アーカイブ

2011年05月

カテゴリ:

IOSでは特定のインターフェースを利用してNTPを送る、受け取るという設定が可能です。

R1ではF0/0からR2(12.12.12.2)に接続されています。

R1(config-if)#do sh ip int b
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            12.12.12.1      YES manual up                    up
FastEthernet0/1            192.168.0.100   YES manual up                    up

R1ではntp serverコマンドによりNTPクライアントとして稼働中です。

R1#show ntp associations

      address         ref clock     st  when  poll reach  delay  offset    disp
*~2.2.2.2                2.2.2.2     2    20    64  377    16.1    6.34    14.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured

ntp broadcastコマンドを利用し、F0/0でNTPを有効にします。

R1(config)#int f0/0
R1(config-if)#ntp ?
  broadcast  Configure NTP broadcast service
  disable    Disable NTP
  multicast  Configure NTP multicast service

R1(config-if)#ntp broadcast ?
  client       Listen to NTP broadcasts
  destination  Configure broadcast destination address
  key          Configure broadcast authentication key
  version      Configure NTP version
  <cr>

R1(config-if)#ntp broadcast

次にR2のF0/0でntp broadcastコマンドを利用します。

R2(config-if)#int f0/0
R2(config-if)#ntp broadcast client

設定後、しばらくしてから確認すると同期が完了していることが確認できます。

R2#show ntp associations

      address         ref clock     st  when  poll reach  delay  offset    disp
* 12.12.12.1            2.2.2.2      3    35    64  376    10.7   19.48    13.3
* master (synced), # master (unsynced), + selected, - candidate, ~ configured

R2#show ntp associations detail
12.12.12.1 dynamic, our_master, sane, valid, stratum 3
ref ID 2.2.2.2, time D1857C68.39BD36B2 (09:38:00.225 JST Tue May 24 2011)
our mode bdcast client, peer mode bdcast, our poll intvl 64, peer poll intvl 64
root delay 8.56 msec, root disp 58.88, reach 376, sync dist 81.833
delay 10.68 msec, offset 19.4788 msec, dispersion 13.34
precision 2**18, version 3
org time D1857C80.30D43D1E (09:38:24.190 JST Tue May 24 2011)
rcv time D1857C80.2BD7AC79 (09:38:24.171 JST Tue May 24 2011)
xmt time D18578C2.B9D9ABD2 (09:22:26.725 JST Tue May 24 2011)
filtdelay =    10.68   10.68   10.68   10.68   10.68   10.68   10.68   10.68
filtoffset =   19.48   14.56  -10.12   31.54   19.16    3.90  -10.70   18.66
filterror =     0.99    1.97    2.94    3.92    4.90    5.87    6.85    7.83

R2#show clock
09:40:00.176 JST Tue May 24 2011

カテゴリ:

今回はコンフィギュレーションの変更通知を設定します。この設定を行うことにより設定がいつ行われたかの詳細を保存することが可能です。

R1(config)#archive
R1(config-archive)#log config
R1(config-archive-log-cfg)#logging enable

設定後、設定を確認します。初期値でhidekeysが有効になっていることが分かります。

R1(config-archive-log-cfg)#do sh run | b archive
archive
log config
  logging enable
  hidekeys
!
〜略〜

ここでs1/0をno shutして確認します。

R1(config-archive-log-cfg)#int s1/0
R1(config-if)#no sh

show archiveコマンドを利用することで、設定の変更が確認できます。

R1#show archive log config all
idx   sess           user@line      Logged command
    1     1        console@console  |  logging enable
    2     1        console@console  |do sh run | b archive
    3     1        console@console  | interface Serial1/0
    4     1        console@console  | no shutdown

telnetでR1にユーザciscoでログインし、s1/0をshutした場合の出力です。

   15     0          cisco@vty0     |!exec: enable
   16     6          cisco@vty0     |interface Serial1/0
   17     6          cisco@vty0     | shutdown

ここまでの表示では日時は表示されません。出力をログに送ることで日時も表示されるようになります。

R1(config)#archive
R1(config-archive)#log config
R1(config-archive-log-cfg)#notify syslog

May 16 06:08:04.651: %PARSER-5-CFGLOG_LOGGEDCMD: User:console  logged command:notify syslog
May 16 06:08:36.403: %PARSER-5-CFGLOG_LOGGEDCMD: User:console  logged command:interface Serial1/0
May 16 06:08:38.483: %PARSER-5-CFGLOG_LOGGEDCMD: User:console  logged command:no shutdown

初期値で設定されているhidekeysはパスワード情報を隠して表示します。

R1(config)#username apple secret apple

May 16 07:10:25.655: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:username apple secret *****

hidekeysをあえて無効にすると、パスワードがそのまま表示されることが分かります。

R1(config-archive-log-cfg)#no hidekeys
R1(config)#username lemon secret lemon

May 16 07:11:21.391: %PARSER-5-CFGLOG_LOGGEDCMD: User:console  logged command:username lemon secret lemon

loggingコマンドでログサーバを指定することで、外部に履歴を保存することも可能です。Linux(Red Hat系)に送った場合、初期値では/var/log/messagesに保存されることが分かります。

R1(config)#logging 192.168.0.180
# tail -f /var/log/messages
May 16 21:59:36 192.168.0.100 61: May 16 07:10:59.175: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:archive
May 16 21:59:41 192.168.0.100 62: May 16 07:11:04.711: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:log config
May 16 21:59:44 192.168.0.100 63: May 16 07:11:06.899: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:no hidekeys
May 16 21:59:58 192.168.0.100 64: May 16 07:11:21.391: %PARSER-5-CFGLOG_LOGGEDCMD: User:console  logged command:username lemon secret lemon

カテゴリ:

今回はIOSでのログをLinuxで記録する設定を行います。R1はF0/1(192.168.0.100)でLANに接続されています。LinuxサーバのIPアドレスは192.168.0.180です。

R1#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            12.12.12.1      YES manual up                    up
FastEthernet0/1            192.168.0.100   YES manual up                    up
Loopback0                  17.17.1.1       YES NVRAM  up                    up

R1#ping 192.168.0.180

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.180, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/8 ms

Linuxで外部のログを受け取るにはsyslogd起動時に-rオプションが必要です。/etc/sysconfig/syslogに設定を追加して、syslogdを再起動します。

# grep 'SYSLOGD_OPTIONS' /etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m 0 -r"
# /etc/rc.d/init.d/syslog restart

まずIOSからログを送信するにはloggingコマンドでsyslogサーバを指定します。

R1(config)#logging 192.168.0.180 (logging host 192.168.0.180 も可)

設定の確認にはshow loggingを利用します。初期値では一般的に利用される、UPD ポート514が指定されることが分かります。

R1(config)#do sh loggi | i Logging to
        Logging to 192.168.0.180  (udp port 514,  audit disabled,

ここでF0/0をshutし、Linuxにログが届くかを確認します。

R1(config)#int f0/0
R1(config-if)#sh

 

# tail -f /var/log/messages
May 10 20:08:01 192.168.0.100 56: May 10 07:37:20.291: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 12.12.12.2 (FastEthernet0/0) is down: interface down
May 10 20:08:03 192.168.0.100 57: May 10 07:37:22.259: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
May 10 20:08:03 192.168.0.100 58: May 10 07:37:23.259: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down

ログが保存されていることが分かりました。この設定を全てのルータで行えば、ログが集中管理できることが分かります。

現在のログを見ると、送信元はF0/1(192.168.0.100)になっています。変更するにはlogging source-interfaceコマンドを利用します。ここではLo0を指定してみました。

R1(config)#logging source-interface loopback 0
R1(config)#int f0/0
R1(config-if)#no sh

送信元が変更されたことが分かります。

May 10 20:11:43 17.17.1.1 59: May 10 07:40:57.567: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

/etc/hostsにホスト名を登録するとより判別しやすくなります。

# grep r1 /etc/hosts
17.17.1.1       r1.example.com r1

May 10 20:14:01 r1.example.com 63: May 10 07:43:20.455: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 12.12.12.2 (FastEthernet0/0) is down: interface down

IOSからのログを個別に保存したい場合はファシリティを利用します。ここではlocal5を指定しました。

R1(config)#logging facility local5

Linuxでファシリティlocal5を独立したファイル/var/log/iosに保存する場合の設定例です。/var/log/messagesにlocal5.noneを追加することでログが二重に保管されることを防いでいます。

# grep 'local5' /etc/syslog.conf
*.info;mail.none;authpriv.none;cron.none;local5.none            /var/log/messages
local5.*                                                /var/log/ios

これ以降、ログは専用のファイル(/var/log/ios)にのみ保存されることが分かります。

# tail -f /var/log/ios /var/log/messages

==> /var/log/ios <==
May 10 20:28:30 r1.example.com 81: May 10 07:57:49.123: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 12.12.12.2 (FastEthernet0/0) is down: interface down

カテゴリ:

今回はIOSでのFTPの利用を確認します。R1のF0/1のIPアドレスは192.168.0.100で、FTPサーバは192.168.0.180です。

R1#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            12.12.12.1      YES manual up                    up
FastEthernet0/1            192.168.0.100   YES manual up                    up

まず何も設定していない状態で利用してみます。下記はR1のstartup-configをFTPサーバにコピーする例ですが、失敗しています。

R1#copy startup-config ftp:
Address or name of remote host []? 192.168.0.180
Destination filename [r1-confg]?
Writing r1-confg
%Error opening ftp://192.168.0.180/r1-confg (Permission denied)

FTPサーバでのログ(/var/log/vsftpd.log)はこのようになりました。ユーザ名がftp、パスワードはrouter@cisco.coとなっています。ユーザ名がftpまたはanonymousである場合はアノニマス(匿名)FTPといい、誰もがログイン可能な設定です。この時、パスワードはチェックされないので何を入れても大丈夫です。ただしアノニマスFTPではセキュリティ上、ダウンロードのみが許可されアップロードは許可されないのが一般的な設定です。この理由より、コピーは失敗しました。

Wed May  4 16:15:14 2011 [pid 18496] CONNECT: Client "192.168.0.100"
Wed May  4 16:15:14 2011 [pid 18495] [ftp] OK LOGIN: Client "192.168.0.100", anon password "router@cisco.co"

今度は逆にFTPサーバ上のファイル(orange)をflashにダウンロードしてみます。問題なく利用出来ることが分かります。

R1#copy ftp: flash:
Address or name of remote host []?
192.168.0.180
Source filename []? orange
Destination filename [orange]?
Accessing ftp://192.168.0.180/orange...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading orange
[OK - 12/4096 bytes]

Verifying checksum...  OK (0x3E66)
12 bytes copied in 0.144 secs (83 bytes/sec)

R1#more flash:orange
Hello! IOS.

ユーザ名を指定してFTPを利用するには予めユーザ名とパスワードを設定します。FTPサーバにはユーザ名cisco、パスワードciscoがすでに登録されています。

R1(config)#ip ftp username cisco
R1(config)#ip ftp password cisco

ここで最初に試してみたR1のstartup-configをFTPサーバに再度コピーしてみます。

R1#copy running-config ftp:
Address or name of remote host []? 192.168.0.180
Destination filename [r1-confg]?
Writing r1-confg !
1347 bytes copied in 4.276 secs (315 bytes/sec)

実行されました。FTPサーバのログをみるとユーザciscoでログインしていることが分かります。

Wed May  4 16:33:00 2011 [pid 18573] CONNECT: Client "192.168.0.100"
Wed May  4 16:33:00 2011 [pid 18572] [cisco] OK LOGIN: Client "192.168.0.100"
Wed May  4 16:33:00 2011 [pid 18574] [cisco] OK UPLOAD: Client "192.168.0.100", "/home/cisco/r1-confg", 1347 bytes, 68.91Kbyte/sec

念の為にFTPサーバにあるファイルを開いてみます。

# head -5 /home/cisco/r1-confg

!
! Last configuration change at 15:14:03 JST Wed May 4 2011
!
version 12.4

このようにFTPサーバが設定されていれば、コンフィグファイルのバックアップなどを簡単に取ることが可能です。

このページのトップヘ

見出し画像
×