Cisco ios

IOSとは
• 「アイオーエス」と読む
• Internetwork Operating Systemの略
• Cisco機器で動作する専用OS
• IOSの機能・バージョンは多数存在する。
• 使用する機能（Feature）によりライセンス料金が違う。
• IOSの選定はプロに相談して決める。
• IOSの操作は、基本的にCLIで行う。
• ファイルシステムの概念はない。
2

IOSを起動させてみる
• ルータを起動させてみる
– Consoleログに色々な情報が出力されるのを確認する。
– 起動時間は聞きによるが数分かかることが一般的
• 初回起動時にサンプルconfigは使用しないのが一
般的
3

Cisco IOSのモード
ルータ接続直後の画面
Enterキーを押す
ユーザモード
Router>logout
“enable”と入力する
特権モード
Router#disable
“configure terminal”と
入力する
グローバルコンフィグ
レーションモード
Router(config)#exit
インタフェース設定モー
ド
Router（config-if）#
ルータ設定モード
Router（config-router）#
ライン設定モード
Router（config-line）#
ログインパスワードを入力
Enableパスワードを入力
4

Cisco IOSのモード
ユーザモード統計情報を表示する。
ルータの基本的な状態の確認が可能である。
特権モードルータの設定を表示する。
詳細な状態の確認やファイルの移動等が行える。
グローバルコンフィグレー
ションモード
ルータに全体的な設定・変更を加えることが出来る。
項目別の設定モード
（インタフェース設定モード、
ルータ設定モード等）
項目別に詳細な設定・変更を行うことが出来る。
5

パスワードの設定
• Enable password
Router(config)#enable secret xxxxx
• ユーザモードパスワード（コンソール）
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password xxxxx
• ユーザモードパスワード（Telnet）
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password xxxxx
• パスワードの設定確認
Router# show running-config
※表示されるパスワードを暗号化したい場
合、以下のコマンドを投入する。
Router(config)# service password-encryption6

その他の基本的なコマンド
• ルータのホスト名を設定する
Router(config)# hostname xxxxx
• バナーを設定する
Router(config)# banner motd #
Enter TEXT message. End with the character '#'.
aiueo kakikukeko sashisuseso
#
• インターフェースに説明を設定する
Router(config)# interface ethernet 0
Router(config-if)# description xxxxx LAN
• 設定の表示と保存
Router# show running-config
Router# copy running-config startup-config
7

その他の基本的なコマンド（続）
• 保存した設定の削除
Router# write erase
• ルータの再起動
Router# reload
※上記コマンドを組み合わせることによって工場出荷状態へ
戻すことが可能
8

補足
• CLIでは、短縮入力、TABキー、ヘルプ「？」を多用してミス防
止と作業効率向上に役立てることが出来る。
• History（上矢印キー）機能も存在する。
• copy running-config startup-config は write memory で打つ
ことの方が多い。
• endコマンドで一足飛びに特権モードへ戻れる。
• doコマンドで設定モードでもshowコマンドが使える。
9

ルーティングテーブルの見方
192.168.10.0/24
R1
F0/0
R2
S0/0S0/0
192.168.20.0/24
S0/0
R3
192.168.40.0/24
192.168.50.0/24
F0/0
F0/0
192.168.30.0/24
S0/1
10

ルーティングテーブルの見方（続）
• ルータ：R1のルーティングテーブル
R1# show ip route
[省略]
S 192.168.50.0 [1/0] via 192.168.30.2
S 192.168.40.0 [1/0] via 192.168.20.2
C 192.168.30.0 is directly connected, Serial0/1
C 192.168.10.0 is directly connected, FastEthernet0/0
R2# show ip route
[省略]
S 192.168.50.0 [1/0] via 192.168.20.1
S 192.168.30.0 [1/0] via 192.168.20.1
S 192.168.10.0 [1/0] via 192.168.20.1
11

ルーティングテーブルの見方（続）
R3# show ip route
[省略]
S 192.168.40.0 [1/0] via 192.168.30.1
S 192.168.20.0 [1/0] via 192.168.30.1
S 192.168.10.0 [1/0] via 192.168.30.1
ネクストホップアドレスを示す。
アドミニストレーティブディスタンス／メトリックを示す。
※ダイナミックルーティングの章で説明
S そのネットワークがスタティックエントリであることを示す。
C 直接接続されたネットワークであることを示す。
12

インタフェースの設定
• インタフェース設定モード
（config）# interface [タイプ][スロット/ポート]
• IPアドレスの設定
(config-if)# ip address [IPアドレス] [サブネットマスク]
※設定ミスなどを直すために設定情報を削除する時は”no ip address”を投入する。
• インタフェースを有効化する
(config-if)# no shutdown
• ルータ：R1のインタフェース設定
R1(config)# interface fastethernet 0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# interface serial 0/0
13

インタフェースの設定(続)
14

インタフェースの設定(続)
• インタフェース状態の確認
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet 0/0 192.168.10.1 YES manual up up
Serial 0/0 192.168.20.1 YES manual up up
Serial 0/1 unassigned YES NVRAM administratively down down
Serial 0/1 unassigned YES manual administratively down down
Status は物理的な状態、Protocolは論理的な状態を表す。
15

スタティックルートの設定
• （config）# ip route [destination_network][mask][next_hop_address]
[administrative_distance][permanent]
destination_network ：宛先ネットワークを示す。
mask ：そのネットワークで使用されるサブネットマスクを示す。
next_hop_address ：宛先ネットワークへ転送する直接接続されたルータの
アドレスを示す。
administrative_distance：スタティックルートの場合はデフォルト”1”である。
permanent ：状態に無関係でルーティングテーブルに保持される。
※ administrative_distance、及びpermanentパラメータについてはオプションである。
16

スタティックルートの設定
• ルータ：R1のスタティックルートの設定
R1(config)# ip route 192.168.40.0 255.255.255.0 192.168.20.2
R1(config)# ip route 192.168.50.0 255.255.255.0 192.168.30.2
R2(config)# ip route 192.168.10.0 255.255.255.0 192.168.20.1
R2(config)# ip route 192.168.30.0 255.255.255.0 192.168.20.1
R2(config)# ip route 192.168.50.0 255.255.255.0 192.168.20.1
R3(config)# ip route 192.168.10.0 255.255.255.0 192.168.30.1
R3(config)# ip route 192.168.20.0 255.255.255.0 192.168.30.1
R3(config)# ip route 192.168.40.0 255.255.255.0 192.168.30.1
17

デフォルトルートの設定
 デフォルトルーティングは、ルーティングテーブルに存在しないネットワークを宛先
とするパケットを、次のホップのルータへ送信するために使用する。
• ルータ：R3のデフォルトルートの設定
R3(config)# no ip route 192.168.10.0 255.255.255.0 192.168.30.1
R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.30.1
R3# show ip route
[省略]
Gateway of last resort is 192.168.30.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 192.168.30.1
※デフォルトルートを設定する際、”ip classless”コマンドを投入する必要がある。
IOSのバージョンが新しいもの（11.3以降）はデフォルトで有効になっているが、
古いバージョンでは、無効になっている可能性がある。 18

RIP（Router Information Protocol）
• RIP
– Router Information Protocolの略
– 古い（レガシーな）ルーティングプロトコル
– ほとんどの場合、標準ライセンスで使用可能
– 中小規模NW向け
– コンバージェンス（収束）に時間がかかる最大150秒
– ホップ数をメトリックとして利用
20

RIPルーティングの設定
192.168.10.0/24
R1
F0/0
R2
S0/0S0/0
192.168.20.0/24
S0/0
R3
192.168.40.0/24
192.168.50.0/24
F0/0
F0/0
192.168.30.0/24
S0/1
21

• ルータ：R1のRIPルーティングの設定
R1(config)# router rip
R1(config-router)# network 192.168.10.0
R1(config-router)#passive-interface fastethernet 0/0
22

※RIPをバージョン２で動作させたい場合は、”version 2”コマンドをルータ設
定モードで投入する。
(config-router)# version 2
• ルートの自動集約
(config-router)# auto-summary ※デフォルトで有効となっている
(config-router)# no auto-summary ※自動集約を解除するコマンド
23

RIPルーティングの確認
R1# show ip route
[省略]
R 192.168.50.0 [120/1] via 192.168.30.2, 00:00:00, Serial0/1
R 192.168.40.0 [120/1] via 192.168.20.2, 00:00:00, Serial0/0
R2# show ip route
[省略]
R 192.168.50.0 [120/1] via 192.168.20.1, 00:00:00, Serial0/0
R 192.168.30.0 [120/1] via 192.168.20.1, 00:00:00, Serial0/0
R 192.168.10.0 [120/1] via 192.168.20.1, 00:00:00, Serial0/0
24

R3# show ip route
[省略]
R 192.168.40.0 [120/2] via 192.168.30.1, 00:00:00, Serial0/0
R 192.168.20.0 [120/1] via 192.168.30.1, 00:00:00, Serial0/0
R 192.168.10.0 [120/1] via 192.168.30.1, 00:00:00, Serial0/0
ネクストホップアドレスを示す。
アドミニストレーティブディスタンス／メトリックを示す。
※ダイナミックルーティングの章で説明
S そのネットワークがスタティックエントリであることを示す。
C 直接接続されたネットワークであることを示す。
RIP更新メッセージを受信したインタフェースを示す。
25

• ルーティングプロトコルの確認
R1# show ip protocols
Routing Protocol is "rip"
Sending updates every 30 seconds, next due in 6 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
[省略]
Default version control: send version 1, receive any version
Interface Send Recv Key-chain
Serial0/0 1 1
Serial0/0 1 1
[省略]
Routing for Networks:
192.168.10.0
192.168.20.0
192.168.30.0
Passive Interface(s):
FastEthernet0/0
Routing Information Sources:
[省略]
RIPで使用するタイマ
RIPのバージョン
設定したネットワーク
passive-interfaceを設
定したインタフェース
26

• ルーティングプロトコルの確認
R1# debug ip protocols
RIP protocol debugging is on
R1#
00:00:00: RIP: received v1 update from 192.168.20.2 on Serial0/0
00:00:00: 192.168.40.0 in 1 hops
00:00:01: RIP: received v1 update from 192.168.30.2 on Serial0/1
00:00:01: 192.168.50.0 in 1 hops
00:00:03: RIP: sending v1 update to 255.255.255.255 via Serial0/0(192.168.20.1)
00:00:03: subnet 192.168.50.0, metric 2
00:00:03: subnet 192.168.30.0, metric 1
00:00:03: subnet 192.168.10.0, metric 1
00:00:03: RIP: sending v1 update to 255.255.255.255 via Serial0/1(192.168.30.1)
00:00:03: subnet 192.168.40.0, metric 2
00:00:03: subnet 192.168.20.0, metric 1
00:00:03: subnet 192.168.10.0, metric 1
R1# no debug ip rip
RIP protocol debugging is off
27

スタティックVLANとダイナミックVLAN
• スタティックVLAN
ポートベースVLANと呼ばれる方式のことである。
手動でポートごとにVLANを定義する。
• ダイナミックVLAN
VLANの割り当てを自動的に決定する。
MAC(アドレス)ベースVLAN、プロトコルベースVLANなどの方式がこれにあたる。
Ciscoネットワークでは、VMPS（VLAN Management Policy Server）サービスという
VLANを管理する技術がある。
28

VLANの識別
• アクセスリンク
１つのVLANだけに属している。PC等の機器を接続するリンクに適用する。
• トランクリンク
複数のVLANに属している。スイッチ間を接続するリンクに適用する。
VLANのアクセスポートとトランクポート
VLAN10
VLAN20
トランク
ポート凡例
スイッチα
G0 G1 G2 F0/1 F0/2 F0/3
PC A PC BPC 1 PC 2
192.168.0.1/24 172.16.0.1/24 192.168.0.2/24 172.16.0.2/24
スイッチβ
トランクリンク
29

VLANの識別
• ISL（Inter-Switch Link）
Cisco独自のトラッキングプロトコル。26bytesのISL
ヘッダと4bytesのFCS（Frame Check Sequence)を追加す
る。
• IEEE802.1Q
IEEE標準のトラッキングプロトコル。4bytesのタグを
追加する。ネイティブVLAN（デフォルトは1）が規定され
ており、ネイティブVLANフレームを転送するときはタグ
が追加されない。
30

VLANの設定（１）
• VLANの作成
(config)# vlan [vlan-id]
(config-vlan)# name [vlan-name] ※VLANの名前の設定は必須ではない
• インタフェースへの適用
(config-if)# switchport mode access
(config-if)# switchport access vlan [vlan-id]
複数のインタフェースに同じVLANを適用する場合、rangeコマ
ンドによりまとめて設定することができる
(config)# interface range fastethernet 0/0-23 ※ポート0から23までを設定
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan [vlan-id]
32

VLANの設定（１）（続）
• スイッチ：SW1及びSW2及びSW3のVLANの設定
SW1:(config)# vlan 10
SW1:(config-vlan)# name GROUP10
SW1:(config-vlan)# vlan 20
SW1:(config-vlan)# name GROUP20
• スイッチ：SW1及びSW2のVLANの設定
SW1:(config)# interface fastethernet 0/0
SW1:(config-if)# switchport mode access
SW1:(config-if)# switchport access vlan 10
SW1:(config)# interface fastethernet 0/1
SW1:(config-if)# switchport mode access
SW1:(config-if)# switchport access vlan 20
33

VLANの設定（２）
• トランクリンクの設定
(config-if)# switchport trunk encapsulation {dot1q|isl}
(config-if)# switchport mode trunk
• スイッチ：SW1及びSW2のトランクリンクの設定
SW1(config)# interface fastethernet 0/23
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk
• スイッチ：SW3のトランクリンクの設定
SW3(config)# interface range fastethernet 0/0-1
SW3#(config-if-range)# switchport trunk encapsulation dot1q
SW3(config-if-range)# switchport mode trunk
※トランクリンクに流すVLANトラフィックを指定することもできる
(config-if)# switchport trunk allowed vlan [vlan-id]
34

VLANの確認
• スイッチ：SW1及びSW2のVLANの確認
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
[省略]
10 GROUP10 active Fa0/0
20 GROUP20 active Fa0/1
[省略] briefを付けるとVLAN情報の要約を
表示することが出来る。
35

VLANの確認（続）
• スイッチ：トランクリンクの確認
SW1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/23 on 802.1q trunking 1
[省略]
SW3#show interfaces trunk
Port Mode Encapsulation Status Native vlan
[省略]
36

ルータによるVLAN間ルーティングの設定
• ルータの物理インターフェースごとに異なるVLANを収容する方法が考えられるが、
ルータのインターフェース数よりも多くのVLANを使用する場合は適用できない。そ
の場合、１つの物理インターフェースだけでVLAN間ルーティングを可能にする方
法がある。これを「棒上のルータ」（router-on-a-stick）と呼ぶ。※トランク対応ルー
タであることが条件となる。
• ルータの設定
R1(config)#interface gigabitEthernet 0/0.1
R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip address 192.168.10.1 255.255.255.0
R1(config)#interface gigabitEthernet 0/0.2
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip address 192.168.20.1 255.255.255.0
38

ルータによるVLAN間ルーティングの設定（続）
• スイッチ：SW1の設定
SW3(config)#interface gigabitEthernet 3/3
SW3(config-if)#switchport trunk encapsulation dot1q
SW3(config-if)#switchport mode trunk
39

アドレス変換_NAT
NAT（Network Address Translation）はIPアドレスを変換
する技術です。一般的には、プライベートIPアドレスを
グローバルIPアドレスに変換する技術とされています。
40

NATの設定
• ローカルIPとグローバルIPの対応を設定
（config）# ip nat [inside/outside] source static [local-ip][global-ip]
inside/outside：対象の機器が内部にあるか外部にあるか。
local-ip ：ローカルIP
global-ip ：ローカルIP
• 内部インタフェースを指定
（config）# interface GigabitEthernet 0/0
（config-if）# ip nat inside
• 外部インタフェースを指定
（config-if）# ip nat outside
41

NATの設定（続）
• ルーターRT-Aの設定
RT-A(config)#ip nat inside source static 192.168.10.1 110.10.10.51
RT-A(config)#ip nat inside source static 192.168.10.2 110.10.10.52
RT-A(config)#interface GigabitEthernet 0/0
RT-A(config)#ip nat inside
RT-A(config)#ip nat outside
• ルーターRT-Bの設定
RT-B(config)#ip nat inside source static 192.168.20.21 120.20.20.62
RT-B(config)#ip nat inside source static 192.168.20.22 120.20.20.63
RT-B(config)#interface GigabitEthernet 0/0
RT-B(config)#ip nat inside
RT-B(config)#ip nat outside
42

アドレス変換_PAT
PAT (Port Address Translation) とは、1つのIPアドレスを複数のコンピュータで
共有する技術のことです。PATはシスコ用語で、一般的にはNAPT
（Network Address Port Translation）、またはIPマスカレードといいます。
一般的に、企業LAN、大学LAN、自宅LANからインターネット通信する
時に使用している技術です。
43

PATの設定
• IPアクセス制御リストを定義（拡張ACLも使える）
（config）# access-list [number] permit [source] [wildcard]
number ：番号
source :送信元IP
wildcard :ワイルドカードマスク
• ローカルIPとグローバルIPの対応を設定
（config）# ip nat inside source list [number] interface [interface] overload
number :ACLの番号
interface :外側インターフェース
• 内部インタフェースを指定
（config-if）# ip nat inside
• 外部インタフェースを指定
（config-if）# ip nat outside
44

PATの設定（続）
RT-A(config)#access-list 1 permit 192.168.10.0 0.0.0.255
RT-A(config)#ip nat inside source list 1 interface GigabitEthernet 0/1 overload
RT-A(config)#ip nat inside
RT-A(config)#ip nat outside
RT-A(config)#access-list 1 permit 192.168.20.0 0.0.0.255
RT-A(config)#ip nat inside source list 1 interface GigabitEthernet 0/1 overload
RT-B(config)#ip nat inside
RT-B(config)#ip nat outside
45

VPN
VPN（Virtual Private Nework）とは、仮想的なプライベートネットワーク接続のこと
です。VPNによりインターネットなどの公衆網を利用する場合でも、IPsec等の高度
なセキュリティを実装させられるので、安全に企業の拠点間通信を実現できます。
また、安価なFTTHの広帯域な回線をWANとして利用できます。
VPNの分類使用技術説明
インタネットVPN IPSec-VPN セキュリティプロトコルにIPsecを使用
SSL-VPN セキュリティプロトコルにSSLを使用
IP-VPN MPLS-VPN 通信事業者のプライベートIP網内
インターネットVPNのタイプ説明
サイト間VPN VPNを実装したルータ同士を接続する構成。
リモートアクセスVPN VPNを実装したルータとVPNクライアントソフトをインス
トールしたPCとを接続する構成。
46

IPSec-VPN（サイト間）
47
VPN

IPSec-VPN（サイト間）の設定
• ISAKMPポリシーの設定
（config）# crypto isakmp policy [priority]
priority ：優先度（「1」から「10000」で数値が小さいほど優先度が高い）
• 暗号化アルゴリズムの設定（デフォルト値：des）
（config-isakmp）# encryption [ des | 3des | aes 128 | aes 192 | aes 256 ]
• ISAKMP SAで使用するハッシュアルゴリズムを設定（デフォルト値：sha）
（config-isakmp）# hash [ md5 | sha | sha256 | sha384 | sha512 ]
• 認証方式の設定
（config-isakmp）# authentication [ rsa-sig | rsa-encr | pre-share ]
rsa-sig：RSA署名
rsa-encr：RSA暗号化ナンス
pre-share：事前共有鍵
• 事前共有鍵のピアアドレスとパスワード設定
（config）# crypto isakmp key [password] address [address]
password：パスワード
address：ピアアドレス
48

• トランスフォームセットの定義
（config）# crypto ipsec transform-set [name] [transform1] [transform2]
Name：名前
Transform1：暗号化
Transform2：認証
• IPSec通信モードの指定
（cfg-crypto-trans）# mode [tunnel | transport] （デフォルト値：tunnel）
• 暗号マップの定義
（config）# crypto map [map-name] [seq-number] ipsec-isakmp
(config-crypto-map)# match address [acl-number]
(config-crypto-map)# set transform-set [name]
(config-crypto-map)# set peer [address]
49
IPSec-VPN（サイト間）の設定（続）

• 暗号マップの定義（続）
map-name ：暗号マップの名前
seq-number：番号（小さい値ほど優先度が高くなる）
acl-number :IPsec対象を定義したACL
name :定義済みのトランスフォーム名
address :IPsecピアのアドレス
・暗号マップのインターフェースへの適用
(config)# interface interface-id
(config-if)# crypto map [crypto-map-name]
crypto-map-name：暗号マップを定義したmap名
50

※VPN用
RT-A(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
※PAT用
RT-A(config)# access-list 102 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
RT-A(config)# access-list 102 permit ip 192.168.10.0 0.0.0.255 any
RT-A(config)# crypto isakmp policy 1
RT-A(config-isakmp)# encryption 3des
RT-A(config-isakmp)# hash md5
RT-A(config-isakmp)# authentication pre-share
RT-A(config-isakmp)# group 2
RT-A(config-isakmp)# exit
RT-A(config)# crypto isakmp key cisco address 120.20.20.1
51

• ルーターRT-Aの設定（続）
RT-A(config)# crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
RT-A(cfg-crypto-trans)# mode tunnel
RT-A(cfg-crypto-trans)# exit
RT-A(config)# crypto map M-ipsec 1 ipsec-isakmp
RT-A(config-crypto-map)# set peer 120.20.20.1
RT-A(config-crypto-map)# set transform-set IPSEC
RT-A(config-crypto-map)# match address 101
RT-A(config-crypto-map)# exit
RT-A(config)# interface GigabitEthernet 0/1
RT-A(config-if)#crypto map M-ipsec
52

※VPN用
RT-B(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
※PAT用
RT-B(config)# access-list 102 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
RT-B(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 any
RT-B(config)# crypto isakmp policy 1
RT-B(config-isakmp)# encryption 3des
RT-B(config-isakmp)# hash md5
RT-B(config-isakmp)# authentication pre-share
RT-B(config-isakmp)# group 2
RT-B(config-isakmp)# exit
RT-B(config)# crypto isakmp key cisco address 110.10.10.1
53

RT-B(config)# crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
RT-B(cfg-crypto-trans)# mode tunnel
RT-B(cfg-crypto-trans)# exit
RT-B(config)# crypto map M-ipsec 1 ipsec-isakmp
RT-B(config-crypto-map)# set peer 110.10.10.1
RT-B(config-crypto-map)# set transform-set IPSEC
RT-B(config-crypto-map)# match address 101
RT-B(config-crypto-map)# exit
RT-B(config)# interface GigabitEthernet 0/1
RT-B(config-if)#crypto map M-ipsec
54

Cisco ios

More Related Content

What's hot (20)

Similar to Cisco ios (20)

Cisco ios