Wednesday, November 29, 2006

CCIP

先月、MPLS試験に PassしたのでCCIPとなりました。
今後MPLS試験を受験される方へのアドバイスということで。

まず、試験の出題範囲からですが、

http://www.cisco.com/web/learning/le3/current_exams/642-611.html

この出題範囲を信じてはいけません(笑)
ここに記述されていないことが多数でます。私はここの出題範囲だけを
勉強したのですが、試験中に知らないことを十数問聞かれて、これは
ダメかもと思ってしまったぐらいです。

次に、使用する教材ですが、私の一意見としては

http://www.ciscopress.com/bookstore/product.asp?isbn=1587051990&rl=1

MPLS Configuration on Cisco IOS SoftwareをやっておけばOKだと
思います。出題範囲を全てカバーしていませんが、合格するに足りる
知識は得られます。
多分、MPLS初心者の方でも読めると思いますよ。私もそうでしたから。

この本をやっていたおかげで、シミュレーション問題はバッチリでした。

MPLS試験を受験される方、がんばってください~!

Thursday, November 16, 2006

あえて言いますと

先日、TOMOさんとは初顔合わせで、あまりの良い人ぶりに感動
しました的な文章を書きました。それに対してTOMOさんが、客観
的に見れば仕込みっぽいとおっしゃってましたが。。。

あえて言いますと、私がこれまでにお会いしたことがあるガレ兵さん
kazuさん、netwokerさん、TOMOさん、NT氏、Geneさん、などなど
できる人たちは皆さん本当に良い人ばかりです。

私個人としては「できる人」 = 「人格者」という気がしています。

TOMOさんはダークサイド寄りと言っていますが、ガレ兵さんなんか
はCCIEブログ界トップに君臨していながらも、本当に気さくで優しい
人です。netwoerkerさんもブログでは厳しいイメージですが、実際
に話すとユーモアがあって優しいひとだということがよく分かります。

とは言え、私はこれらの人々とわずか1、2回程度しか会っていない
ので、その人の本性は分からないのですが、第一印象としては
誰一人として嫌な印象を受けませんでしたよ。

偉そうにこんな事を書いていますが、私の正直な気持ちとして、あえて
言わせてもらいました。

ちなみに、先日私の同期を話をしていて、「お前最悪だ」と罵られた
ばかりなので、私はとても人格者ではないですよ(泣)

Tuesday, November 14, 2006

CCIE Night 2006 結果報告


先日、初参加となるCCIE Networking Night 2006に行ってきま
した。

さて、TOMOさんのところでもちょっと紹介されてましたが、なんと
私は当日のMVP的な賞をもらってしまって、その名も

「あんたが大将(大賞)」

です。

この賞は、会場を大いに盛り上げた人に対して送られる賞
らしいのですが、なんとなんと私がもらってしまいました。

何故受賞できたかというと、司会者の人が受賞者を発表しよ
うとしたとき、会場の一番後ろに居た私は司会者の人に向かって
一生懸命手を振ってアピールしていました。

私がずっと手を振り続けていたので、それに気づいていた司会者
の方が、

「わかりました。そこまで言うのなら、あげましょう!会場の一番
後ろで手を振っているあなた!!」

という驚愕のノリで、めでたく受賞になりました。
まさに奇跡的。

それから会場の一番前まで行って名前と簡単なトークの後
シスコのロゴ入り特製iPod nanoを頂きました。

ちなみに4GBでブラックです。


私は安いFlash Playerしかもってなかったので、iPodをもらえて
本当にラッキーでした。司会者の方、本当にありがとうございます。

外資系というのは、アピールが大事なんですね(しみじみ)
シスコという会社の懐の深さを感じてしまいました。


その後、networkerさん、kazuさん、TOMOさんと私の4人で会場
近くで立ち話を1時間以上していました。TOMOさんとは初顔合
わせだったのですが、あまりのTOMOさんの良いひとぶりに感動
すら覚えてしまいました。
あのBlogどおりのユーモアのセンスの持ち主です。

ちなみに最近ガレ兵さんのところで紹介されていた勇者と運良く
お会いできました。この方はかなり若そうでしたよ。多分、10人中
10人が私より若く見える、と答えることでしょう。

私も早くSecurityを受験できるようにがんばります。

Wednesday, November 08, 2006

CCIE Networking Night

お久しぶりです。

明日はCCIE Networking Nightです。TOMOさん同様、私も運良く当選
となりましたので、初めての参加となります。

ちなみにふと気が付いたのですが、Networkingとは人脈を広げる意味で
のNetworkingなんでしょうね。
というわけで、積極的にお友だちを作ってこようと思います。

業界の先輩方とお知り合いになれたらいいな、と願いつつ、もう寝ます。

Sunday, October 15, 2006

TriNetは破産

最近アクセスできなくなっていたTriNetですが、実は倒産したようで
す。Networking Learning, Inc.という会社がTriNetの資産を買い
取ったと発表しています。

http://www.ccbootcamp.com/trinetntfaq.html

リンク先のページの中に、

Mid-2006 TrinetNT stopped doing business and had recently
filed bankruptcy.
On September 25th, 2006, Network Learning Inc. (through
EnableMode Expert) purchased TrinetNT's assets via the
California bankruptcy court.

と書かれています。

さらに以下のようにも書かれていて、

The corporate name and business was NOT purchased,
just the majority of the assets.

要は機材だけが欲しかったんでしょうね。
社名とかビジネスは要らないということでしょう。

どうでもいいネタでスミマセン。。。

Friday, September 29, 2006

TOMO-san オメデト~!

ついにTOMOさんが、女性読者を獲得したようですね。
オメデトウゴザイマス!!

コメントはわりとあっさりしてましたが、多分、喜びは相当なものなんだろうな
と、勝手に想像してます。
今後のネタの切れ味がUPすること間違いなしです。

ちなみに今まで女性読者を獲得しているCCIEネタブロガーは、
ガレ兵さん
kazuさん
TOMOさん
のお三方だけですかね。

Overseas and Beyondに女性読者は存在するのか?!
TOMOさんのように楽しいネタは提供していないので、多分女性の方は
見てないような気がしてますけど。。。

Saturday, September 16, 2006

どこまで英語っぽく?どこまでJapanese English??

社会人になってず~っと気になっていることがあって、それは何かと
言うと「IT用語に使われる英語は、どこまで英語っぽく発音して
どこまでJapanese Englishで発音するか」ということです。

もっともよく耳にするのが、allowでしょうか。正しい発音は「アラウ」
ですが、大抵の方は「アロウ」と言っています。

それとlaunchも、正しい発音は「ローンチ」ですが、「ラウンチ」と
言っている人が多数なような気がします。

まだまだありまして、noneは「ナン」ですし、thresholdは「スレショルド」
だと思います。それぞれ、「ノン」、「スレッシュホールド」って、皆さん言
いますよね。
bandwidthも「バンドワイズ」とかではなく、「バンドウィドゥス」が正しい
発音です。

でもvirusとかantiとかは「ウイルス」、「アンチ」と言ったほうが自然
な感じですよね。「ヴァイルス」とか「アンタイ」とか言ってると、「はぁ?」
という目で見られます。
でも$は「ダラー」といって英語っぽく発音しますしね。

皆さんはどこまで英語っぽく発音してますか?

Thursday, August 24, 2006

CCIE Security Book Review - Part1

久々の更新となってしまいました。

今は仕事に追われつつ、MPLSとCCIE Securityを二束のワラジで
せっせと勉強してます。

電車とかの移動時間、昼休みなどなど、細切れの時間しかないので
なかなか本を読み進むことができませんでしたけど、やっと一冊読み
終えたので。

読んでいた本はCisco PressのIPSec VPN Designです。
結論から言いますと、Security Candidateにとってはあまり良い本では
ないかな、という気がします。良い本ではないというか、必要性がない
というか。

理由は、デザインの本なので考え方とか概念とかが中心です。そうなる
と"どう設定する"というところに重点は置かれてないので、話の内容と
しては概念的な話になってしまい、あまり細かい解説はありません。

"Security Candidateにとっては"という限定つきなので、これからIPSec
のデザインをする必要がある人とか、デザイン上で考慮する必要が
あることを知りたい人向けにはそれなりに役立つようなことが書かれ
ています。

ただ著者が3人もいるせいか章によっては読みやすかったり読みにく
かったりという感じがしました。

で、今は同じくCisco Pressの
The Complete Cisco VPN Configuration Guide
という本を読んでいます。この本の著者はCisco Router Firewall
Securityの著者なので、かなり読みやすいです。

読み終えたらまたレビューしますね。

Thursday, August 10, 2006

CCIPに寄り道?

気が付けば、MPLS試験に合格すればCCIPになれるようです。

QoSとBGPはCCIE R&Sのためにやっていたので、別にCCIPを
取ろうと思ってやっていたわけではありませんが、あとMPLS
一科目ならCCIPを取ってみようかな、と。

ただ、私はMPLSに関して全く知識が無いので基本から始める
必要がありそうです。
Cisco Pressの本でMPLSの入門的な本って見当たらないんで
すよね。。。結構時間がかかりそうな予感。

Sunday, August 06, 2006

networkerランキング3位

networkerさんのところでCCIEステータスランキングの発表
をされていましたが、なんと

私はポイント1.1でランキング3位

でした。

これを見たTOMOさんは速攻でWrittenを取りにいくでしょう(笑)
来月にはポイント1.1で私とTOMOさんは3位争いを繰り広げる
ことになりそうです。

早くもnetworkerさんの謀略が始まっていると見て間違いないでしょう。
それは、私とTOMOさんの同士討ちです!

3位を争わせることによって、一刻も早くLabを受験させ、自腹ーズの
私とTOMOさんを疲弊させるつもりなのである!!

と、言うのは全くの冗談ですが(笑)

でもランキングされると意識してしまうもので早くポイントを2.0にし
たいところです。

Tuesday, August 01, 2006

Catalyst 3550とCatalyst 3560の違い

ちょっと波に乗り遅れた感はありますが、みなさんとは違った視点で
Catalyst 3550とCatalyst 3560の違いを紹介したいと思います。

大きくは3つあります。

- Private VLANのサポート
- IPv6のサポート
- QoSの違い(Queueの違い)

まず1つめはPrivate VLANがサポートされたことです。
Catalyst 3550はPrivate VLANのサブセット的なProtected Port
をサポートしていました。
Private VLANのほうがProtected Portよりも細かい制御ができる
ので、細かいところをちゃんと理解していないと正しい解答をする
のが難しそうですね。

2つめにIPv6のサポートですが、これはさらに分けると2つあって
Unicast RoutingとMDL Snoopingです。
RoutingはStatic、RIPng、OSPFv3がサポートされていて、MDL
Snoopingは簡単に言えばMulticast関連の機能です。
今のR&SのBlueprintにはIPv6 Multicastが出そうな雰囲気は
感じませんが、出ないとは断言できませんし。。。


最後はQoS、正確に言えばQueueの違いです。
これも細かく分けると2つあって、ひとつはIngress Queueのサポート
とと、もうひとつはSchedulingやDropのやり方が変わっていることです。

Catalyst 3550ではIngress Queueは存在しませんでしたが
Catalyst 3560ではCatalyst 3750と同様に1p1qか2qのIngress Queue
をサポートしています。どちらにするかは設定によって変わります。
#1p1qというのは1つのpriority queueと1つのnormal queueという意味
#2qというのは2つのnormal queueという意味

SchedulingがWRRからSRRという方法に変わりました。またCongestion
Avoidanceの手法もWREDからWTDという方法に変わっています。
SRRはWRRでできなかったような、Shapingっぽい動作ができるなど
Catalyst 3550の感覚とはちょっと違うので注意が必要だと思います。

SRRとかWTDについて解説してくれているCisco Pressの本はほとんど
存在しません。

私が読んだことある中では

End-to-End QoS Network Design

という本にCatalyst2970/3560/3750のQueueing and Droppingという
項目で説明があります。

それ以外はConfiguration Guideしかないと思います。

この3つの機能が試験にどれだけ影響を与えるか分かりませんが
基本的にCCIEという試験は

勉強しすぎるほど勉強してもまだ足りない試験

です。

ちょっとでも曖昧な理解だったり、勉強が足りなかったりすると落ちる
のでしっかり準備されることをオススメします。

Monday, July 31, 2006

Security Labに向けての勉強プラン

さて、Security Labに向けての勉強プランを考えていましたが
これは想像以上にタフです。

のんびり勉強していると2007年での受験は無理っぽいですね。
今からトップギアでやっていかないと、とても来年には間に合いそう
にありません。

Securityを受けようなんて人は私かnetworkerさんぐらいだと
思いますが(笑)、他にも目指している人のために使う予定の
教材についての紹介です。


まずは既に手に入れた教材から。

- Cisco Router Firewall Security

R&Sの時も使いましたが、全てを読んだわけではないので最初から
最後までじっくり読みます。


- Cisco ASA and PIX Firewall Handbook

networkerさんも購入されていましたが、ASAとPIXがよく分かって
いない私にとっては必須の本ですね。


- IPSec VPN Design

IPSecはたまに設計したことはありますが、EzvpnとかDMVPNとか設計
したことないので一応基礎からやり直そうかと。
今はこれを読んでます。


- The Complete Cisco VPN Configuration Guide

Router、PIX、VPN3000シリーズのVPN設定ガイドです。
VPN3000シリーズはCCSPの時以来なのでこれも基礎からやり直し
です(笑)


- Penetration Testing and Network Defence

新しいSecurity LabではNetwork Attackという項目があったので
この本でお勉強です。Attackの手法とそれを軽減する手だてが
書いてありそうです。


今後入手予定の教材は

- Intrusion Prevention Fundamental

まずIPSが何なのか根本的な理解から始めないとダメそうなの
でこの本を買ってみようかと思っています。


- Cisco ASA All-in-One Firewall, IPS, and VPN

ASAに特化した本です。来年のLabからはASAが2台もある
ようなので重点的にやる必要がありそうです。Failoverとか
やるのかな。


- Cisco Network Security Troubleshooting Handbook

CiscoがSecurity Lab Updateのnewsの中で

"Troubleshooting techniques will now be integrated into
the lab exam. "

なんてわざわざ宣言してるので、この本でも読んでおこうかと。
TrboubleshootできずにLabを終えたくないですから(笑)


- CCSP IPS Exam Certification Guide

IPSについてもCCSP以来なので、再度SPレベルからやり直し
でしょうね。


ちなみに買わずに済む資料といえば

- CCO

これは定番というか見なきゃダメというレベルですね。


- SAFE Blueprint

いろいろ本を買っていますが、まずはここから読むか検討中
です。CCSP受験の時に斜め読み程度には読みましたが、内容
もバージョンアップされてると思うので徹底的に読み込んだ方が
良いかもしれません。


- RFC

Security関連のRFCは読んでおいたほうが無難だと思います。
それにRFCはLabでは見れませんし。丸暗記するぐらいの勢い
で読むつもりです。


Workbookはまだ検討中です。


一番の鬼門はCisco Secure ACSかと思っています。。。というのも
来年のLabはASCを自分で設定しなければなりません。

以前は(というか現行では)pre-configureされていて設定する必要
はありません。

それにバージョンが4.xになるということで、Cisco Pressの本も存在
しません。バージョン3.xまでの本しか存在しないのでCCOの
Configuration Guideだけが唯一の情報源です。

ACSなんて普段全く触らないのでCisco Pressで分かりやすく解説
された本があればいいんですが。。。

それとオンラインラボでACSも触れるとこが出てくれることを期待します。
そうじゃないと、Labではじめて触るハメになっちゃいます(笑)


SecurityはR&Sに比べ物にならないぐらい大変そうですが、何故か
ワクワクしてます。

Thursday, July 27, 2006

CCIE R&S Lab Study & Exam Tips

受験記や試験については書けませんが、私なりの

CCIE R&S Lab Study & Exam Tips

を書きたいと思います。


まずStudy Tipsということで使った教材から。

-Routing TCP/IP, Volume 1, 2nd Edition
-Routing TCP/IP, Volume II
-
CCIE Practical Studies, Volume I
-
CCIE Practical Studies, Volume II
-CCIE Routing and Switching Practice Labs

この5冊は言わば「定番」ですよね。
CCIEを受験する人は必ず読んでいると思います。
私自身、全て読みましたが、Practical Studiesシリーズ
は必須という感じはしませんでした。

Routing TCP/IPシリーズとPractice Labsだけでも
十分いけると思いますので、経済的に苦しい方は
この3冊だけにしましょう。

-
Cisco QOS Exam Certification Guide
(IP Telephony Self-Study), 2nd Edition


QoSイマイチという方に是非読んで欲しい1冊です。
かなり読みやすい英語で書かれていると思いますので
英語に慣れない方も読みやすいと思います。

CCIEを受ける前にこの本を読んで、QoSの試験
(たしか642-642だったかな?)を受けておくことを
オススメしますよ。

-
Cisco Router Firewall Security

タイトルだけみると、とてもCCIEには関係なさそうですが
この本、私は大好きです(笑)
なんと言っても読みやすい英語、それに幅広い内容を
カバーしています。SecurityやIOS Featureが苦手と
いう方には効果抜群かも知れません。

-
CCIE Security Practice Labs (CCIE Self-Study)

この本はさすがにR&S Labには関係ないだろうという
感じですが(笑)
でも、使えます。
この本が書かれたころのSecurityのLabにはR&Sの
Blueprintと同一の内容もあって、この本の問題を
やってみるということは役に立つと思います。

この本だけは誰にも教えたくなかった(ウソ)

私の中では定番以外の3冊が非常に役立ったように
感じます。やっぱりQoSですかね、心底いい本だと
思ったのは。日本語のQoS本ありますが、私はアレ
ではさっぱり理解できませんでした。まずQoSの必然性
とかがまったく見えてきませんでしたし。とにかくQoSの
本は良い本です。

最後はCCOです。
これはしっかり読みましょう!

え?Workbookは?
Workbookは、あれはあくまでも練習として、は有用
だと思いますね。Workbookをやれば即合格というのは
ちょっと遠い気がします。もちろん、それでも合格できる
という人は居るのでしょうが。。。

ちなみにDOiTをメインでやっていましたが、DOiTを
やってて良かったと思いますよ。


次にExam Tipsです。

1.問題は後ろから読んでみる。
 頭から読むと、IGPあたりで設定したくてウズウズして
 きます(笑)。でも問題全部を読むことは大事だと思い
 ますので、あえて後ろから読んでみるのも手かと。

2.問題用紙に穴があくぐらい、問題をよく読む。
 試験当日は気が昂ぶっていたり、早く設定してしまおう
 という気持ちが先にたって、どうしても問題を斜め読み
 しがちです。それに、英語というのは文の頭に主語と
 動詞がくるので、何をどうする、というのがすぐにわかり
 ます。そうすると、文の後ろのほうに書いている、どうやって
 という部分をしっかり読まないまま、何をどうする、の
 設定をしてしまいがちです。
 問題の意図を正しく掴むためには、問題をよく読む
 以外にありません。

3.分からない問題をすぐにCCOで調べない。
 これは変に感じるかもしれませんが、大事なことは
 分かった問題やできたと思う問題が絶対に間違って
 いないことを確認する方が先だ、ということです。

 分かっていること、理解できていることは、確認作業を
 やるときに、どうなっていればOKというのが分かるはず
 です。showコマンドでこの出力であればOKだとか、Debug
 してこうなればOKだとか、要は正しいか正しくないかの
 確認ができます。

 しかし、分からない問題をCCOで設定しても、それが正しく
 動作しているのか、あるいは正しく設定されているのかの
 判断ができません。要はあっているかどうかの確認が非常に
 難しいということです。

 そんなことをやるなら、ちゃんと解答できたつもりになっている
 ところの見直しを確実にしたほうが、より点を取りやすくなりま
 す。もしケアレスミスしてたりすれば分かるわけですから。

 これらの見直しが全て完璧だと思ったら、最後に分からない
 問題をCCOで調べる、というステップが良いと思います。

 CCIEは、何故か全て解かないとという気持ちになりがちですが
 別に全てに解答していなくても80%以上とれば合格です。


ちょっとは皆さんのお役に立てたでしょうか。
ちなみに、このエントリーでNDAに違反してるというところが
あれば教えて下さい。修正しますので。

Monday, July 24, 2006

ガレ兵さんとの緊急会談

ガレ兵さんのBlogで既に紹介されていましたが、 7月某日に北九州の
某所で、ガレ兵さんと会談をしました。

何の会談かというと、ガレ兵株式会社入社のための社長面接です(笑)

というのはウソで、出身が近いということもあり、私が帰省した際は是非
お茶してくださいと申し入れてたのでした。
ガレ兵さんは、見ず知らずの私でも気さくに会ってくれました。

会談の内容は、私がガレ兵さんの受験記の熱心なファンである、という
ことからガレ兵さんの体験を臨場感たっぷりに話してもらいました。
受験記に書かれていることとほぼ同じ内容ですが、ガレ兵さんの口から
聞くとまた違った印象で面白かったですよ。

あとSecurityを受けます、とも伝えましたが、たっぷりSecurityの大変
さを教えられてしまいました。
正直、「無理かも」と思ってしまいましたが、新しいLabをチャレンジして
なんとかやり遂げたいですね。

ちなみに各所で話題となったガレ兵さんの「見た目が怖い説」ですが
あれはネタだということが判明しました。
優しそうな人でしたよ。かもし出す雰囲気はnetworkerさんに似てた
ような気もします。

Saturday, July 22, 2006

みなさんありがとうございます。

たくさんの方からコメントをいただきました。
コメントを寄せてくれた方、ありがとうございました。

それに、私の合格をBlogで紹介していただいている方に
お礼のコメントを書きましたが、AGさんのところはコメント
が書けないようですね。

なんででしょ。。

Wednesday, July 19, 2006

緊急記者会見

--今回、記者会見をされるということでいくつかお伺いしたのですが?

「OK。次の予定は特に入っていないから何でも聞いて!」


--そもそもこの記者会見は何のためにされたのですか?

「何のためにって、それは今後の僕の進む道を知らせるためだよ。」


--進む道というのはよくわかりませんが・・・?富士登山への道ですか?

「バカ言うなよ!僕を殺す気か?富士登山できる体力なんてないんだ
から。」


--とすると、今後のCCIEへの取り組みでしょうか?
   Koichi氏はこれまでに2回もLabにFAILしていると聞いてますが。

「そうだね。僕は2回もR&S Labに負けた。でもそれは必要な負けだった
んだ。1回目で合格してたら、僕は使えないCCIEになるところだったよ。
合格するために基礎から勉強しなおし、そしてついに僕は3回目に勝利
したんだ!!」


--つまらないネタはいいので、今後の進むべき道というものをお聞かせ
ください。

「オイオイ待ってくれよ、ネタじゃないよ。僕はLabにPASSしたんだよ!」


--本当ですか?いつもは受験する日を公開されていましたが?

「そうだね。でも今回はひっそりと受けたかったんだよ。宣言すると
プレッシャーがかかってしまうからね。
やっぱり宣言したからには絶対に合格しないと、と気負ってしまうから
なんだよ。」


--要は再度LabにFAILした場合は黙っていようという魂胆だったと。。。

「バカ言うなよ!たんにひっそりと受験したかっただけだよ。
僕はプレッシャーに弱いんだ。」


--目標にしていた24才までの取得が達成できましたが、それについて
はどうですか?

「うん。年齢がどうの、というのは本質的には関係ないけど、自分で決めた
Deadlineを守れたというのは意義があると思う。悪い気はしないよ。」


--R&S受験に関して会社の理解はありましたか?

「全然ないよ!全くと言っていいね!!でも、逆にこれでよかったと思う。
お金に関しては本当に辛かったよ。それに、情報もないし機材もないし、
満足に勉強できる時間もなかったけど、その状況の中で努力して結果を
出せたことは今後の糧となると思うよ。」


--それでは今後の進む道というものをお聞かせください。

「そうだね。無謀なのを承知で言うけど、次はCCIE Securityを目指すよ。
次も自腹の予定なんだ。会社は理解してくれそうもないからね。」


--CCIE Securityですか?Lab機材とかはどうするんですか?

「もちろん自分では持たないよ。オンラインラボを利用することになる
だろう。」


--なぜSecurityに挑戦しようと思ったのですか?

「アメブロ界のラスボスであるnetworker氏独裁政権に立ち向かわな
いとダメだと思ったからさ。
僕がSecurityにチャレンジすることで、彼の独裁政権を阻止できるかも
しれないからね。
でも、僕一人の力では到底太刀打ちできないから、TOMOさんや番犬
さんの力を借りないとダメなんだよ。(ウソ)」


--PIXやASA、VPN3000シリーズの実務経験はあるのですか?

「いや、全然(汗)。SecurityのLabに出てくる機材でルータ以外はほとんど
さわったことないよ。でも、やったことがないを理由にしていたら、いつまで
たっても先に進めないよ。
やったことがないことにチャレンジして、最終的に結果を出すことが大事
なんだ。結果を出すことがね。」


--まずはWrittenを取得することが先決ですね。

「実はWrittenはもう持っているんだ。去年の3月に受かっていたんだけど
もうすぐ失効しそうだったから6月にも受験したよ。
こんなことを言っても信じてもらえないだろうけど、僕は兵頭さんの存在を
知る以前からSecurityのCCIEは受けたいと思っていたんだ。
CCSPを取ったのも、そのためだったんだ。
なのでもうLabの勉強は始めているよ。」


--Securityは来年からLabが新しくなるようですが?

「もちろん新しいLabに照準を合わせている。受験するのは来年あたり
になるだろう。
新しいLabを受けるのは日本人で僕が最初になるかもしれないね。」


--本当に大変さを認識しているのですか?

「あたりまえだろ!R&Sでも十分すぎるぐらい大変だったよ。
Securityはあのガレ兵さんが5回も受けるような試験だからね。
僕なんて5回じゃ済まないかもしれないよ。」


--本気ですか?

「本気だよ!面白おかしく書いているけど、十分本気さ。」


--バカか、もしくは狂ってますよね?

「失礼なやつだな!僕はいたって正常だよ。」


--では最後に、このBlogを読んでいる方にメッセージを。

まずこのBlogを読んでくれている皆さんにお礼を言いたい。それに僕が
落ちるたびに温かいメッセージを送ってくれた方には特に感謝したいよ。
皆さんの応援がなかったら僕は最後までがんばれなかったかもしれない
からね。

それと、TOMOさんにも言われていたけど、もうConfigブログは止めるよ。
これまでConfigブログをやっていたのは、とても日記調に書く余裕なんて
なかったからなんだ。
仕事もきつかったし、精神的にも追い込まれていたよ。
でも、目標としていたことが達成できたから、次の目標に向かってがんば
ろうと思う。

僕と同じような境遇でCCIEを頑張っている人に、努力すれば結果は出
せるんだということを言いたいよ。

Friday, July 14, 2006

臨時ニュース

ただいま臨時ニュースが入りました。

Overseas and BeyondのKoichi氏が緊急記者会見を行う模様です。
詳しい日時や時間帯は明らかにされていませんが、近日中には
会見が開かれる模様です。

「この時期に緊急記者会見とは何ですかねぇ」
「さぁ~、富士登山の赤紙が玄関先に張られてて、腰抜かした
んじゃないですか?」
「どちらにしろ、たいした話題ではないかも知れませんよ」

以上、臨時ニュースをお伝えしました。

Monday, July 03, 2006

Cisco IOS Login Enhancements(後半)

はじめに
 今回はCisco IOS Login Enhancements機能を設定するとき
 のお話です。
 実際の仕事にも使えそうな機能だと思いますので、実機をもって
 いるかたは設定して、実際にTelnetでアクセスするなどして
 どんなログが出力されるのか見てみると良いと思います。

Default設定
 Login Enhancements機能はDefaultでは無効になっています。


Configuring Cisco IOS Login Enhancements
 以下に設定のステップを示します。
 Step1
  Router# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Router(config)# login block-for seconds attemps tries
  within seconds

  quiet modeの設定をします。引数は以下のようになります。
  seconds・・・Login要求を全く受け付けない時間を設定
  します。単位は秒です。1~65535まで指定できます。

  tries・・・Loginが何回失敗したらquiet modeにするかを
  指定します。1~65535回まで指定できます。

  seconds・・・ここで指定した秒の間、triesの数だけLogin
  が失敗するとquiet modeに移行します。
  1~65535秒まで指定できます。

  このコマンドは、他のloginコマンドよりも必ず先に実行
  されている必要があります。
  このコマンドを有効にすると、デフォルトで1秒のDelay
  が有効になります。

 Step3
  Router(config)# login quiet-mode access-class acl

  Loginに何度失敗してもquiet modeにならないホストをACL
  で指定できます。この設定はoptionalです。

 Step4
  Router(config)# login delay seconds

  Loginに失敗してから、次のPromptが出るまでのDelayを
  設定できます。この設定はoptionalです。
  指定できるのは1~10秒までです。

 Step5
  Router(config)# login on-failure log [every login]

  Login認証に失敗したらSyslogに出力します。
  every引数は、Syslogに出力する間隔を指定します。
  指定しない場合は1となります。
  この設定はoptionalです。

 Step6
  Router(config)# login on-success log [every login]

  Login認証が成功したらSyslogに出力します。
  every引数は、Syslogに出力する間隔を指定します。
  指定しない場合は1となります。
  この設定はoptionalです。

 Step7
  Router(config)# end

 以上で設定は終了です。


Configuration Example
 設定例を以下に示します。
 ここでは、Login試行が3分以内に3回連続で失敗した場合、Login
 要求を30秒間受け付けないようにしています。
 また、Login認証が失敗して次のPromptが表示されるまで2秒の
 Delayを設けています。

 Router(config)# login block-for 30 attempt 3 within 130
 Router(config)# login on-failure delay 2

 quiet modeになったときには以下のSyslog Messageが表示
 されます。以下の出力内容は、上のコンフィグとは関係あり
 ません。

 00:04:07:%SEC_LOGIN-1-QUIET_MODE_ON:Still timeleft for
   watching failures is 158 seconds, [user:sfd] [Source:10.4.2.11]
 [localport:23] [Reason:Invalid login], [ACL:22] at 16:17:23
 UTC Wed Feb 26 2003

 このログが頻繁に見られるような場合、何者かが不正アクセスを
 試みている可能性があります。
 ログには送信元のアドレスが表示されるので、それを利用して
 アクセス元を追跡できるかもしれません。

 不正アクセスを試みる場合、送信元アドレスはSpoofingされない
 ことがほとんどだと思います。
 #単純にDoSが目的ならSpoofingされることも考えられます。


Advanced Configuring Exercise
 さて、基本的な設定は比較的単純ですので、いきなり応用問題
 をやってみましょう。

 要件は以下のとおりです。
 -5分以内に5回連続でLogin認証に失敗したら60秒間Login
  要求を受け付けないようにしてください。
 -Login試行が失敗・成功したらSyslogに記録できるようにして
  ください。
 -SyslogにTimestampが正しく記録できるようにしてください。
 -Loginが失敗する場合は毎回、成功する場合は3回に1度の
  割合で記録してください。
 -1.1.1.1と2.2.2.2のアドレスを持つホストは何度失敗しても
  すぐにLogin試行ができるようにしてください。


 では、解答です。

 -5分以内に5回連続でLogin認証に失敗したら60秒間Login
  要求を受け付けないようにしてください。

 まずこの要件に対するConfigは以下のようになります。

 Router(config)# login block-for 60 attempt 5 within 300
 この問題では秒や分といった異なった単位が含まれています。
 ミスしないように気をつけましょう。

 -Login試行が失敗・成功したらSyslogに記録できるようにして
  ください。

 この問題をぱっと見たときに、特に設定が必要ないと思われた
 方もいるかもしれませんが、以下の設定が必要です。

 Router(config)# logging buffered
 Syslogをローカルバッファに記録します。

 -SyslogにTimestampが正しく記録できるようにしてください。

 Timestampと言えば以下の設定ですね。

 Router(config)# service timestamps log datetime localtime
 この設定に限定されるものではないので、msec単位にしたり
 timezoneを表示したりするようなオプションをつけていても
 OKです。

 -Loginが失敗する場合は毎回、成功する場合は3回に1度の
 割合で記録してください。

 Router(config)# login on-failure log
 Router(config)# login on-success log every 3

 -1.1.1.1と2.2.2.2のアドレスを持つホストは何度失敗しても
 すぐにLogin試行ができるようにしてください。

 Router(config)# ip access-list standard Excluded_HOSt
 Router(config-std-nacl)# permit host 1.1.1.1
 Router(config-std-nacl)# permit host 2.2.2.2
 Router(config)# login quiet-mode access-class Excluded_HOST

 設定は以上となります。


Further Reading
 DocumentへのLinkです。いつもマニュアルへのLinkとなって
 しまいますが、それ以外にCCOで載ってないんですよね(笑)

 Cisco IOS 12.4 Configuration Guide
 http://www.cisco.com/univercd/cc/td/doc/product/
  software/ios124/124cg/hsec_c/part30/h_login.htm

Monday, June 26, 2006

ブログと実物のギャップ

先日、networkerさんと食事をさせてもらいました。

正直言ってどんな人が来るのかドキドキでした。
この昂ぶる気持ちは・・・恐怖心か、ブルブル(笑)

あるお店をnetworkerさんに予約してもらって、その店で待ち合わせ
したのですが、私は遅刻したらマズイという思いから30分程早く着い
てしまいました。

店の前を行き交う人々を注意深く見ながら、この人はnetworkerさん
なのだろうかと、いろいろ予想していました。そのとき、いかにも怖そう
な人が店の前でタバコを吸いはじめて、もしや。。。と思ってブルブル
してました。

でもその人はタバコを吸い終えると去って行ったので一安心です。

で、約束の時間の5分前になって「もしやnetworkerさんは既に店に
いるのでは」と思い、店の中に入って店員さんに聞いてみましたが
まだ来られていないとのこと。

もし先に来てたら約25分ぐらい待たせてたことになると思ってブルブル
してましたが、それも取り越し苦労でホッとします。

そして約束の時間の2分前ほどに、さっそうと一人の男性が店に入った
のでもしやと思い、その後から一緒に入りました。

そう、その方があのnetworkerさんです。

どんな人かって?


そりゃぁ、もう。。。

ネットワークリトルそのものでした。あのカワイイ感じ。


ちなみに私はnetworkerさんの想像と一致していたのかどうかが
気になってます。


ちなみに、「ブルブル」はTOMOさんのパクリです。ごめんなさい。
この表現、何故か好きなんです(笑)

Monday, June 19, 2006

Cisco IOS Login Enhancements(前半)

はじめに
 さて、次回のコンテンツは何かな~と(楽しみに)待っていた皆様、
 今回からは12.3T以降で新しく追加された機能についていくつか
 解説します。

 まずは12.3(4)Tから実装されている
 Cisco IOS Login Enhancement
 という機能からお勉強しましょう。

 今年のCCIE Routing and Switching Trackで使用されるIOS
 Versionは12.4なので、12.3Tの新機能が含まれています。
 CCIEという試験は範囲が超広範囲ですし、一回の受験料を
 考えると気軽に受験できないので、どんな問題が出てもいいよう
 に入念に準備しておく必要があります。


Benefits
 この機能が実装される前のIOSでは、

 -Telnet(SSH)でログインした(された)ことをloggingできない
 -HTTPでログインした(された)ことをloggingできない

 という制限がありました。
 つまり、誰かがRouterにリモートからログインできたとしても、それ
 をSyslogに残す手立てがなかったのです。

 Global Configuration Modeから抜けたときはSyslogが出力
 されますが、その時は既に設定を変更されている可能性があり
 ますので、不正アクセスをすぐに察知することはできません。

 Cisco IOS Login Enhancements Featureを利用すると、これら
 のRouterへのアクセスをSyslogに残せるようになります。

 また、Local Databaseを使ったユーザ認証も使用すると、どの
 ユーザが、いつ、コンソール経由(またはvty経由)でLoginした
 かを、Syslogを利用して容易に追跡できるようになります。

 ちなみに、この機能は一部のCatalyst(ハイエンドの機器)でしか
 サポートされていないので注意が必要です。


Feature Overview
 Cisco IOS Login Enhancementsは、Console、Telnet、SSH、
 HTTPでRouterにアクセスした記録をSyslogに残すことができ
 ます。

 また、辞書攻撃などのBrute-foce-attackの対策として、何回か
 Loginが失敗した場合に、再度Login Promptを表示するまでの
 Delayをかけることができたり、一定時間Login要求を受け付け
 ないようにしたりできます。


Delays Between Successive Login Attempts
 あるLogin認証が失敗して、次のLogin Promptを表示するまでの
 間、一定のDelayを設けることができます。Delayのやり方には
 以下の3つの方法があります。

 -login delayというGlobal Configrationコマンドで、Delayさせ
 る秒数を指定できます。

 -login block-forというコマンドを使って、1秒のDelayを自動的
 に有効にできます。

 -auto secureというコマンドを使って、1秒のDelayを自動的
 有効にできます。
 #auto secureの説明は割愛します。
 #詳しく知りたい方は、こちら。
 #http://www.cisco.com/univercd/cc/td/doc/product/
 # software/ios124/124cg/hsec_c/part30/hatosec.htm

 設定に関しては、次回以降で詳しくとりあげます。

Login Shutdown If DoS Attacks Are Suspected
 以前のIOSでは何度Login認証に失敗してもLoginを試行する
 ことができました。
 このFeatureが実装されてからは、一定の回数連続してLogin認証
 が失敗した場合、DoS Attack(または不正アクセスのようなクラッ
 キング)が発生していると判断し、その後のLogin試行を一定時間
 全て拒否する"quiet period"を設定することができます。

 ちなみにACLを利用することで特定のホストからのLoginを
 "quiet period"にならないようにすることも可能です。

 この機能(以降queit modeと呼びます)はDefaultで無効ですが
 autosecureを有効にしているときは、quiet modeを有効にできま
 せん。


Generation System Logging Messages for Login Detection
 quiet modeになったり、戻ったりするときは、Syslog Messegaが
 出力されます。また、設定すればLoginに失敗・成功したことを
 Syslog Messageとして出力することができます。

 今現在はSyslogでの出力のみですが、将来的にはSNMP Trap
 も出せるようになる予定らしいです。(マニュアルにそう書いて
 ありました)


さて、次回は設定のお話です。
次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Cisco IOS Login Enhancements
 -Configuration Example
 -Advanced Configuring Exercise
 -Further Reading
です。お楽しみに。

Thursday, June 15, 2006

Port Security(3回目)

Port Securityの最終回をUPします。


はじめに
 前回、前々回に引き続きPort Securityのお話です。
 設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが
 設定に関してはまだまだあります。

 今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉
 強します。Aging(というのは、簡単に言うと「忘れちゃう」ということ
 です。


Enabling and Configuring Port Security Aging
 Secure Portに記憶されているSecure MacをAgingさせられ
 るのは、StaticとDynamicで学習したMacアドレスのみです。
 Stickyで学習したMacアドレスに関してはAgingできませんので
 注意してください。

 Agingはポートごとに以下の2つのタイプを設定できます。

 -Absolute
 あるポートで記憶されているSecure Macを特定の時間が
 経過した後に削除する。
 通信が行われている最中でも、特定の時間が経過するとA
 gingが行われます。

 -Inactivity
 Secure Portで記憶されているSecure Macを通信に使用され
 なくなってから特定の時間が経過した後に削除する。
 特定の時間が経過する前に再び通信が行われると、Aging
 までの時間はリセットされます。

 以下にPort Security Agingの設定ステップを示します。

 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Security Agingを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport port-security aging

  Port Security Agingを設定します。

  static・・・staticに設定されたSecure Macに対してAgingを
  有効したいときに設定します。

  time・・・Agingまでの時間を設定します。0から1440までの値
  を指定可能で、単位は分です。0を指定するとAgingしないこと
  意味します。

  type・・・Agingするまでのカウントダウンのやりかたとして
  absoluteかinactivityを指定します。
  指定しない場合、absoluteとなります。

 Step4

  以上で設定は終了です。


Configuration Example
 いくつか設定例を見て、設定のやりかたを確認しましょう。
 まずは、StaticにSecure Macの設定方法です。
 Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Mac
 を設定して、さらにSecurity Violationモードをprotectにしている
 例を示します。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 2
 Switch(config-if)# switchport port-security violation protect
 Switch(config-if)# switchport port-security mac 1111.1111.1111
 Switch(config-if)# switchport port-security mac 2222.2222.2222
 Switch(config-if)# no shutdown

 設定の前にshutdownしているので、最後にno shutdownするの
 を忘れないようにしましょう。


 次にAgingの設定例です。
 Switchのfa 0/1に記憶されているSecure MacのAging typeを
 inactivityで設定しています。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport port-security aging static
 Switch(config-if)# switchport port-security aging time 10
 Switch(config-if)# switchport port-security aging type inactivity

 Aging typeのデフォルトはabsoluteなので、aging typeを変える
 設定が必要です。


Basic Configuring Exercise
 それでは練習問題です。

 問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台
 までとなるように設定してください。


 問2) 問1のfa0/1の設定にAgingの設定を追加します。
 2時間経ったらすべてのSecure Macを消去するようにしてくだ
 さい。


 問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecure
 Macとして予め登録してください。さらに、このポートにPC10台分
 のMacアドレスをSecure Macとして動的に記憶できるようにして
 ください。


 問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。
 IP PhoneにはPCが1台接続される予定になっています。
 このポートで許可するMacアドレスの数はいくつ必要でしょうか。


 では解答です。
 問1ですが、設定は以下のようになります。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 3
 Switch(config-if)# no shutdown


 問2は、以下のようになります。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport port-security aging time 120

 typeを指定しない場合はabsoluteでしたよね。


 問3は、以下のようになります。

 Switch(config)# int fa 0/2
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 11
 Switch(config-if)# switchport
             port-security mac-address aaaa.bbbb.cccc
 Switch(config-if)# no shutdown

 maximumの値を10とした方いませんか?こうところにひっかから
 ないようにしましょう(笑)


 問4は設定させる問題ではありませんが、IP Phoneを接続させる
 ポートにPort Securityを設定する場合の注意点です。
 忘れた方は「Port Security(2回目)のConfiguration Guideline」
 を参照してください。

 答えは3つとなります。


Advanced Configuring Exercise
 久々の応用問題です。応用とは言っても私が勝手に考えた
 ひっかけ問題なんですが(笑)

 では、早速問題です。

 Switchのfa 0/10のポート配下に接続されるホストのMacアドレス
 を動的にSecure Macとして記憶してください。このとき、Switch
 がRebootするとSecure Macを覚えなおすようにしてください。
 また、最大許可エントリ数を5とし、Security Violationが発生した
 場合は2分後に再び利用可能になるようにしてください。

 どの辺が応用なのか、というツッコミはやめてください(笑)
 Security Violationが~のところがちょっとしたミソになっています。

 では解答です。

 Switch(config)# int fa 0/10
 Switch(config-if)# switchport mode access

 問題にはホストが接続されると書きましたので、switchportの
 modeをaccessにする必要があります。
 Port SecurityはDynamic accessのswitchportには設定できない
 ので、必ずスタティックにaccessポートの設定をしてください。

 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 5

 次はPort Securityの設定です。許可エントリのデフォルト値は1
 ですので、それを5に増やすための設定が必要です。Secure
 Macの学習方式はDynamicがデフォルトのため、特に設定は
 必要ありません。

 また、Security Violationが起こった場合のモードもshutdownが
 デフォルトなので特に設定は必要ありません。

 最後に必要なのが、error-disabledとなったポートの自動復旧
 の設定です。
 Security Violationが起こったときのモードがshutdownの場合
 そのポートはerror-disabledとなり、ポートが閉塞された状態
 となります。

 この状態を復旧させるには、手動でshutdownコマンドを入れて
 その後no shutdownコマンドを実行する必要があります。

 問題には120秒後に再び利用可能になるように、と書いています
 ので自動的にerror-disabledの状態を復旧させる必要がありま
 す。その場合の設定は以下のようになります。

 Switch(config)# errdisable recovery cause psecure-violation
 Switch(config-if)# errdisable recovery interval 120

 recovery intervalは秒単位ですので、2分を120秒として設定する
 のを間違えないようにしましょう。


Further Reading
 Port Security関連のDocumentへのLinkです。

 Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
  lan/c3550/12225see/scg/swtrafc.htm


さて、今回でCatalyst3550に関するポートベースのトラフィック制御の
技術についてのお勉強は終了です。

Tuesday, June 13, 2006

Port Security(2回目)

UPが遅くなってしまいました。すみません。
え~っと、いつだったかな。。。(笑)
結構前に(笑)Geneさんのメルマガで配信された記事です。


はじめに
 前回はPort Securityの動作や概念のお勉強をしました。
 今回からはいよいよ設定です。

 いつもいつも繰り返し言っていますが、前回の動作や概念のお話
 を読んでいない方は、まず動作や概念を頭に入れてから設定
 方法を見ていきましょう。

 CCIEでは設定のやり方を覚えるのはそれほど重要ではありま
 せん。「動作を理解する」ことの方が非常に重要です。


Default設定
 Port Securityは、Defaultでは設定されていません。

 Port Securityを有効にした場合、以下のDefault設定が有効に
 なります。

 -Maximum Secure Mac Address(最大許可エントリ数)は1
 -Violation Modeはshutdown
 -Macアドレス学習方法はDynamic
 -学習したMacアドレスのAging timeは0(Age outしない)
  Agingを有効にしたときのdefault typeはabsolute


Configuration Guidline
 Port Securityを設定する際のガイドラインです。
 -Port Securityは手動で設定されたaccess port、trunk port
  またはdot1Q Tunnel portで設定できます。

 -Port SecurityはDyamic access portには設定できません。
  (注:dynamic access portとは、switchport mode access
  コマンドを設定せずにDTPによってaccess portになった
  ポートのことです。

 -Port SecurityはSwitch Port Analyzer(SPAN)のあて先ポート
  に指定されているポートには設定できません。

 -Port SecurityはFECやGECに参加しているポートには設定
  できません。

 -Voice VLANが設定されているポートでPort Securityを有効
  にする場合、許可されるMacアドレスのエントリ数を最低で
  も2つ以上にしてください。
  IP Phoneは最大で2つのMacアドレスを使用します。
  IP Phoneの配下にPCを接続する場合は、PCのMacアドレス
  を追加で許可する必要があります。

 -許可エントリ数を定義するコマンドを設定するときは、現時点
  で設定されているエントリ数よりも大きな数を指定してくださ
  い。設定は上書きされますので、現在許可されているエントリ
  数よりも少ない数を新しく定義しようとした場合、コマンドが
  拒否されます。
  例えば、現時点で3つのMacアドレスが許可されているポート
  に2つのMacアドレスまでしか許可されない設定をしようとする
  と、コマンドが拒否されます。

 -Stickyで設定されているMacアドレスをAgingさせることは
  できません。


Enabling and Configuring Port Security
 以下にPort Securityの設定ステップを示します。

 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Securityを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport mode { access | trunk }

  Port Securityを設定する前に、ポートをaccessかtrunkに設定
  します。Dynamicの状態では設定できません。

 Step4
  Switch(config-if)# switchport voice vlan vlan-id

  Voice VLANを使用する場合は、Voice VLANの設定もして
  おきます。

 Step5
  Switch(config-if)# shutdown
  Switch(config-if)# switchport port-security

  Port Securityを有効にする前にshutdownコマンドを実行
  しています。これはswitchport port-securityと実行すると
  そのポートですぐにPort Securityが有効になり、有効に
  なった場合はPort SecurityのDefault設定も有効になって
  きますので、場合によってはSecurity Violationを起こして
  しまう可能性があります。

  よって、まずshutdownをした後にPort Securityの設定を
  行うことをオススメします。

 Step6
  Switch(config-if)# switchport port-security [ maximum
   value [ vlan { vlan-list | { access | voice }}]]

  許可する最大エントリ数を設定します。この設定はOptional
  です。Defaultの最大許可エントリ数は1です。
  最大数だけ定義したい場合、vlan以下のコマンドは必要
  ありません。

  vlanは、trunkポートでvlanごとに最大許可エントリを定義
  したい場合に使用します。

  accessやvoiceは、Cisco IP Phoneと接続される場合に使用
  します。

 Step7
  Switch(config-if)# switchport port-security violation {
   protect | restrict | shutdown }

  Security Violationが起こった場合のふるまいを設定します。
  この設定はOptionalです。Defaultの動作はshutdownです。

 Step8
  Switch(config-if)# switchport port-security [ mac-address
   mac [ vlan { vlan-id { access | voice }}]]

  接続を許可するMacアドレスをStaticに設定します。
  vlan以下のコマンドは、Step6で説明した内容と同様の意味
  です。

  最大許可エントリ数より少ない数のStaticを設定した場合は
  Macアドレスの数が許可エントリ数に達するまでDynamicで
  自動的に学習します。

 Step9
  Switch(config-if)# switchport port-security mac-address
   sticky

  Stickyを有効にします。この設定はOptionalです。

 Step10
  Switch(config-if)# switchport port-security mac-address
   sticky [ mac-address | vlan vlan-id { access | voice }]]

  TrunkポートでStickyをVLANごとに有効にします。
  この設定はOptionalです。

 Step11

  以上で設定は終了です。


さて、次回も引き続き設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Enabling and Configuring Port Security Aging
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。

Wednesday, June 07, 2006

Font病

私がFont病なのは皆さんご存知ですよね。

このBlogにはArial FontとTrebuchet MSという2種類のFontを使って
います。
#Browerの都合により違いがわからない場合もありますが。

書くEntryの題名のところに使われているのがArial Font、文中で使わ
れているのがTrebuchet MSです。

本当はHelveticaというFontを使いたいのですが、Windows系はArial
Fontがほぼ同一ということでArialを使っています。

ごく一般的な人なら英字フォントに気を使っていないと思います。
多分、MSゴシックで書いた英字とMS Pゴシックで書いた英字が混じって
ても気がつかないでしょう。ましてや半角と全角が混じっていたとしても
気づかないはずです。

しかし、私はFontが異常に気になるため、必ずといっていいほどArial
Fontを使っています。
#といっても、みなさんもゴシック体と明朝体が入り混じったドキュメント
#見ると、一気に見る気が失せるはずですよ。


で、つい先日HPの新しいNote PCを使ったとき、英字Fontの感じがいつ
もと違うことに気づきました。なんというか滑らかでカッコイイのです。
自分のPCでも同じような感じにならないか1時間ぐらい必死で設定を探した
結果、、、


見つけました。


その名も「Clear Typeでスクリーンフォントの縁を滑らかにする」

やり方は

①画面のプロパティを開く

②デザインタブをクリックする。

③画面右下の効果ボタンを押す

④その中に次の方法でスクリーンフォントの縁を滑らかにする
 があるので、その中からClear Typeを選ぶ


そしてwww.cisco.comとかに行ってみると。。。ほら

カッコイイとしか言えない!

ちなみにExcelを開いて

「Font病」

とArial、MSゴシック、MS Pゴシックと書き比べてみてください。
ほら、ぜんぜん違うでしょ。カッコ良さが!!

すると今日からあなたもFont病。

Tuesday, June 06, 2006

Configuring Port Security(1回目)

またまた遅くなりましたが、先々週の月曜日にGeneさんのメルマガで
配信された記事をUPします。


はじめに
 前回はPort Blockingについてお勉強しました。
 Port BlockingとProtected Portsは似たような名前なので、使い方
 を混同しやすいですが、これまでのお勉強で両者の違いが分かった
 はずです。

 今回はPort Securityについてみていきます。
 このPort Securityは3回に分かれています。1回目はPort Security
 についての動作や概念の話、2回目は設定の話、3回目も設定の
 話と練習問題をやります。

 Port Securityが終わるとCatalyst3550のポートベースでトラフィック
 を制御する技術をひととおりやったことになります。

 Catalyst3550のSoftware Configuration Guideで言うと、Chapter22
 のConfiguring Port-Based Traffic Controlの内容を全てカバーしま
 した。

 これまでFurther ReadingでマニュアルをLinkしていましたが
 まだ読まれていない方は最後にこの章を読んでみましょう。

 CCIE Lab試験では、マニュアルを読むことが非常に大切です。
 試験で見られる唯一のドキュメントなのですから。


Port Securityとは
 Port Securityとは、Switchの物理ポートに接続できるホストをMac
 アドレスを元に限定する機能のことです。
 この機能により、事前にMacアドレスを登録したホストや、または
 自動的にMacを学習したホストのみがSwitchに接続できるように
 なります。


Secure Mac Address
 Secure Mac Addressというのは、Switchへの接続を許可された
 Macアドレスを指しています。SwitchにSecure Mac Addressを
 登録するには、以下の3つのやり方があります。

 -Static Secure Mac Address
 switchport port-security mac-addressコマンドを使用して
 手動で接続を許可したいMacアドレスを設定します。
 この設定をcopyコマンドやwriteコマンドを使って保存すれば
 MacアドレスはNVRAMに記憶され、SwitchをRebootしても
 保持されます。

 -Dynamic Secure Mac Address
 Switchが自動的に接続されているMacアドレスを学習して
 そのMacアドレスをもつホストのみに接続を許可します。
 ただし、Dynamicに記憶されたアドレスは設定には反映され
 ません。SwitchがRebootするとそれまで覚えていたアドレス
 の情報は消滅し、再度学習しなおす必要があります。
 (学習はSwitchにフレームが届くと同時に行われます)

 -Sticky Secure Mac Address
 Switchが自動的に接続されているMacアドレスを学習して
 そのMacアドレスをもつホストのみに接続を許可します。
 Dynamicと異なるのは、Stickyで記憶されたMacアドレスは
 設定に反映されます。
 この設定をcopyコマンドやwriteコマンドを使って保存すれば
 MacアドレスはNVRAMに記憶され、SwitchをRebootしても
 設定は保持されます。

 また、Dynamicで動作させているポートを途中でStickyに変える
 こともできます。この場合、Dynamicで記憶されているMacアド
 レスが自動的に設定に反映されるようになります。
 これをRebootしても有効なままにしておくにはcopyコマンドか
 writeコマンドで保存するのを忘れないようにしましょう。

 逆にSitckyで動作させているポートをDynamicに変えることもで
 きます。この場合、設定に反映されていたMacアドレスは設定
 から消えて、Rebootすると消滅するので再び覚えなおす必要が
 あります。
 (学習はSwitchにフレームが届くと同時に行われます)

 以降、Port Securityで許可されたアドレスをSecure Macと呼び、
 併せてPort Securityが設定されているポートをSecure Portと
 呼びます。


Security Violation
 Security Violationは以下の状況が1つでも該当すると起こります。

 -Switchが検出したMacアドレスの数が、許可されるSecure
 Macエントリの最大数を上回った場合

 -Secure Portに記憶されているSecure Macが、同じVLANの
 別のSecure Portで検出された場合

 1つめの場合から見ていきましょう。
 Secure Portには、許可されるSecure Macの最大エントリ数を
 設定できます。デフォルトは1つです。
 例えば、Dynamicで設定されたポートに2つのMacアドレスが検出
 された場合、デフォルトの最大エントリ数を上回るので、2番目に
 検出されたMacアドレスを持つフレームはSecurity Violation
 と判断され、Switchでブロックされます。

 次に2つめの場合です。以下の状況を想像してみてください。
 Swtichのfa0/1では、0123.4567.89abを持つMacアドレスを許可
 したいので、Staticに設定されているとします。

 そのホストがfa0/1に接続されいるときは問題なく動作できますが
 同じVLANに属するfa0/2(このポートもSecure Portで動作している
 とします)に接続を変更した場合、Switchはfa0/1で設定されている
 Secure Macがfa0/2で検出されたため、fa0/2への接続をブロック
 します。

 Security Violationが起こった場合のふるまいを以下の3つのなか
 のどれかに設定することができます。

 -protect
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 エントリ数を増やすか、Switchが保持しているエントリを削除
 するまでブロックします。

 protectモードは許可エントリを上回ったフレームだけをブロック
 するだけです。SyslogやSNMP Trapは生成しません。

 -restrict
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 エントリ数を増やすか、Switchが保持しているエントリを削除
 するまでブロックします。

 restrictモードは許可エントリを上回ったフレームだけをブロック
 し、さらにSyslogとSNMP Trapを生成します。

 -shutdown
 デフォルトのモードです。
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 そのフレームをブロックし、そのインタフェースをerror-disabled
 にして使用不能な状態にします。

 さらにSyslogとSNMP Trapを生成します。

 error-disabledとなったインタフェースを復旧させるには、
 手動で行う場合と自動で行う場合があります。
 手動で行うには、error-disabledとなったインタフェースで
 shutdownコマンドを実行し、その後にno shutdownコマンド
 を実行します。

 自動で行うにはerrdisable recovery cause psecure-violation
 グローバルコンフィグレーションコマンドを使用します。
 #error-disabledについての説明は割愛します。


さて、次回は設定のお話を見ていきます。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuration Guidline
 -Enabling and Configuring Port Security
 -Configuration Example
です。お楽しみに。

Sunday, June 04, 2006

Configuring Port Blocking

UPが遅くなりましたが、Geneさんのメルマガで先々週の金曜日に
配信された記事です。

はじめに
 前回は2回にわたってProtected Portsをお勉強しました。
 今回はPort Blockingについてみていきます。

 Port BlockingはProtected Portsとは混同しやすいので、この2つ
 の違いはしっかりと押さえておきたいですね。
 前回のProtected Portsを読まれていない方は、こちらも併せて
 読んでおいたほうがより理解が深まります。


Port Blockingとは
 Switchは、自分のMacテーブルにないあて先Macアドレスを持つ
 フレームを受け取ると、受け取ったポート以外の全てのポートに
 フレームを送信するFloodingを行います。

 前回のProtected Portsの解説でも述べましたが、Switchは
 Protected Portsが設定されているポートに、どの機器が接続さ
 れているのかを認識できていない場合(例えばMacテーブルが
 空のときなど)は、FloodingによりProtected Ports間でパケット
 が流れてしまう可能性があります。

 この動作が問題になる要件がある場合はProtected Portsを設定
 しているインタフェースにPort Blockingも併せて設定します。

 Port Blockingは、Switchがあて先不明のMacアドレスをもつ
 UnicastやMulticastを受け取ると、Port Blockingが設定されている
 ポートにFloodingすることを防ぎます。

 Port BlockingはProtected Portsとは関係なく、単独で設定する
 こともできます。


Default設定
 Port Blockingは、Defaultでは設定されていません。


Configuring Port Blocking
 Port Blokingの設定は簡単です。
 ただし、SwitchのインタフェースがRouted Port(no switchport)
 に設定されていると、そのポートでPort Blockingを有効にできない
 ので注意してください。

 以下に設定のステップを示します。
 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Blockingを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport block { unicast | multicast }

  Port Blockingの設定をします。
  引数については以下のとおりです。

  unicast・・・Unknown Unicast(あて先のMacアドレスがMac
  テーブルに記憶されていないユニキャストフレーム)を
  ブロックします。

  multicast・・・Unknown Multicast(あて先のMacアドレスが
  Macテーブルに記憶されていないマルチキャストフレーム)
  をブロックします。

 Step4

  以上で設定は終了です。


Configuration Example
 Switchのfa0/1でUnknown UnicastがFloodingされるのを防ぐ場合
 の設定例です。

 Switch(config-if)# switchport block unicast


 Basic Configuring Exercise
 Port Blockingも設定が単純なので練習にならないかもしれませ
 んが、とりあえず1問だけ。

 問)SWのfa 0/1とfa 0/2にはあるサーバが接続されており、これら
 のポートには、そのサーバあてのトラフィックしか流れないように
 したいという要件があがっています。SWでその要件を満たしてく
 ださい。各サーバはVLAN30に属しています。

 それでは解答です。

 SWの設定は以下のようになります。

 Switch(config) int range fa 0/1 - 2
 Switch(config-if)# switchport access vlan 30
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport block unicast
 Switch(config-if)# switchport block multicast
 Switch(config-if)# end

 設定は単純ですね。問題にはそのサーバあてのトラフィックしか
 流れないように、と言っているので、unicastとmulticastのFlooding
 をブロックしています。


Further Reading
 Protected Ports関連のDocumentへのLinkです。
 Link先がいつも同じですが、Storm Control、Protected Ports、
 そして今回のPort Blockingについて書かれているドキュメントは
 マニュアルぐらいしかないのです。。。

 Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
   lan/c3550/12225see/scg/swtrafc.htm


さて、次回はPort Securityのお話です。
 次回のコンテンツは、
 -はじめに
 -Port Securityとは
 -Secure Mac Address
 -Security Violation
です。お楽しみに。

Thursday, June 01, 2006

CCIE Security Lab will be change.

CCIE VoiceのLabが変わったときに、

「次に変わるのはSecurityのLab」

と予想していましたが、ずばり予想的中になりました。


Changes to CCIE Security Lab and Written Exams


でもIOSのVersionは12.2Tのままなんですね。
どうせなら12.4にしたほうがいいのに。。。

Saturday, May 27, 2006

わからないとしか言えない!

いま流行りの「~としか言えない」をパクってみました。
networkerさんすみません(笑)

何がわからないのかというと、

So Where The Bloody Hell Are You?

という言葉の語感というか、ニュアンスというか。

この言葉はオーストラリアへの観光をアピールする広告に書かれて
いるものです。地下鉄でよく目にします。
最初にこれを見たときは、Bloody Hellなんて書かれているので
「えっ?」と思ったのです。

Bloody Hellって、直訳すると「血みどろの地獄」ですかね(笑)
でもBloodyって、俗語で「すごい」という強調語にもなるみたい
ですね。あとThe Hellも強調の意味で使われるんでしたっけ。

それで、The Bloody Hellと組み合わせて使うとなると、すっごく
強調されてるってことですよね。

So Where Are You?

だと、「で、どこにいるの?(そんな所にいないで、オーストラリアへ
来てみなよ!」みたいなニュアンスでしょうか。

で、

So Where The Bloody Hell Are You?

だと、強調されているものが何なのか

わからないとしか言えない!

強調されてるのって、どこなんでしょうね。Whereかな。
そのときの意味って、

「で、ったく一体全体どこにいるいるのさ!」


みたいな感じ?ホントかな。誰か教えてください。。。

Thursday, May 25, 2006

Configuring Protected Ports(後半)

Geneさんのメルマガで今週の月曜日に掲載された記事をUPします。

はじめに
 前回はProcted Portsの動作と注意点についてお勉強しました。
 さて今回はProtected Portsの設定についてみていきましょう。
 もし前回の内容を見ていない場合は、先に前回の内容を読んで
 おいた方が効果的です。

 基本的な設定のステップを勉強したあとは、設定例を見て、練習
 問題を解いてみます。
 また、最後にちょっと難しめの問題にチャレンジしてもらいます。


Default設定
 Protected Portsは、Defaultでは設定されていません。


Configuring Protected Ports
 Protected Portsの設定はとても簡単です。
 ただし、SwitchのインタフェースがRouted Port(no switchport)
 に設定されていると、そのポートをProtected Portsにはできない
 ので注意してください。

 以下に設定のステップを示します。
 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Protected Portsを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport protected

  Protected Portsの設定をします。
  引数は特にありません。

 Step4
  以上で設定は終了です。

  なお、Protectedポートの設定は最低でも2ポート分必要です。
  #Protected Potrsは、switchport protectedと設定されてい
  #インタフェースでのパケットのやり取りをブロックするため。


Configuration Example
 設定例を示します。ここではfa0/1とfa0/2同士が直接パケット
 のやり取りをブロックする設定です。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchprot access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Swtich(config-if)# int fa 0/2
 Switch(config-if)# switchprot access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# end


Basic Configuring Exercise
 設定が単純なため、基本的な設定問題は特ににありません。


Advanced Configuring Exercise
 今回の応用問題は少し難しいかもしれません。この問題も
 私のオリジナルです。

 構成は、VLAN123にR1、R2、R3がいます。このVLAN123の
 ネットワークアドレスは、192.168.123.0/24です。

 R1、R2、R3はEIGRP123を動作させていて、Loopback0の
 アドレスをアドバタイズしています。

 各ルータのIPアドレスは以下のとおりです。

 R1 fa0/0 : 192.168.123.1/24 loopback0 : 1.1.1.1/24
 R2 fa0/0 : 192.168.123.2/24 loopback0 : 2.2.2.2/24
 R3 fa0/0 : 192.168.123.3/24 loopback0 : 3.3.3.3/24

 SWとの接続は以下のとおりです。
 SW[fa0/1]-----[fa0/0]R1
 SW[fa0/2]-----[fa0/0]R2
 SW[fa0/3]-----[fa0/0]R3


 では、ここから問題です。
 R1とR3で、パケットのやり取りをブロックしてください。
 R1とR3で、パケットのやり取りを行う必要がある場合、R2を
 経由するようにしてください。
 R1とR2とR3で、お互いのLoopbackアドレスがルーティング
 テーブルに見えるようにしてください。
 ただし、EIGRPのneighborコマンドは使用してはいけません。

 解けましたでしょうか。
 実機を持っている方は実際にやってみることをオススメします。
 持っていない方は頭の中で考えてみましょう(笑)


 それでは、解答です。

 まず、SWの設定は以下のようになります。

 Switch(config)# vlan123
 Switch(config-vlan)# exit

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected

 Switch(config)# int fa 0/2
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access

 Switch(config)# int fa 0/3
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected

 問題にはR1とR3でパケットのブロックをしないように、と書いて
 いましたので、fa0/1とfa0/3にswitchport protectedコマンドを
 設定しています。これで、Protected Ports同士のパケットの
 やりとりをSWがブロックします。

 次に各ルータの設定は以下のようになります。

 R1(config)# int lo0
 R1(config-if)# ip address 1.1.1.1 255.255.255.0
 R1(config-if)# int fa 0/0
 R1(config-if)# ip address 192.168.123.1 255.255.255.0
 R1(config-if)# no shut
 R1(config-if)# router eigrp 123
 R1(config-router)# no auto-summary
 R1(config-router)# network 192.168.123.1 0.0.0.0
 R1(config-router)# network 1.1.1.1 0.0.0.0

 R2(config)# int lo0
 R2(config-if)# ip address 2.2.2.2 255.255.255.0
 R2(config-if)# int fa 0/0
 R2(config-if)# ip address 192.168.123.2 255.255.255.0
 R2(config-if)# no shut
 R2(config-if)# router eigrp 123
 R2(config-router)# no auto-summary
 R2(config-router)# network 192.168.123.2 0.0.0.0
 R2(config-router)# network 2.2.2.2 0.0.0.0

 R3(config)# int lo0
 R3(config-if)# ip address 3.3.3.3 255.255.255.0
 R3(config-if)# int fa 0/0
 R3(config-if)# ip address 192.168.123.3 255.255.255.0
 R3(config-if)# no shut
 R3(config-if)# router eigrp 123
 R3(config-router)# no auto-summary
 R3(config-router)# network 192.168.123.3 0.0.0.0
 R3(config-router)# network 3.3.3.3 0.0.0.0

 各ルータでは、インタフェースの設定とEIGRPの設定を行って
 います。
 これで終わり!ではありません。
 この設定だと、ある問題が生じます。

 その問題とは、R1とR3では全てのルート情報がルーティング
 テーブルに表示されていない、ということです。

 R1とR3は自身のConnectedのルートと2.2.2.0/24のルートを
 EIGRPで受け取っています。
 R1とR3はLoopbackのアドレスを交換できていないようです。

 これは、SW1でR1とR3のパケットのやりとりをブロックしている
 ため、R1とR3がEIGRPのneighborになっていないことと関係が
 あります。

 SW1でR1とR3のインタフェースにswitchport protectedの設定
 を行ったことにより、全てのパケットはR2を経由します。
 これはEIGRPのアップデート情報も同様で、R1のルート情報は
 R2へ、R3のルート情報はR2へ送られます。

 EIGRPは基本的にはディスタンスベクタに属するプロトコルで
 すので、R2のfa0/0にはsplit-horizonが有効になっています。

 つまり、R1のLoopback0のルート情報がR2のfa0/0を介して
 EIGRPのプロセスに届きます。そのルート情報は、再びfa0/0
 を通って、R3に通知されることはありません。これが
 split-horizonの動作です。

 よって、解決策はR2のfa0/0でsplit-horizonを無効にすること
 となります。
 設定はこのようになります。

 R2(config-if)# no ip split-horizon eigrp 123

 これで、R1とR3に全てのルート情報が表示されるようになります。


Further Reading
 Protected Ports関連のDocumentへのLinkです。

  Catalyst 3550 Software Configuration Guide
   http://www.cisco.com/univercd/cc/td/doc/product/
    lan/c3550/12225see/scg/swtrafc.htm

さて、次回はPort Blockingのお話です。
 次回のコンテンツは、
 -はじめに
 -Port Blockingとは
 -Default設定
 -Configuring Port Blocking
 -Configuration Example
 -Basic Configuring Exercise
 -Further Reading
です。お楽しみに。

Monday, May 22, 2006

Configuring Protected Ports(前半)

Geneさんのメルマガで先週の金曜日に掲載された記事をUPします。

はじめに
 前回は2回にわたってStorm-Controlをお勉強しました。
 今回はProtected Portsについてみていきます。
 このProtected Portsも前半と後半に分かれています。
 前半は動作についての話、後半は設定や練習問題をやります。

 このProtected PortsはPort Blockingと混同しやすいので、この
 記事を読んでProtected Portsの特徴を正しく掴みましょう。

Protected Portsとは
 Protected Portsがどんな役割を果たすのかを例をもとに説明します。

 SWのfa0/10とfa0/11は同一のセグメントで、それぞれのポートに
 サーバAとサーバBが接続されている、とします。
 fa0/10とfa0/11にProtected Portsの設定を行うと次の動作になり
 ます。

 -サーバAからサーバBへのユニキャストパケットがブロックさ
  れる。(その逆も同様)
 -サーバAからサーバBへのマルチキャストパケットがブロック
  される。(その逆も同様)
 -サーバAからサーバBへのブロードキャストパケットがブロック
  される。(その逆も同様)
 -サーバAからProtected Portsの設定されていないポートへ
  通信する場合は制限されない。(サーバBの場合も同様)

 つまり、Protected Portと設定されているポート間だけ直接のやり
 とりがブロックされます。

 また、例の最後にあるように、Protected Portsが設定されている
 ポートと、設定されていないポート間は何も制限はなく、通常の
 状態と変わりません。

 Protected Portsを設定するときに2点、注意が必要です。

 まず1点めは、Protected PortsはFallback Bridgingと連携して動作
 することができないということです。

 Fallback Bridgingとは異なるVLAN間をBridgingして、ルーティング
 することなく直接のやり取りを可能にする仕組みです。
 以下、例をもとに説明します。

 fa0/10はVLAN10に属していて、Protected Portsが設定されてい
 ます。Fa0/11はVLAN11に属していてProtected Portsが設定され
 ています。

 通常はVLAN10とVLAN11はVLANが異なるため、ルーティングさ
 れなければ直接のやりとりはできません。
 しかし、ここでは何か別の要件によって、VLAN10とVLAN11は
 ルーティングすることなく通信できる必要があったとしましょう。

 このような要件の場合、VLAN10とVLAN11はFallback Bridgingを
 設定します。
 #Fallback Bridgingの設定については、ここで解説するのが目的
 #ではないので、サンプル程度のコンフィグを示します。

 Switch(config)# int fa 0/10
 Switch(config-if)# switchport access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# int fa 0/11
 Switch(config-if)# switchport access vlan 11
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# exit
 Switch(config)# bridge 1 protocol vlan-bridge
 Switch(config)# int vlan 10
 Switch(config-if)# bridge group 1
 Switch(config-if)# int vlan 11
 Switch(config-if)# bridge group 1

 VLAN10とVLAN11でFallback Bridginを設定すると、fa0/10
 とfa0/11に設定したProtected Portsは機能しません。
 ですので、Fallback BridgingとProtected Portsは併用しないよう
 にしましょう。


 2点目は、問題というよりはSwitchの仕様です。

 最初の例で、サーバAとサーバBのお話をしました。
 その際、こんな疑問を感じませんでしたか?

 何故SwitchはサーバAからサーバB宛てのパケットを
 「fa0/10からfa0/11に流れる」
 と認識できたのでしょうか。

 Switchは、誰がどこにつながっているかを認識するためにMAC
 アドレスと、そのMACがどのポートの先に存在するかという2つの
 情報を併せてMACアドレステーブルに記憶しています。

 SwitchのMACテーブルが空っぽのとき、サーバAがサーバBに
 フレームを送った場合、SwitchはサーバBがどのポートに接続され
 ているのか判断できないため、Floodingするしかありません。

 よって、SwitchのMACテーブルが空っぽの場合や、あて先の
 MACアドレスを学習していない場合は、Protected Portsが設定さ
 れているポート同士でもパケットが届いてしまう場合があります。

 この動作を防ぐ方法は2つあります。1つは予めサーバAとサーバB
 のMACアドレスをStaticに設定します。もう1つは冒頭で述べた
 Port Blockingを使用します。
 このPort Blockingは、別の機会にとりあげますのでお楽しみに。


さて、次回はProtected Portsを設定するときのお話です。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Protected Ports
 -Configuration Example
 -Basic Configuring Exercise
 -Advanced Configuring Exercise
 -Further Reading
です。

Wednesday, May 17, 2006

Configuring Storm Control(後半)

Geneさんのメルマガで今週の月曜日に掲載された記事をUPします。

はじめに
 前回はStorm Controlの動作についてお勉強しました。
 さて今回はStrom Controlの設定をみていきましょう。
 もし前回の内容を見ていない場合は、先に前回の内容を読んで
 おいた方が効果的です。

 基本的な設定のステップを勉強したあとは、設定例を見て、練習
 問題を解いてみます。
 また、最後にちょっと難しめの問題にチャレンジしてもらいます。

Default設定
 Storm ControlはDefaultで無効になっています。

Configuring Storm Control and Threshold Level
 Storm ControlはInterface Configuration Modeで設定し、物理イン
 タフェースのみサポートしています。
 EtherChannelインタフェースでも設定できますが、サポートされて
 いないので設定しても効果はありません。
 また、Channelメンバーの物理ポートで設定しても効果はありません。

 以下に設定のステップを示します。
 Step1
  Switch# conf t
 
  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Storm Controlを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# storm-control { broadcast | multicast |
   unicast } level { level [ level-low] | pps pps [ pps-low ] }

  Storm Controlを設定します。各引数は以下のとおりです。
  broadcast・・・BroadcastのStorm Controlを有効にします。
  multicast・・・MulticastのStorm Controlを有効にします。
  unicast・・・UnicastのStorm Controlを有効にします。

  level・・・利用可能な帯域幅のうち、パーセンテージで上限
  を指定します。この値を超えるとブロックされます。
  値は、0.00から100.00まで指定可能です。
  0.00は全てブロックを意味し、100.00は全てブロックしない
  を意味します。

  level-low・・・パーセンテージで下限を指定します。
  この設定はオプションです。ここで指定した下限を下回る
  とブロックされていたパケットの送受信が再開されます。
  この値を設定しない場合、実質的には上限と同じ値と
  いうことになります。

  pps・・・受信可能なppsを設定します。指定可能な値は、
  0.0から10000000000.0です。

 Step4(Optional)
  Swtich(config-if)# storm-control action { shutdown | trap }

  Stormを検出した際のアクションを定義します。Defaultでは、
  パケットをブロックするのみですが、以下の2つのアクション
  をとることも可能です。

  shutdown・・・Stormを検出した場合、そのインタフェース
  をerr-disableにすることができます。

  trap・・・Stormを検出した場合、SNMP Trapを送信します。

 Step5
  以上で設定は終了です。

Configuration Example
 コマンドの構文を見てもピンとこないでしょうから、設定例を示します。

 Switch(config)# int fa 0/10
 Switch(config-if)# storm-control broadcast level 8.5

 このコマンドはfa0/10に流れてくるBroadcastを約8.5%に制限します。
 fa 0/10が100Mbpsの帯域に設定されているとすると、約8.5Mbps
 となりますが、実際にはこの数字はもっと前後すると思います。

 次にPPSを指定した例を示します。

 Switch(config)# int fa 0/10
 Switch(config-if)# storm-control unicast level pps 80k

 PPSの場合、そのインタフェースの帯域に関係なく、1秒あたりに
 受信するパケット数で判断します。
 ここで「k」という文字がついていますが、キロ(1000倍)を表して
 います。同様に「m」や「g」も使えます。

Basic Configuring Exercise
 では、練習問題を解いてみましょう。

 問1)SwitchのFa0/1で受信されたBroadcastが、そのインタフェース
 で利用可能な帯域の30%を超えたらブロックするようにしてください。
 また、Broadcastが15%を下回ったら再度受信可能な状態にしてくだ
 さい。

 問2)SwitchのFa0/1で受信されたUnicastが、10,000,000パケット
 を超えたらブロックし、5,000,000を下回ったら受信できるようにして
 ください。また、SNMP TrapでStormを検出したことを通知できる
 ようにしてください。
 SNMP関連の設定は別途設定されているものとします。


 設定できましたか?では問1の解答です。

 Switch(config)# int fa 0/1
 Switch(config-if)# storm-control broadcast level 30 15

 設定は難しくありません。Levelキーワードの後は、最初が上限、次
 が下限の値になります。


 次に問2の解答です。

 Switch(config)# int fa 0/1
 Switch(config)# storm-control unicast level pps 10m 5m
 Switch(config)# storm-control action trap

 パケット数で判断するにはppsオプションを使用します。「m」はメガ
 を表しています。SNMP Trapを投げるようにするにはstorm-control
 actionコマンドを使用します。


Advanced Configuring Exercise
 最後に、ちょっと難しめの問題を解いてみましょう。
 構成はR1とR2がSWをはさんで接続されています。
 
 R1 [fa0/0]-------[fa0/1] SW [fa0/2]-------[fa0/0] R2

 各機器のアドレス情報は以下のようになっています。
 
 R1 IP:192.168.1.1/24 MAC:1111.1111.1111
 R2 IP:192.168.1.2/24 MAC:2222.2222.2222

 ここから問題です。
 SWでR1からのBroadcastを全てブロックしてください。
 ただし、R1からR2へのPingには影響を及ぼさないようにしてくだ
 さい。

 解けましたでしょうか。
 実機を持っている方は実際にやってみることをオススメします。

 それでは、解答です。

 まず、SWの設定は以下のようになります。

 SW(config)# int fa 0/1
 SW(config)# storm-control broadcast level 0

 この設定にピンと来なかった方は、ConfigurationのStep3に戻って
 ください。Levelを0と指定すると、全てブロックという意味になると
 説明しました。

 これで終わり!と思った方は残念ながら不正解となります。
 この問題のHidden Issueは、R1からR2へのPingには影響を及ぼさ
 ないようにする、というところです。

 Broadcastの抑制とPingという一見何の関連性も無いように見え
 ますが、R1がR2にPingするとき、R1はまず何をするでしょうか。

 そうです。192.168.1.2のMACアドレスを解決しようとしますね。
 ARPキャッシュに192.168.1.2に対応するMACアドレスが記憶されて
 いない場合は、R1はまずARP Requestを送信します。

 このARP Requestは、Broadcastで送信されます。
 よって、SWのfa0/1でBroadcastを全てブロックしているとR1から
 R2へのPingに影響が出る場合が考えられます。

 では、何を設定すればよいかというと、R1にStatic ARPの設定を
 追加します。コンフィグは次のようになります。

 R1(config)# arp 192.168.1.2 2222.2222.2222 arpa

 この設定を追加するとR1からARPを出す必要がなくなるため、Ping
 が問題なくできるようになります。

 SWとR1の設定ができてはじめて正解となります。

Further Reading
 Storm Control関連のDocumentへのLinkです。

 -Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
   lan/c3550/12225see/scg/swtrafc.htm

さて、次回はProtected Portsのお話です。
次回のコンテンツは、
 -はじめに
 -Protected Portsとは
 です。
 
 これだけ見ると内容が少なそうに見えますが、そんなことはあり
 ません。次回も内容が濃いですのでお楽しみ。

Monday, May 15, 2006

八ちゃんラーメン

ラーメンって、個人的には音楽と同じぐらいに好みが分かれる
食べ物だと思っていますので、なかなか人に勧めるのは難しい
と思いますが、個人的にうまいと感じた物を紹介しますので、仮に
食べてみてマズイと感じたからといって文句は言わないでくださ
いね(笑)

今回紹介するのは、福岡空港のお土産屋で売っているという

「八ちゃんラーメン」

です。

売っているという、と書いたのは、自分が買ったわけではなくて
貰い物だったからです。なので、福岡空港のどのお土産屋で売って
いるのかまでは知らないのであしからず。

このラーメン、インスタントだと甘く見ていたのですが、出来上がっ
た時のスープのこってり感や、スープが麺にしっかりとからみ合う
具合など、とてもインスタントラーメンとは思わせない仕上がりに
なっていて、かなりイケます。

私は「ギトギトのとんこつラーメン」が好きなのですが、この八ちゃん
ラーメンには大満足でした。インスタントラーメンでここまでうまい
と思ったのはこのラーメンが初めてです。

福岡空港でしか買えない(売ってない)、と思っていましたが千葉の
「ららぽーと」の中にあるココに売っているのを発見しました。


インスタントラーメンにしてはかなり美味しいと思いますので、興味
のある方はお試しあれ。

最後に実際に作るうえでのアドバイスと注意点を。

まずは注意点から。

博多ラーメンは基本的に極細麺です。この八ちゃんラーメンも麺を茹
でる時間は約1分です。1分30秒茹でるとちょっとやわくなるかな、と
思います。

なので、麺を茹でる間にスープを作る、なんてことをするとノビノビ
の麺を食べてしまうかもしれないので注意が必要です。

そこで、先にスープを作ってから麺を茹でるというのが正しい作り方
です。

詳細は、

①やかんに水を入れて沸騰させます。このときの水の量は多いほど
 良いかと思います。理由は②で。

②水が沸騰したら、ラーメンをいれるどんぶりにお湯を注ぎます。
 これはスープが冷めてしまわないように予めどんぶりを温めて
 おくためです。

③麺を茹でるための鍋に水を入れ、沸騰させます。

④どんぶりが十分温まったら、スープの素をいれ、お湯を注ぎます。
 このときのお湯の量は、作り方に書いてある量よりちょっぴり少な
 くします。

⑤このスープの素はなかなか溶けにくい(粉末ではない)ので、
 よくかき混ぜます。

⑥鍋の水が沸騰したら麺を入れます。約1分ほど茹でたら火を止め
 スープが入っているどんぶりに麺を入れます。

⑦最後に葱を入れ、お好みでコショウをかければ出来上がりです。

以上のように、作る段階から真剣勝負で望まないと、インスタントと
は思えないスープと麺を楽しむことはできません。

ラーメン好きな方、ぜひチャレンジしてみてください。

The new world is waiting for your tongue.

Sunday, May 14, 2006

Configuring Storm Control

Geneさんのメルマガで先週の金曜日に掲載された記事をUPします。


はじめに
 Catalyst3550はルータが持っていない様々な機能を備えています。
 今回は、ポートベースでトラフィックを制御する技術の中のStorm
 Controlについてお勉強したいと思います。
 Storm Controlは前半と後半の2部構成で、前半でStorm Control
 の動作についての話、後半で基本的な設定や練習問題をみていこう
 と思います。

Storm Controlとは
 Storm Controlとは、Broadcast Storm、Multicast Storm、Unicast
 Stormを物理インタフェースレベルで制御します。
 これらのStormは主にDenial-of-Service(DoS) Attackや、設定ミス
 ケーブリングミス、IOSの不具合などによって発生する可能性があ
 ります。

 Storm Control(traffic suppressionと呼ばれる場合もある)は物理
 インタフェースからSwitching Busを通るパケット(すなわち受信パ
 ケット)の流量と、そのパケットがBroadcastがなのか、Multicastな
 のか、Unicastなのかを監視して予め設定しておいたThresholdを
 超えないようにします。

 Storm Controlではパケットをブロックするか受信するかを判断する
 方法として、以下の2つのどちらかを設定できます。

 -ある物理インタフェースの利用可能な帯域幅のうち、Broadcast
  Multicast、Unicastが使用できる帯域幅をパーセンテージで設定
  する。
 -ある物理インタフェースで受信されるBroadcast、Multicast
  UnicastのPacket Per Second(PPS)を設定する。

 1番目の方法では、設定されたパーセンテージを超えるパケットが
 ブロックされます。Switchは設定されたパーセンテージを上限として
 認識しており、オプションとして下限のパーセンテージも設定できま
 す。

 下限のパーセンテージが設定されているかどうかで、ブロックされた
 パケットが再度受信される場合の動作が変わります。


 まず上限のパーセンテージのみの設定の場合、パケットがブロック
 されたあと、その後に流れるパケットの流量が上限を下回っていれ
 ばパケットの受信が再開されます。下限のパーセンテージも設定
 されている場合、下限のパーセンテージを下回っていたらパケット
 の受信が再開されます。


 2番目の方法では、ある物理インタフェースで受信できるPPSを指定
 します。
 このPPSも上限と下限が設定でき、下限はオプションです。
 ブロックされたパケットの受信を再開する考え方は、最初の方法と
 同一です。

 このStorm Controlでは2つの注意が必要です。

 まず1つめは時間に関することで、Switchは1秒ごとにパケットの
 流量を計測しているという点です。リアルタイムで計測しているわ
 けではないので、多少の「時差」があります。

 例えば、あるタイミングでパケット流量を計測したところ、上限は
 超えていなかったため、パケットの受信を許可します。それから
 0.5秒後にBroadcast Stormが発生し、大量のパケットが流れ込んで
 きました。
 しかし、次の計測のタイミングまで0.5秒あるので、その間は大量の
 パケットが流れっぱなしになります。

 次の計測のタイミングで、上限を超えるパケットが計測されたので次
 の計測タイミングまでBroadcastをブロックしつづけます。
 Broadcastがブロックされてから0.5秒後にBroadcast Stormは収
 まったとしても、その後も次の計測タイミングまでBroadcastはブ
 ロックされたままになります。

 この例で分かるように、Switchはリアルタイムで計測しているわけ
 ではないのでパケットのブロックや受信の再開に多少のズレが
 あることだけ認識していてください。

 2つめはMultiastパケットのStorm Controlを設定していた場合です。
 Multicastパケットが上限を超えた場合、そのポートで受信される
 BroadcastとUnicastも併せてブロックされます。ただしSTPは特別
 に許可されます。
 
 BroadcastやUnicastの場合は、それぞれ個別にブロックされます。
 つまり、Broadcastが上限を超えてブロックされたからといって
 Unicastがブロックされることはありません。

さて、次回はStorm Controlを設定するときのお話です。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Storm Control and Threshold Level
 -Configuration Example
 -Basic Configuring Exercise
 -Advanced Configuring Exercise
です。

Friday, May 12, 2006

新企画とは

さて、次のLabに向けてというEntryの中である大御所サイトとのコラボ
レーションという話題を書きました。

この大御所サイトとは、


Geneさんの、ネットワークのおべんきょしませんか?

です。


が、

コラボレーションと言っても、そんな大層なものではありません。
Geneさんのメルマガに、CCIE Candidate向けの技術解説記事を書く
ことになった、というだけです。

この技術解説記事は毎週金曜日のメルマガに掲載される予定です。
私の書くペースが早ければ月曜日にも掲載されるかもしれません。

内容は私の独断と偏見でテーマ(CatalystやRouterの機能)を選ん
で、そのことについて動作や設定方法、注意点などを説明します。
可能な限りConfigurationの例や練習問題などを取り上げ、より実践
的な内容に仕上げています。

更に可能であれば応用問題的なちょっぴり複雑なケースも取り上げ
る場合もあります。

また、Geneさんのメルマガに掲載された記事は、このBlogでもUPして
いきますのでお楽しみに。

CCIEを目指す人、返り討ちにあってしまった人、自腹で孤独にがん
ばる人の役に立つコンテンツ作りをしていきますね。

Wednesday, May 10, 2006

コマンドを入力したと同時に時刻を表示するには

CCIEのLabには役に立たないと思いますが、仕事では役に立つ (と
思う)コマンドの紹介をします。
もしかすると皆さん知っているのかもしれませんが、私の周りでは使っ
ている人を見たことがないので。

よくTroubleshootingの作業をやるときに、showコマンドを投入した
ときの時刻を一緒に表示したいことがあります。その場合は、show
clockコマンドと実行したいshowコマンドを一緒にコピーしておいて、
実行する際にコピーしておいたコマンドを貼り付けします。
そうすることで、show clockと実行したいshowコマンドをほぼ同時に
打つことができます。

でもIOSにはもっとスマートなやり方があります。

Line Configuration Modeで以下のように設定します。
今回は例としてコンソールに設定していますが、vtyでも設定できます。

Router(config)# line con 0
Router(config-line)# exec prompt timestamp
Router(config-line)# end

このexec prompt timestampというコマンドは、showコマンドを実行
すると、そのコマンド出力の先頭にhow clockの内容と同じものを併せ
て表示してくれます。以下に出力のサンプルを示します。

Router#sh run
Load for five secs: 5%/0%; one minute: 7%; five minutes: 7%
Time source is NTP, 00:25:10.137 UTC Fri April 28 2006

Building configuration...

!output omitted

この例では、show runと実行した際にshow clockのコマンド出力が
一緒に表示されていることが分かります。

私は結構便利なコマンドだと思ったので、設定にはいつも入れるよう
にしています。

Tuesday, May 09, 2006

次のLabに向けて

私のとって次のLabを受験する際の最大の難関は受験費用の捻出
ですが、2つの新企画で受験費用の問題を乗り越えようと目論んで
います。

その2つとは、

 -Adsense
 -とある大御所サイトとのコラボレーション

です。

AdsenseとはGoogleの広告ですね。広告収入なんてたいした額に
はならないと思いますが、無いよりはいいかなと思ってはじめてみ
ました。

広告収入を得るためには、このBlogの内容をもっと充実させる必要
があるわけで、CCIE candidateのためになる情報満載という形に
していかなければいけないな、と思っています。
更新頻度をあげたりとか、勉強になるようなEntryをUPするとか。


そしてもうひとつがとある大御所サイトとのコラボレーションです。
コラボレーションという言葉はもう死語になりつつあるんですかね(笑)
言い方は大げさですが、まだどうなるか未定なので、現時点では
秘密ということにしておきます。

Saturday, May 06, 2006

受験記削除のお知らせ

先日、私のCCIE Labの2回目の受験記をUPしましたが、気持ちを
込めて書きすぎた結果、内容に問題があると思うので削除すること
にしました。

誤解してほしくないので念のため書きますが、私はCCIEのNDAを
尊重していますし、これに抵触するような行為は行いたくありません
し、するつもりもありません。

書いている内容を吟味せず、ご迷惑をおかけしましたことをお詫び
申し上げます。

Saturday, April 29, 2006

Lab Result

Lab Result近日公開!!

現在、鋭意執筆中。
といっても誰も興味ないでしょうけど。。。

Tuesday, April 25, 2006

あと1日

勉強できる残された時間はあと1日となりました。
CCIEの勉強は楽しんでやってきましたので、Labも思う存分
楽しめればいいなと思っています。

明日はProctorとの闘い(?)に向けて備えます(笑)

Tuesday, April 18, 2006

あと10日

と、書きたかったところですが今日であと9日です。

この時期にやっていることは

・CCOのDocumentを読むこと
・Cisco Pressの様々な本を読むこと
・Workbookでのおさらい

です。

Workbookについては去年の受験の際にIEWBとDOiTの2つ
を使用していましたが、今年はお金がないということもあり
DOiT Volume2だけを使用しています。

新しいDOiTは、前回のものよりもIGPがシンプルになっています。
複雑なRedistributionはほとんどなくなったような印象で、かなり
やりやすくなったのではないでしょうか。

それと、前回と大きく変えた勉強のやりかたとしてBlueprintに
書かれていないTechnologyにはあまり手を出さないようにしま
した。

例えばMobile IPやMobile Networkなんかがそうですが、
このへんはパスして、Blueprintに書かれてあることだけに勉強
する対象を絞って深く掘り下げてやるというようにしています。
ただ、この場合勉強していないことが出題された場合は全滅と
なりますが(笑)

ま、枝葉の部分で一網打尽に失点しても、他の部分で100点を
とれば合格になるので、もし出題されたらということはあまり気に
せずにやっています。

最後に、CCIE Tripleのガレ兵さんからプレッシャーをかけられ
てしまいました。私は激励と受け止めていますが、R&Sへの
挑戦は今回で決着をつけたいと思います!

Friday, April 07, 2006

あと20日

Labまであと20日となりました。
どうもこの春は去年からのCCIE Candidateな方々が続々
と合格を手にされているようで、とても喜ばしい反面、自分
もそれに続かなければとも感じます。

現在までの勉強量は、100点を取れるだけの量に達して
いませんが、去年の受験で合格する・しないを分ける
ラインが見えた(と思っている)ので、今回の受験には多少
の自信をもって臨めそうです。

このラインが見えた理由には、「題意を満たす」ということの
本質的な意味がわかったから、ということがあります。

どのように題意を満たすかを語るのはNDAに反すると思う
のでここでは書きませんが、こればっかりはLabを受験しな
いことには分からない気がします。

それが1発合格を難しくしているのだと思います。


残りの20日で自分の納得できる勉強ができれば、この勝負
負けません。

Thursday, March 30, 2006

Payment

先日、2度目のPaymentを済ませました。
やっぱり自腹となると、この金額は重いです。。。
今回は4月27日の受験ですが、本当は延期しようか
どうかすごく悩みました。

これまでのところ、前回よりも飛躍的に知識レベルは
伸びたと思いますが、それでも100点をとるための
勉強量には達してないと思います。

2回目の受験で何としても合格したい私の思いとしては
受験日を延期してもっと勉強を、という気持ちが強かっ
たのです。

が、今延期すると7月まで待たされてしまうんですよね。。
今からさらに3ヶ月以上も時間があると逆に怠けてしま
いそうだったので、思い切ってPaymentに踏み切りました。

2度目の勝負は負けられないので、がんばります!

Friday, March 24, 2006

ペットもついにコンピュータウイルスのターゲットに?

このタイトル、映画や小説の話ではありません。
現実の世界の話のようです。

最近のペットは、体内にRFIDのチップを埋め込んで迷子に
なってもRFIDをスキャンすることで飼い主の情報を表示した
りできるらしいですよ。

そしてウイルスやワームがこのRFIDを介して感染することが
可能であるとここに書かれています。

このウイルスの恐ろしいところはペットに感染する、ということ
ではなくて、以下のようなシナリオです。

例えばLAの空港。月に約200万個の積荷が行き来していま
す。この空港は2006年5月からRFIDを使ってこれらの積荷
の処理を効率的に行う予定です。この中のたった一つの積荷
のRFIDがウイルスに侵されていたら?
この積荷をスキャンした途端、ウイルスはRFID管理データベース
に侵入。次々と他の積荷に感染していきます。
これらの積荷は瞬く間に世界中に運ばれ、全世界のRFIDシステム
が瞬く間にウイルスに感染し、運行情報は書き換えられ、世界の
物流システムは大混乱になります。

こんなシナリオ、テロをもくろむ人たちが思いつかないわけない
ですよね。。。

Thursday, March 09, 2006

McCoffee Taste Test

CNNAMERICAN MORNINGという 番組の中で
「Mc Coffee Taste Test」というのをやっていました。

どんな内容かというと、メーカー名が分からないように
A・B・Cという3つのコーヒーをNew Yorkerに飲んで
もらってどれが一番おいしいか聞いてみる、というもの。

使用したメーカーはDcukin' Donuts、Starbucks、
そしてMcDonald'sの3つ。

New Yorkerが口々に美味しいと言ったのはMcDonald's
のコーヒー。そのコーヒーがMcのものだと告げられた
瞬間、皆さん一様にショックを受けているのが面白かった
ですね。

Mcのコーヒーを好んで飲むという方はいないようですが、
この調査の結果からはStarbucksで高いお金を払うより
Mcで安く済ませたほうが良いのではと思いますが、実際
は「Starbucksのコーヒーを飲んでいる」という行為その
ものが心地良いんでしょうかね。
私はコーヒーを外で買って飲むということはほとんどしない
ので良く分かりませんが。。。

Transcriptsはこちらから。
注:このTranscriptsの中の「So how do you like your
coffee?」というところからです。

Sunday, February 12, 2006

McLaren unveils unique livery



The Team McLaren Mercedes Fomula One team
has revealed a unique new car livery which will
adorn the team's cars in the future.

The new livery has an innovative surface coating,
which achieves a high level of reflectivity. The
technology used was perfected by McLaren during
the past six months and is completely new to
Formula One.

"Wow, What a beautiful looking car!"

Thursday, February 09, 2006

BGP Peer Group concept changed drastically.

今年のLabをもうすぐ受験予定の方で、

"BGPなんて基本は変わらないでしょ?
BGPのNew Feature?12.4のDocumentation
を見ればBGP関連のFeatureがまとまっている
から、12.3TのNew Feature Documentation
なんて見てないよ。"

という方には、ぴったりの情報です。
というよりも、知らないとLabでBGP 0%とかになり
かねません(笑)。

BGPのPeer Groupの考え方が12.3(4)Tで大きく
変わっているようです。

12.3(4)T以前のIOSでPeer Groupを設定すると
以下のような制限がありました。

- あるPeer Groupに属しているneighborは同じ
  Update Policy( distribute-list、filter-list
  update-sourceなど)を共有してしまう。

- あるPeer Groupに属しているneighborは同じ
  address familyに属してしまう。

例えば、Peer Groupの中のあるneighborだけに
distribute-listを適用したいとか、あるneighbor
だけが、IPv6をアドバタイズしたいとか、そういった
細やかな制御はできなかったのです。

12.3(4)Tからは、Peer Templateという考え方が
導入されました。これは、Peer Groupの制限事項
を解消するための、新しい設定方法です。
Peer Templateには以下の2つのタイプがあります。

- Peer Session Template

- Peer Policy Template

Peer Session Templateには、Sessionを張るための
項目を設定します。例えば、remote-as、timers、
ebgp-multihop、update-sourceなどです。

Peer Policy Templateには、Update Policyに関係
する項目を設定します。例えば、distribute-list、
filter-list、send-community、next-hop-selfなど
です。

Peer Groupのように1つのGroupにまとめて設定して
しまうのではなく、文字通りSession関連の設定と
Policy関連の設定のテンプレートを作っておき、
それをneighborに適用させるというイメージになります。
またこれらのテンプレートは、継承させるということが
可能になっているようです。
私自身、まだDocumentを読んだだけ
なので、この継承に関しては具体的なイメージが
なかなか理解できないのでいるのですが、とりあえず
あるテンプレートの中に別のテンプレートを入れること
ができるんだと理解しています。

Labでの出題を予想すると、問題文はPeer Group
を設定するように暗に匂わせておきながら、IPv6の
セクションで、Peer Groupの中の一部のneighborだ
けがIPv6を動作させるようになっていて、Peer Group
の全Routerでaddress familiyコマンド打たないとダメ
じゃん!という状況に陥らせるとか(笑)
このPeer Templateの考え方を理解していないと設定
できないような問題とかが出題されるのでは?と勝手
に予想しています。

私自身は仕事ではBGPの設計なんて全くやらないので
こんな大きな変更があったなんて知りませんでした。
実際にBGPの設計をされている方は、逆にPeer Group
の制限事項に悩まされていたのかも知れませんね。

この情報が何らかのお役に立てると嬉しいです。
でも、詳細&正確なことはDocumentで調べてください(笑)

Tuesday, February 07, 2006

One day, One objective

CCIEという試験は勉強しなければならない
範囲がとてつもなく広いです。

「さ、CCNPとったし次はCCIEだ~」

なんて軽い気持ちで勉強を始めると、その
とてつもない試験範囲に途方に暮れる日が
きます(笑)。
勉強のプランを立てないと、何も勉強が進ま
ずに時間だけが過ぎていくんです。

例えば、今年からIOS Versionが12.4に
なったことで、12.3Tも含まれる形となりま
した。

12.3TのNew Featureはこんなにあります。

中には現在のBlueprintには入っていない
ものやプロダクト固有のものもありますので
実際に勉強しなくてはならないNew Feature
は少なくなります。
それでも勉強が必要なFeatureの数は
結構な量になると思います。

これ以外にもCatalyst3550のIOSが12.1か
ら、12.2に変わっているので、ここでもNew
Featureを覚える必要があります。

これらはすべてIOSの機能というカテゴリに
なりますが、これら以外にもBlueprint
書かれてあることは当然、勉強範囲です。

このBlueprintには以下のような記述さえ
あります。

"The topics listed are guidelines and other
relevant or related topics may also appear.
In general, new product features become
eligible for testing on CCIE lab exams six
months after general release."

Blueprintに記述されてないこともLabには
出題されるかもしれないし、12.4Tも出題範囲
だと言っているようなものです。

というわけで、1日に何をどれだけ勉強するか
という日々の目標を立てて、それを着実にこな
していくことが大切です。

Monday, February 06, 2006

Rescheduled

I recheduled my Lab exam date for 27th April from 29th March.
It's because I have a business trip to Osaka.

And preparing for Lab...

Saturday, February 04, 2006

The Font

ついにAGさん( http://www.n-study.com/ag )の
Blogで使われているFontが判明しました。

というのもこのBlogにも同じFontが使われています。
そのFontの名は、

Trebuchet MS

です。

このFontはExcelにも入っているようですが、Excelで
使ってみるとWebで見る雰囲気とちょっと違った感じ
がします。
#多分気のせいなんでしょうけど。

あと最近気になっているのはHelveticaというFont。
このFontはWindowsには入っていないようで
Macには入っているとのこと。見た印象としては
Arialに近いかなという気がします。

同じ文字でもFontが変わると印象が全く異なるので
いろいろと試してみようと思います。

Wednesday, February 01, 2006

CCIE Voice Lab will be update.

今現在CCIE Voiceの勉強をされている方にとって
こういうニュースはあまり喜ばしいものではないと
思いますが、CCIEの世界では日常的なことですね。

Voice LabにUnity Express Network Moduleが
追加されるようです。それに伴って、使用される
OSのVersionも以下のようになります。

 - IOS:12.4(3a)
 - Cisco CallManager 4.1 (3) with latest SR
 - Cisco Unity 4.0 (5)
 - Cisco Unity Express 2.1 (2)
 - Cisco Customer Response Server
  IP Contact Center Express 4.0 (1)

詳しくは、


http://www.cisco.com/web/learning/le3/ccie/voice/index.html

を参照してください。

今後は、Security、Service Providerも順次Update
されていく気がします。Securityなんて、現行の試験
内容と現実のSecurity Productと大きく乖離してます
しね。

次はSecurityがUpdateされるでしょう。

Tuesday, January 31, 2006

Ichiro is in "Routing TCP/IP, Volume1, 2nd Edition".

QoSの勉強と同時並行で、

Routing TCP/IP, Volume1, 2nd Edition
http://www.ciscopress.com/title/1587052024

を勉強していました。
この本にIchiroが出ていたとは驚きです。
#といっても名前がちょこっと出てくるだけです。

この本は基礎の見直しのために手に取りました。
内容としては、Workbookをはじめる前の勉強に
適していると思います。文章も読みやすいし、
Case Studyが充実しているので、こんな場合に
どうなる、というのが分かりやすくまとめられてい
ます。

Labの勉強を始める人にとっては必須のMaterial
と言えると思います。いきなりWorkbookを使って
勉強を始める、という手もアリです。が、その前に
この本を勉強しておくと、IGP、IPv6、Route Filter
関係の知識が身につきますので、Workbookの
IGPのあたりはスラスラ解けるようになるのでは
ないでしょうか。

ちなみにこの本では、ある「まつがい」があって、
IPv6のlink-local addressを

FF80::/10

としていますが、正しくはFE80::/10です。
だまされないように注意しましょう(笑)

Friday, January 27, 2006

QoS(642-642E) 受験記

24日にQoS(642-642E)を受験してきました。

ちなみに642-642Jってあったんですね。知らなかった。。。
でも仮に知っていたとしても日本語では受けませんけど。

ええ、英語の鍛錬ですとも。

試験の結果は、PASSでした。

久々のCisco試験でしたが、日々進化していますね。
私がCCNP受けた頃なんて、Cisco試験は難しくなく、
シミュレーション問題もなかったので割と楽に取れたのですが。

しかし、このQoS試験は曲者です。
内容はけっこう難しいです。あいまいな知識のままで受験
すると落ちると思います。

それに今まで見たこともないような形式の問題も出ましたし。

多分、以下の質問に答えられない方は受験すべきではないと・・・。

 - Delayに関して、その全ての種類とそれらのDelayがどこで発生
  するか説明できますか。

 - DSCP値について完全に説明できますか。
  例えばAssured FowardingのClassとDrop Probability
  の値について完全に理解していますか。

 - QoSの全体像を包括的に説明できますか。

 - CoSやToSにMarkingする際、Marking Toolをすべて
  説明できますか。

 - Congestion Management Toolをすべて説明できますか。

 - CIR = Bc / Tcの本質的な意味を理解していますか。
  この式があらわしている事を説明できますか。

 - Policing / Shapingの違いを理解していますか。

 - Token Bucket Algorithmを完全に理解していますか。

 - Congestion Avoidanceの動作を説明できますか。

 - Flow-Based WRED、DSCP-Based WRED、ECN
  で動作の違いを説明できますか。

 - LFI Toolについて説明できますか。
 
 - FRF.12とMLP LFIの違いについて説明できますか。

 - Catalyst2950のQoS時の動作について理解していますか。

 - Auto QoSでどんな設定がされるか理解していますか。

 - さまざまなQoS Tool Setをどういう場合にどう設定すれば
  よいか(Best Practice)を説明できますか。

これらの質問はかなり大雑把です。それに試験範囲のすべて
を網羅しているわけではありませんし。

あまり細かく書くとNDAに反するので書けませんが、これらの
ことについて、自分以外の人に説明できるレベルでないと
PASSできないでしょう。

またこのQoS試験はCCIE Lab Candidateにとってはかなり
お薦めです。というもの、QoSの動作やコンセプトが完全に
理解できていないと答えられない問題が多く、その勉強は
Lab受験にとって必須です。

私が使用した教材は以下の2つです。

■Cisco Press IP-Telephony Self-Study Cisco QoS Exam
  Certification Guide, 2nd Edition
 
http://www.ciscopress.com/title/1587201240

■Cisco Press End-to-End QoS Design: Qualty-of-Service
  in LANs, WANs and VPNs
 
http://www.ciscopress.com/title/1587051761

QoS試験対策は一番目に紹介したCertification Guideで十分
かと思います。CCIE Lab対策までを考えるとこの本では不十分
なのです。なぜなら、この本にはCat3550のQoSについて書かれて
いませんので。

CCIE対策までを見越している方は二番目のEnd-to-End QoS
を利用すると良いと思います。ただこの本は、Cat45、Cat65の
QoSやQoSのDesign理論まで書かれていますので実務に役立ち
ます。

私はこれらの教材をつかって約三週間、みっちり勉強しました。
CCIE Lab対策を前提に勉強していたので、それこそ本当に細かく
勉強しました。QoS試験は12.2Tまでを含んでいるようですので
いい復習にもなりましたし、あるQoS Toolの内容をまったく理解でき
ていなかったことが判明したりと、私にとっては非常に有意義な
試験となりました。

Thursday, January 26, 2006

I've just moved !

新しい場所でBlogをはじめるにあたり、Titleを変更してみました。

その名も、

「Overseas and Beyond」

どことなくカッコつけたTitleですが(笑)、Conceptは以下の2つです。

 - Overseas
  Networkの技術は世界共通。だったら海外での仕事も経験したい。

 - and Beyond
  海外での仕事を通じて、自分自身が成長したい。
  日本でできないような経験もしたい。
  大変なのはわかっているから、それを乗り越えてその先にある何か
  を手にしてみたい。

英語的に変なTitleかも知れませんが、要は「想い」です。
想いが伝われば、それを伝える 言葉なんて所詮Toolに過ぎません。
正しいとか、正しくないとか関係ないはずです。

と、海外での仕事を夢見ていますが、まずは目の前の目標から一歩一歩
確実にこなして 行かないと何も始まりません。

なので、当面はCCIE R&Sのお勉強Blogになります。

ちなみに、何故Blogを変えたかといいますと、つい3日前に会社の
Note PCが壊れてしまったからです。HDDが逝ってしまいました。
不思議なことに新しいPCを触っているといろいろと使用している
Toolも変えたくなるもので、メーラーもBeckey!からThunderbirdに
変えてみたり、TerminalもPoderosaに変えてみたり。そうやって
いくうちにBlogも変えるかというノリになってきたのです(笑)

そもそもアメブロにはSkinのデザインで気に入るものがなかったので
それが苦痛でした。そんな時、このBloggerを見て「ここにしよう」と
思うに至り、結果引越ししたというわけです。

このエントリーを見てくださっている方で、以前の

WorldwideなNetwork Engineerになる
http://ameblo.jp/koichi-ne/

のリンクを登録されていた方は、この機会に変更していただけると
幸いです。