.1.255/24という割り当てはできないが、
172.16.64.255/16 とかなら割り当てられる。
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 172.16.64.255 255.255.0.0
R1(config-if)#
当たり前かも知れないけど、ちょっとハっとしたので書いておいた。
ちなみに最初にあげた問題は、
私は1番目と3番目は同じサブネットだけど2番目は違うサブネット、と答えてしまった。
なんかパっと見、64と70が近くて 110が遠かったから。
正答は「どれも間違っていない」である。
簡単ではあるが、サブネットとアドレスの計算が苦手であることがわかった。
172.16.64.64/26
172.16.64.110/26
172.16.64.70/26
このような3つのアドレスがある。同じセグメントに所属しているべきなのだが、
間違っているものはどれか、
という問題である。
サブネットを作るときには、
1. 必要なアドレス個数を決める(聞く)
2. 将来の拡張性を考える、つまりアドレスが増えそうかどうか。
3. 1,2の要件を満たすサブネットマスクを決める。
サブネットマスク長と使用できるアドレス個数は
/24=256個、/25=128個、/26=64個、/27=32個、/28=16個、/29=8個、/30=4個
(ただし、実際に使えるアドレスはマイナス2個)
/24より大きいアドレス範囲になると、
/23=512個、/22=1024個、/21=2048個、/22=4096個・・・・となる。
社員数の多い企業で利用するPCに割り当てる場合などに、/21とか/22を使用することが多い。
本来は、/24より小さいサブネットが例外というか、特別なサブネットなのであるが、
実際には/24より小さいサブネットがよく使われる。
あるネットワークに必要なノードが40個で、拡張性は考えなくてよいとすると、
適切なサブネットマスクは/26になる。
そのようなサブネットを作るなら、
172.16.0.0/26
172.16.0.64/26
172.16.0.128/26
・・・
となる。
こうして決めたサブネットから、各ノードに割り当てるアドレスを決めていく。
PC1: 172.16.0.1/26
PC2: 172.16.0.2/26
GW: 172.16.0.62/26
とか。
こういうことなら間違うことはあまりない。
が、最初にあげたように、すでに割り当てられたアドレスとマスク長から、
それが所属するサブネットはどこなのか、と判断するのはちょっと面倒だ。
/24ならいいのだが、 /26, /27, /28あたりだと。
そして、そのあたりのサブネットはよく使われる。
本題に戻る。
172.16.64.110/26 の所属するサブネットは何か。つまり、このアドレスのネットワークアドレスは何か。
パッとわかる簡単な公式は、ない(少なくとも私は知らない)。
バカ正直にやるなら、こうだ。
まず、マスク長が8, 16, 24である場合はオクテットで区切ればよい。
32はホストアドレス、ノードが一個しかないネットワークである。
それ以外である場合、つまり0~7, 9~15, 17~23, 25~31の場合は、
サブネットマスクの終端がオクテットの途中にあるから、
その場所をさがす。
マスク長が0~7の場合は第一オクテット、9~15は第二、17~23は第三、
25~31は第四オクテットの途中に終端がある。
わざわざ数式にするほどのことではないが、
あえて数式にすると、
マスク終端の存在するオクテット = マスク長 / 8 の商 + 1
マスク終端の存在するオクテット内のマスク長 = マスク長 / 8 の余り
/26なら、
26 /8 = 3 余り 2なので、
第四オクテットの2bit目までがマスク長となる。
左からマスク長個を塗りつぶす。
■■□□|□□□□
そして、計算対象のIPアドレスの、同じオクテットの値を2進数に変換する。
今回対象となるのは 110である。
先ほどのように8等分したマスを書き、
今度はその下に一番左を128とし、
その右は左の数値を1/2した値を書いていく。
(一番右に1を書いて左に2倍した値を書いていってもよい)
| | | | | | | | |
|128|64|32|16|8|4|2|1|
マスの一番左から、変換対象値とマスの下の数値をくらべて、
対象値の方が大きいか等しければマスに1を書く。
そして、対象値からマスの下の数値を引く。
①128 : 110
|128|64|32|16|8|4|2|1|
変換対象値 = 110
②64 : 110
|0 | 1| | | | | | |
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
変換対象値 = 110 - 64 = 46
③32 : 46
|0 | 1| 1| | | | | |
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
変換対象値 = 46 - 32 = 14
④16 : 14
|0 | 1| 1| 0| | | | |
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
変換対象値 = 14
⑤8 : 14
|0 | 1| 1| 0|1| | | |
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
変換対象値 = 14 - 8 = 6
⑥4 : 6
|0 | 1| 1| 0|1|1| | |
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
変換対象値 = 6 - 4 = 2
⑦2 : 2
|0 | 1| 1| 0|1|1|1| |
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
変換対象値 = 2 - 2 = 0
変換対象値が0になったら、残りのマスはすべて0になる。
⑧
|0 | 1| 1| 0|1|1|1|0|
|128|64|32|16|8|4|2|1|
|128|64|32|16|8|4|2|1|
先ほどマスク長を求めたときに書いた、8個のマスの左二つを塗りつぶしたものを、
塗りつぶした部分を1、塗りつぶしていない部分を0として2進数にする。
11000000
この2つの8桁の2進数をタテに並べる。
01101110 → アドレス
11000000 → マスク
左から1桁ずつ、上下の数値の論理積(AND)を計算して3行目に書く。
論理積とは二つの数値がともに1なら1、そうでなければ(どちらかがゼロなら)0、
となる演算である。
01101110
11000000
--------------
01000000
「論理積を取る」などとムズカシく書いたが、
アドレスの、マスクで1になっているbitがアドレス部になる、ということである。
第四オクテット(110)のアドレス部は、64であることがわかった。
172.16.64.110/26 というIPアドレスの、ネットワークアドレスは、
172.16.64.64/26
である。
同様にして、最初にあげた3つのIPアドレスの残り二つも調べると、
すべてネットワークアドレスは同じ 172.16.64.64/26 であることがわかる。
ただし、172.16.64.64/26 というアドレスはネットワークアドレス、
つまりネットワーク全体を現すアドレスなので、ノード(PCなど)に割り当てることはできない。
もし割り当てたらどうなるのか・・・
ちなみにWindows7でやってみると・・・
---------------------------
Microsoft TCP/IP
---------------------------
IP アドレスとサブネット マスクの組み合わせは有効ではありません。IP アドレスのホスト アドレス部分のビットはすべて 0 に設定されています。IP アドレスとサブネット マスクの有効な組み合わせを入力してください。
---------------------------
OK
---------------------------
というダイアログが表示されて設定できない。
(Windowsダイアログの文字列は Ctrl + Shit + C でコピーできるって知ってた?)
Ciscoルータだと
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip add
R1(config-if)#ip address 172.16.64.64 255.255.255.192
Bad mask /26 for address 172.16.64.64
ちなみに、255という数字はブロードキャストアドレスとして使われるので、
/24のセグメントで 192.168.1.255/24という割り当てはできないが、
172.16.64.255/16 とかなら割り当てられる。
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 172.16.64.255 255.255.0.0
R1(config-if)#
当たり前かも知れないけど、ちょっとハっとしたので書いておいた。
ちなみに最初にあげた問題は、
私は1番目と3番目は同じサブネットだけど2番目は違うサブネット、と答えてしまった。
なんかパっと見、64と70が近くて 110が遠かったから。
正答は「どれも間違っていない」である。
CCNP失効
現行の試験は1/29までである。
私が受けようとして勉強していた 642-902J ROUTEは、今日申し込んで明日受験できる。
が、カネ(27540円)がない。
カネをどうにかして融通したとしても、まだ準備が不十分だ。
簡単なことで有名な642-832J TROUBLE SHOOTにするか。
これを逃すと、新試験になってしまう。新試験は英語の上に、試験範囲が変わっている。
PPP,GRE, DMVPN, EVN, AAA TACACS+ RADIUS NTP DHCP IP SLAなど・・・。
たぶん無理だろう・・・。
失効期限は2/14である。
選択肢はいくつかある。
明日、ROUTEを受ける。(カネがない、難易度やや高い、準備不足)
明日、TSHOOTを受ける。(カネがない、難易度低い、準備してない)
2/14までに、新試験を受ける。(準備してない)
2/14までに、CCIE Writtenを受ける。(準備ほとんどしてない)
いずれも非常に難しい。
もうほとんどあきらめている。
CCNPの失効はCCNAの失効にもなる。
資格があるからどうというわけではないが、
私は資格を持っていることは技術力や頭のよさというより、やる気の証拠と考えている。
仕事をもらうときに資格を重視する人はほとんどいないが、
持っていることが条件である仕事はけっこうある。
せめてCCNAは切らさないように、2/14までにCCNAを受けるか。
非常に消極的な行動であるが、CCNAなら受かるだろう。
私が受けようとして勉強していた 642-902J ROUTEは、今日申し込んで明日受験できる。
が、カネ(27540円)がない。
カネをどうにかして融通したとしても、まだ準備が不十分だ。
簡単なことで有名な642-832J TROUBLE SHOOTにするか。
これを逃すと、新試験になってしまう。新試験は英語の上に、試験範囲が変わっている。
PPP,GRE, DMVPN, EVN, AAA TACACS+ RADIUS NTP DHCP IP SLAなど・・・。
たぶん無理だろう・・・。
失効期限は2/14である。
選択肢はいくつかある。
明日、ROUTEを受ける。(カネがない、難易度やや高い、準備不足)
明日、TSHOOTを受ける。(カネがない、難易度低い、準備してない)
2/14までに、新試験を受ける。(準備してない)
2/14までに、CCIE Writtenを受ける。(準備ほとんどしてない)
いずれも非常に難しい。
もうほとんどあきらめている。
CCNPの失効はCCNAの失効にもなる。
資格があるからどうというわけではないが、
私は資格を持っていることは技術力や頭のよさというより、やる気の証拠と考えている。
仕事をもらうときに資格を重視する人はほとんどいないが、
持っていることが条件である仕事はけっこうある。
せめてCCNAは切らさないように、2/14までにCCNAを受けるか。
非常に消極的な行動であるが、CCNAなら受かるだろう。
eigrpのfd/adを実際に計算してみる。
R1 (G)----(G)R2(G)-----(G)R3(G)-----(G)R4(lo0)---9.9.9.9
eigrpのdistanceは、下記の式で求められる。
256 x (経路中の最低帯域幅 + 遅延の合計)
(本当は、K値の3, 4, 5も使うのだが、デフォルトでゼロなので省略)
「経路中の最低帯域幅」は、10,000,000 ÷ 帯域幅(Kbps) という値を使う。
10,000,000 kbps = 10Gbps なので、
10Gbpsのときに、1となる。
1Gbpsなら10、100Mbpsなら100・・・・ということである。
遅延の単位は10マイクロ秒である。
実際のルータ(といってもGNS3でエミュレーションしたもの)で
show interfaceを実行して、実際の帯域と遅延の値を見てみる。
R1#sho interfaces gigabitEthernet 2/0
GigabitEthernet2/0 is up, line protocol is up
Hardware is 82543, address is ca01.1bb8.0038 (bia ca01.1bb8.0038)
Internet address is 10.0.2.1/30
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
・・・
R1#show interfaces fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Hardware is i82543 (Livengood), address is ca01.1bb8.0008 (bia ca01.1bb8.0008)
Internet address is 192.168.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
・・・
ギガイーサは 帯域が1000000 Kbit、遅延は 10 usec
ファストイーサは 帯域が100000 Kbit 遅延は 100 usec
である。マイクロ秒の「μ」の代わりに「u」が使われている。
ループバックインタフェースはどうなっているか。
R4#sho interfaces loopback 0
Loopback0 is up, line protocol is up
Hardware is Loopback
Internet address is 9.9.9.9/32
MTU 1514 bytes, BW 8000000 Kbit, DLY 5000 usec,
帯域は、8Gbps、遅延は500マイクロ秒である。
遅延がなぜかずいぶん大きい。
というわけで、経路中の最低帯域幅は 10,000,000 / 1,000,000 = 10
遅延の合計は 1+1+1+500=503
ディスタンス = 256 * (10+503) = 131,328
となる。
show ip eigrp topology で表示される値と一致している。
R1#show ip eigrp topology
IP-EIGRP Topology Table for AS(1)/ID(200.0.1.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 9.9.9.9/32, 1 successors, FD is 131328
via 10.0.2.2 (131328/131072), GigabitEthernet2/0
via 10.0.1.2 (133632/131072), GigabitEthernet1/0
ちなみに、133632(フィージブルサクセサ)は、
1個のギガのI/Fの遅延を100に変更した経路である。
遅延が 503 → 512 となったので、ディスタンスは 256 * 9 大きくなっている。
eigrpのdistanceは、下記の式で求められる。
256 x (経路中の最低帯域幅 + 遅延の合計)
(本当は、K値の3, 4, 5も使うのだが、デフォルトでゼロなので省略)
「経路中の最低帯域幅」は、10,000,000 ÷ 帯域幅(Kbps) という値を使う。
10,000,000 kbps = 10Gbps なので、
10Gbpsのときに、1となる。
1Gbpsなら10、100Mbpsなら100・・・・ということである。
遅延の単位は10マイクロ秒である。
実際のルータ(といってもGNS3でエミュレーションしたもの)で
show interfaceを実行して、実際の帯域と遅延の値を見てみる。
R1#sho interfaces gigabitEthernet 2/0
GigabitEthernet2/0 is up, line protocol is up
Hardware is 82543, address is ca01.1bb8.0038 (bia ca01.1bb8.0038)
Internet address is 10.0.2.1/30
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
・・・
R1#show interfaces fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Hardware is i82543 (Livengood), address is ca01.1bb8.0008 (bia ca01.1bb8.0008)
Internet address is 192.168.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
・・・
ギガイーサは 帯域が1000000 Kbit、遅延は 10 usec
ファストイーサは 帯域が100000 Kbit 遅延は 100 usec
である。マイクロ秒の「μ」の代わりに「u」が使われている。
ループバックインタフェースはどうなっているか。
R4#sho interfaces loopback 0
Loopback0 is up, line protocol is up
Hardware is Loopback
Internet address is 9.9.9.9/32
MTU 1514 bytes, BW 8000000 Kbit, DLY 5000 usec,
帯域は、8Gbps、遅延は500マイクロ秒である。
遅延がなぜかずいぶん大きい。
というわけで、経路中の最低帯域幅は 10,000,000 / 1,000,000 = 10
遅延の合計は 1+1+1+500=503
ディスタンス = 256 * (10+503) = 131,328
となる。
show ip eigrp topology で表示される値と一致している。
R1#show ip eigrp topology
IP-EIGRP Topology Table for AS(1)/ID(200.0.1.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 9.9.9.9/32, 1 successors, FD is 131328
via 10.0.2.2 (131328/131072), GigabitEthernet2/0
via 10.0.1.2 (133632/131072), GigabitEthernet1/0
ちなみに、133632(フィージブルサクセサ)は、
1個のギガのI/Fの遅延を100に変更した経路である。
遅延が 503 → 512 となったので、ディスタンスは 256 * 9 大きくなっている。
aggressive mode
TARO#sho running-config
Building configuration...
Current configuration : 1613 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TARO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO address 200.0.0.2 255.255.255.0
crypto isakmp keepalive 100
!
crypto isakmp peer address 200.0.0.2
set aggressive-mode password CISCO
set aggressive-mode client-endpoint fqdn TARO
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto map MAP1 1 ipsec-isakmp
set peer 200.0.0.2
set transform-set IPSEC
match address 101
!
!
!
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 100.0.0.1 255.255.255.0
negotiation auto
crypto map MAP1
!
interface GigabitEthernet2/0
no ip address
shutdown
negotiation auto
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 172.16.2.0 255.255.255.0 100.0.0.2
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
HANAKO#sho run
Building configuration...
Current configuration : 1552 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HANAKO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO hostname TARO
crypto isakmp keepalive 100
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto dynamic-map DYNA1 10
set transform-set IPSEC
match address 101
!
!
!
crypto map MAINMAP 1 ipsec-isakmp dynamic DYNA1
!
!
!
!
interface FastEthernet0/0
ip address 172.16.2.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet2/0
ip address 200.0.0.2 255.255.255.0
negotiation auto
crypto map MAINMAP
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
ip route 172.16.1.0 255.255.255.0 100.0.0.1
ip route 172.16.1.0 255.255.255.0 200.0.0.1
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
TARO#sho cry isa sa
dst src state conn-id slot status
200.0.0.2 100.0.0.1 QM_IDLE 2 0 ACTIVE
TARO#sho cry ipsec sa
interface: GigabitEthernet1/0
Crypto map tag: MAP1, local addr 100.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)
current_peer 200.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14
#pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 16, #recv errors 0
local crypto endpt.: 100.0.0.1, remote crypto endpt.: 200.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1/0
current outbound spi: 0x78C3B43C(2026091580)
inbound esp sas:
spi: 0x9B9A8F46(2610597702)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4554095/3565)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x78C3B43C(2026091580)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4554095/3565)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
TARO#
Building configuration...
Current configuration : 1613 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TARO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO address 200.0.0.2 255.255.255.0
crypto isakmp keepalive 100
!
crypto isakmp peer address 200.0.0.2
set aggressive-mode password CISCO
set aggressive-mode client-endpoint fqdn TARO
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto map MAP1 1 ipsec-isakmp
set peer 200.0.0.2
set transform-set IPSEC
match address 101
!
!
!
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 100.0.0.1 255.255.255.0
negotiation auto
crypto map MAP1
!
interface GigabitEthernet2/0
no ip address
shutdown
negotiation auto
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 172.16.2.0 255.255.255.0 100.0.0.2
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
HANAKO#sho run
Building configuration...
Current configuration : 1552 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HANAKO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO hostname TARO
crypto isakmp keepalive 100
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto dynamic-map DYNA1 10
set transform-set IPSEC
match address 101
!
!
!
crypto map MAINMAP 1 ipsec-isakmp dynamic DYNA1
!
!
!
!
interface FastEthernet0/0
ip address 172.16.2.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet2/0
ip address 200.0.0.2 255.255.255.0
negotiation auto
crypto map MAINMAP
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
ip route 172.16.1.0 255.255.255.0 100.0.0.1
ip route 172.16.1.0 255.255.255.0 200.0.0.1
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
TARO#sho cry isa sa
dst src state conn-id slot status
200.0.0.2 100.0.0.1 QM_IDLE 2 0 ACTIVE
TARO#sho cry ipsec sa
interface: GigabitEthernet1/0
Crypto map tag: MAP1, local addr 100.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)
current_peer 200.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14
#pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 16, #recv errors 0
local crypto endpt.: 100.0.0.1, remote crypto endpt.: 200.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1/0
current outbound spi: 0x78C3B43C(2026091580)
inbound esp sas:
spi: 0x9B9A8F46(2610597702)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4554095/3565)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x78C3B43C(2026091580)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4554095/3565)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
TARO#
IPsec
GNS3で。
172.16.1.0/24 - TARO [.1]-(100.0.0.0/24)-[.2] RT [.1]-(200.0.0.0)-[.2] HANAKO - 172.16.2.0/24
TARO#ter len 0
TARO#sho run
Building configuration...
Current configuration : 1490 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TARO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO address 200.0.0.2 255.255.255.0
crypto isakmp keepalive 100
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto map MAP1 1 ipsec-isakmp
set peer 200.0.0.2
set transform-set IPSEC
match address 101
!
!
!
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 100.0.0.1 255.255.255.0
negotiation auto
crypto map MAP1
!
interface GigabitEthernet2/0
no ip address
shutdown
negotiation auto
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 172.16.2.0 255.255.255.0 100.0.0.2
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
HANAKO#sho run
Building configuration...
Current configuration : 1492 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HANAKO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO address 100.0.0.1 255.255.255.0
crypto isakmp keepalive 100
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto map MAP1 1 ipsec-isakmp
set peer 100.0.0.1
set transform-set IPSEC
match address 101
!
!
!
!
interface FastEthernet0/0
ip address 172.16.2.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet2/0
ip address 200.0.0.2 255.255.255.0
negotiation auto
crypto map MAP1
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
ip route 172.16.1.0 255.255.255.0 200.0.0.1
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
HANAKO#
TARO#ping 172.16.2.254 source 172.16.1.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.254
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 68/94/116 ms
TARO#
TARO#
TARO#
TARO#sho cry isa sa
dst src state conn-id slot status
200.0.0.2 100.0.0.1 QM_IDLE 1 0 ACTIVE
TARO#sho cry ipsec sa
interface: GigabitEthernet1/0
Crypto map tag: MAP1, local addr 100.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)
current_peer 200.0.0.2 port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 100.0.0.1, remote crypto endpt.: 200.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1/0
current outbound spi: 0xD05FC0B9(3495936185)
inbound esp sas:
spi: 0xA794FBD4(2811558868)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4540909/3589)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xD05FC0B9(3495936185)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4540909/3589)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
TARO#
172.16.1.0/24 - TARO [.1]-(100.0.0.0/24)-[.2] RT [.1]-(200.0.0.0)-[.2] HANAKO - 172.16.2.0/24
TARO#ter len 0
TARO#sho run
Building configuration...
Current configuration : 1490 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TARO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO address 200.0.0.2 255.255.255.0
crypto isakmp keepalive 100
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto map MAP1 1 ipsec-isakmp
set peer 200.0.0.2
set transform-set IPSEC
match address 101
!
!
!
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 100.0.0.1 255.255.255.0
negotiation auto
crypto map MAP1
!
interface GigabitEthernet2/0
no ip address
shutdown
negotiation auto
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 172.16.2.0 255.255.255.0 100.0.0.2
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
HANAKO#sho run
Building configuration...
Current configuration : 1492 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HANAKO
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip tcp synwait-time 5
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key CISCO address 100.0.0.1 255.255.255.0
crypto isakmp keepalive 100
!
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto map MAP1 1 ipsec-isakmp
set peer 100.0.0.1
set transform-set IPSEC
match address 101
!
!
!
!
interface FastEthernet0/0
ip address 172.16.2.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet2/0
ip address 200.0.0.2 255.255.255.0
negotiation auto
crypto map MAP1
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
ip route 172.16.1.0 255.255.255.0 200.0.0.1
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
HANAKO#
TARO#ping 172.16.2.254 source 172.16.1.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.254
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 68/94/116 ms
TARO#
TARO#
TARO#
TARO#sho cry isa sa
dst src state conn-id slot status
200.0.0.2 100.0.0.1 QM_IDLE 1 0 ACTIVE
TARO#sho cry ipsec sa
interface: GigabitEthernet1/0
Crypto map tag: MAP1, local addr 100.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)
current_peer 200.0.0.2 port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 100.0.0.1, remote crypto endpt.: 200.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1/0
current outbound spi: 0xD05FC0B9(3495936185)
inbound esp sas:
spi: 0xA794FBD4(2811558868)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4540909/3589)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xD05FC0B9(3495936185)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4540909/3589)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
TARO#
OSPFのstubとnssa
stubエリアとは何か。
stubとは切り株という意味であるが、切り株というより、「袋小路」という感じである。
つまり、その先には何もない。だから、そのエリアから見れば、エリアからの出口さえわかればよい。
逆に、そのエリアを外から見る人にとっては、いちいち詳細な経路情報を伝える必要はなく、
全部エリアの出口を通ってもらうように伝えればよい。
イメージとしてはそういうことで、難しいことはない。
だが、スタブエリアにはいくつか種類がある。
1.スタブエリア
2.完全集約スタブエリア(totally stub area)
3.nssa(not so stubby area)
4.完全集約nssa
スタブエリアにするには、
area 1 stub
とする。
完全集約スタブエリアにするには、
とする。
「完全集約」なら、area 1 stub summary ではないか、と、素直で合理的に考える人なら思うはずだ。
だが、この「完全集約」の「集約」は、area 1 stub no-summaryの「summary」のことではない。
このno-summaryというのは、LSA type3の、「Network summary LSA」をABRがフラッディングしない、という意味である。
no-summaryを指定することによってスタブエリアにはデフォルトルート以外のバックボーンエリアの経路情報が来なくなる。つまり、デフォルトルート一本に完全に集約される、ということである。
そもそも、LSAで使われている「summary」という言葉は、集約経路情報のことではないのである。
そこが紛らわしいのだ。
そして、nssaであるが、「それほどstubっぽくない」という意味である。
それは、外部経路だけはアドバタイズするからである。
外部経路というのはつまり異なるルーティングプロトコルから再配布された経路のことである。
普通のエリア
OSPFルータからは、外部経路ということしかわからない。
ASBRは、OSPF area 0からの経路「IA」をもらっている。
stubにした後
ASBRは、OSPFルータからデフォルトルートをもらうようになる。
totally stub
<ABR>
nssa
ASBRにはデフォルトルートが・・・・こない。
nssaのときはstubと違ってデフォルトルートがこない。
ciscoのサイトには、nssaのときはdefault information originateを使え、
と書いてある。
stubエリアの動作については、in/out両方についてどうなるかを知っておかないといけない。
「フラッディングする・しない」「来る・こない」と書いたが、
出さなくなるのか、出すけど受け取らないのかは、確認してない。
stubとは切り株という意味であるが、切り株というより、「袋小路」という感じである。
つまり、その先には何もない。だから、そのエリアから見れば、エリアからの出口さえわかればよい。
逆に、そのエリアを外から見る人にとっては、いちいち詳細な経路情報を伝える必要はなく、
全部エリアの出口を通ってもらうように伝えればよい。
イメージとしてはそういうことで、難しいことはない。
だが、スタブエリアにはいくつか種類がある。
1.スタブエリア
2.完全集約スタブエリア(totally stub area)
3.nssa(not so stubby area)
4.完全集約nssa
スタブエリアにするには、
area 1 stub
とする。
完全集約スタブエリアにするには、
area 1 stub no-summary
とする。
「完全集約」なら、area 1 stub summary ではないか、と、素直で合理的に考える人なら思うはずだ。
だが、この「完全集約」の「集約」は、area 1 stub no-summaryの「summary」のことではない。
このno-summaryというのは、LSA type3の、「Network summary LSA」をABRがフラッディングしない、という意味である。
no-summaryを指定することによってスタブエリアにはデフォルトルート以外のバックボーンエリアの経路情報が来なくなる。つまり、デフォルトルート一本に完全に集約される、ということである。
そもそも、LSAで使われている「summary」という言葉は、集約経路情報のことではないのである。
そこが紛らわしいのだ。
そして、nssaであるが、「それほどstubっぽくない」という意味である。
それは、外部経路だけはアドバタイズするからである。
外部経路というのはつまり異なるルーティングプロトコルから再配布された経路のことである。
(OSPF area0) - ABR - (OSPF area1) ASBR - (EIGRP)での実例。
普通のエリア
O E2 172.16.1.0 [110/20] via 10.2.0.2, 00:00:45, GigabitEthernet1/0 #ASBR O IA 10.1.0.0/29 [110/2] via 10.2.0.1, 00:00:29, GigabitEthernet1/0ABRは、ASBRからEIGRPの経路(E2)をもらっている。
OSPFルータからは、外部経路ということしかわからない。
ASBRは、OSPF area 0からの経路「IA」をもらっている。
stubにした後
O IA 10.1.0.0/29 [110/2] via 10.2.0.1, 00:00:03, GigabitEthernet1/0 O*IA 0.0.0.0/0 [110/2] via 10.2.0.1, 00:00:03, GigabitEthernet1/0stubにすると、OSPFルータはASBRからの外部経路を受信しなくなる。
ASBRは、OSPFルータからデフォルトルートをもらうようになる。
totally stub
<ABR>
#ASBR O*IA 0.0.0.0/0 [110/2] via 10.2.0.1, 00:00:10, GigabitEthernet1/0totally stubにすると、ASBRはOSPFルータからIA経路をもらわなくなる。
nssa
#ABR O N2 172.16.1.0 [110/20] via 10.2.0.2, 00:00:03, GigabitEthernet1/0nssaにすると、ABRはN2という種別でASBRから外部経路をもらう。
#ASBR O IA 10.1.0.0/29 [110/2] via 10.2.0.1, 00:00:03, GigabitEthernet1/0
ASBRにはデフォルトルートが・・・・こない。
nssaのときはstubと違ってデフォルトルートがこない。
ciscoのサイトには、nssaのときはdefault information originateを使え、
と書いてある。
nssa no-summaryno-summaryの場合はデフォルトルートが来た。
#ABR O N2 172.16.1.0 [110/20] via 10.2.0.2, 00:00:09, GigabitEthernet1/0
#ASBR O*IA 0.0.0.0/0 [110/2] via 10.2.0.1, 00:00:22, GigabitEthernet1/0
stubエリアの動作については、in/out両方についてどうなるかを知っておかないといけない。
「フラッディングする・しない」「来る・こない」と書いたが、
出さなくなるのか、出すけど受け取らないのかは、確認してない。