NW機器

【Catalystスイッチ】初期設定時に入れておくべき設定コマンド

当記事では、初期設定で入れておくべきお約束の設定コマンドを紹介します。

若手エンジニア志望者を募集!支度金あり

使用機器情報

型番:Cisco Catalyst C1000

ファームウェアバージョン:v15.2(7)E4

お約束コマンド13選

Catalystスイッチを構築するのに、入れておいた方がなにかと便利な設定事項を13個紹介します。

TFTPサーバへのエラーメッセージ無効化

Catalystスイッチの初期構築時に以下のようなエラーメッセージが多々表示されます。

Cisco IOS ソフトウェアにはTFTPサーバから設定ファイルを自動的にインポートする機能がデフォルトで組み込まれています。ただ、初期構築時はTFTPサーバを設定していないため、アクセスできない旨のエラーメッセージが大量に表示されます。

コマンド入力中にも表示され、構築作業に影響を及ぼすので、この機能を無効化することを推奨します。

  • 設定コマンド
    SW1(config)#no service config

 

TCPキープアライブ有効化

コネクションが確立されたホスト間(PCとスイッチ間)にて、ネットワークの不具合等で通信が途絶えた際、相手側が接続を維持しているかを確認する機能です。PCからの応答がない場合、自動的に接続を切断します。(※Telnet、SSH通信ともに機能します。)

不要な接続(セッション)が残りすぎて、いざというとき(保守・管理等)にアクセスできない状況を防ぐために設定することを推奨します。

  • 設定コマンド
    SW1(config)#service tcp-keepalives-in
    SW1(config)#service tcp-keepalives-out
コマンド 詳細
service tcp-keepalives-in キープアライブパケットの受信を有効

→「正常に生きているよ」というメッセージを受信する

service tcp-keepalives-out キープアライブパケットの送信を有効

→「正常に生きているよ」というメッセージを送信する

ログ時刻表示

機器のログに時刻を表示させます。ログに時刻を表示させることでネットワーク障害発生時、原因特定を迅速に対応できるメリットがあります。

  • 設定コマンド
    SW1(config)#clock timezone JST 9 0
    SW1(config)#service timestamps debug datetime msec localtime show-timezone
    SW1(config)#service timestamps log datetime msec localtime show-timezone

1行目:タイムゾーンを日本時間に設定する。

2行目:デバック出力に時刻を追加する。

3行目:ログ出力に時刻を追加する。

コマンド 詳細
msec 時刻をミリ秒まで表示する
localtime 機器やシステムに設定されたタイムゾーンに基づいて算出された時刻を反映する
show-timezone タイムゾーンを表示する

ログ保存サイズ

機器内部に保存するログのバッファサイズを指定します。デフォルト値(4096byte)のままだとほとんどログが記録されず、使い物になりません。機器の障害発生時に確認したいログがなくなっていることを防ぐためにメーカー(CISCO)推奨値に設定します。

  • 設定コマンド
    SW1(config)#logging buffered 512000

ちなみに、弊社グループでは、ログ(SYSLOG等)を収集し、簡易的なログの検索機能や任意の条件に合致するログを検知した場合はEメールで通知を飛ばすことができるLogStare Collectorというソフトウェアを開発・販売しております。

機器のログを収集し、ネットワークを監視するソフトウェアを導入されたい場合、LogStare Collectorをご検討いただけますと幸いです。

 

パスワード暗号化

コンフィグファイルに記載されているパスワードを暗号化して、表示させます。機器に対して、不審なログインがあった場合も備えて、暗号化しておいた方が良いです。

  • 設定コマンド
    SW1(config)#service password-encryption

名前解決無効化

Catalystスイッチでは、コマンドのタイプミス(スペルミス)が起きると、それをホスト名とみなしてDNSによる名前解決を試みることがあります。

DNSサーバが設定されていなかったりすると、タイムアウトが発生し、コマンドの応答が遅くなることがあります。ただ、IOS全体で名前解決を無効にするため、ホスト名での疎通確認やホスト名でNTPサーバ等の設定ができなくなる欠点もございます。構築する環境にあわせて、設定することを推奨します。

  • 設定コマンド
    SW1(config)#no ip domain lookup

 

CDP無効化

Cisco社独自のプロトコルであり、ケーブル結線しているCisco機器(ルータ・スイッチ)の機器情報やポート情報を収集します。他社機器との混在環境で余計な通信をさせたくない場合は無効化にすることを推奨いたします。

  • 設定コマンド
    SW1(config)#no cdp run

 

VTPモード変更

Cisco機器間でVLAN設定を共有するためのプロトコルです。

デフォルト設定では、サーバモードとなっており、他の機器で作成されたVLANが勝手に同期されてしまい、不要なVLANが設定されてしまう可能性がございます。そのためトランスペアレントモードに設定します。

  • 設定コマンド
    SW1(config)#vtp mode transparent

 

モード 詳細 作成 通知 転送 同期
server VLANの作成、変更、削除することが可能です。

設定したVLAN情報は他の機器に通知されます。また他の機器のVLAN情報を同期し、他の機器へ転送も行います。

client VLANの作成、変更、削除することが不可能です。

そのため、VLAN情報は他の機器に通知されません。ただ、他の機器からのVLAN情報は同期し、他の機器へ転送します。

× ×
transparent VLANの作成、変更、削除することが可能です。

ただ、設定したVLAN情報は通知されません。また他の機器からVLAN情報は同期しませんが他の機器へ転送は行います。

× ×

 

 

WebUI無効化

有効にすることでHTTPやHTTPSで管理アクセスすることができ、GUI上から設定変更が可能になりますが、一般的にL2スイッチはWebUIを使用せず、Telnet/SSHによるCLIでのリモート操作を実施します。そのためWebUIは無効化にすることを推奨いたします。

  • 設定コマンド
    SW1(config)#no ip http server
    SW1(config)#no ip http secure-server

 

NTPの設定

NTPサーバと同期を行うためには ntp serverコマンドを使用します。同期したいNTPサーバーが複数ある場合、設定コマンドの末尾にpreferオプションを付けることで、優先的に参照するNTPサーバを決めることが可能です。

  • 設定コマンド

・IPアドレスを指定する場合
SW1(config)#ntp server 192.168.1.1 [prefer]

・ホスト名を指定する場合
SW1(config)#ntp server ntp.nict.jp [prefer]

 

SNMPとSYSLOGの設定

設定方法については、以下、ナレッジ記事を参照いただけますと幸いです。

Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco Catalyst, ASA, Router )

https://www.secuavail.com/kb/tech-blog/tb-190205_02/

 

シリアルコンソール設定

物理的なシリアルコンソールケーブルでのログイン時の表示設定、認証設定を行います。

  • 設定コマンド
    SW1(config)#line con 0
    SW1(config-line)#logging synchronous
    SW1(config-line)#login local
    SW1(config-line)#exec prompt timestamp

2行目:コマンド実行中にログ・デバッグが表示されないようにして誤操作を防止する。

3行目:usernameコマンドで設定したユーザアカウントによる認証を行う。

4行目:showコマンド(設定した内容を確認する際によく使用するコマンド)実行時に都度タイムスタンプを表示するようにする。

 

リモートコンソール設定

SSHによるリモートログイン時の表示設定、認証設定を行います。

  • 設定コマンド
    SW1(config)#line vty 0 15
    SW1(config-line)#logging synchronous
    SW1(config-line)# login local
    SW1(config-line)# transport input ssh
    SW1(config-line)#exec prompt timestamp

1行目:リモート接続セッションを受け入れるために使用される仮想的なポートが0~15の16ポートあることを示しており、同時に16つのセッションを接続することが可能です。

4行目:リモートログイン方式をSSHに限定する。

※telnet接続とSSH接続をどちらとも許可したい場合は、transport input telnet sshと設定する。

 

参考文献

https://densan-hoshigumi.com/nw/ios-general-config#google_vignette

https://www.cisco.com/c/ja_jp/support/docs/routers/10000-series-routers/49683-serviceconfig-error-msgs.html

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【Catalystスイッチ】SSH接続設定方法前のページ

PaloAltoのコンテンツ検査がかからないケースについて次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    D-Link製レイヤ2スマートスイッチにおけるSYSLOG/SNMP設定

    当記事では、D-Link製レイヤ2スマートスイッチにSYSLOG/SN…

  2. NW機器

    ネットワーク機器への不正接続の検知(PaloAlto)

    ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを…

  3. NW機器

    PaloAlto/FortiGate/BIG-IPのバージョン情報まとめ

    弊社がよくとりあつかう3つの製品がありますが、採番のクセがあり、混乱し…

  4. WatchGuard FireboxをSNMPで監視する

    NW機器

    WatchGuard FireboxをSNMPで監視するための設定方法

    当記事では、WatchGuard社FireboxシリーズのSNMP(v…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  4. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  5. 実践記事

    DNSキャッシュポイズニングやってみた
PAGE TOP