1. はじめに
ネットワークに関する仕事をしていて、教科書では知っていたのですが、実際に遭遇するまでよく理解できていなかった事をメモとして残しておきます。
2. リンクダウンしないインタフェース
- 殆どのWANサービスでは障害が発生している拠点以外の拠点のリンクはダウンしない。よく考えると当たり前なのですが拠点と拠点の間には通信キャリアの設備である複数のネット機器が存在します。なのである拠点でWAN側がDOWNしたからといって、専用線サービスDR回線を除く殆どのサービスでは対向拠点ではWANのDOWNは発生しません。
- GRE(tunnel-interface)。GREではKeepalive機能が実装されていますが、デフォルトではDisableになっています。なのでデフォルト設定ではIP-secトンネルを構成する対向ルータのリンクがダウンしたからといって、ローカルルータ側のIP-secトンネルはダウンしません。GREインタフェースがダウンするのは、”自身の有効なトンネル送信元アドレスが設定されていない”または”紐付けられているインタフェースがダウンしている”時となります。
3. logging consoleに一部ログが出力されない
ネット機器で障害時の動作確認をテストしている際、terminal monitorを設定してSyslogを確認する事がよくあります。障害時の動作確認をしている際、本来出力されるべきログが出力されない事があり原因について調べたところ、consoleに出力するログの制限がありました。
デフォルトで以下のrate-limit設定がなされている為、1秒間にコンソールに出力されるログの数が10に制限されていました。
logging rate-limit console 10 except errors
4. デバッグコマンド実施時の注意点
ログをコンソールに出力しない様に”no terminal monitor”設定した上で、debugを設定する。
“debug all”やログ出力の多いデバッグを実施してしまうと、ログ出力が多すぎてコマンド入力ができない状態に陥る場合がある。
5. 追加モジュールが認識されない
ISRルータにEHWICモジュールを追加した後、ISRルータを起動したがEHWICモジュールを認識しなかった。
追加モジュールを認識しない場合に確認するべき事として以下がある。
- sh diagコマンドでモジュールが出力されない場合は、電源OFFしEHWICカードの抜挿し再度確認する。また挿入スロットに誤りが無いかも確認する。
- sh diagコマンドで確認できる場合は、sh diagの出力に”WIC module not suppprted/disabled in this slot”が出力されていないか、確認する。もし出力されている場合は対象モジュールがサポート対象外かスロットが利用できない状態になっている。
- sh diagコマンドで正常にEHWICモジュールを認識できているがコンフィグにモジュール名のインタフェースが出力されてこない等の場合は、card typeコマンドを用いて、slotに挿入したカードを認識させる。
(config)# card type {t1 | e1}
参考URL:
6. access-listのlogオプション
ciscoルータ/スイッチを該当の通信が経由したかを確認する目的で、access-listにlogオプションを設定することがある。このlogオプションを設定する場合、そのアクセスリストにtcp/udp等ポート番号が含まれたものがなければ、log上でポート番号まで含めて確認することができない。(*ログ上は(0)で表示される)
tcp/udpポート番号まで確認したい場合は、以下のようにtcp/udpポート番号指定のアクセスリスト行を1行以上含めておく必要がある。
例(IPアドレスのみ出力)
$ access-list 102 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 log
*May 1 22:12:13.243: %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted ip 192.168.1.3(0) -> 192.168.2.1(0), 1 packet
例(ポート番号まで含めて出力)
$ access-list 102 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 22 log
*May 1 22:12:13.243: %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted ip 192.168.1.3(3456) -> 192.168.2.1(22), 1 packet
例(検知インタフェースとポート番号まで含めて出力)
$ access-list 102 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 22 log-input
*May 1 22:12:13.243: %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted ip 192.168.1.3(3456) (Ethernet0/0 000e.9b5a.9839) -> 192.168.2.1(22), 1 packet